אבטחה
-
8 דרכים להגן על האתר שלך
לקוחות יקרים,
מנסיון העבר עולה כי בכל פעם שישנו אירוע בטחוני/פוליטי במדינת ישראל, ישנה עלייה ניכרת בכמות המתקפות על אתרים ישראלים.
כחברה שנמצאת בתחום ההוסטינג שנים רבות, חשוב לנו לציין כי ניתן למזער את הסיכון לפריצת האתר באמצעות יישום אחת ו/או יותר מההמלצות הבאות:
- גישה מכתובת IP ייעודית לשרת.
- חסימת גישה לאתר מכתובות בחו”ל.
- ביצוע גיבוי למידע.
- בדיקת קוד האתר.
- עדכון קוד האתר.
- Web application Firewall.
- Anti-virus.
- ניהול ססמאות.
תיאור ההמלצה:
גישה מכתובת IP ייעודית לשרת.
הגישה אל השרתים ברוב המקרים פתוחה לכל העולם עבור הגישה ב HTTP וב- HTTPS .
ישנן גישות נוספות אל השרת (לדוגמא SQL Server, MySQL, FTP , וכו’), לא אחת ישנם ניסיונות לפרוץ אל האתר באמצעות פרוטוקולים אלה.
כל אחד יכול לבקש מספק האינטרנט שלו כתובת IP יעודית (שאיננה מתחלפת) וברגע שיש לכם אחת כזו ניתן לאפשר גישה אל השרת רק מהכתובות שלכם ובכך להקטין בצורה מאוד משמעותית את החשיפה של השרת לגישה שאינה מורשית.
אופן ביצוע:
- קבלת / רכישת כתובת IP ייעודית לקו האינטרנט של העסק מספק האינטרנט (שאתם גולשים דרכו).
- פתיחת פנייה במערכת התמיכה של אבולוציה אונליין (דרך האתר www.199.co.il)
הערות:
עדכון ההגדרות ב Firewall השיתופי של אבולוציה אונליין אינו כרוך בתשלום.
ה- Firewalls ב אבולוציה הינם Firewalls חכמים המסוגלים לאפשר גישה רק מכתובות המגיעות מישראל.
מתוך הנחה שאחוז גבוה מאוד של ההתקפות (אם לא כולן) מגיעות מחו”ל, חסימה של גישה לפרוטוקולים של SQL Server, FTP וכו’ מכתובות מחו”ל תעזור למזער את הסיכון לפריצת האתר.
אופן ביצוע:
פתיחת פנייה במערכת התמיכה של אבולוציה אונליין (דרך האתר www.199.co.il)
הערות:
עדכון ההגדרות ב Firewall השיתופי של אבולוציה אונליין אינו כרוך בתשלום.
לא ניתן לחסום גישה ב-HTTP לפי מדינות.
1. חשוב שלכל אחד באשר הוא יהיה גיבוי מקומי לקבצי האתר שלו, גם אם הוא מנוי על שירות גיבויים כזה או אחר.
2. ללקוחות שאין עדיין את שירות הגיבויים של אבולוציה אונליין, מומלץ לעשות כן. (בנוסף לסעיף 1 ולא במקומו)
עלות השירות הינה 25$ ל-25 גיגה והיא כוללת גיבויים עד חודש ימים ואפשרות שיחזור עצמאית אל המחשב שלכם באמצעות ממשק ניהול שיסופק ע”י אבולוציה אונליין (ממשק הניהול ניתן ללקוחות בעלי שרת ייעודי פיסי/וירטואלי בלבד).
אופן ביצוע:
פתיחת פנייה במערכת התמיכה של אבולוציה אונליין (דרך האתר www.199.co.il) בציון הבקשה לרכישת שירות גיבוי.
לא משנה כמה הגנות יהיו בשרת. אם הקוד של האתר חלש, סביר להניח כי יצליחו לפרוץ אליו.
כ-85% מהפריצות לאתרים נובעות מהקוד. ועל כך אתם מוזמנים לעיין בקישור הבא https://www.evolutionvip.co.il/kb/sqlinjection
אופן ביצוע:
שינוי הקוד בהתאם להמלצות. מבוצע באופן עצמאי ע”י הלקוח.
הערות:
הכתבה היא בגדר המלצות שנכתבו על סמך ניסיוננו ומובאות בו מספר דוגמאות בלבד. אין לראות באמור הבטחה למניעת פריצות לקוד האתר, אלא מבוא כיצד לכתוב קוד נכון.
חלקן הלא מבוטל של הפריצות לאתרים נובע משימוש בקוד פתוח לא מעודכן.
- הקפידו לעדכן לגרסה האחרונה את הפרוייקטים שלכם.
