Bedste beskyttelse af Webserver

peque
Antal: 954
Tilmeldt:
20-04-2005
User is offline
Bedste beskyttelse af Webserver

Hi Fourm.
Jeg overvejer at gøre en webserver offenligt tilgængeligt ( bagved en firewall )
Men hvordan kan jeg bedst muligt beskytte denne server ( Kører Wordpress )

Er det at installere en proxy ( Det er ikke kun Wordpress, også enkelte JSP sites)

Mit spørgsmål er mere udfra tidligere havde jeg en gang en Wordpress server sående, men syntes denne blev meget nemt inficeret af de forsøg der findes. Tit finder jeg en masse forskellige PHP scripts i uåpload mappen f.eks fra siderne

Så er det jeg tænker hvor er den rigtige måde at beskytte sådanne en service, er det en Proxy Server foran (og hvilken er at foretrække)
Er det en masse plugins i Wordpress der kan forhindre dette - Bruger pt sucuri / Wordfence - men det er jo reelt kun wordpress sites disse beskytter.

Kunne godt tænke mig en løsning - således der reelt kun er reel data der kommunikeres imellem klient og server


julemand101
julemand101's picture
Antal: 1684
Tilmeldt:
17-01-2004
User is offline
Nu har jeg administreret

Nu har jeg administreret Wordpress sider i en årrække og jeg vil sige at sikkerheden her kommer helt an på hvad du har installeret af plugins og hvilke funktioner du har aktiveret. En statisk side side uden mulighed for input fra brugeren vil være temmelig sikker. Det er klart hvis du fx tillader upload af filer fra brugere (eller input i form af formularer) så vil der være et øget behov for sikkerhed her.

Af forskellige tiltag du kan gøre:

- Slå skrivning fra i din webmappe så webprocessen ikke kan gemme eller ændre filer. Ulempen er så at du ikke kan benytte Wordpress's egen automatisk installation af opdateringer eller plugins. Du kan dog evt. fikse dette ved at have et script du kan køre der midlertidig ændre rettighederne på din webmappe de gange du har brug for at køre noget der kan ændre filerne.

- Vær selektiv med hvilke mapper der kan eksekvere PHP kode. Fx lad vær med at tillade at der kan eksekveres kode i mapper hvor brugere har lov til at upload ting (selv hvis de kan upload kun billeder så er der en risiko for en fejl der gør det muligt at upload kode).

- Væk meget restriktiv i hvad HTTP processen har adgang til at gøre på dit system.

- Lad vær med at tro at plugins løser sikkerhedsproblemer. Det lugter mest af alt som antivirus produkter. Hvis du tror du har et sikkerhedsproblem så løs det frem for at smide mere lort på serveren. :P


peque
Antal: 954
Tilmeldt:
20-04-2005
User is offline
Hej Julemand. Det erreelt

Hej Julemand.
Det erreelt også de ting jeg har strammet op omkring - Jeg trænker mere om man kan sætte en proxy foran for at mindske dette problem.

Selve Wordpress er hosted site - som ejerne selv administrerer som så - Det vil de skal kunne uploade billeder osv.
Jeg har ændret alle standarder fra http til https - samt have en lille host foran - som rewriter til de konkrete hosts.

Ville aldrig at et plugin løser de problemer - men derfor er der nogle der hjælper.
Jeg var bare interesseret i om der findes en proxy server på Indgående net. dog vil jeg sige at min PFsense router kører både IDS/IPS så skulle mene jeg var rimeligt dækket ind - men derfor er det altid interessant hvad andre gør i disse situationer


julemand101
julemand101's picture
Antal: 1684
Tilmeldt:
17-01-2004
User is offline
#2 Hvad tænker du proxy

#2
Hvad tænker du proxy serveren rent teknisk skulle filtrere fra? Altså du bruger vel en simpel Firewall til at forhindre adgang til porte som fremmede ikke bør have adgang til. Og du har vel konfigureret din webserver således den ikke tillader at gøre noget du ikke mener den bør gøre.

Proxy serveren giver jo i udgangspunkt samme adgang til webserveren som hvis der ikke var en proxy. Så kan du konfigurere proxy serveren til at forhindre adgang til visse dele men det samme kunne du jo bare gøre direkte i webserveren.


peque
Antal: 954
Tilmeldt:
20-04-2005
User is offline
Jeg ser det bare således -

Jeg ser det bare således - Det er aldrig dumt at putte noget extra sikring ind - hvis det er muligt.

Jeg tænker en proxy ville kunne køre effiktiv IDS/IPS - men er ret sikker på PFsense laver dette ret OK også

Reelt set er jeg bare interesseret i den bedst mulige beskyttekse


OracleJMT
OracleJMT's picture
Antal: 519
Tilmeldt:
26-05-2013
User is offline
Kombinationen af, at fjerne

Kombinationen af, at fjerne attack surface, som Julemand også påpeger, slå det fra man ikke bruger, i kombination med, at holde alt så opdateret som muligt, er langt hen ad vejen mere end nok.

Man kan også vælte for meget sikkerhed sammen.


julemand101
julemand101's picture
Antal: 1684
Tilmeldt:
17-01-2004
User is offline
#4 "Det er aldrig dumt at

#4
"Det er aldrig dumt at putte noget extra sikring ind - hvis det er muligt"

Jo, hvis du ikke forstår dig på området. Der findes ikke nogen magiske bokse der løser et problem og hvis du ikke forstår dig på hvilke sikkerhedsproblemer du ønsker at skærme overfor hvordan ved du så at denne magiske boks løser problemet?

En Firewall løser fx ingen sikkerhedsrelateret problemer med mindre du konfigurerer den korrekt og for at kunne dette skal du have en klar viden om hvad for noget trafik du vil tillade at der kommer igennem.

Ligeledes vil en proxy server ikke hjælpe dig uden du klart kan definere hvad du vil ønsker skal gå igennem den og hvad du ikke ønsker. Og det er så her jeg påpeger at stort set alt konfiguration som du ville gøre i en Proxy kan du gøre direkte i din webserver og du vil derfor sandsynligvis helt kunne undgå at introducere endnu en mulig fejlkilde i dit system (ingen har lyst til at skulle fejlsøge om et problem kommer pga. proxy serveren eller webserveren).