Безопасность web сервисов.

Форум Администрирование Сервер, сеть, оборудование (Hardware)

1. TODD22 18 08.06.16 15:44 Сейчас в теме

Здравствуйте.

Сделал свой web сервис в 1С. web сервер у меня Апач. Опубликовал сервис. К нему через "белый" IP подключаются магазины. Но vpn между магазинами не поднят.
Как обезопасить web сервис? Какие варианты? У меня очень много "клиентов" подключающихся к серверу. Заходить и настраивать на клиентской машине каждому будет очень тяжело.
Можно что то сделать со стороны самого сервера?

По теме из базы знаний

Ответы

Подписаться на ответы Инфостарт бот

Свернуть все

5. Xershi 1484 08.06.16 16:49 Сейчас в теме

(1) TODD22, а от чего вы вебсервис обезопасить хотите? Может речь идет о безопасности самого сервера?

6. TODD22 18 08.06.16 17:01 Сейчас в теме

(5) Xershi, Где то читал что http не надёжно и можно взломать. Нужно дополнительное делать https или между узлами поднимать vpn. Читал про это очень давно... Мало что помню... да и найти не реально.

Собственно у меня есть сервер и к нему подключаются магазины и делают запросы через web сервис. Мне нужно защитить это дело. Что бы мне какой нибудь прыщавый кулхацкер не поломал ничего... Секретного там ничего... я за надёжность в плане раз настроил и забыл. И так работы много не хватало потом ещё всякие инциденты разбирать...
В одной организации работал нам сервер ломали... но сделать ничего не успели. Кто то подключился и создал себе пользователя. Перезагрузил сервер... Админ пошёл проверять почему сервер перезагрузился... ну нашёл что кто то уже себе учётку завёл с админскими правами на сервере.

2. asved.ru 36 08.06.16 16:41 Сейчас в теме

Можно проверять клиентские сертификаты. https://httpd.apache.org/docs/2.4/ssl/ssl_howto.html#allclients

3. TODD22 18 08.06.16 16:43 Сейчас в теме

(2) asved.ru,

Можно проверять клиентские сертификаты.

Так их нужно предварительно каждому клиенту сделать? Тогда мне проще vpn на удалённых машинах поставить.

7. starik-2005 3036 08.06.16 17:01 Сейчас в теме

(3) TODD22, ну начните с пароля пользователя веб-сервиса, чтобы не было admin/admin и прочего. Прикрутите SSL, чтобы не по http было соединение, а по https. Ну и от DDOS можете защитить как-то так: http://ergoz.ru/admin/linux-admin/blokirovanie-dns-ddos-pri-pomoshhi-paketa-fail2ban.html

8. TODD22 18 08.06.16 17:05 Сейчас в теме

(7) starik-2005,

ну начните с пароля пользователя веб-сервиса, чтобы не было admin/admin и прочего.

Пользователь сервиса это 1Сный пользователь. Я ему понятно сделаю сложный пароль и логин.

Прикрутите SSL, чтобы не по http было соединение, а по https.

Что бы мне его прикрутить мне нужно что то делать на клиентских компьютерах?

Ну и от DDOS можете защитить как-то так

Да у меня там секретного ничего что бы меня там кто то специально дидосил. Да и задидосят... буду предпринимать меры... Там не сильно кретично и простой в пару часов я думаю допустим. Да и мне кажется на уровне провайдера всё равно какая то минимальная защита то должна быть.

12. starik-2005 3036 08.06.16 21:31 Сейчас в теме

(8) TODD22, на клиентах порт 443-й для доступа к веб-сервису, но, возможно, это как-то само может разрулиться на сервере.

4. asved.ru 36 08.06.16 16:47 Сейчас в теме

А вы хотите, чтобы сервер телепатическим образом отличил доверенных клиентов от недоверенных? Обратитесь в Apache Community по вопросу поддержки mod_astral.

9. v3rter 08.06.16 17:49 Сейчас в теме

Если есть чем сделать фильтрацию по mac-адресам и диапазонам IP - сделайте.

10. TODD22 18 08.06.16 18:14 Сейчас в теме

(9) v3rter,

Если есть чем сделать фильтрацию по mac-адресам и диапазонам IP - сделайте.

На клиентах динамические IP, а что бы mac получить надо же будет подключится к этому ПК что бы узнать его адрес. Ну а раз подключатся тогда проще сразу vpn настраивать и уже не переживать что могут сломать....

11. Xershi 1484 08.06.16 19:51 Сейчас в теме

(10) TODD22, с точки зрения безопасности я считаю это лучше решение.

13. asved.ru 36 09.06.16 04:25 Сейчас в теме

SSL - это защита соединения, а не сервера. Защита от перехвата данных. Никакого отношения к "взлому сервера" не имеет.

14. TODD22 18 09.06.16 05:05 Сейчас в теме

(13) asved.ru,

SSL - это защита соединения, а не сервера. Защита от перехвата данных.Никакого отношения к "взлому сервера" не имеет.

А что например нельзя взломать сервер перехватив данные и найдя в них пароль?

15. asved.ru 36 09.06.16 14:02 Сейчас в теме

(14) TODD22, при грамотной настройке - получение учетных данных пользователя не даст злоумышленнику никаких возможностей, кроме возможностей этого пользователя. А под взломом сервера принято понимать как минимум стабильное выполнение на нем произвольного кода.

16. TODD22 18 09.06.16 14:42 Сейчас в теме

(15) asved.ru, Так и что мне можно сделать грамотного?
Можно сделать нестандартный порт, можно заносить в чёрный список ip шники при брутфорсе. Меня интересует момент передачи от 1Ски на сервер запроса. А то если человек получит пароль и логин то получит и доступ. Не то что бы он произвольный код будет выполнять. Но например напакостить может ведь....

17. Xershi 1484 09.06.16 15:08 Сейчас в теме

(14) TODD22, для начала их нужно расшифровать. Если ключ 128 бит, то это сложно.

18. TODD22 18 09.06.16 17:17 Сейчас в теме

(17) Xershi, Так вот вопрос оно там зашифровано или нет если я ничего не настраивал специально, а просто установил Апач и опубликовал сервис? Или нужно дополнительно что то настроить?

19. Xershi 1484 09.06.16 17:20 Сейчас в теме

(18) TODD22, проверку шифрования канала нужно смотреть на этапе подключения к нему. Изучать нужно, пока не в теме.

Внимание! Тема сдана в архив