راهکارهای افزایش امنیت سرور ؛ 16 نکته کلیدی

کسب‌وکارها همواره با تهدیدات بسیاری روبرو هستند و هر چه تعداد کاربران، دستگاه‌ها و برنامه‌هایمان بیشتر باشد، این تهدیدها بیشتر است و باید به امنیت سرور توجه بیشتری داشته باشیم. هر سازمان ارائه دهنده سرویس به مشتریان و کارمندانش، باید بتواند از شبکه‌اش حفاظت کند. امنیت سرور و شبکه به شما در حفاظت از اطلاعات در برابر حملات کمک می‌کند و نگهبان شهرت شماست.

با فالنیک همراه باشید.در این مقاله فالنیک 16 راهکار عملی را به صورت مفصل و موردی بررسی می‌کنیم تا باید بررسی آنها بتوانید خطراتی که سرور و شبکه شما را تهدید می‌کند به حداقل برسانید. برای پشتیبانی شبکه به صورت شبانه روزی نیز می‌توانید با کارشناس‌های فالنیک در ارتباط باشید.

16 راهکار کاربردی برای افزایش امنیت سرور

هکرها همیشه سرورهایی را هدف قرار می‌دهند که آسیب‌پذیرترند. پس اگر ادمین هستید و مسئولیت تامین امنیت سرور و اطلاعات آنها را بر عهده دارید، باید خطرات و ریسک‌ها را کاهش دهید. برای بالا بردن امنیت سرور رعایت نکاتی مانند امنیت اتصالات سرور، مدیریت کاربران سرور، امنیت پسورد سرور و … بسیار مهم است. در ادامه 16 راهکار کاربردی برای افزایش امنیت سرور را معرفی می‌کنیم.

راهکارهای امنیت اتصالات برای بالا بردن امنیت سرور

ابتدا در زمینه امنیت اتصالات سرور نکات زیر را در نظر بگیرید:

1- ایجاد و استفاده از اتصال امن

وقتی به سرور ریموت وصل می‌شوید، باید کانال امنی برای اتصال ایجاد کنید. بهترین راه برای ایجاد اتصال محافظت شده، استفاده از پروتکل SSH یا Secure Shell است. برخلاف Telnet، در SSH تمام دیتای منتقل شده، رمزگذاری می‌شود. برای استفاده از پروتکل SSH شما باید SSH Daemon را نصب کنید و کلاینت SSH را داشته باشید تا بتوانید دستورات را استفاده و سرورها را مدیریت کنید. SSH به صورت پیش فرض از پورت 22 استفاده می‌کند. همه و از جمله هکرها این را می‌دانند پس تغییر شماره پورت، راه آسانی است تا شانس هکر را برای حمله به سرورتان کم کنید. می‌توانید برای SSH از شماره پورت‌های 1024 تا 32767 استفاده کنید.

2- برای احراز هویت از SSH Keys استفاده کنید.

به جای پسورد می‌توانید سرور SSH را با استفاده از یک جفت SSH Key احراز هویت کنید. این کار بهترین جایگزین لاگین‌های سنتی است. تعداد بیت‌های Keyها از پسورد بیشتر است و به راحتی کرک نمی‌شوند. رمزگذاری متداول RSA 2048-bit برابر است با پسورد 617 رقمی.

یک جفت Key شامل public key و private key است.

public key چند کپی دارد که یکی از آنها روی سرور می‌ماند و بقیه با کاربران به اشتراک گذاشته می‌شود. هر کسی که public key دارد، قدرت رمزگذاری دیتا را نیز دارد و فقط کاربر متناظر با private key می‌تواند دیتا را بخواند. private key با کسی به اشتراک گذاشته نمی‌شود و باید نزد کاربر به صورت امن نگه داشته شود. هنگام برقراری اتصال، سرور قبل از دادن دسترسی، private key کاربر را بررسی می‌کند. بدین ترتیب بدون پسورد لاگین می‌شوید.

