¿Qué medidas de seguridad se deben tomar al ejecutar un servidor web de Linux desde nuestra oficina?

11

Estoy interesado en ejecutar el servidor web de nuestra empresa desde nuestra oficina local. La oficina utiliza el uso compartido de archivos y dispositivos NAS entre otros protocolos de oficina comunes. Los peores escenarios posibles que he imaginado serían los que escuchan a escondidas los correos electrónicos de la empresa, hacen rastreos de paquetes, etc. Quiero tomar las precauciones necesarias que ayudarán a asegurar que sea más difícil para alguien con intenciones maliciosas. obtenga acceso a nuestra red interna a través del servidor web o escuche potencialmente el tráfico saliente si la IP dedicada de nuestra empresa es conocida. Estas son algunas de las cosas que estoy considerando:

  • Deshabilitar el acceso al puerto SSH / FTP desde fuera de nuestra red.
  • Cambio de puertos predeterminados (por ejemplo, cambio de puertos HTTP / HTTPS / SSH / FTP predeterminados)
  • Implementando reglas de firewall en el propio servidor web
  • Restringir el uso compartido y el acceso a la red interna en este servidor Linux para que sea más difícil comunicarse con otras computadoras en la red

¿Hay algo más que se destaque? ¿Algunas prácticas de seguridad comunes a las que debería adherirme? Gracias de antemano.

    
pregunta sparecycle 21.10.2015 - 17:47
fuente

3 respuestas

14

A menos que tenga una buena razón para hacerlo, es probable que descubra que esto no solo presenta riesgos potenciales para su sitio y la infraestructura de la oficina, sino que también brinda una experiencia perjudicial a los usuarios del sitio web.

Como mínimo, debe usar un firewall para enviar todo el tráfico a puertos inesperados (probablemente 80 y 443, dependiendo de si usa HTTPS o no), y asegurarse de que el sistema del servidor web esté aislado de otras computadoras y redes de oficina .

El cambio de los puertos HTTP y HTTPS predeterminados le causará muchos dolores de cabeza relacionados con los usuarios que tienen que especificar un puerto para conectarse a su sitio web, y proporciona una protección muy limitada para cualquier otro servicio (se tarda unos minutos en analizar todos los posibles) puertos en una dirección IP determinada: si alguien está mirando su servidor, encontrarán que SSH se estaba ejecutando en 2020 en lugar de 22).

También debe considerar cómo su red podría verse afectada por ataques de denegación de servicio, si está compartiendo la conexión a Internet con su servidor web. Si no tiene un aislamiento completo entre el servidor web y el resto de la red, es probable que un atacante determinado pueda pivotar desde su servidor web para atacar a otros sistemas, que probablemente no estén endurecido para el ataque de esta manera.

También sería importante mantener el servidor web actualizado con los últimos parches de seguridad, ya que el impacto de un ataque podría extenderse más allá de un solo servidor.

Por otra parte, si aloja su sitio a través de un proveedor de hospedaje administrado, tendrán un ancho de banda dedicado, los sistemas de firewall para minimizar las conexiones entre servidores, bien pueden instalar parches de seguridad a medida que se lanzan y, dependiendo del proveedor, puede manejar copias de seguridad básicas y procedimientos de caídas.

Hay muchas razones por las cuales las pequeñas y medianas empresas se autoalimentan, por lo que cualquier decisión de hacerlo solo debe tomarse si hay razones específicas que no puedan superarse de otra manera.

    
respondido por el Matthew 21.10.2015 - 18:21
fuente
5

Me sorprende que las otras respuestas no hayan abordado los conceptos de seguridad más básicos relacionados con sitios web y redes corporativas: DMZs

El concepto es que coloca su servidor web en su propio segmento de red lejos de la LAN corporativa. Esto se puede hacer a través de VLAN o por enrutamiento cableado. Estas conexiones entre la LAN de su oficina y la DMZ también deben estar desactivadas. El Firewall solo debe permitir puertos específicos NECESITADOS para comunicarse entre los sistemas. Esto no debería incluir que sea agradable tener cosas como poder SSH desde el servidor web.

El objetivo es pensar si tiene acceso al servidor web, ¿cómo podría llegar a la LAN de su oficina? Si puede pensar en formas que permitan el acceso a la oficina desde la DMZ, debe conectarlas mediante el firewall.

    
respondido por el pr- 21.10.2015 - 20:13
fuente
1

En general, sugeriría tener dispositivos por debajo para tener mejor seguridad 1. IPS 2. Protección antivirus. 3. Cortafuegos

IPS(IntrusuionPreventionSystem)paradetectartráficosospechosobasadoenfirmasdepatrones...

HayciertosproductosdecódigoabiertobasadosenLinuxdisponiblesenIPS/IDSquepuedeconsiderarcomoSuricata,Snort...Echeunvistazoaesteenlaceparacomprenderlomejor

enlace

Hay ciertos firewall de código abierto que también puede compilar como PFSense que permitirá / bloqueará los paquetes que entren / salgan de su red según las reglas configuradas. Hay muchas más características técnicas si toma firewall que puede utilizar para una mejor seguridad. ..

Si está buscando dispositivos de seguridad que valgan su costo, puede optar por los productos de seguridad Checkpoint o Palo-Alto UTM. Puede ir por modelos básicos en caso de una pequeña oficina.

La otra sugerencia sería utilizar el tráfico SSL (https en lugar de http) para proteger el tráfico por sesión. Use SFTP en lugar de FTP. Use SSH en lugar de Telnet. Use VPN para conectar su servidor de oficina desde su casa a través de Internet en lugar de exponer el servidor directamente a Internet en el puerto de escritorio remoto 3389 ...

    
respondido por el G K 21.10.2015 - 18:37
fuente

Lea otras preguntas en las etiquetas