0
אחסון אתרים בטוח

אחסון אתרים בטוח

 

אבטחת מידע של אתרי אינטרנט

אבטחת מידע כנגד מפגעים המכוונים כלפי אתרי אינטרנט ושרתים הופכת לצורך חיוני ללקוחות, המנהלים פעילות באינטרנט. יותר ויותר אנו שומעים סיפורים על אתרי אינטרנט או שרתים שנפרצו והושבתו, באורח חלקי או מלא, כתוצאה מפעילותם של גורמים עוינים, המוכרים לכולנו בכינוי "האקרים".

 

הלקוחות והספקים הבינו מזמן, שאתר האינטרנט הוא חלון הראווה וכרטיס הביקור של העסק. המידע המועבר על ידי האתר או השרת האינטרנטי חיוני לכל מבקר או לקוח פוטנציאלי ומחייב נקיטת אמצעי זהירות ואבטחת מידע.

 

מאמצי אבטחה אלו מכוונים לאבטחה כנגד סיכונים, העלולים להתרחש מכיוון של אתר האינטרנט, שרתי האפליקציה או שרתי המייל המשמשים ארגונים שונים. מנהלים בארגונים מבינים כיום, כי ההכנה להפעלת עסק, המבוסס על אינטרנט, מחייבת התייחסות וצעדים מעשיים לאבטחת השרת והמידע הארגוני.

קיימות שתי גישות לאירוח אתר האינטרנט של הארגון –

 

  1. בחירה בחברת אחסון אתרים, המתמחה בתחום ויש לה ניסיון תפעולי עשיר.
  2. אחסון עצמי של אתר אינטרנט או אפליקציה על גבי שרת משלך.

 

אחסון אתרים בחברת אחסון

באפשרות הראשונה, קרי בחירה בחברת אחסון אתרים, דוגמת אינטרויז'ן מקבוצת אינטרספייס. חברת אחסון אתרים תתקין עבורך את מערכת ההפעלה, תקים שירותים בסיסיים – דוגמת שירותי Web, FTP, e-mail – ותנהל את אבטחת המידע, בהתאם לסטנדרטים הנהוגים בתעשיית האינטרנט בכלל ואצלה בפרט.

 

במקרה כזה יש לשים לב שהחברה מספקת שירותי אנטי וירוס, אנטי ספאם, סינון דואר עוין, גיבויים וניטור של הרשת 24/7/365. לקוחות המתכננים הקמת מערכת מסחר אלקטרוני (e-commerce) צריכים לוודא שהחברה מספקת שירותי שרת מאובטח באמצעות תעודת SSL.

 

בחירה בחברת אחסון אתרים המספקת את השירותים שנזכרו למעלה נותנת לך פתרון ושקט נפשי עבור 95% מהעבודה הכרוכה באבטחת העסק האינטרנטי שלך.

 

בנושא אבטחת אתרי אינטרנט, כמו איסוף וניהול המידע לגבי הלקוחות שלך ונושאים נוספים בתחום ניהול אפליקציות, אינם בתחום הטיפול של חברת אחסון אתרים ובמאמרים נוספים ננסה לתת התייחסות לנושא זה. המשך המאמר עוסק באבטחת המידע ובתהליכים החשובים בעת אחסון אתרים על גבי שרת עצמאי משלך.

 

אחסון אתרים וניהול עצמי של שרת אינטרנט

במקרה של אבטחת המידע של אתר אינטרנט, על גבי שרת המופעל עצמאית על ידך, סוג חיבור האינטרנט איננו בעל משמעות. במקרה כזה, גם הבחירה במערכת ההפעלה, חלונות או לינוקס, איננה בעלת משמעות.

 

לכל מערכות ההפעלה יש נושאים של אבטחת מידע ובטחון. הסיבה שאנו שומעים יותר לגבי פרצות בשרתים מותקני מערכת הפעלה חלונות נובעת מהסיבה הפשוטה, שיש יותר מערכות כאלו ומכאן שהן מטרה נפוצה יותר להתקפות מצד האקרים ווירוסים.

