Безопасность web сервисов.

1. борян петров (TODD22) 17 08.06.16 15:44 Сейчас в теме
Здравствуйте.

Сделал свой web сервис в 1С. web сервер у меня Апач. Опубликовал сервис. К нему через "белый" IP подключаются магазины. Но vpn между магазинами не поднят.
Как обезопасить web сервис? Какие варианты? У меня очень много "клиентов" подключающихся к серверу. Заходить и настраивать на клиентской машине каждому будет очень тяжело.
Можно что то сделать со стороны самого сервера?
Ответы
5. Максим Б (Xershi) 318 08.06.16 16:49 Сейчас в теме
(1) TODD22, а от чего вы вебсервис обезопасить хотите? Может речь идет о безопасности самого сервера?
6. борян петров (TODD22) 17 08.06.16 17:01 Сейчас в теме
(5) Xershi, Где то читал что http не надёжно и можно взломать. Нужно дополнительное делать https или между узлами поднимать vpn. Читал про это очень давно... Мало что помню... да и найти не реально.

Собственно у меня есть сервер и к нему подключаются магазины и делают запросы через web сервис. Мне нужно защитить это дело. Что бы мне какой нибудь прыщавый кулхацкер не поломал ничего... Секретного там ничего... я за надёжность в плане раз настроил и забыл. И так работы много не хватало потом ещё всякие инциденты разбирать...
В одной организации работал нам сервер ломали... но сделать ничего не успели. Кто то подключился и создал себе пользователя. Перезагрузил сервер... Админ пошёл проверять почему сервер перезагрузился... ну нашёл что кто то уже себе учётку завёл с админскими правами на сервере.
2. Антон Стеклов (asved.ru) 33 08.06.16 16:41 Сейчас в теме
3. борян петров (TODD22) 17 08.06.16 16:43 Сейчас в теме
(2) asved.ru,
Можно проверять клиентские сертификаты.

Так их нужно предварительно каждому клиенту сделать? Тогда мне проще vpn на удалённых машинах поставить.
7. Sergey Andreev (starik-2005) 1334 08.06.16 17:01 Сейчас в теме
(3) TODD22, ну начните с пароля пользователя веб-сервиса, чтобы не было admin/admin и прочего. Прикрутите SSL, чтобы не по http было соединение, а по https. Ну и от DDOS можете защитить как-то так: http://ergoz.ru/admin/linux-admin/blokirovanie-dns-ddos-pri-pomoshhi-paketa-fail2ban.html
8. борян петров (TODD22) 17 08.06.16 17:05 Сейчас в теме
(7) starik-2005,
ну начните с пароля пользователя веб-сервиса, чтобы не было admin/admin и прочего.

Пользователь сервиса это 1Сный пользователь. Я ему понятно сделаю сложный пароль и логин.
Прикрутите SSL, чтобы не по http было соединение, а по https.

Что бы мне его прикрутить мне нужно что то делать на клиентских компьютерах?
Ну и от DDOS можете защитить как-то так

Да у меня там секретного ничего что бы меня там кто то специально дидосил. Да и задидосят... буду предпринимать меры... Там не сильно кретично и простой в пару часов я думаю допустим. Да и мне кажется на уровне провайдера всё равно какая то минимальная защита то должна быть.
12. Sergey Andreev (starik-2005) 1334 08.06.16 21:31 Сейчас в теме
(8) TODD22, на клиентах порт 443-й для доступа к веб-сервису, но, возможно, это как-то само может разрулиться на сервере.
4. Антон Стеклов (asved.ru) 33 08.06.16 16:47 Сейчас в теме
А вы хотите, чтобы сервер телепатическим образом отличил доверенных клиентов от недоверенных? Обратитесь в Apache Community по вопросу поддержки mod_astral.
9. Роберт В е р т и н с к и й (v3rter) 08.06.16 17:49 Сейчас в теме
Если есть чем сделать фильтрацию по mac-адресам и диапазонам IP - сделайте.
10. борян петров (TODD22) 17 08.06.16 18:14 Сейчас в теме
(9) v3rter,
Если есть чем сделать фильтрацию по mac-адресам и диапазонам IP - сделайте.

На клиентах динамические IP, а что бы mac получить надо же будет подключится к этому ПК что бы узнать его адрес. Ну а раз подключатся тогда проще сразу vpn настраивать и уже не переживать что могут сломать....
11. Максим Б (Xershi) 318 08.06.16 19:51 Сейчас в теме
(10) TODD22, с точки зрения безопасности я считаю это лучше решение.
13. Антон Стеклов (asved.ru) 33 09.06.16 04:25 Сейчас в теме
SSL - это защита соединения, а не сервера. Защита от перехвата данных. Никакого отношения к "взлому сервера" не имеет.
14. борян петров (TODD22) 17 09.06.16 05:05 Сейчас в теме
(13) asved.ru,
SSL - это защита соединения, а не сервера. Защита от перехвата данных.Никакого отношения к "взлому сервера" не имеет.

А что например нельзя взломать сервер перехватив данные и найдя в них пароль?
15. Антон Стеклов (asved.ru) 33 09.06.16 14:02 Сейчас в теме
(14) TODD22, при грамотной настройке - получение учетных данных пользователя не даст злоумышленнику никаких возможностей, кроме возможностей этого пользователя. А под взломом сервера принято понимать как минимум стабильное выполнение на нем произвольного кода.
16. борян петров (TODD22) 17 09.06.16 14:42 Сейчас в теме
(15) asved.ru, Так и что мне можно сделать грамотного?
Можно сделать нестандартный порт, можно заносить в чёрный список ip шники при брутфорсе. Меня интересует момент передачи от 1Ски на сервер запроса. А то если человек получит пароль и логин то получит и доступ. Не то что бы он произвольный код будет выполнять. Но например напакостить может ведь....
17. Максим Б (Xershi) 318 09.06.16 15:08 Сейчас в теме
(14) TODD22, для начала их нужно расшифровать. Если ключ 128 бит, то это сложно.
18. борян петров (TODD22) 17 09.06.16 17:17 Сейчас в теме
(17) Xershi, Так вот вопрос оно там зашифровано или нет если я ничего не настраивал специально, а просто установил Апач и опубликовал сервис? Или нужно дополнительно что то настроить?
19. Максим Б (Xershi) 318 09.06.16 17:20 Сейчас в теме
(18) TODD22, проверку шифрования канала нужно смотреть на этапе подключения к нему. Изучать нужно, пока не в теме.
Оставьте свое сообщение