Di seguito alcune considerazioni per rendere un po' più sicuro il proprio server in rete.
Non essere banali!
Cercare di rendere le cose il meno ovvie possibili.
Mi spiego meglio con un esempio: il servizio SSH di norma resta in ascolto alla porta 22. Un attaccante avrebbe vita semplice nel caso volesse tentare un'intrusione: troverebbe subito il servizio SSH.
Per rendere la cosa meno banale si "nasconde" mettendo ad es. il servizio su un'altra porta "meno standard" ad es. la 12345. In questo modo l'attaccante dovrà faticare un po' di più: se non trova il servizio alla 22 potrebbe pensare che non c'è e lasciare perdere, oppure ancora se vuole insistere deve cercarselo.
Per esperienza personale, dopo aver spostato SSH su un'altra porta non ho più avuto tentativi di intrusione (tutti provano alla 22 e se non trovano il servizio non continuano).
Proteggersi da attacchi di forza bruta! - Fail2Ban
Cos'è un'attacco di bruteforce: in sostanza è un modo per scoprire nome utente e password per tentativi.
Ad esempio se è attivo un servizio ftp, l'attaccante proverà diverse combinazioni di nome utente / password fino a quando non riuscirà ad ottenere l'accesso.
Se la password utilizzata è semplice e se non si è usato nessun accorgimento di sicuro prima o poi si andrà incontro a qualche problema.
Ovviamente la prima regola è quella di utilizzare password difficili che siano lunghe e contengano lettere, numeri e caratteri speciali in modo da rendere sufficientemente alto il numero di combinazioni possibili e quindi più difficile il lavoro dell'attaccante.
Si possono poi adottare altre soluzioni:
- bloccare l'accesso a un IP dopo un numero n di tentativi di accesso falliti, utilizzando Fail2Ban
- Limitare l'accesso a solo un ristretto gruppo di indirizzi IP (se possibile)
- Limitare l'accesso a solo pochi utenti autorizzati (se possibile)
Sicurezza passiva - Snort
A volte può essere utile cercare di capire come i nostri server vengono attaccati.
Uno strumento utile per questo scopo è l' Intrusion Detection System (IDS), che funziona come una sorta di allarme che si attiva ogni volta che viene identificato un tentativo di intrusione.
Un IDS non ci protegge in alcun modo ma si limita solo a segnalare le varie anomalie che si verificano durante il periodo di attività del server al fine di darci quelle informazioni necessarie per poter intervenire di conseguenza.
Un IDS sicuramente tra i più usati è Snort.
TO BE CONTINUED ...
0 commenti:
Posta un commento