اگر می‌خواهید با لایه‌های امنیت شبکه و انواع تهدیدات آن آشنا شوید، مطالعه مقاله چک لیست تامین امنیت شبکه را از دست ندهید.

3- انتقال فایل را با پروتکل امن FTPS انجام دهید.

برای اینکه از خطر هکرها و دزدی اطلاعاتتان در امان باشید برای انتقال فایل از/به سرور از پروتکل FTPS یا File Transfer Protocol Secure استفاده کنید. این پروتکل فایل‌های اطلاعاتی و اطلاعات احراز هویت را رمزگذاری می‌کند.

FTPS هم از command channel و هم از data channel استفاده می‌کند و کاربر از هر دو می‌تواند استفاده کند. توجه داشته باشید که از فایل‌ها فقط هنگام انتقال، محافظت می‌شود و به محض اینکه به سرور برسند، دیگر رمزگذاری شده نیستند. به همین دلیل قبل از ارسال فایل‌ها، لایه امنیتی دیگری اضافه کنید.

4- از SSL Certificate استفاده کنید.

برای بالا بردن امنیت در سرورهای وب از SSL یا Secure Socket Layer استفاده کنید. این پروتکل از اطلاعاتی که با اینترنت بین سیستم‌ها جابجا می‌شود، محافظت می‌کند. این پروتکل دیتاهایی مانند نام‌ها، ID ها، شماره کارت‌ها و دیگر اطلاعات شخصی را به هم ریخته می‌کند؛ در نتیجه هنگام انتقال، قابل دزدیده شدن نیستند. وب سایت‎‌هایی که دارای SSL Certificate هستند، در URL آنها HTTPS وجود دارد که نشان‌دهنده امن بودن آنهاست.

certificate به غیر از رمزگذاری دیتا، برای احراز هویت کاربر هم استفاده می‌شود. با مدیریت certificate در سرورهایتان می‌توانید احراز هویت کاربر را ایجاد کنید. ادمین‌ها می‌توانند سرورها را برای ارتباط با احراز هویت متمرکز و هر certificate دیگری پیکربندی کنند.

5- استفاده از شبکه های خصوصی

یکی دیگر از راه‌های تامین ارتباطات امن استفاده از شبکه‌های خصوصی و شبکه‌های خصوصی مجازی – virtual private networks است. در این شبکه‌ها برخلاف شبکه‌های باز، فقط در داخل شبکه خصوصی می‌توانید ارتباط برقرار کنید. شبکه‌های باز در برابر حمله هکرها آسیب‌پذیرترند. اما شبکه‌های خصوصی و شبکه‌های خصوصی مجازی به کاربران خاصی، دسترسی می‌دهد و در دسترسی‌ها محدودیت ایجاد می‌کند.

شبکه‌های خصوصی از آی پی خصوصی استفاده می‌کنند تا کانال‌های ارتباطی ایزوله بین سرورها با همان رِنج ایجاد کنند. در نتیجه چند سرور با یک اکانت، اطلاعات و دیتا را بدون اینکه در معرض فضای عمومی قرار گیرند، جابجا می‌کنند. با استفاده از virtual private networks وقتی قصد اتصال به سرور ریموت را دارید مثل این است که به صورت لوکال این کار را می‌کنید.

راهکارهای مدیریت کاربران برای بالا بردن امنیت سرور

در ادامه نکات مربوط به مدیریت کاربران سرور را برمی‌شماریم:

6- نظارت بر لاگین‌های کاربر

با استفاده از نرم افزارهای جلوگیری از دسترسی غیرمجاز، بر تلاش‌های کاربر برای لاگین نظارت کنید. این کار به عنوان راهکاری برای بالا بردن امنیت سرور در برابر حمله Brute Force است. تئوری اصلی در این حمله این است که وقتی تعداد خاصی تلاش برای حدس زدن پسورد انجام گیرد، در نهایت دسترسی کاربر قطع می‌شود.