 

אבטחת אתר האינטרנט שלך מצריכה ידע בסיסי ולעיתים מתקדם בטכנולוגיות כמו FireWall, NAT, תוכנות אנטי וירוס, מערכות מניעת חדירות (IPS/IDS) ואבטחת מידע ברמת קבצים.

 

קו ההגנה הראשון – חומת האש – Firewall

ראשית, השרת שלך חייב להיות ממוקם מאחורי פיירוול, שהוא התקן (תוכנה או חומרה) המתוכנן למנוע מתעבורת נתונים בלתי רצויה באינטרנט מלגשת אל השרת שלך. תקשורת אינטרנט מבוססת על פרוטוקול תקשורת בשם TCP/IP. לכל שרת אינטרנט יש כתובת IP משלו.

 

שרת יחיד יכול לארח אתר, דואר אקטרוני, FTP ושירותים אחרים, שכל אחד מהם דורש סוג שונה של תקשורת נתונים. על מנת להבטיח שתשדורת מייל מגיע לשרת המייל ושבקשות לדף אינטרנט יגיעו אליו השרת מתקשר ב-פורטים רבים. Port הינו סוג של הפרדה בתוך כתובת ה-IP המנווטת מידע לשירותים המתאימים בשרת.

 

פיירוול מאפשר למידע מסוים להגיע ל-פורטים מסויימים ומונע ממידע אחר מלהגיע לאחרים. באופן כללי, יש להגדיר את הפיירוול, כך שיאפשר גישה רק לפורטים שנמצאים בשימוש על גבי השרת. לדוגמא: אם השרת מארח אתר אינטרנט בלבד, יש לחסום את כל הפורטים, למעט פורט 80 לשירותי אינטרנט – HTTP.

 

פעולה זו מאבטחת את השרת מפני ניסיונות פריצה ותקיפה מלבד התקפות כנגד שירותי גלישה לאתר האינטרנט שלך. הטכניקה הזו דומה לאטימת כל החלונות בבית שלך ונעילת כל הדלתות מלבד אחת. סביר שרוב הפורצים לא ינסו להיכנס ואם יעשו כן, יש רק דלת אחת שאינה נעולה ויותר פשוט לשמור עליה.

 

קו ההגנה השני – Network Address Translation (NAT)

נתב ה-NAT דומה בפעולתו ל-Firewall. בתפקיד הזה משמש הנתב (router) שלך, או כאופציה נוספת לפיירוול כחומרה המקושרת ישירות לאינטרנט.

 

ברשת הפנימית שלך יש לכל המחשבים והשרתים כתובת IP (לדוגמה: 192.168.4.111 או 172.4.25.1 —> שהן כתובות לא לניתוב שנשמרו עבור רשתות פנימיות פרטיות. הנתב (NAT) מוגדר כדי לכוון את התעבורה מכתובת IP ציבורית לשרת ספציפי ברשת שלך. רוב ההכוונה נעשית על בסיס של פורט-אל-פורט. למשל, אם כתובת ה-IP הציבורית של נתב ה-NAT הינה 80.244.168.145 ונדרשת גישה לשרת WEB פנימי, הנתב יכול להיות מתוכנת לכוון את התעבורה מ-PORT 80 אל שרת האינטרנט הפנימי שלך ולמנוע כל תעבורה לפורטים אחרים.

 

בתמצית, נתב NAT נותן את אותה התוצאה כמו Firewall אך מבצע זאת באופן מעט שונה. הגדרה נכונה של נתב ה-NAT שלך כדי שיכוון את התעבורה לשרת המתאים ומניעת כל תעבורה אחרת הוא המפתח לאבטחת העסק שלך באינטרנט.

 

הכרת מערכת ההפעלה שלך

כמי שמארח את אתר האינטרנט שלך, אתה אמור להכיר את מערכת ההפעלה שלו ולדעת כיצד לאבטח אותו דרך הרשאות ברמת קבצים וסיסמאות. אם אתה מגדיר מערכת משלך, אל תניח שהעבודה שלך מסתיימת עם קבלת עמוד ה-WEB הראשון. תמיד תשמור על הבנה כוללת של מערכת ההפעלה שלך; בקר באתר האינטרנט של היצרן בכל יום ובדוק עדכונים ותוספות והתקן אותם מיידית.

