Sicurezza del server delle applicazioni dedicata

Naviga le tue risposte
1

Vorrei esporre una macchina che esegue Windows Server 2012 su Internet. Ho in programma di eseguire una singola applicazione che utilizza una porta specifica (ad esempio 12345) e quindi utilizzare RDP tramite 3389 per accedere e gestirla. Vorrei usare il firewall per bloccare l'accesso a tutte queste porte tranne queste.

Supponendo che la singola applicazione sia sicura, vorrei sapere se ci sono aspetti della sicurezza che devo considerare e, in tal caso, quali sono.

Aggiornamento 9/26/16 Scusa se non ho risposto prima; uno dei miei filtri email ha contrassegnato la tua risposta come letto. Grazie per la risposta.

Ho intenzione di affittare un server, o un server virtuale, da qualcuno come 1 & 1; In base alla tua risposta suppongo che ne prenderei due in affitto e usarne uno come router. Forse tutti i loro server siedono dietro un router - dovrò chiedere.

Ho notato i tuoi suggerimenti puntati e tutti hanno senso. Guarderò i servizi CDN intelligenti.

Penso di aver capito la questione degli attacchi DDOS sulle porte aperte, ma non sono abbastanza chiaro su come la macchina sia vulnerabile se ho bloccato tutte le porte tranne l'applicazione e RDP. Potresti espanderti un po '?

    
posta Will 24.09.2016 - 04:01
fonte

1 risposta

2

Non consiglierei di collegare qualsiasi macchina direttamente a Internet se puoi aiutarla. Ci sono troppi vettori di attacco a cui ti stai esponendo, molti dei quali saranno sconosciuti.

In ogni caso, farlo sarebbe davvero insolito. In quasi tutti i casi, si connetterebbe il server tramite un router che avrebbe integrato almeno alcune protezioni di base. Cose comuni come i pacchetti non validi e la protezione dagli attacchi di tipo Denial of Service di base sono comuni. Lo userai anche per limitare le porte aperte in entrata e per inoltrare il traffico in arrivo verso l'indirizzo IP interno (NAT) corretto.

Inoltre, devi assicurarti che:

  • Il server e l'amp; il suo software è costantemente aggiornato. Idealmente, le patch dovrebbero essere trasferite da un server fidato più in profondità all'interno di una rete interna protetta.
  • Stai utilizzando la protezione anti-malware. Almeno Windows Defender.
  • Devi disattivare tutti i processi non necessari e disinstallare tutti i software e i servizi non necessari
  • Dovresti spostare la connessione RDP su una porta non standard. Puoi farlo sul router / firewall usando il port forwarding o sul server stesso.
  • È anche possibile configurare il server RDP per utilizzare TLS che fornirà una protezione aggiuntiva rispetto al traffico RDP standard.
  • Devi assicurarti che sul server non vi siano nomi utente predefiniti e che tutti gli ID utente abbiano codici di accesso molto potenti, specialmente gli utenti amministratori.
  • Dovresti utilizzare un'altra macchina, preferibilmente all'interno di una rete protetta, per prelevare i registri dal server e quei registri dovrebbero essere monitorati per attività insolite. Questo dovrebbe essere fatto automaticamente usando un sistema di monitoraggio.

Potresti anche voler pensare agli attacchi denial of service. Se l'applicazione che viene offerta è un servizio Web, è possibile utilizzare un servizio CDN intelligente come Cloudflare per fornire funzionalità di memorizzazione nella cache e protezione DDOS. In tal caso, puoi limitare le connessioni in entrata alla porta dell'app solo dal CDN.

Ovviamente, lo sforzo che dedichi a questo dipende in parte dal valore delle informazioni che il server sta gestendo. Ma hai anche una certa responsabilità verso il resto di Internet per assicurarti che il tuo server non finisca come parte di una botnet.

    
risposta data 24.09.2016 - 12:45
fonte

Leggi altre domande sui tag

Bypassare la GFW con IPv6 e trasmettere tutto il traffico IPv4 Verifica TLS tra client e server