• User

    Sicurezza Server Web

    Ciao a tutti,
    stavo studiando alcune regole iptables per la prevenzione degli attacchi sulle porte 80 e/o 443 che necessariamente devono rimanere aperte
    Mi chiedevo, visto che il mio server non è dietro ad un firewall, esistono sistemi di filtraggio con già delle regole impostate....
    Oppure devo per forza di cose impostare tutte le regole, con tutte le implicazioni che implicano...
    Ciauu


  • User

    Considera che iptables sulle porte 80 e 443 (aperte di default) serve normalmente a ben poco. Quel che si usa a livello applicativo sono WAF (Web application Firewall) come mod_security o naxsi se li vuoi "in locale" o servizi esterni in reverse proxy come Incpsula, Sucuri o Cloudflare.

    Data la domanda molto newbie, sei sicuro che hai conoscenze adeguate per lavorare con un FW e gestire un sistema ?


  • User

    Grazie per il chiarimento


  • Super User

    @ManagedServer.it
    La sicurezza informatica non è un prodotto ma una serie di processi e di buone pratiche.
    Chi scrive sul forum per dei chiarimenti non deve essere per forza un sistemista.


  • User

    @ManagedServer.it said:

    Considera che iptables sulle porte 80 e 443 (aperte di default) serve normalmente a ben poco. Quel che si usa a livello applicativo sono WAF (Web application Firewall) come mod_security o naxsi se li vuoi "in locale" o servizi esterni in reverse proxy come Incpsula, Sucuri o Cloudflare.

    A distanza di 3 mesi e tante ore notturne sono riuscito a far partire il mio server dedicato
    Volevo un chiarimento se possibile:
    Questi sistemi come Incapsula,Sucuri e/o Cloudflare offrono delle già dei bundle pre-impostati, oppure si deve operare a livello di personalizzazione per ogni server ?
    Grazie


  • User

    Congratulazioni, si parte sempre con uno e si finisce almeno con un centinaio.
    Detto questo, Incapsula, Sucuri, Cloudflare lavorano a livello di Vhost (singolo sito) lavorando principalmente in reverse proxy tra Internet e il server Web. In base al piano puoi impostare diversi parametri come ad esempio l'utilizzo di protocolli di crittografia piuttosto che altri, l'utilizzo di filtering a livello GeoIP, rules WAF (Web application firewall) e molto altro. Personalmente li trovo utili solo in caso di attacco o in caso di attacco preventivato. Sono prodotti commerciali, per cui eccetto le versioni pro, preparati ad essere "scaricato" nel momento in cui arriverai a impegnarli più di un 10 mila connessioni al minuto per intenderci.

    Non capisco se la tua sia più un'esigenza di imparare che di mettere in produzione un servizio Web con tutte le accortezze e garanzia.

    A presto.


  • User

    Grazie per la chiara risposta
    Ho dovuto aiutare un amico, che era stato scaricato in mezzo alla strada dal suo hosting...senza troppo preavviso.Data la mole, anche se inattiva del suo forum, ha bisogno di un dedicato.
    Arrivato fin quì, mi è salita la voglia, la curiosità di imparare oltre
    Quindi vorrei ottimizzare questo dedicato (vps cloud) in termini di prestazione e sicurezza, ma solo come soddisfazione personale per abbassare il più possibile i test 🙂 🙂 🙂
    Per tornare in OT
    Quindi Tu per i tuoi server mi sembra di capire che adotti una politica interna a livello di sicurezza. utilizzi un qualche prodotto specifico ?
    Grazie per il tuo prezioso supporto


  • User

    Considerando che al 99% lavoriamo su server web con le solite porte http / https esposte, la nostra sicurezza "si limita" ad una buona separazione privilegi tra i vari vhost (usiamo 750 e 640 come permessi a differenza di molti 755 e 644), utilizziamo versioni sempre aggiornate di NGINX (raramente usiamo Apache) e abbiamo firewall hardware e software a monte. In caso di DDOS utilizziamo strumenti della Arbor Network per il filtering delle connessioni in ingresso, in caso di attacchi applicativi che comportano DDOS andiamo dietro Cloudflare.

    Per ciò che concerne invece la sicurezza applicativa, deleghiamo al cliente e al suo staff di far si che non ci siano sviste lato applicativo (rfi, sql injection, xss e via dicendo).

    Per il resto andiamo di triplo backup su 3 SAN differenti.


  • User

    Grazie per le preziosissime informazioni e buona giornata