نرم افزارهای Intrusion prevention تمام فایل‌های لاگ را بازبینی می‌کنند و تلاش‌های مشکوک برای لاگین را تشخیص می‌دهند. اگر تعداد تلاش‌ها از تعداد عادی فراتر رود، نرم افزار، آی پی آدرس را برای مدت کوتاه یا برای همیشه بلاک می‌کند.

7- مدیریت کاربران

هر سرور یک کاربر روت دارد که می‌تواند هر دستوری را اجرا کند. پس مراقب باشید این قدرت به دست فرد غیرمجاز نیفتد. پیشنهاد می‌شود لاگین به روت را در SSH غیرفعال کنید.

کاربر روت به عنوان قدرتمندترین کاربر همواره مورد توجه هکرها است و شما با غیرفعال کردن این کاربر، هکر را با درهای بسته مواجه می‌کنید در نتیجه سرورتان در برابر حملات در امان است.

برای اینکه مطمئن شوید که کاربر روت مورد سو استفاده نیست، بهتر است اکانت کاربری محدودی ایجاد کنید که تمام قدرت روت را نداشته باشد اما بتوانید اغلب کارهای ادمینی را با آن انجام دهید و فقط در مواقع ضروری از کاربر روت استفاده کنید.

روش های تقویت پسورد برای بالا بردن امنیت سرور

در ادامه به نکات امنیت پسورد سرور می‌پردازیم:

8- انتخاب پسورد، پسورد سرور باید چگونه باشد؟

نکات مهم در انتخاب پسورد سرور عبارتند از:

1. از پسورد پیش‌فرض و پسورد خالی استفاده نکنید.
2. پسورد حتما باید دارای پیچیدگی و طول مناسبی باشد.
3. از پالیسی یا سیاست Lockout استفاده کنید.
4. پسوردها را با استفاده از رمزگذاری قابل بازگشت – reversible encryption ذخیره نکنید.
5. پسورد ها را روی کاغذ ننویسید.
6. احراز هویت دو مرحله‌ای تعیین کنید.
7. برای نشست‌های غیرفعال، زمان تایم اوت مشخص کنید.
8. واضح است که اطلاعات شخصی مثل تاریخ تولد، شهر و هر چیزی که شما را به کاربر مربوط کند را نباید برای پسورد در نظر بگیرید. چون حدس آن مخصوصا برای کسانی که شما را می‌شناسند، راحت است.
9. از سری کاراکترهای تکراری استفاده نکنید.
10. از کلمات معنی دار (کلماتی که در دیکشنری هست) استفاده نکنید.
11. از یک پسورد برای چند اکانت استفاده نکنید. اگر یک اکانت هک شود احتمال هک شدن باقی اکانت‌ها هم بالا است.
12. برای پیگیری پسوردها از برنامه مدیریت پسورد مانند KeePass استفاده کنید.
13. تاریخ انقضا برای پسورد تنظیم کنید. بسته به سطح امنیتی لازم، باید چند هفته یا چند ماه تعیین کنید.

9- استفاده از Passphrases برای پسورد سرور

برای افزایش امنیت سرور بهتر است پسوردهای عبارتی به جای کلمه‌ای استفاده کنید. عبارت ورود طولانی‌تر است و بین کلمات آن جای خالی قرار دارد یعنی در واقع جمله است. مثلا Ilove!ToEatPizzaAt24425GolhaSt. این عبارت ورود شامل حروف بزرگ و کوچک و عدد و کاراکترهای خاص است و البته بلندتر از پسورد. همچنین به خاطر سپردن عبارت ورود راحت‌تر است از یک سری حروف بی‌ربط که در کنار هم قرار دارند. از طرفی چون عبارت ورود دارای 49 کاراکتر است، هک کردن آن بسیار سخت‌تر است.

نکات تکمیلی تامین و بالا بردن امنیت سرور

در ادامه نکات تکمیلی در تامین و بالا بردن امنیت سرور ارائه می‌دهیم.