 

תוכנת אנטי וירוס

כל מחשב ברשת האינטרנט, כולל שרת האינטרנט שלך יכול להיות קורבן פוטנציאלי של וירוסים. אלפי וירוסים פוגעניים מועברים בין שרתים ברשת האינטרנט ומתכנתים חסרי מצפון מפיצים וירוסים חדשים בכל שבוע.

 

ישנם סוגים רבים של וירוסים: חלקם מתוכנתים למחוק מידע מהמחשב שלך, חלקם מנסים למצוא מידע על השרת שלך ולשלוח אותו חזרה למי שיצר את הוירוס וחלק מהוירוסים פשוט מנסים לשתק את השרת שלך על ידי הצפה שלו במידע.

 

ללא קשר למטרה הסופית שלהם, רוב הוריסוים מנסים להפוך את המחשב הנגוע ל-BOT, שמחפש באופן אוטומטי מחשבים נוספים להדביק אותם. מסיבה זו, לוקח לעיתים דקות בודדות עד ששרת אינטרנט חדש נפגע מניסיון ההדבקה. אם ניסיון ההדבקה מצליח השרת שלך עלול להפיץ במהירות את הוירוס למחשבים אחרים ברשת הפרטית שלך, כמו גם לשרתי אינטרנט אחרים. לא משנה אם השרת שלך מריץ Windows, Unix או Linux תצטרך להגן עליו מפני וירוסים.

 

בעת רכישת תוכנת אנטי וירוס, עליך להיות בטוח שהיא תוכננה לשימוש על גבי שרת ולא סתם מחשב משרדי. חפש תוכנה שמגינה עליך גם מפני טרוייאנים, תולעים, דואר זבל, וירוסים מאקרו ומתעדכנת באופן אוטומטי 24/7 כדי לטפל באיומים חדשים. צרף לשגרת יומך את ההרגל לבקר באתר האינטרנט של יצרן תוכנת האנטי וירוס כדי לבדוק מידע חדש והמלצות למלחמה בוירוסים.

 

הרבה חורי אבטחה במערכות Windows או Unix/Linux משמשים את הפולשים: תוכנה זדונית פשוט שולחת יותר מידע לשרת שלך ממה שהוא מסוגל להתמודד עימו ואחר כך מוציא לפועל שורת פקודות כדי להשתלט עליו. כשאתה מחפש איזו תוכנת אנטי וירוס לרכוש, תברר שהיא גם מבטיחה אותך מפני הצפת השרת (buffer overruns). תוכנה אחת לדוגמה היא McAfee's Active Anti-Virus גרסת SMB. התקנה ועדכון מתמיד של תוכנת האנטי וירוס יחסכו ממך כאבי ראש רבים.

 

כתיבת סקריפטים

אם אתר האינטרנט כתוב ב-HTML בלבד, אזי אין לך איומים אבטחתיים נוספים. מאידך גיסא, רוב אתרי האינטרנט העסקיים מושתתים על בסיסי נתונים או שהינם בעלי רכיבי תוכן פעילים, המוזנים מסוגי שונים של מנועי סקריפטים: PHP, Perl, ASP, JSP, CFM,.NET Framework ואחרים. כתיבת סקריפטים מאפשרת לך להקים אתר אינטרנט תוסס, בעל תוכן אינטראקטיבי אך בו בעת חושף את האתר לאיומי אבטחת מידע נוספים.

 

לכל מנוע סקריפטים יש את הבעיות שלו ואת שיטות האבטחה משלו. אם אתה מארח לבד את אתר האינטרנט שלך, העצה הטובה ביותר הינה לרכוש ספר או להיוועץ בתוכניתן מקצועי לגבי מנוע הסקריפטים שאתה משתמש בו. קנפג את מנוע הסקריפטים כך שיהיה הכי מגביל שניתן, תוך כדי שהוא מספק את הפונקציונליות הנדרשת לך. לעולם על תשכח מנוע סקריפטים על השרת שלך, בטח לא כזה שאינו מקונפג כראוי. האקר עלול להשתמש בו לצורך גישה לשרת ולמידע העסקי שלך.