- אם אתם משתמשים בעורך טקסט עשיר Rich Text Editor כדוגמת FCKEditor, שימו לב שניתן להעלות דרכו קבצים. חיסמו אופציות אלא, שכן ניתן להשתמש בהן גם מבלי להיכנס דרך ממשק הניהול ולהעלות קבצים לחשבוניכם. https://www.evolutionvip.co.il/kb/how_to_protect_your_site
- אם כן יש לכם באתר אפשרות להעלות קבצים, בקשו מאיתנו להסיר את האופציה להריץ קבצים מהתיקיות אליהן אפשר להעלות קבצים. (על מנת למנוע מגולש להעלות קובץ עם סיומת aspx, php, asp וכו’ ואז “לגלוש אליו” ולהריצו עם ההרשאות שלכם.
אופן ביצוע:
שינוי הקוד בהתאם להמלצות. מבוצע באופן עצמאי ע”י הלקוח.
ה- WAF או בשמו המלא Web Application Firewall ( חומת אש אפליקטיבית) הינו שירות שמטרתו מניעת התקפות זדוניות דרך ישומי הרשת.
ה- Firewall שכולנו מכירים שולט בחסימה של פורטים מסויימים ומאפשר גישה לפורטים אחרים לפי בחירתנו, בפורטים מסויימים אנחנו מאפשרים למשתמשי הקצה להגיע עד לרמת האפליקציה (כנדרש), אולם, Firewall רגיל רק פותח וסוגר פורטים ופרט לכך לא בודק את תוכן התעבורה שעוברת דרכו כך שבמידה ומדובר בפורץ שמנסה לפרוץ לאתר באמצעים תיכנותיים (SQL Injection, Cross-Site Scripting וכו’) ה FW אינו נותן מענה.
לשם כך קיים פיתרון ה Evolution WAF המאפשר לבחון ולסנן את תוכן התעבורה עצמה.
פרטים נוספים אודות השירות ניתן לקרוא בקישור המצורף
אופן ביצוע:
פתיחת פנייה במערכת התמיכה של אבולוציה אונליין (דרך האתר www.199.co.il) בציון הבקשה לרכישת שירות Web Application Firewall
הערות: אין בשירות משום הבטחה למניעה מוחלטת של פריצות כאלו ואחרות לאתר הלקוח.
אנטי-וירוס בודק את הקבצים כאשר המערכת ניגשת אליה. אם משתמש העלה קובץ זדוני לאתר בחלק גדול מהמקרים האנטי-וירוס יעלה עליו ולא יאפשר גישה אל הקובץ.
ניתן להתקין את המוצר על השרת שלכם , עלות המוצר הינה 5$ לחודש.
אופן ביצוע:
פתיחת פנייה במערכת התמיכה של אבולוציה אונליין (דרך האתר www.199.co.il) בציון הבקשה לרכישת שירות אנטי-וירוס מנוהל
הערות:
השירות ניתן רק ללקוחות עם שירותי ניהול
הקפידו על סיסמאות מסובכות. אתם מוזמנים להיכנס לאתר http://pw.evhost.co.il ולהגריל סיסמא חדשה.
תדאגו לא להפיץ את הסיסמאות בדוא”ל ותמיד להשתמש במחשב שיש עליו אנטי-וירוס מעודכן כאשר אתם מתחברים אל ה FTP .
-
חסימת השרת לכתובות IP מחו”ל לפריצות
- האם ניתן לחסום את אתר האינטרנט שלי לגלישה מחו”ל?
כן
מרמה של שרת וירטואלי ומעלה (שרתים ייעודיים ואחסון ארונות) אבולוציה מאפשרת חסימת גישה לשרת מכתובות שאינן מישראל. - מה ניתן לחסום מפני פריצות?
החסימה יכולה להיות חסימה לגישה בכלל = כל הפורטים מחו”ל
ניתן לחסום גלישה לאתר = PORT 80 ו- PORT 443.
חסימה ל-FTP (גישה לקבצי האתר) = PORT 21
חסימה למסדי נתונים = MSSQL PORT 1433 / MySQL PORT 3306 - האם ניתן לחסום לגישה ממדינות מסויימות?
כן.
אבולוציה ביצעה מיפוי מדינות מסוכנות לפריצות: כגון: איראן תורכיה ועוד, קיימת אפשרות לחסימה ממדינות אלו. - האם יכולות להיווצר בעיות בעקבות החסימה?
חשוב לדעת כי לעיתים תראי מקרה קצה בו משתמשים מישראל חסומים או משתמשים מחו”ל פתוחים, זה נושא של הגדרת הכתובות וניתן לטפל בו נקודתית. - האם כשאהיה בחו”ל אוכל לגשת לשרת שלי?
לא, החסימה, היא לכל כתובות ה-IP מחו”ל. ניתן לעיתים לפתוח כתובת IP ספציפית אבל רק כאשר זו כתובת IP קבועה (חיבור wireless לא עונה לדרישות אלו.) - האם קיים לגלישה מחו”ל פתרון בכל זאת?
