Elemente de securitate a serverilor Web. Lista de control.

1. Elemente de securitate
a serverilor Web
MIHAIL CROITOR, USM, 2018

2. Cuprins
Probleme de securitate posibile
Securitatea fizică
Securitatea sistemei de operare
Securitatea rețelei
Politici de securitate pentru utilizatori
Auditul de securitate
Lista de control pentru verificarea securității

3. Probleme de securitate posibile
Acces fizic liber către server
Modificare permanenta a configurației de rețea interna
Politici greșite a utilizatorilor serverului
Soft nelicențiat / greșeli în soft
◦ La nivel de SO
◦ În aplicații Web

4. Securitatea fizică
Pentru orice server acces fizic către el trebuie să fie stric limitat!

5. Securitatea sistemei de operare
Îmbunătățire sistemei de operare la timp
Criptarea sistemei de fișiere
Limitarea accesului către obiecte importante a serverului Web (fișiere .htaccess)

6. Securitatea rețelei
Criptarea traficului (SSL)
Închiderea proturilor neutilizate
◦ ufw – un firewall simplu, program de control a accesului din rețea.
◦ sudo ufw allow https
Deconectarea / modificarea «bannerelor» aplicațiilor
◦ Pentru Apache HTTP Server
◦ ServerTokens Prod
◦ Server Signature Off
◦ Pentru PHP
◦ expose_php=Off
Analiza și blocarea activităților suspecte
◦ fail2ban – un serviciu (daemon) care analizează registrele sistemei de operare și blochează încercări de
brutforce sau alte accesări nesancționate.

7. Politici de securitate pentru utilizatori
Limitarea numărului de utilizatori
◦ Număr mare de utilizatori aduce la scăderea controlului asupra sistem, ce este anume esențial dacă
utilizatori au drepturi speciale șau drepturi de administrator
Limitarea drepturilor de utilizatori
◦ Majoritatea utilizatorilor nu are necesitate în lucrul cu sistem de operare. Din acest motiv acești
utilizatori trebuie să fie limitați.
Pentru fiecare serviciu utilizator personal

8. Auditul de securitate
Una din cerințe de asigurare a securității sistemelor informaționale este auditul regulat de
securitate, adică verificare sistemului informațional la existența problemelor de securitate.
◦ netstat – o aplicație standard de monitorizare a conexiunilor de intrare și ieșire.
◦ nmap – scaner popular de rețea.
◦ Acunetix Web Vulnerability Scanner – aplicație comercială cu interfața Web pentru scanarea host-urilor
la existența problemelor de securitate.
◦ ZAProxy – aplicația cu codul sursă deschis pentru scanarea host-urilor la existența problemelor de
securitate.

9. Lista de control pentru verificarea
securității I
Securitatea fizică
Criptarea sistemei de fișiere
Îmbunătățirea sistemei de operare
Configurarea corectă a accesului din rețea
Criptarea traficului
Parolele complexe
Limitarea drepturilor utilizatorilor

10. Lista de control pentru verificarea
securității II
Izolarea rolurilor și serviciilor
Copia de rezervă
Politici de securitate a bazelor de date
Politici de securitate a serverului Web
Jurnalizare și monitorizare

11. Mulțumesc pentru
atenție!
ÎNTREBĂRI?