אבטחת מידע בשרתי windows server - vps/vds
-
שלום רב,
ברצוני לשמוע את חוו"ד המומחים דכאן לגבי נושא האבטחה הכה חיוני בשרתים ווינדוס מושכרים. יש הרבה חברות בשוק שנותנות ברזל עם מערכת הפעלה וכתובת ip של ה wan העולמי, מה שקורה זה שהשרת לא נמצא ולו מאחורי .nat אחד, ובגפו ובגופו הוא עומד מול איומי הרשת השונים וה (לא) משונים. שאלתי היא נקודתית אך נוגעת לכלל דברים בנושא, שרת עם חומת אש של eset שהפורטים הפתוחים בו הם 3389 ,21, 80, עכשיו 3389 ו21 פתוחים רק לכתובות ip ספציפיות כל שאר הפורטים סגורים לחלוטין , מה הסיכוי שהוא יקבל כופר ?! ואיך ניתן למנוע זאת ? -
שלום רב,
ברצוני לשמוע את חוו"ד המומחים דכאן לגבי נושא האבטחה הכה חיוני בשרתים ווינדוס מושכרים. יש הרבה חברות בשוק שנותנות ברזל עם מערכת הפעלה וכתובת ip של ה wan העולמי, מה שקורה זה שהשרת לא נמצא ולו מאחורי .nat אחד, ובגפו ובגופו הוא עומד מול איומי הרשת השונים וה (לא) משונים. שאלתי היא נקודתית אך נוגעת לכלל דברים בנושא, שרת עם חומת אש של eset שהפורטים הפתוחים בו הם 3389 ,21, 80, עכשיו 3389 ו21 פתוחים רק לכתובות ip ספציפיות כל שאר הפורטים סגורים לחלוטין , מה הסיכוי שהוא יקבל כופר ?! ואיך ניתן למנוע זאת ? -
@חגי אמר באבטחת מידע בשרתי windows server - vps/vds:
@avramk
תוסיף אימות כלשהו ואתה מסודר.לא הייתי ממהר להרגיע מכיוון ומידי פעם מתפרסמים 0day לRDP שWIN בלבד לא עומד מולם.
מומלץ לבחור בשירות אחסון שמספק FW משלו לפני השרתaaron.tchumim@gmail.com
Hetzner - שרתים וירטואליים ופיזיים במחירים מעולים (קישור שותפים)ווצאפ API - תיעוד שירות API לא רשמי.
-
@חגי מה זה אימות כלשהו ? אתה מתכוון לF2A ? איזה תוכנה עושה את זה ? (ל ESET יש בתשלום, אני מעדיף לבדוק קודם עם משהו חינמי).
כיום אני משתמש בתוכנה שמנטרת את חיבור הRDP וחוסמת כתובות לפי נסיונות גישה כושלים.מה לגבי פורטים של FTP וכדו' ? האימות מולם כן בסדר ?
-
@חגי אמר באבטחת מידע בשרתי windows server - vps/vds:
@avramk
תוסיף אימות כלשהו ואתה מסודר.לא הייתי ממהר להרגיע מכיוון ומידי פעם מתפרסמים 0day לRDP שWIN בלבד לא עומד מולם.
מומלץ לבחור בשירות אחסון שמספק FW משלו לפני השרת@aaron אמר באבטחת מידע בשרתי windows server - vps/vds:
@חגי אמר באבטחת מידע בשרתי windows server - vps/vds:
@avramk
תוסיף אימות כלשהו ואתה מסודר.לא הייתי ממהר להרגיע מכיוון ומידי פעם מתפרסמים 0day לRDP שWIN בלבד לא עומד מולם.
מומלץ לבחור בשירות אחסון שמספק FW משלו לפני השרתהכל ברמת האימות ?
-
@aaron אמר באבטחת מידע בשרתי windows server - vps/vds:
@חגי אמר באבטחת מידע בשרתי windows server - vps/vds:
@avramk
תוסיף אימות כלשהו ואתה מסודר.לא הייתי ממהר להרגיע מכיוון ומידי פעם מתפרסמים 0day לRDP שWIN בלבד לא עומד מולם.
מומלץ לבחור בשירות אחסון שמספק FW משלו לפני השרתהכל ברמת האימות ?