קיים פתרון לגלישה מכתובת ישראלית דרך VPN, שיטה זו מאושרת ומותקנת מראש (או לשרת עם FireWall ייעודי, או דרך משרדי הלקוח) ולכן תאפשר גישה מאובטחת. - האם חסימות אלו יבטיחו שהאתר לא ייפרץ?
לא, ישנם פתרונות מגוונים לנושא אבטחת מידע ביניהם WAF ועוד.
- האם ניתן לחסום את אתר האינטרנט שלי לגלישה מחו”ל?
-
איך מגנים על האתר?
כספקי שירות אירוח אתרים, שרתים ומערכות, אנו עושים את המיטב שאפשר על מנת להגן על השרתים בפני פריצות. ה”מיטב” הזה הוא לא פשוט ומורכב מהרבה עבודה שוטפת וציוד יקר.
אלו אשר ירצו לפרוץ לשרתים יתקלו בחומות הגנה ושרתים מוקשחים שימנעו מהם לעשות כן, מאידך אין לנו יכולת להתערב בקוד שנכתב ע”י תוכניתנים המאכסנים את אתריהם אצלנו. ולעיתים חוסר תשומת הלב ל”הקשחת” הקוד מפני פריצות יכולה לאפשר לפורץ לבצע נזק לאתר המסויים אשר הקוד שלו “רעוע” מבחינה אבטחתית.
מאמר זה פונה לבוני האתרים ודורש ידע תכנותי קל והבנה כיצד האתרים עובדים מאחורי הקלעים והוא יסקור בצורה קלילה את המנגנון שמפעיל את האתרים, פרצות אפשריות ודרכים להתמודד עימם.
איך בעצם שרת האינטרנט עובד (IIS או APACHE )
כאשר פונים לכתובת מסויימת המריצה דף ASP לדוגמה, התוכנה שנקראת IIS ניגשת לקובץ הרלוונטי במערכת ההפעלה באמצעות משתמש המוגדר ברמת מערכת ההפעלה (למשתמש זה יש הרשאות לקריאה וכתיבה בכל ספריות האתר או האתרים הנמצאים באותו חשבון) וקוראת אותו לזיכרון, לאחר מכן מתבצע תהליך של עיבוד וביצוע הפקודות במוגדרות שם. בסוף התהליך מתחולל קוד HTML וזה נשלח לדפדפן של המשתמש. (התהליך זהה גם ב APACHE )
ההרשאות שיש לכם ליצור קבצים באופן אוטומטי באמצעות הקוד באתר (או למחוק קבצים וכו’) מתאפשרות דרך המשתמש (שחבוי מעיני כל) והוא זה שמבצע את כל הדברים ברקע בצורה שקופה.
הערה: רק למען הסר ספק, לכל חשבון המכיל מספר אתרים בממשק הניהול שלנו יש משתמש משלו ואין זליגת הרשאות מחשבון א’ לחשבון ב’.
נניח שבאתר שלנו יש יכולת למשתמשים להעלות תמונות לתוך תיקייה בשם upload . אך התוכניתן שכתב את האתר לא בודק מה הסיומת של הקבצים המועלים לאתר.
שימוש לגיטימי באתר יאפשר למשתמש רגיל להעלות תמונה לאתר שתהא בקישור www.evhost.co.il/upload/mypic.jpg
פורץ יוכל להשתמש באותו מנגנון ולהעלות קובץ asp או php לאתר ובו קוד שקורא את קבצי הקוד שבאתר ושולח לו אותם (או מוחק או משנה את התוכן שלהם). לאחר שהוא כתב את הקוד והעלאה אותו הוא יוכל להריץ אותו ע”י גישה לכתובת www.evoultion.co.il/upload/mycode.asp וכך להשיג שליטה על התכנים באתר.
המלצה: אם יש לכם באתר מנגנון לעלאת קבצים בדקו ואפשרו העלאת קבצים רק מסוג מסויים. אם אתם משתמשים בקוד פתוח או באובייקט חיצוני כדוגמת עורכי טקסט משוכללים וודאו שלא ניתן לגשת למנגנון העלאת הקבצים שלהם למי שאינו מורשה ושהם לא מאפשרים העלאת קבצי קוד.
SQL Injection
Sql Injection זהו תהליך פריצה אשר בו הפורץ מעביר פקודות זדוניות באמצעות פרמטרים לגיטימים שעוברים לדפים ובסופו של דבר מגיע לשרת SQL כלשהו ומורצות שם.
