[大阪/横滨/德岛] 寻找基础设施/服务器端工程师!

[大阪/横滨/德岛] 寻找基础设施/服务器端工程师!

【超过500家企业部署】AWS搭建、运维、监控服务

【超过500家企业部署】AWS搭建、运维、监控服务

【CentOS的后继者】AlmaLinux OS服务器搭建/迁移服务

【CentOS的后继者】AlmaLinux OS服务器搭建/迁移服务

[仅适用于 WordPress] 云服务器“Web Speed”

[仅适用于 WordPress] 云服务器“Web Speed”

[便宜]网站安全自动诊断“快速扫描仪”

[便宜]网站安全自动诊断“快速扫描仪”

[预约系统开发] EDISONE定制开发服务

[预约系统开发] EDISONE定制开发服务

[注册100个URL 0日元] 网站监控服务“Appmill”

[注册100个URL 0日元] 网站监控服务“Appmill”

【兼容200多个国家】全球eSIM“超越SIM”

【兼容200多个国家】全球eSIM“超越SIM”

[如果您在中国旅行、出差或驻扎]中国SIM服务“Choco SIM”

[如果您在中国旅行、出差或驻扎]中国SIM服务“Choco SIM”

【全球专属服务】Beyond北美及中国MSP

【全球专属服务】Beyond北美及中国MSP

[YouTube]超越官方频道“美由丸频道”

[YouTube]超越官方频道“美由丸频道”

第5次BEYOND研究会“[今天就可以开始使用!]你不知道的是坏事!针对网络内容的网络攻击的威胁和对策。〜BEYOND研究会#5 Powered by IIJ GIO + Scutum〜”举行了!

我叫伊藤,是一名基础设施工程师。
正如我在公告中提到的,我们举行了第五次学习会!
[5日]Beyond学习会召开! | 超越
门卫有限公司: 【从今天开始就可以使用了! 】 不知道就不好了!针对网络内容的网络攻击的威胁和对策。 ~ Beyond Study Group #5 由 IIJ GIO + Scutum 提供支持 ~ - Beyond Study Group | Doorkeeper

这次,我们有 Internet Initiative 和 Secure Sky Technology 上台
谈论安全。另外,我从我们公司引进了Nessus,一个漏洞检测扫描工具。

我想向您介绍一下它的一些样子!

IIJ对Web服务器安全的思考&介绍Web服务器安全的最佳解决方案【IIJ网站非法访问拦截解决方案】

IIJ向我们介绍了“IIJ网站未经授权访问阻止解决方案”。

关于“阻止未经授权的访问”,安装设备(实际设备)似乎
并不能带来任何成本效益。

确实,你必须考虑“设备的折旧”或“谁来操作它?”或“
我有设备”,而我的公司有必要操作它,如果
设备发生故障,则会以多种不同方式花费金钱,例如时间和金钱。

此外,拥有设备的缺点是,
在发生 DDOS 攻击时,会抛出大量数据包。
设备接收到数据包,但
DMZ 入口处可能无法再接收到数据包。

据称,上述缺点将通过将“未授权访问对策”移至云端来解决。

只考虑未经授权的访问的定义,而
不必考虑设备,那么就会带来成本效益。

由于IIJ骨干网首先会收到大量的数据包,因此
内部系统的DMZ入口不会出现收不到数据包的情况。

那么,有什么解决方案可以阻止未经授权的网站访问呢?
简单介绍一下...

CDN服务

缓存内容并在访问时返回缓存的 CDN。
您可以通过仅限制对 CDN 的访问来限制对服务器的访问。

我还喜欢只需切换 DNS 即可轻松设置。

包过滤器

数据包过滤器,防止不必要的数据包通过。

如果您在每个阶段阻止不适当的端口和 IP 地址,并且
只允许真正必要的访问,则可以预期显着减少未经授权的访问。

SSL证书

SSL 用于加密 http 通信。


我们特意设置了一个安全性较弱的服务器
,称为honeypod,我们想知道会发生什么样的攻击。据悉,他们正在分析问题并采取对策。

这看起来很安全! !