-
@avramk
האימות פירושו התחברות עם משתמש וסיסמה (אני מניח שזה כבר מובנה)
לגבי מה ש@aaron כתב, הוא מציע להשתמש בשירות פיירוול נוסף מעבר לזה שמספק השרת עצמו, כדי שלא יהיה ניתן לעקוף אותו במידה ונמצאה פרצה בפרוטוקול שפתוח באותו פורט. חשיבה נכונה.@חגי אמר באבטחת מידע בשרתי windows server - vps/vds:
@avramk
האימות פירושו התחברות עם משתמש וסיסמה (אני מניח שזה כבר מובנה)
לגבי מה ש@aaron כתב, הוא מציע להשתמש בשירות פיירוול נוסף מעבר לזה שמספק השרת עצמו, כדי שלא יהיה ניתן לעקוף אותו במידה ונמצאה פרצה בפרוטוקול שפתוח באותו פורט. חשיבה נכונה.שם משתמש וסיסמא בלבד (אימות של ווינדוס) זה בדיחה עצובה לאבטחה , בלי אימות נוסף/או הגנה על האימות הכופר בדרך ..
-
@חגי אמר באבטחת מידע בשרתי windows server - vps/vds:
@avramk
האימות פירושו התחברות עם משתמש וסיסמה (אני מניח שזה כבר מובנה)
לגבי מה ש@aaron כתב, הוא מציע להשתמש בשירות פיירוול נוסף מעבר לזה שמספק השרת עצמו, כדי שלא יהיה ניתן לעקוף אותו במידה ונמצאה פרצה בפרוטוקול שפתוח באותו פורט. חשיבה נכונה.שם משתמש וסיסמא בלבד (אימות של ווינדוס) זה בדיחה עצובה לאבטחה , בלי אימות נוסף/או הגנה על האימות הכופר בדרך ..
-
@avramk
בהנחה שאין לפורץ גישה למחשב, האבטחה של ווינדוס היא לא פחות טובה מכל שירות אחר, זה פשוט משתמש וסיסמה.
אם אתה דואג שזה יפרץ, אז תשתמש בסיסמה חזקה יותר. -
שלום רב,
ברצוני לשמוע את חוו"ד המומחים דכאן לגבי נושא האבטחה הכה חיוני בשרתים ווינדוס מושכרים. יש הרבה חברות בשוק שנותנות ברזל עם מערכת הפעלה וכתובת ip של ה wan העולמי, מה שקורה זה שהשרת לא נמצא ולו מאחורי .nat אחד, ובגפו ובגופו הוא עומד מול איומי הרשת השונים וה (לא) משונים. שאלתי היא נקודתית אך נוגעת לכלל דברים בנושא, שרת עם חומת אש של eset שהפורטים הפתוחים בו הם 3389 ,21, 80, עכשיו 3389 ו21 פתוחים רק לכתובות ip ספציפיות כל שאר הפורטים סגורים לחלוטין , מה הסיכוי שהוא יקבל כופר ?! ואיך ניתן למנוע זאת ?@avramk אני מתנגד לאופי השאלה.
מה אתה מנסה לשאול? איך לאבטח את השרת? אתה יודע שיש אנשים שלומדים כמה שנים אבטחת מידע? מה זה השאלה הזו "איך לאבטח".
מה גם, שהפרטים שנתת הם לא נותנים כלום.הבעיה ב RDP היא שאין שום מנגנון שמונע ניסיונות התחברות ואפשר לנסות מאות פעמים. בנוסף, הוא מנגנון שמפעם לפעם יש בו חולשות חמורות.
בכל אופן, אף אחד לא יכול לענות לך כמה סיכויים תקבל כופר וגם לדעתי זה לא השאלה הנכונה. יש הרבה נוזקות וזה יכול להגיע מכל כך הרבה מקומות. אני לא יודע מה אתה עושה חוץ מזה בשרת עצמו, זה הרי ווינדוס ויש לך שולחן עבודה מרוחק, מה התקנת על המחשב, מה הוא משמש, באיזה תוכנות השתמשת ומה אתה חושף לרשת בפורט 80.
ואל תענה לי על כל השאלות כי אני לא הולך לעבור איתך על הפעילות שלך ולתת את חוות דעתי על כל דבר שהתקנת או מה שזה לא יהיה.לדעתי (ואפשר לחלוק עליה) מי שמחזיק שרת אמיתי, ווינדוס או לינוקס כאחד, צריך יותר רקע יודע אמיתי באבטחת מידע ובפלטפורה שהוא עובד.
כשאפשר להשיג שרת ב30 שקל לחודש כל בנאדם שלישי מקים שרת ומעתיק כמה פקודות ומתקין ממשק/פורום/תוכנה כזו או אחרת המצב ניהיה ששואלים שאלות כמו זו - "איך לאבטח את השרת שלי, מתי אקבל כופר".זה שאלה שאי אפשר לענות עליה בצורה נכונה מלבד כמה כללי יסוד ברורים. ללא ידע וניסיון אתה תתקע במוקדם או במאוחר..