הדרך הכי טובה להסביר זאת תהא באמצעות דוגמאות (וגם הפעם ברשותכם אתן את הדוגמאות בצורת ASP )
נניח שיש לי דף שמקבל פרמטר של קוד כתבה, ניגש לdatabase ושולף אותה. לדף נקרא article.asp והוא יקבל פרמטר שנקרא id . צורה הגישה לדף תהא:
www.evhost.co.il/article.asp?id=1
הקוד של הדף יראה כך:
Dim oConn Set oConn = Server.CreateObject(“ADODB.Connection”) oConn.Open const_connection_string Dim rs set rs =oConn.Execute (“select * from articles where id=” & request(“id”)) …
…
בעצם הפרמטר id מועבר ונוצרת השאילתה:
select * from articles where id=1 אך, פורץ יוכל לבצע את זממו אם יעביר פרמטרים שהתוכניתן לא חשב עליהם. לדוגמא מחיקת הטבלה, ע”י פניה לכתובת הבאה:
www.evhost.co.il/article.asp?id=1;drop%20table%20articles
(הסימן ; אומר ל SQL שהפקודה נגמרה ומתחילה פקודה חדשה. הסימן %20 מתורגם לרווח ע”י הIIS או ה APACHE )
ואז מה שיקרה הוא שירוצו ב SQL 2 פקודות:
Select * from articles where id=1 Drop table articles דוגמא נוספת, נניח שיש מסך כניסה למנהל האתר בו הוא מתבקש להזין שם משתמש וסיסמה. הנתונים הנ”ל מועברים לדף ASP שבודק האם המשתמש אכן הזין שם משתמש וסיסמה קבילים:
Dim oConn Set oConn = Server.CreateObject(“ADODB.Connection”) oConn.Open const_connection_string Dim rs set rs =oConn.Execute (“select * from users where username=’ ” & request(“username “) &” ‘ and password=’ “& request(“password”) &” ‘ “) …
…
נוכל לתמיד להיכנס אם נרשום את הדבר הבא:
www.evhost.co.il/login.asp?username=test&password=’ or ‘aa’=’aa
מה שיגרום להיווצרות ה SQL הבא (שתמיד יקבל תוצאות)
Select * from users where username=’test’ and password=” or ‘aa’=’aa’ ובגלל שהתנאי של aa=aa יהיה תמיד נכון תמיד נקבל תוצאות ונוכל להיכנס כמנהלים.
דוגמאות נוספות ניתן לראות בקישור: http://msdn.microsoft.com/en-us/library/ms161953.aspx
המלצות: כיצד אם כך להתגונן בפני סוג כזה של פריצה
1. לבדוק את הקלטים המגיעים מן המשתמש. אם יש ערך מספרי יש לוודא שהוא אכן מספרי בלבד. אם יש ערך של מחרוזת לוודא שאין בו את סימן הגרש, ואם יש בו גרש להחליף לפעמיים גרש (לא גרשיים אלא גרש ושוב גרש).
2. להשתדל לא לכתוב שאילתות בקוד אלא באמצעות STORED PROCEDURE ולהעביר את הנתונים באמצעות parameters .
שימו לב, פרמטרים המועברים ל SQL מועברים לא רק באמצעות פרמטרים, לפעמים אנחנו מעבירים אותם באמצעות cookies ועוד. תמיד יש לבצע בדיקת תקינות לקלט שהמשתמש מעביר אלינו!
טלאי
למען גילוי נאות, אני קצת חושש מלפרסם את החלק הזה. יש פה קטע קוד שיאפשר “הגנה” זמנית על האתר מפני פירצות. הוא לא מטפל בבעיה ויכול ליצור בעיות אחרות. ולעיתים ברגע שיש פיתרון זמני הוא הופך לקבוע.
ולכן במידה והאתר שלכם תחת מתקפה ואתם זקוקים לפיתרון מיידי ניתן להשתמש בו, אך אנא אל תזניחו את הפירצות שבאתר שלכם וטפלו בהן.
להלן הקישור לקוד http://blogs.iis.net/nazim/archive/2008/04/28/filtering-sql-injection-from-classic-asp.aspx
מערכות מוכנות – טיפים חשובים
Joomla
הוצאת הקובץ configuration.php מספריה נגישה דרך ה-web .
הוצאת כל הספריות בעלות הרשאות כתיבה(תמונות וכו’) גם כן נמצאות במיקום לא נגיש דרך הדפדפן.
לשמור על הרשאות 755 לספריות ו-644 לקבצים.
register globals = off
לבדוק עדכוני אבטחה בעיקר של 3rd party extensions .
PHPBB
יש לקרוא את הקישור: http://www.webmasterworld.com/forum103/274.htm
לסיכום
שמירה על הגנת האתרים שלכם מתבצעת ע”י אנשי ה system שלנו המגנים על השרתים ובפני התקפות המנסות למצוא פרצות אבטחה במערכת ההפעלה.
כל שנותר לכם לעשות זה לוודא שאכן גם ברמת הקוד אתם מכוסים, לא מדובר בעבודה קשה אלא רק להיות צמודים להנחיות שפרוסות במסמך זה.
בהצלחה לכולם
-
מה חשוב לדעת באבטחת מידע?
הכותב: דניאל אנגלמן, COO החברה.
