В статье авторы рассматривают проблему настройки сервера для защиты интернет-магазина.
Ключевые слова: интернет-магазин, веб-атака, защита информации, веб-сервер, VPS.
В настоящий момент проблема защищённости веб-ресурсов становится все более актуальной, в связи с чем постоянно осуществляется поиск новых методов, алгоритмов и программно-аппаратных средств защиты. На сегодняшний день всё большую распространенность обретают онлайн-сервисы, одним из которых являются интернет-магазины. Их разнообразие, количество и направленность довольно велики, вследствие чего обостряется конкурентная борьба на рынке. Интернет-площадки магазинов всё чаще становятся жертвами недобросовестной конкуренции и подвергаются атакам со стороны злоумышленников.
По результатам исследования лишь три процента веб-приложений достаточно надежны, чтобы противостоять хакерам, 97 % веб-сайтов имеют «серьезные дефекты в защите», в результате чего данные и системы могут быть взломаны с целью злонамеренного использования. Из 97 % обнаруженных серьезных «дыр» почти 40 % приложений позволяли взломщикам получать полный контроль и доступ к информации. Около 23 % дефектов могли привести к нарушениям конфиденциальности, а 21 % обнаруженных ошибок давали возможность «похищать» товары из магазинов. 5 % дефектов позволяли взломщикам изменять информацию, а еще 5 % — перехватывать транзакции. 2 % ошибок в программном обеспечении настолько серьезны, что злоумышленники могут удалить веб- ресурс [1].
Значительная часть дефектов возникает из-за недостатка защиты веб-сервера. Большинство магазинов выбирают стандартный веб-сервер, предлагаемый хостингом. Такой сервер невозможно настроить и установить необходимые программы, а также легко взломать. Также часть магазинов неправильно настраивают сервера.
При выборе сервера необходимо обратить внимание на VPS хостинг, так как Virtual Private Server использует технологию виртуализации, чтобы предоставить вам выделенные (частные) ресурсы на сервере с несколькими пользователями.
Используя технологию виртуализации, ваш хостинг-провайдер устанавливает виртуальный уровень поверх операционной системы (ОС) сервера. Этот уровень делит сервер на разделы и позволяет каждому пользователю установить свою собственную ОС и программное обеспечение.
Таким образом, виртуальный частный сервер (VPS) является одновременно виртуальным и частным, потому что у вас есть полный контроль. Он отделен от других пользователей сервера на уровне ОС. Фактически, технология VPS похожа на создание разделов на вашем собственном компьютере, когда вы хотите запустить более одной ОС (например, Windows и Linux) без перезагрузки.
Запуск VPS позволяет вам настроить свой веб-сайт в безопасном контейнере с гарантированными ресурсами (памятью, дисковым пространством, ядрами ЦП и т. Д.), Которыми вы не должны делиться с другими пользователями. С VPS-хостингом у вас есть такой же доступ на корневом уровне, как если бы у вас был выделенный сервер, но по гораздо более низкой цене.
Когда VPS хостинг будет выбран — необходимо произвести его настройку.
Для настройки виртуального сервера необходимо:
- Авторизоваться в панели управления хостинга.
- Выбрать подходящий тарифный план и комплектацию оборудования для сервера.
- Выбрать наиболее удобный в использовании дистрибутив операционной системы.
- Изменение пароля пользователя по умолчанию выданных сервером.
При использовании паролей запрещается:
– использовать в качестве пароля свои имя, фамилию, дату рождения, имена родственников, кличку собаки и т. п., равно как и обычные слова;
– использовать в качестве пароля русское слово, введенное при нахождении клавиатуры в латинском регистре;
– использовать в качестве пароля легко вычисляемые сочетания символов (имена, фамилии, наименования АРМ), а также общепринятые сокращения;
– использовать в качестве пароля «пустой» пароль, имя входа в систему, а также выбирать пароли, которые уже использовались ранее;
– использовать один и тот же пароль при загрузке АРМ и при работе в ИСПДн Росреестра;
– записывать пароль на неучтённых бумажных носителях информации;
– разглашать, кому бы то ни было свои персональные пароли доступа.
- Создать SHH-ключ и использовать исключительно его подключение.
Использование SSH-keys позволяет осуществить подсоединение без использования пароля. При этом такой тип авторизации гораздо безопаснее, чем вход по паролю. Пароль может быть взломан, а ключи практически не поддаются расшифровке. Secure SHell-ключ состоит из открытого и закрытого ключей, которые представляют из себя длинные последовательности символов.
- Обновить сервер (При входе в 1 раз сервер необходимо обновить ядро сервера и некоторые пакеты).
