Перейти к содержанию
View in the app

A better way to browse. Learn more.

IT2B - Технологии разведки для бизнеса

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

проверка своего сервера

Featured Replies

Опубликовано

Сколько может стоить проверка сервера компании на возможность проникновения извне. Есть подозрения....

К кому обратится. Буду благодарен...

  • Ответов 19
  • Просмотры 11,6т
  • Создана
  • Последний ответ

Топ авторов темы

Опубликовано

Если привлекать профи -от 5000 вечнозеленых, если аутсайдеров - от 1000... На количество нулей оказывает значение что за компания нуждается в проверке. Например за проверку сервера ФСБ возьмутся далеко не все даже за хорошие деньги.

Опубликовано

Все еще зависит от того, что это за сервер!?

Это веб сервер где находится сайт компании, либо это сервер баз данных на которых держится весь бизнес, либо это внутрикорпоративный сервер который не имеет выделенного IP, но сеть к которой он опдключен имеет выход в интернет, в общем здесь уйма вопросов! Пишите на мыло, возможно поможем!

Опубликовано

Смотря что - и на что - проверять.

"Лобовая" проверка защищенности открытого в public Internet ресурса - на основные известные уязвимости - не так дорого обойдется.

Элементарная защита должна быть изначально реализована вашим администратором. Если это, конечно, не подрабатывающей студент.

А руководство конторы должно изначально озаботиться вопросами информационной безопасности - если не на уровне политики, то хотя бы на уровне регламентов.

 

Кстати, основную опасность представляют все-таки не внешние "хакерские" атаки, а собственный персонал, внутренние угрозы.

И здесь чисто технический аудит не даст полной картины.

  • 3 недели спустя...
Опубликовано
Смотря что - и на что - проверять.

"Лобовая" проверка защищенности открытого в public Internet ресурса - на основные известные уязвимости - не так дорого обойдется.

Элементарная защита должна быть изначально реализована вашим администратором. Если это, конечно, не подрабатывающей студент.

А руководство конторы должно изначально озаботиться вопросами информационной безопасности - если не на уровне политики, то хотя бы на уровне регламентов.

 

Кстати, основную опасность представляют все-таки не внешние "хакерские" атаки, а собственный персонал, внутренние угрозы.

И здесь чисто технический аудит не даст полной картины.

2471[/snapback]

 

К сожалению, часто уровень защиты публичного ресурса определяется хост-провайдером. Именно от него больше всего зависит безопасность хоста. К сожалению, в этом плане часто царит полное раздолбайство. Имеет смысл при подписании договора прописать основные требования к безопасности - хотя бы по резервному копированию. Если порушат базу или скрипты - можно будет как минимум их быстро восстановить. Кроме того, нужно договориться о хранении и резервном копировании логов, которые относятся к работе хоста и их получении в случае проблем.

Второй вопрос - безопасная реализация скриптов сервера (ПХП или CGI например). Это уже вопрос культуры разработки. На рабочей версии должны быть выкусаны все отладочные входы, пароли по умолчанию или пустые пароли, в исходниках должны быть проверки переменных (хотя бы для предотвращения переполнения буфера).

 

При наличии узкой задачи ("простучать" хост) - есть онлайн сервисы для тестов на уязвимости. Есть даже бесплатные сканеры. Адресов не дам, давно было дело, не помню уже. На худой конец берется физический сервер (если он стоит прямо в офисе), к внешнему шнурку втыкается сканер типа ISS (их много разной степени платности) и пробивается по всем уязвимостям стандартными эксплоитами.

 

КАТЕГОРИЧЕСКИ не стоит вешать на физический сервер какие-либо функции кроме веб-сервера и размещать его внутри периметра сети. Пусть стоит на отлете, по крайней мере в ДМЗ.

 

Что касается внутренних угроз - это более характерно для автоматизированной информационной системы организации (ЛВС, файловые хранилища, почта, БД) и непроизводственного использования ресурсов информационной системы (например, платные справки по телефону, закачка больших объемов через выделенку в обоих направлениях) в личных целях.

Для публикации сообщений создайте учётную запись или авторизуйтесь

Account

Navigation

Поиск

Поиск

Configure browser push notifications

Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.