להלן מספר נקודות חשובות לגבי אבטחת מידע וכיצד לנהוג על להקשיח את האתר שלכם מפני פירצות אבטחה. אנו ממליצים בחום לקרוא את המאמר.
הקטנת אפשרויות התקיפה/שטח הפנים לפריצה
הסימפטום: העלאת קבצים על ידי גורם לא מזוהה והפעלתו בשלב מאוחר יותר על מנת לקבל גישה לקבצים בחשבון.
לחילופין, ניצול לרעה באגים ובבעיות אבטחה של סביבות שונות.הפיתרון:
הרעיון המנחה הוא הקטנת שטח התקיפה (Surface Area ) על מנת להקטין את האפשרויות לתקיפת האתר.עיקבו אחר ההוראות בדף הבא (עבור H-Sphere ):
עיקבו אחר ההוראות בדף הבא (עבור DotNetPanel / WebsitePanel ):
מדיניות סיסמאות ופריצות FTP
אנא היכנסו כבר כעת לממשקי הניהול שלכם והחליפו סיסמאות (גם אם הסיסמאות שבחרתן הן סיסמאות קשות).
יכול להיות שבנקודה כזו או אחרת גורם זר הצליח לקבל את שמות המשתמש והסיסמאות שלכם ממחשבכם או לחילופין, שבחרתם סיסמה קלה מידי.בעבר כתבנו אודות הבעייתיות בשימוש בתוכנות כגון
FileZilla משום שהסיסמאות נשמרות על גבי המחשב ללא הצפנה.הסימפטום: התקבלו במערכת הפניות שלנו פניות רבות על שינוי קבצים באתרם.
מבדיקה עלה כי ניתן למצוא בשרתים קבצי Log המראים כניסה ל-FTP ושינוי קבצים. הגישה התבצעה מכתובות IP של מחשבים שונים בחו”ל שהותקפו גם הם וחברים ברשת “Zombies “.
הסיבה: מחשבים אישיים של לקוחותינו, מנהלי אתרים אשר נגועים בוירוס/סוס טרויאני ועושים שימוש בתוכנות FTP לצורך העלאת קבצים לאתריהם.
שמות המשתמש והסיסמאות ל-FTP שמורות בתוכנות אלו באופן לא מוצפן ובשל כך נשלחות לפורץ לשימושו על מנת להמשיך את הפצת הוירוסים והטרויאנים.
לקוחות העושים שימוש ב-Filezilla , פרטים אודות חור האבטחה ב-Filezilla ניתן למצוא כאן: http://tinyurl.com/larmvr
בשל כך, אנחנו ממליצים שלא לעשות שימוש ב-Filezilla עד לאשר ייצא תיקון אבטחת הסיסמאות (שכרגע לא צפוי).
שימו לב שגם אם אתם בוחרים לעשות הצפנה לסיסמאות באמצעות Filezilla , מפתח ההצפנה הוא אחיד לכל העולם ומאחר שמדובר בתוכנת קוד-פתוח, מפתח זה ידוע לכולם.
לקוחות העושים שימוש ב-CuteFTP , ניתן להפעיל הצפנת סיסמאות ל-FTP כך:
Tools > Site Manager > Security > Encrypt Site Manager Data .
לגבי תוכנות נוספות, אנא היוועצו עם מנועי החיפוש, כך או כך, כדאי לוודא שתוכנת ה-FTP שלכם שומרת סיסמאות באופן מוצפן.
הפיתרון:
1. לוודא שתוכנת האנטיוירוס שברשותכם וברשות כל מי שניגש ל-FTP מעודכנת ופעילה.
2. לאחר מכן החליפו את הסיסמאות ל-FTP באמצעות ממשק הניהול כפי שניתן לראות באתרנו: https://www.199.co.il/howto.asp?aid=96
3. אל תישלחו את הסיסמאות במייל.
פריצות באמצעות RTF Editors לא מאובטחים
הסימפטום: התקבלו במערכת הפניות שלנו פניות רבות על שינוי קבצים באתרם.
מבדיקה עלה כי ניתן למצוא בשרתים קבצי Log המראים שימוש בקובץ asp/php/aspx אשר הועלו לשרת והופעלו על ידי הפורץ.
הסיבה: קבצי הפריצה (סקריפטים) הועלו על ידי קבצי ברירת מחדל המועלים יחד עם קוד האתר על ידי מפתח האתר בעורכי RTF בעיקר כגון FCKEditor .
מה גם, שבדרך כל הקבצים הללו מועלים לאותן תיקיות בדר”כ (ספריות Editor או FCKEditor ) ובשל כך קיימים “רובוטים” רבים של פורצים אשר כל תפקידם הינו לאתר ספריות אלו ולנסות להעלות לתוכן קבצים בכדי שהפורץ יפעילם לאחר מכן.
הפיתרון:
1. לא רק בנושא ה-Editors , תמיד השתדלו שלא להשתמש בהגדרות או בשמות default .