 

מעקב אחרי חדירות לשרת (Intrusion Detection)

גם לאחר שהתקנת תוכנת אנטי וירוס, אתה לא יכול להשאיר את הטייס שלך במצב של "טייס אוטומטי". נדרשת עירנות מתמדת כדי למנוע ניצול של שרת האינטרנט שלך. השרת שלך מייצר תוך כדי הפעלתו קובץ לוגים (log file), המתעד מי ניסה להתקשר עימו ואת סוג התקשורת שהתבקשה, באיזו שעה התבצעה הבקשה ומידע חיוני נוסף.

 

בעלי שרתים רבים בודקים את קבצי הלוגים של השרת שלהם רק כשמשהו משתבש, אבל קובץ הלוגים הינו בעל חשיבות רבה ככלי למניעת פריצות, יותר מאשר ככלי לשיקום אחרי אסון. כל אפליקציות האינטרנט וה-FTP שומרות לוגים של כל פעולה שהשרת מבצע.

 

חשוב מאוד ללמוד להקדיש זמן ולקרוא את הלוגים. למשל, אם הלוג של שרת ה-FTP שלך מראה, שבפרק זמן של 30 שניות אותו אדם ניסה לגשת לשרת שלך 100 פעמים, אתה יכול להיות בטוח שזה היה ניסיון פריצה אוטומטי לשרת. כדי לאבטח את עצמך, צריך להגדיר את הפיירוול כך שלא יאפשר כל תעבורה מכתובת ה-IP של האדם שביצע ניסיונות גישה לשרת שלך.

 

כדי להפיק תועלת מקבצי הלוג, מומלץ שקול רכישת תוכנה לניתוח לוגים. חפש תוכנת ניתוח המותאמת למערכת ההפעלה של השרת שלך, כמו גם לשירותים שאתה מספק (קרי Web, FTP וכו'). חבילות תוכנות ניתוח לוגים רבות יכולות לספק אתרעות בזמן אמת באמצעות דף אינטרנט, מייל או כל מכניזם אחר, בעת גילוי ניסיון פריצה או התקפה על השרת.

 

אם אתה מארח מספר שרתים או שאתה מותקף לעיתים תכופות על ידי האקרים, עליך לשקול רכישת חומרה של מערכת למניעת התקפות (IPS) לרשת שלך. המערכות הללו מספקות הגנה מוגברת, ניהול תהליכי מניעת פריצות מרכזי והודעות אוטומטיות, בזמן אמת על ניסיונות חדירה אפשריים.

 

תעודת SSL

Secure Socket Layer או SSL הינו פרוטוקול הצפנה של מידע הנשלח בין הגולש לשרת ברחבי רשת האינטרנט. אבטחת האתר שלך באמצעות SSL מחייב רכישת תעודה מספק מוכר – דוגמת GeoTrust או Verisign– והתקנתו באתר. מחירי תעודות SSL משתנים לפי רמת השירות שאתה בוחר. הנפקה והתקנת תעודת SSL יכולה להיות פשוטה מאד או מסובכת, בהתאם לתוכנת שרת האינטרנט שמשמשת אותך. קבלת תמיכה טכנית בעת התקנת SSL עשויה לחסוך לך הקבה זמן ותסכול מיותר.

 

אם אתר האינטרנט שלך מתארח אצל חברת אחסון אתרים ואתה מטמיע מערכת מסחר אלקטרוני של ספק ידוע ומוכר, ההתארגנות יכולה להפחית לפעמים עלויות וטרחה הכרוכים באבטחת האתר בתעודת SSL. הברה המארחת את מערכת המסחר האלקטרוני יכולה לעיתים לספק את הצרכים שלך (אחסון, שירות תשלומים וכיוב') בדומיין שלה ובכך להפחית את הורך שלך ברכישת תעודת SSL.

 

ולסיום…

תישאר עירני !

נהלי אבטחה רופפים יכולים להסתיים בזמני השבתה משמעותיים לעסק שלך, אובדן מכירות, אובדן מידע, לקוחות מתוסכלים ואולי במקרה הגרוע: מתן הסברים ללקוחות שלך מדוע המידע שלהם הושחת.