已在 1,500 多个网站上实施!改变WAF常识的“Scutum”是什么?

在第二场会议中,Secure Sky Technology 介绍了 Scutum。
Scutum与传统WAF(Web应用防火墙)的区别如下。

  • 低价
  • 引进门槛低
  • 操作由 Secure Sky Technology 执行


这是一项出色的服务,它将
阻止所有被视为攻击的访问不过需要做的事情有很多,比如更新、更新签名等,不过
你可以放心,它是由Secure Sky Technology 运营的。
由于它是基于云的,因此设备端的一切都将得到处理。

就安全性而言,实施PDCA循环是理想的,但这相当困难。
“谁?什么?”的问题总是随之而来。
Scutum 似乎也解决了这个问题。

谈到安全性,
他还提到 CMS 很容易成为攻击目标。
CMS 有很多用户,而且很多都是开源的。

有很多人使用
插件和主题等扩展进行攻击,而且 Wordpress的用户数量特别多,所以很容易被针对。

配置备份是否位于无意可见的位置?所以要小心! !

如何使用开源 Nessus 免费诊断 Web 内容漏洞。

DSC00797
最后我想谈谈Nessus。是倾斜的。 。

当谈到安全时,经常会提到“漏洞对策”这个词。
httpproxy 和 Openssl 中的漏洞正在成为头条新闻。

参考:
JVNVU#91485132:CGI Web 服务器将标头 Proxy 的值设置为环境变量 HTTP_PROXY
OpenSSL 中的多个漏洞(CVE-2016-2107、CVE-2016-2108 等) — | SIOS OSS | SIOS 技术

如果能够通过这种方式发现漏洞就好了,但
首先服务器设置是否正常?一个叫做“漏洞检测扫描”的工具,比如我们这次介绍的Nessus,可以找到这个。

通过执行伪攻击,他们可以找到“服务器中的漏洞”。

Nessus 商业用途需要支付许可费,但仅可免费用于个人用途。

Nessus 安装在服务器上,但如果您使用 AWS 市场,则只需启动 Nessus 即可使用它。
AWS Marketplace 上的 Nessus Enterprise for AWS(管理器)

Nessus 非常方便,因为你只需输入你的 IP 地址并扫描它以查找是否有任何漏洞。
可以执行各种类型的扫描,但这就是大量扫描适得其反的地方,并使您想知道“我应该执行哪种扫描?”

如果公司内部牢固地建立了安全机制,那就太好了,但现实是我们没有那么多的控制权。
超越使用称为“PCI DSS”的安全标准进行扫描。

什么是日本卡信息安全委员会?

这是信用卡公司制定的安全标准,相当严格,在美国,甚至与信用卡无关的公司也经常使用这个标准
,Beyond 也使用这个标准。

然而,如果你不经常使用服务器,如果你扫描Nessus并显示“是时候改变SSL加密强度了”,那就很难处理了。 。 。
我想会的。在这种情况下,就交给Beyond吧! ! !

概括

DSC00781
受到攻击的方式有很多种,所以你需要知道很多方法来保护自己。

它可能是 CDN 或 WAF,但如果您仍然不知道发生了什么,
最好使用漏洞检测扫描工具(例如 Nessus)来了解状态。

我的余生都得面对这个问题,所以我想获得尽可能多的信息!

再次感谢 IIJ 和 Secure Sky Technology!

如果您觉得这篇文章有帮助,请点赞!
0
加载中...
0 票,平均:0.00 / 10
293
X Facebook 哈特纳书签 口袋
[2025.6.30 Amazon Linux 2 支持结束] Amazon Linux 服务器迁移解决方案

[2025.6.30 Amazon Linux 2 支持结束] Amazon Linux 服务器迁移解决方案

写这篇文章的人

关于作者