10- داشتن برنامه منظم آپدیت و آپگرید سرور

نرم افزارهای سرور را مرتب آپدیت کنید. این کار مرحله مهمی در تامین امنیت سرور در برابر هک است. اگر آپدیت نکنید، نقاط ضعفی که در نرم افزارهایی که آپدیت نشده‌اند، وجود دارد و کشف شده، شانس هکرها را برای استفاده از آنها بالا می‌برد. با آپدیت نکردن، راه هکر را برای صدمه زدن به سیستم تان باز می‌گذارید. اگر همه چیز را به روز رسانی کنید اولین خط دفاعی را ایجاد کرده‌اید.

آپدیت خودکار راهی تضمینی است تا آپدیت را فراموش نکنیم. البته اعمال تغییرات توسط خود سیستم می‌تواند خطرناک هم باشد. بهتر است محیط تستی فراهم کنید تا چگونگی اجرای آپدیت را بررسی، سپس روی کل سیستم اعمال کنید.

به طور مرتب کنترل پنل سرور، سیستم‌های مدیریت محتوا و پلاگین‌های آن را آپدیت کنید. هر وصله امنیتی جدیدی که عرضه می‌شود را استفاده کنید تا مشکلات امنیتی موجود را برطرف کند. اگر می‌خواهید با روش‌های نگهداری و مانیتورینگ سرور آشنا شوید، مطالعه مقاله چک لیست نگهداری سرور را در برنامه داشته باشید.

11- تمام سرویس‌های غیرضروری را غیرفعال یا خاموش کنید.

با غیرفعال کردن تمام سرویس‌های غیر ضروری، زمینه حمله so-called را کاهش می‌دهید. این اصطلاح امنیت سایبری یعنی نصب و نگهداری حداقل ملزومات اجرای سرویس. توصیه می‌شود که فقط پورت‌های شبکه که سیستم عامل و اجزای نصب شده استفاده می‌کنند را فعال کنید. هرچه پورت فعال سیستم، کمتر باشد بهتر است.

در مبحث امنیت سرور ویندوز به این نکته توجه کنید که سرور ویندوز فقط باید اجزای مورد نیاز را داشته باشد. بالا بردن امنیت ویندوز سرور هم از جمله نکاتی است که باید به آن توجه ویژه کنید و در مقاله “چک لیست امنیتی ویندوز سرور چیست؟” می‌توانید درباره آن بخوانید.

در مبحث امنیت سرور‌های لینوکس باید دقت کنید که سرور لینوکس باید حداقل نصب‌ها را به همراه بسته‌های واقعا ضروری داشته باشد. اغلب لینوکس کارها از اتصالات وروردی روی اینترنت استفاده می‌کنند. پس باید فایروال را کانفیگ کنید تا فقط روی پورت‌های خاصی اتصال برقرار شود و دیگر اتصالات غیرضروری حذف شود.

هنگام نصب نرم افزارها توجه کنید که فقط موارد موردنیازتان را در نظر بگیرید همچنین auto-started را روی سیستم‌تان بررسی کنید که آیا می‌خواهید باشد یا نه.

12- اطلاعات سرور را Hide کنید.

تا حد امکان اطلاعات مربوط به زیرساخت را به حداقل برسانید. هرچه درباره سرور کمتر اطلاعات داده شود، بهتر است. توصیه می‌شود، شماره نسخه هر نرم افزار نصب شده روی سرور را نیز مخفی کنید. به طور پیش‌فرض حتی تاریخ آپدیت هم ارائه می‌شود و نقطه ضعف و راهی خواهد بود برای حمله هکرها. برای حذف اطلاعات باید اطلاعات را از هدر HTTP در greeting banner نرم افزار پاک کنید.

13- از سیستم‌های intrusion detection استفاده کنید.