2. לא לשים את למחוק את כל הקבצים אשר אינם נדרשים להפעלת ה-FCKEditor .
3. יש למחוק קבצים אשר אינם נדרשים (למשל אם האתר שלכם כתוב ב-asp , אין שום צורך לקבצי ה-php, aspx, cfm שנמצאים שם כגירסאות נוספות של ה-FCKEditor ).
4. חפשו קובץ בשם i_upload_object_FSO.asp ושנו את השורה:
oUpload.AllowedTypes = “*”
לשורה שתכלול אך ורק את סוגי הקבצים שברצונכם לאפשר העלתם (הפרדה בתו “|”).
5. אפשרו גישה לקבצי ה-FCKEditor רק במידה וקיים Session ברמת Admin .
חוקים ב-Firewall (שרתים וירטואליים/יעודיים בלבד) / הגנה מפני Brute Force
קיימים רובוטים רבים (מיליונים כאלו) אשר מחפשים פורטים (Ports ) פתוחים כדי לנסות ולהגיע לשרת ולבצע Brute Force .
Brute Force היא שיטה פשוטה ביותר לניסיונות פריצה שבה הגורם מנסה לקבל לאתר שמות משתמש וסיסמאות על המערכת (למשל Administrator או root עם סיסמאות קלות).לקהל לקוחותינו בעלי השרתים הוירטואליים/היעודיים ניתן לחסום פורטים חשובים ב-Firewall ולאפשר לכם גישה מרחוק באמצעות VPN או באמצעות פתיחת הפורטים לכתובות IP יעודיות בלבד.
כל יום אנו עדים לעשרות אלפי נסיונות פריצה לפורטים פתוחים (למשל עשרות אלפי נסיונות התחברות כ-Administrator ביום לשרת באמצעות FTP או באמצעות MSSQL לשרתים שפתוחים ב-Firewall לפורטים אלו).פרט ליתרון הגדול של סגירת הפורט ב-Firewall כך שלא יוכלו כלל להגיע ל-Service שאותו מנסים לפרוץ, עצם סגירת הפורט יכולה לעזור לביצועים מאחר והשרת לא יצטרך להתעסק בכל נסיונות הפריצה הללו.
אתם מוזמנים לפנות לתמיכה בשאלות נוספות כיצד ניתן לסגור את הפורט על השרת שלכם.
חומת אש אפליקטיבית (IPS ) ללקוחות שרתים וירטואליים/יעודיים בלבד
ל אבולוציה יש שיתוף פעולה עם חברת Applicure הישראלית. יצרנית ומפתחת dotDefender .
תוכנה מיועדת גם ללינוקס וגם ל-Windows ותפקידה לשמש כ-IPS (Intrusion Prevention System – מערכת למניעת חדירות).מערכת זו מומלצת לכל שרת (מנוהל או לא) בכדי שיגן באופן מלא על האפליקציה שלו מפני התקפות שונות (למשל SQL Injection ).
המערכת מתעדכנת באופן תמידי על חתימות התקפה חדשות ומביאה כל שרת לתקן PCI ממש Out Of The Box בהתקנה פשוטה ובניהול מרכזי שלנו.
מחירים מיוחדים ללקוחות אבולוציה .פרטים נוספים אודות המוצר ניתן לקרוא כאן: http://www.applicure.com/products/dotdefender
קישורים נוספים:
https://www.199.co.il/howto.asp?aid=84 – כיצד להגן על האתר מפני פריצות.
https://www.199.co.il/howto.asp?aid=45 – כיצד לשנות סיסמאות ל-FTP (H-Sphere )
https://www.199.co.il/howto.asp?aid=81 – (לינוקס בלבד) – ניהול הרשאות כתיבה.
-
תקן PCI – שאלות נפוצות
מהו תקן PCI ?
זהו תקן בינלאומי PCI (Payment Card Industry) של אבטחת מידע הנדרש מאתרי אינטרנט על מנת שאלה יהיו מורשים להשתמש ולסלוק כרטיסי אשראי.
זה לא מכבר, חברות האשראי בישראל החליטו ליישר קו ולדרוש מלקוחותיהם לעמוד בתקן הנ”ל,
ולכן כל מי שמבקש לסלוק כרטיסי אשראי מחברות האשראי מתבקש לעמוד בתקן ולענות על שאלות רבות בנושא אבטחת האתר, השרת ומנגנוני ההגנה והאבטחה של המערכת.השאלון שמקבלים מחברות האשראי
להלן השאלות שמופיעות בשאלון שחברות האשראי מבקשות לדעת על ארגונכם במטרה לאשר שאתם עומדים בתקן ה PCI, ועזרים על מנת שתוכלו לענות נכונה על השאלות.
1. מיקום השרתים ותיאור אבטחה פיסית שלהם
השרתים ממוקמים בחוות השרתים של 012 smile ו-בזק בינלאומי.