По соображениям безопасности первое, что вы должны сделать после запуска сервера в первый раз, — это войти в систему с консоли, используя имя пользователя и пароль администратора и установить последние исправления операционной системы. Это можно сделать с помощью следующих команд:
sudo apt update
sudo apt full-upgrade
Часть «sudo» необходима, когда вы вошли в систему как администратор, а не как суперпользователь, такой как «root». Вам будет предложено ввести пароль администратора в первый раз.
- Подключить автоматическое создание резервных копий (бэкапов).
Автоматическое резервное копирование — это тип модели резервного копирования данных, который требует минимального вмешательства человека или вообще не требует его при резервном копировании и хранении данных из локальной сети / системы в резервное хранилище.
Автоматическое резервное копирование в основном включается с помощью программного обеспечения резервного копирования, которое автоматизирует весь процесс резервного копирования. Обычно для автоматического резервного копирования сначала требуется, чтобы администратор сконфигурировал системы / сеть, для которых необходимо выполнить резервное копирование. После настройки данные и приложения с выбранного устройства автоматически копируются, передаются по сети и сохраняются на устройстве резервного копирования. Администратору просто нужно указать тип и время автоматического резервного копирования в программе резервного копирования [3].
Рекомендуемая периодичность копирования информации — ежедневно.
- Установить и настроить MySQL сервер и PHP.
Существует несколько вариантов для установки и настройки MySQL и PHP в зависимости от программного обеспечения, выбранного в VPS-хостинге.
Вы можете:
– выбрать панель управления хостингом;
– выбрать LAMP;
– не выбирать дополнительное ПО.
- Настроить SSL сертификат.
- Создать базу данных интернет-магазина.
- Установить и настроить веб-сканер.
Сканеры уязвимостей веб-приложений — это автоматизированные инструменты, которые сканируют веб-приложения, обычно извне, для поиска уязвимостей безопасности, таких как межсайтовые сценарии, внедрение SQL, внедрение команд, обход пути и небезопасная конфигурация сервера. Эта категория инструментов часто называется инструментами динамического тестирования безопасности приложений (DAST).
При выборе программного обеспечения для защиты интернет-магазина — необходимо использовать государственный реестр сертифицированных средств защиты информации ФСТЭК России [2]. В этом реестре находятся средства, которые прошли проверку и сертификацию и являются качественным продуктом, на должном уровне выполняющим функции защиты.
Также при выборе веб-сканнера необходимо обратить внимание на его поддерживаемые функции, такие как прокси, наличие автоматизированного сканнера и на его возможность обнаружения следующих уязвимостей: SQL-инъекция, XSS-инъекция, CRLF Injection, раскрытие файлов.
Необходимо настроить автоматическое сканирование сайта и составление отчета о сканировании.
- Установить и настроить защиту от DDoS-атак.
Под смягчением DDoS-атак понимается процесс успешной защиты целевого сервера или сети от распределенной атаки типа «отказ в обслуживании» (DDoS). Используя специально разработанное сетевое оборудование или облачную службу защиты, целевая жертва может уменьшить входящую угрозу.
Традиционные решения по предотвращению DDoS-атак предполагают приобретение оборудования, которое будет работать на месте и фильтровать входящий трафик. Этот подход предполагает покупку и обслуживание дорогостоящего оборудования, а также наличие сети, способной противостоять атакам. Если DDoS-атака достаточно велика, она может вывести из строя сетевую инфраструктуру, препятствуя эффективности любого локального решения [4].
- Настроить межсетевой экран.
При выполнении данных настроек защищенность веб-сервера оценивается как высокая. В результате защиты веб-сервера интернет-магазин будет защищен от DDoS-атак, проникновения в базу данных, перехвата информации и платежей.
Литература:
1. Проблемы информационной безопасности в Интернет. Лекции. [Электронный ресурс]. — Режим доступа: http://itzashita.ru/lekcii/problemy-informacionnoj-bezopasnosti-v-internet.html
2. Приказ ФСТЭК России № 17 [Электронный ресурс]. Режим доступа: https://fstec.ru/normotvorcheskaya/akty/53-prikazy/702-prikaz-fstek-rossii-ot-11-fevralya-2013-g-n-17
- Автоматическое резервное копирование [Электронный ресурс]. Режим доступа: https://www.handybackup.ru/auto-reserve-copying
- Что такое DDoS-атака и как её смягчить [Электронный ресурс]. Режим доступа: https://hosting.kitchen/datacenter-com/chto-takoe-ddos-ataka-i-kak-ee-smyagchit.htm