برای تشخیص هرگونه فعالیت غیرمجاز از IDS یا intrusion detection system به عنوان مثال Sopho استفاده کنید تا تمام پروسس‌های در حال اجرا روی سرور را مانیتور کنید. امکان تنظیم آن به صورت روزانه و اسکن‌های اتوماتیک دوره‌ای یا اجرای دستی آن وجود دارد.

ویژگی Chassis Intruction Detection در تامین امنیت سرور به صورت فیزیکی، این امکان را فراهم می‌کند که اگر کسی بدون اجازه و مجوز، اقدام به باز کردن درب کیس و جابجا کردن قطعات کند، ادمین شبکه هشدارهایی دریافت کند. این ویژگی در سرورهای hp وجود دارد.

برای دانلود بررسی امنیت در سرورهای HPE Proliant Gen10 روی لینک زیر کلیک کنید:

دانلود فایل بررسی امنیت در سرورهای HPE Proliant Gen10

 

14- فایروال تنظیم کنید.

تامین امنیت سرور با کنترل و محدود کردن دسترسی‌ها امکان‌پذیر است. به طور کلی سه نوع سرویس، عمومی، خصوصی و داخلی روی سرور ران است. سرویس عمومی اغلب روی سرور وب اجرا می‌شود و باید اجازه دسترسی به وب را بدهیم. سرویس‌های خصوصی مثلا با دیتابیس در ارتباط است و کاربران مختلف با سطح دسترسی مختلف روی سرور تنظیم می‌شود. سرویس‌های داخلی هرگز نباید در معرض اینترنت و دنیای بیرون باشند و ارتباط فقط بین سرور و ارتباطات لوکال برقرار است.

نقش فایروال‌ها این است که دسترسی‌ها را فیلتر و محدود می‌کند. این محدود کردن بر اساس مجاز بودن یا نبودن کاربر در استفاده از سرویس انجام می‌شود. فایروال را برای محدود کردن تمام سرویس‌ها به جز آنهایی که برای سرور ضروری است پیکربندی کنید.

15- از سرور بکاپ تهیه کنید.

همواره از سرور و اطلاعات آن بکاپ تهیه کنید برای این کار راهکارهای مختلفی وجود دارد مثلا تهیه بکاپ آفلاین یا استفاده از فضای ابری. می‌توانید بکاپ را به طور اتوماتیک یا دستی تهیه کنید. پس از تهیه بکاپ حتما آنها را تست کنید تا امکان بررسی ریکاوری آنها را وجود داشته باشد. مطالعه محتوای “بهترین روش های بک آپ گیری از سرور و شبکه” پیشنهاد می‌شود.

16- محیط‌های چند سروری ایجاد کنید.

یکی از بهترین راهکارهای افزایش امنیت سرور، ایزوله کردن با استفاده از سرور مجازی است. امنیت در سرور مجازی اختصاصی یا VPS که با دیگر سرورها هیچ نقطه اشتراکی ندارند، بسیار بالاتر است. ساده‌ترین و امن‌ترین و البته گران‌ترین راه تامین امنیت سرور استفاده از سرور VPS است. جداسازی سرور دیتابیس و سرور وب اپلیکیشن راهکار استاندارد امنیتی است.

سرور دیتابیس مستقل، امنیت دیتای حساس و فایل‌های سیستمی که چگونگی دسترسی به اکانت ادمین را مدیریت می‌کنند، تامین می‌کند و جلوی هکر را می‌گیرد. از طرفی  ایزوله کردن برای ادمین امکان کانفیگ امنیت وب اپلیکیشن را به صورت جداگانه فراهم می‌کند و با تنظیمات فایروال‌های وب اپلیکیشن، هک را به حداقل می‌رساند. اگر جداسازی کامل سرور برایتان مقدور نیست از ماشین‌های مجازی و تامین امنیت سرور مجازی استفاده کنید. در محتوای “مجازی سازی سرور چیست و چگونه کار می‌کند؟” درباره سرور مجازی بیشتر بخوانید.

ویدئوی فارسی بررسی چرخه امنیت در سرورهای hp