בחוות השרתים ישנה אבטחה 24 שעות ביממה הכוללת כניסה למורשים בלבד, שומרים, מצלמות אבטחה ועוד2. האם השרתים בבעלות האתר/חברה?
אם רכשתם את השרתים אזי השרתים בבעלות החברה. אם אתם משתמשים בשרתים וירטואלים או באיחסון שיתופי או בשרתים יעודיים בהשכרה אזי השרתים הינם בבעלות אבולוציה אונליין.3. מי מתפעל את השרתים?
במידה והינכם מנויים על שירותי הניהול של אבולוציה , אז אבולוציה אונליין היא הגורם המתפעל את השרתים.4. תיאור המערכת והתהליכים
כאן עליכם לפרט מהי בדיוק המערכת / האתר שלכם. כיצד עובדים איתו הן בממשק הניהול והן מצד הלקוח. יש לפרט את תהליך הקניה של לקוח הקצה וכיצד ההזמנה מטופל בממשק הניהול. אם יש מערכות נוספות (כמו מער’ הנהלת חשבונות שאליה מגיעים הנתונים וכו’) יש לכתוב פירוט. על פי רוב מי שידע לפרט את הנושאים הללו זה מי שכתב את המערכת שלכם / האתר שלכם.
5. תיאור מנגנוני האבטחה במערכת ברמת התקשורת
ללקוחות עם שרתים וירטואלים, שרתים יעודיים – ישנו Firewall שיתופי ב Cluster כפול (לשרידות ויתירות) של Juniper החוסם את כל הפורטים הלא רלוונטים לעולם ומאפשר גישה רק לבעלי כתובותIP מורשות
ללקוחות שיש להם יותר משרת אחד, לעיתים יש מערכת של Firewall / Firewall cluster יעודית = ובמקרים כאלה רמת האבטחה והשירותים שרצים מה firewall מורכבת וגדולה יותר (כמו לדוגמא deep inspection וכו’) – במקרים אלו יש ליצור קשר עם המשרד ולקבל את הפרטים המלאים.6. האם מקבל שירותי ניטור שימוש לרעה (Fraud) מגורם כלשהו? מי?
נכון להיום אבולוציה אונליין איננה מספקת שירותים כאלה. במידה ואתם מתעדכנים מ feeds של fraud יש להתעדכן מול התוכניתן או מי שמנהל את האתר.
7. תיאור מנגנוני אבטחה ברמת מערכת ההפעלה:
אם הינכם ללקוחות שמנויים על שירותי הניהול:
- מערכת ההפעלה מוקשחת בעת ההתקנה על ידי אבולוציה אונליין.
- שינוי הרשאות ברירת המחדל של מערכת ההפעלה.
- ביטול משתמשי ברירת מחדל ברמת מערכת ההפעלה ושירותים נפוצים.
- מחיקת סקריפטים המותקנים כברירת מחדל ושיכולים לאפשר לפורצים להשתמש בהם.
- מידור services עם משתמשים בעלי הרשאות On a need to know basis.
- שינוי פורטים של ברירת מחדל עבור פרוטוקולים מסויימים.
- ISAPI Filters המיועדים להגנה ראשונית בפני SQL Injections רצים ברמת ה IIS.
- פתיחת פורטים נחוצים לעולם והגבלת שאר הפורטים לכתובות IP מורשות בלבד.
- עדכוני אבטחה של מערכת ההפעלה מותקנים בשרת.
- עדכוני אבטחה קריטים של מסדי נתונים מותקנים.
שירותים נוספים בתשלום שניתן להוסיף:
- סריקת לאיתור חולשות אבטחה ופירצות אבטחה ברמת הרשת ומערכת ההפעלה – עלות השירות 700$ ל-2 סריקות בשנה וטיפול בממצאים ברמת ה high ומעלה (ללקוחות מנוהלים).
- אנטי וירוס ל File server– עלות 100$ לשרת לשנה
- IPS – מערכת IPS שמותקנת על השרת (Intrusion Prevention System – מערכת למניעת חדירות). מערכת זו מומלצת לכל שרת (מנוהל או לא) בכדי שיגן באופן מלא על האפליקציה שלו מפני התקפות שונות (למשל SQL Injection ). המערכת מתעדכנת באופן תמידי על חתימות התקפה חדשות ומביאה כל שרת לתקן PCI . אבולוציה מאפשר את השימוש במערכת מחיר חודשי מוזל בצורה משמעותית עבור לקוחותיה.
8. פירוט אופן בקרת עסקאות כנגד שימוש לרעה (Fraud) ברמת בית-העסק
יש לשאול את התוכניתן של האתר
9. תיאור אופן ההגנה על פרטי לקוחות האתר (כולל פרטיי-אשראי):
יש לשאול את התוכניתן של האתר
10. האם מספרי הכרטיסים נשמרים כקובץ מוצפן?
