Лучшие способы защиты VPS/VDS на Windows Server
13:57, 18.10.2021
Небрежность в отношении защиты важных корпоративных данных может обернуться настоящей катастрофой для арендатора VPS-сервера. Злоумышленник, сумевший пробиться сквозь настроенные методы защиты, может внедрить в структуру сайта посторонние скрипты, мешающие нормальной работе инфраструктуры, а может и вовсе похитить данные, хранящиеся на сервере, чтобы затем их перепродать или использовать другим недобросовестным образом.
В этой статье мы расскажем:
- По каким признакам можно определить сторонние подключения.
- Как защитить сервер от сторонних лиц.
- Что следует предпринять для защиты SSH-ключей.
Постараемся комплексно рассмотреть каждый из этих вопросов.
Как определить, что сервер взломан
Есть ряд признаков, указывающих на присутствие сторонних подключений:
- рассылка спама с VPS;
- наличие аномальной сетевой активности;
- перебои в работе виртуального или выделенного сервера, невзирая на то, что физически оборудование находится в полностью рабочем состоянии;
- скачкообразное повышение суточного трафика без каких-то адекватных на то предпосылок;
- наличие редиректов на сторонние веб-ресурсы;
- искажение внешнего вида сайта, появление сторонних баннеров, рекламы либо даже целых отдельных страниц – контент на таких страницах зачастую не имеет ничего общего с тематикой вашего сайта;
- нестабильная работа виртуального сервера;
- ограничение прав доступа сетевого администратора – случается редко, но создает массу проблем специалисту по обслуживанию выделенного сервера.
Чаще всего аномальная активность отслеживание на уровне входящего и исходящего трафика – если виртуальный или выделенный сервер обменивается пакетами данных с какими-то странными ресурсами тогда, когда не должен – это верный признак взлома. Как правило, основной причиной взлома становятся уязвимости в программном обеспечении сервера или в коде сайта. Сюда же можно отнести неправильную настройку прав доступа, использование ненадежных паролей, некорректную конфигурацию установленного ПО и т.д.
Как защитить сервер от сторонних лиц
Рассмотрим все наиболее действенные и простые способы для защиты VPS и VDS-серверов:
- Активация брандмауэра. Для этого следует открыть консоль управления групповой политикой, щелкнуть на пункт «Свойства брандмауэра Защитника Windows» в разделе «Обзор» и активировать поочередно все ключевые функции брандмауэра.
- Применение SSH-протокола. Очень актуально при использовании VPS и VDS, так как доступ к серверам осуществляется удаленно. Протокол SSH гарантирует повышенную защиту соединения с узлом.
- Внедрение IDS. Механизмы обнаружения вторжения помогут своевременно выявить взлом, определят характер атаки (внутренняя или внешняя), а также сформируют отчет об угрозах, чтобы администратор мог предпринять правильные действия. Для Windows Server актуальны следующие IDS: SolarWinds Security, RkHunter, Tripwire, Bro и т.д.
- Защита с помощью межсетевых экранов. Это один из самых доступных способов для защиты VPS-сервера – межсетевой экран выполняет функцию своеобразного барьера, фильтрующего весь входящий трафик на основании установленных настроек. Крайне эффективный метод для Linux, но в случае с Windows Server не столь актуален, так как ОС от Microsoft и так имеет свой встроенный брандмауэр.
- Настроить двухфакторную аутентификацию на сервере Network Policy Server. Сперва потребуется установить приложение на смартфон, а затем его же поставить на VDS-сервер, после чего запустить и настроить двухфакторную аутентификацию с одноразовым кодом доступа или по PUSH-уведомлению. Способ хорош тем, что во время подключения код для входа по ключу запрашиваться не будет, но при попытке войти по паролю обязательно потребуется секретный код, доступ к которому злоумышленники просто так получить не смогут. Метод применим для Windows Server 2012 R2, 2016 и 2019, а саму аутентификацию можно проходить через SMS, Telegram, с помощью мобильного приложения MultiFactor и Google Authenticator.
Отдельно поговорим о наиболее эффективном способе – защите с помощью протокола SSH.
Защита SSH-ключей
SSH – аббревиатура, которая расшифровывается как Secure Shell. Это крайне популярный сетевой протокол прикладного уровня, который предоставляет защищенные шифрованные соединения для самых разных целей, начиная с аутентификации и заканчивая выполнением удаленных команд на сервере без прохождения ручной авторизации. По сути, SSH является более совершенным и продвинутым аналогом Telnet, FTP, RSH и других подобных протоколов.
В отличие от устаревших протоколов, SSH не передает информацию открытым текстом, поэтому устраняется самая главная уязвимость категории «человек посередине». Взломщик, получивший доступ к промежуточной подсети, имеет возможность перехвата пакетов данных сервера, чтобы их сохранить и уже затем отослать адресату. Еще хуже – может сделать перезапись пакетов с заменой ls -la mydir на rm -r mydir, или вовсе отправить адресату вместо оригинального файла зараженный каким-нибудь трояном. В общем, различных уловок и сценариев развития событий может быть множество.
SSH проверяет подлинность хоста путем верификации, поэтому при задействовании этого протокола нет никаких лазеек для чтения пакетов данных или каких-либо других манипуляций с ними. Если соединение проходит, значит, оно полностью безопасное от начала и до конца.
Чтобы обеспечить полную безопасность VDS или VPS-сервера, ключи SSH необходимо защитить. Сделать это можно следующими способами:
- Настроить двухфакторную аутентификацию – в этом случае для взлома злоумышленнику недостаточно будет узнать пароль, ему также потребуется доступ к приложению на смартфоне, которое генерирует коды, а это в реальности сложно осуществимо.
- Настроить устаревание паролей, чтобы они менялись по прошествии определенного количества времени.
- Отключить вход по паролю вовсе и настроить вход в систему только по ключам авторизации. Такие ключи состоят из двух частей – открытой и закрытой. Первая хранится на сервере, а вторая – на компьютере пользователя. То есть опять же, для взлома потребуется физический доступ к компьютеру администратора.
- Смена порта SSH. Базовая процедура, обеспечивающая защиту сетевой инфраструктуры. По умолчанию используется порт SSH 22, и любой опытный злоумышленник начнет попытки взлома именно с него. Вы, в свою очередь, можете изменить номер порта, который используется для доступа к Secure Shell, тем самым усложнив жизнь тем ребятам, которые пытаются нечестным путем пробраться к вам в систему. Просто и в то же время весьма эффективно. Сменить номер порта можно в файле конфигурации /etc/ssh/sshd_config – здесь всего-то нужно указать другой порт вместо 22 и сохранить изменения.
В принципе, этих четырех способов более чем достаточно для обеспечения безопасности SSH-ключей и, как следствие, пресечь любые VPS-атаки на вашу сетевую инфраструктуру. Пользуйтесь!