對於網管的新手 作業系統的建議 - 資安

我遇到的攻擊面積來說都是by協定及ap…Orz…系統關聯小

感謝

這樣講好了 目前這台server一直持續遭受到攻擊...

Hacked By 03storic Infected Security Team

上面這個團隊 大概兩三天來一趟 我這個新手很無奈...

server遭受攻擊很正常阿..Orz
會不會被攻擊跟使用的作業系統沒關係吧

看上面跑的service有什麼吧 ? 2003有更新到最新patch嗎?

內部：2003 外部：Cent OS

如是跑www真的不建議win的東西...太容易被當箭靶了 XD

ap 問題大...

架構要設計DMZ跟Reverse Proxy當作Web的前端

這樣後端不管是跑 IIS 或者 Apache 都OK了

http://0rz.tw/MQFXO 這是我的實作 當然只是稍微隨手寫

http://0rz.tw/M2lGo 之前隨手畫的架構圖

這種被攻擊通常跟你跑IIS還是Apache都沒關係
問題十之八九都在你寫的網頁程式本身

當然也不是去調防火牆或作NAT就可以解決的

同意luciferii的說法。

你的首先步驟應該是先判斷攻擊手法
找出真正被打的原因，再來想對策。

一般來說 Reverse Proxy 可以阻斷不少的攻擊

事實上跟OS的平台或者NAT無關 有關的是你的服務建置架構
而我那篇文章並不是強調NAT的功能 而是講求Reverse Proxy

只是順道提了一下NAT的部分而已~~~
Reverse Proxy是可以提供外部與內部web之間的橋樑
而web server不提供外部 而是透過Reverse Proxy來提供

就算被攻擊 也只是Reverse Proxy垮台 並不影響Web Service
而可以在Reverse Proxy當中下達ACL以及Filter部分

像IIS的就可以透過Reverse Proxy中的設定 阻擋code red

當外部使用者要求Reverse Proxy下達Code Red的字串
而Reverse Proxy可以從中阻斷這些有害的字串
如此在內部多台的web server當中~ 只要在Reverse Proxy

當中設定就好 不用在整個Web Server Group來一台台設定

樓上觀念錯誤，AP的問題簡單講就是直接打到裝AP程式的平
台本身或者是DB主機本身，跟有沒有過Reverse proxy無關

問題不在Web Server本身的安全性

不是觀念的問題 而是簡單來說 架構上的問題而已

網頁程式當然有舉足親重的部分 這點不可否認

應該可以發現架構以及Reverse Proxy可以增強原有的安全性
若你設定三層DMZ~ 這樣的架構下 會安全不少就是了
當然網頁程式碼是很重要的 只不過系統安全這部分

或者是service套件的安全性上頭 在於架構上防護會比較簡單
除非你有能力重新編譯與撰寫整個IIS 那麼IIS的安全性
應該就會加強不少了... 只可惜若真的會這樣做的人 不多
真的這麼強 應該就可以去微軟工作了說 呵呵

我的觀念是針對服務這個部分 當然有鎖就有門 無庸置疑的

若有門不鎖 那就別講安全性了

這樣講好了 你網頁程式碼再怎麼安全 而服務這部分不安全
也是沒用的~~~ 而服務安全 架構不安全 也是沒用的

畢竟系統是一個基礎 作業系統的安全性也很重要的
我想我們都偏離主題太多了 呵呵 安全這個議題很大就是了
安全的議題 可以從 點 、 線 、 面 一直延展探討的部分

我覺得觀念錯誤與否 不要直接批評 而是要廣泛討論就是了

你設定三層DMZ...你的會先把網管搞死...

還在攻擊 IIS 那個是2001年的事了...

我就沒被搞死啊~~~ PS: 我就是網管 XDDD

我只是舉例IIS的案例而已 那只是冰山一角就是了
就好比機房門禁 沒做好 一樣也會被弄
所謂的最強的駭客 其實強項在於 社交工程

而不是所謂的這些技術層面的部分

記得一句話 No system is safe....

兩個都不錯呀，一個要花錢好設定，一個免錢但觀念要正確

windows's ISA Server V.S Apache's Mod_security