יש לשאול את התוכניתן של האתר11. האם ובאיזה תדירות נמחקים מספרי כרטיסי האשראי מהקובץ?
יש לשאול את התוכניתן של האתר
12. תיאור הגנת ה- SOURCE של המערכת:
יש לשאול את התוכניתן של האתר[
13. האם שרת האפליקציה מופרד משרת ה- WEB?
על פי רוב מערכות אינטרנטיות הינן מערכות Web ולכן מערכות קטנות ובינוניות בדר”כ לא מופרדות משרת ה Web.
כן נהוג להפריד בין השרת שמחזיק את מסד הנתונים לבין השרת שמריץ את דפי האינטרנט (IIS או Apache)
תוכניתנים שרוצים להגדיל את האבטחה של האתר מחלקים את פיתוח האתר לשכבות ומפרידים בין ה GUI (מה שהלקוח רואה) לבין הלוגיקה (שרת האפליקציה) ואותה שומרים בשרת אחר כך שהיא רצה כ Web service או Service רגיל.התשובה לשאלה זו היא מאוד אינדבדואלית ויש לשאול את התוכניתן. לקוחות שרוצים להפריד בין השכבות השונות ועל ידי כך לתת אלמנט אבטחה נוסף יכולים לעשות כן בקלות יחסית (במיוחד שמדובר בין מסד הנתונים לבין שרת ה Web)
14. תיאור מנגנוני בקרה למקרה שהמערכת נפרצה:
ללקוחות שיש שירותי גיבוי (שירות בתוספת תשלום שאינו מגיע עם שירותי הניהול) נהנים מ-3 מגיבוים מלאים! של המערכת ומסדי הנתונים שלהם. בהם הם יכולים להשתמש במידת הצורך לשחזר מידע / קבצים. עלות השירות 25$ לחודש לשרת.
15. האם המערכת מקושרת למערכות אחרות?
יש לשאול את התוכניתן של האתר
16. האם ישנה גישה מרחוק למערכת לצרכי תחזוקה?
לקוחות עם שירותי ניהול: גישה מרחוק קיימת לצוות הטכני ב אבולוציה שהווסמך לכך.
(אלא אם כן ביקשתם גישה בעצמכם לשרת, דבר שאנו לא ממליצים עליו)17. האם ומתי בוצעה בדיקת חוסן לבחינת עמידות המערכת ורמת האבטחה המיושמת בה?
בדיקת חוסן לשרתים מתבצעת לאחר התקנתם (ללקוחות עם שרתים מנוהלים)
בדיקות חוסן ניתן לבצע באופן חד פעמי או תקופתי (אנא קראו את סעיף מספר 7) -
חסימת השרת לכתובות IP מחו”ל לפריצות
- האם ניתן לחסום את אתר האינטרנט שלי לגלישה מחו”ל?
כן
מרמה של שרת וירטואלי ומעלה (שרתים ייעודיים ואחסון ארונות) אבולוציה מאפשרת חסימת גישה לשרת מכתובות שאינן מישראל. - מה ניתן לחסום מפני פריצות?
החסימה יכולה להיות חסימה לגישה בכלל = כל הפורטים מחו”ל
ניתן לחסום גלישה לאתר = PORT 80 ו- PORT 443.
חסימה ל-FTP (גישה לקבצי האתר) = PORT 21
חסימה למסדי נתונים = MSSQL PORT 1433 / MySQL PORT 3306 - האם ניתן לחסום לגישה ממדינות מסויימות?
כן.
אבולוציה ביצעה מיפוי מדינות מסוכנות לפריצות: כגון: איראן תורכיה ועוד, קיימת אפשרות לחסימה ממדינות אלו. - האם יכולות להיווצר בעיות בעקבות החסימה?
חשוב לדעת כי לעיתים תראי מקרה קצה בו משתמשים מישראל חסומים או משתמשים מחו”ל פתוחים, זה נושא של הגדרת הכתובות וניתן לטפל בו נקודתית. - האם כשאהיה בחו”ל אוכל לגשת לשרת שלי?
לא, החסימה, היא לכל כתובות ה-IP מחו”ל. ניתן לעיתים לפתוח כתובת IP ספציפית אבל רק כאשר זו כתובת IP קבועה (חיבור wireless לא עונה לדרישות אלו.) - האם קיים לגלישה מחו”ל פתרון בכל זאת?
קיים פתרון לגלישה מכתובת ישראלית דרך VPN, שיטה זו מאושרת ומותקנת מראש (או לשרת עם FireWall ייעודי, או דרך משרדי הלקוח) ולכן תאפשר גישה מאובטחת. - האם חסימות אלו יבטיחו שהאתר לא ייפרץ?
לא, ישנם פתרונות מגוונים לנושא אבטחת מידע ביניהם WAF ועוד.
- האם ניתן לחסום את אתר האינטרנט שלי לגלישה מחו”ל?