ליצירת קשר:
sh@mitm.top -
@avramk אני מתנגד לאופי השאלה.
מה אתה מנסה לשאול? איך לאבטח את השרת? אתה יודע שיש אנשים שלומדים כמה שנים אבטחת מידע? מה זה השאלה הזו "איך לאבטח".
מה גם, שהפרטים שנתת הם לא נותנים כלום.הבעיה ב RDP היא שאין שום מנגנון שמונע ניסיונות התחברות ואפשר לנסות מאות פעמים. בנוסף, הוא מנגנון שמפעם לפעם יש בו חולשות חמורות.
בכל אופן, אף אחד לא יכול לענות לך כמה סיכויים תקבל כופר וגם לדעתי זה לא השאלה הנכונה. יש הרבה נוזקות וזה יכול להגיע מכל כך הרבה מקומות. אני לא יודע מה אתה עושה חוץ מזה בשרת עצמו, זה הרי ווינדוס ויש לך שולחן עבודה מרוחק, מה התקנת על המחשב, מה הוא משמש, באיזה תוכנות השתמשת ומה אתה חושף לרשת בפורט 80.
ואל תענה לי על כל השאלות כי אני לא הולך לעבור איתך על הפעילות שלך ולתת את חוות דעתי על כל דבר שהתקנת או מה שזה לא יהיה.לדעתי (ואפשר לחלוק עליה) מי שמחזיק שרת אמיתי, ווינדוס או לינוקס כאחד, צריך יותר רקע יודע אמיתי באבטחת מידע ובפלטפורה שהוא עובד.
כשאפשר להשיג שרת ב30 שקל לחודש כל בנאדם שלישי מקים שרת ומעתיק כמה פקודות ומתקין ממשק/פורום/תוכנה כזו או אחרת המצב ניהיה ששואלים שאלות כמו זו - "איך לאבטח את השרת שלי, מתי אקבל כופר".זה שאלה שאי אפשר לענות עליה בצורה נכונה מלבד כמה כללי יסוד ברורים. ללא ידע וניסיון אתה תתקע במוקדם או במאוחר..
@שמואל4 תודה על התגובה המפורטת, תרשה לי לחלוק עליך בנושא הלמידה, אני בקשר עם הרבה אנשים בתחום ורובם שמגיעים כבר עם רקע ללמידה טוענים שהלימוד יפה בשביל התעודה ולפעמים עוד קצת ידע... השטח הוא זה שקובע (אגב כך זה בכל מקצוע) ודווקא לכן שאלתי פה את השאלה הזו כי יש כאן אנשים שייתנו עצות מהשטח ולא מה כתוב בספר..
אני לא מבטל את נושא הלמידה החשובה אבל עדיין אנשי השטח נותנים הרבה יותר מענה נהדר מאשר אנשי הprofessional. -
@שמואל4 תודה על התגובה המפורטת, תרשה לי לחלוק עליך בנושא הלמידה, אני בקשר עם הרבה אנשים בתחום ורובם שמגיעים כבר עם רקע ללמידה טוענים שהלימוד יפה בשביל התעודה ולפעמים עוד קצת ידע... השטח הוא זה שקובע (אגב כך זה בכל מקצוע) ודווקא לכן שאלתי פה את השאלה הזו כי יש כאן אנשים שייתנו עצות מהשטח ולא מה כתוב בספר..
אני לא מבטל את נושא הלמידה החשובה אבל עדיין אנשי השטח נותנים הרבה יותר מענה נהדר מאשר אנשי הprofessional.@avramk
לא מסכים איתך.
ללמוד תוך כדי ריצה זה נחמד כשאתה יכול להרשות לעצמך את זה.
למשל בתכנות, לרוב באג ישפיע לך על בקשה ספציפית, או על קלט או משתמש ספציפי
באבטחה, רמת הסיכון שלך גבוהה הרבה יותר. אתה עלול למצוא את עצמך יום למחרת בלי שמץ של מושג איך אתה משקם את העסק שכל המידע שלו נעלם.
אין דוחות, אין תיק לקוחות, אין כלום.אם לא תשקיע מראש מאמץ בלתכנן איך להתמודד עם תקלות מהסוג שכרגע אתה לא צופה, תמצא את עצמך עומד בפני שוקת שבורה.
