Перейти к содержанию

проверка своего сервера


Рекомендуемые сообщения

Сколько может стоить проверка сервера компании на возможность проникновения извне. Есть подозрения....

К кому обратится. Буду благодарен...

Ссылка на комментарий
Поделиться на другие сайты

  • Ответов 19
  • Создана
  • Последний ответ

Если привлекать профи -от 5000 вечнозеленых, если аутсайдеров - от 1000... На количество нулей оказывает значение что за компания нуждается в проверке. Например за проверку сервера ФСБ возьмутся далеко не все даже за хорошие деньги.

Ссылка на комментарий
Поделиться на другие сайты

Все еще зависит от того, что это за сервер!?

Это веб сервер где находится сайт компании, либо это сервер баз данных на которых держится весь бизнес, либо это внутрикорпоративный сервер который не имеет выделенного IP, но сеть к которой он опдключен имеет выход в интернет, в общем здесь уйма вопросов! Пишите на мыло, возможно поможем!

Ссылка на комментарий
Поделиться на другие сайты

Смотря что - и на что - проверять.

"Лобовая" проверка защищенности открытого в public Internet ресурса - на основные известные уязвимости - не так дорого обойдется.

Элементарная защита должна быть изначально реализована вашим администратором. Если это, конечно, не подрабатывающей студент.

А руководство конторы должно изначально озаботиться вопросами информационной безопасности - если не на уровне политики, то хотя бы на уровне регламентов.

 

Кстати, основную опасность представляют все-таки не внешние "хакерские" атаки, а собственный персонал, внутренние угрозы.

И здесь чисто технический аудит не даст полной картины.

Ссылка на комментарий
Поделиться на другие сайты

  • 3 недели спустя...
Смотря что - и на что - проверять.

"Лобовая" проверка защищенности открытого в public Internet ресурса - на основные известные уязвимости - не так дорого обойдется.

Элементарная защита должна быть изначально реализована вашим администратором. Если это, конечно, не подрабатывающей студент.

А руководство конторы должно изначально озаботиться вопросами информационной безопасности - если не на уровне политики, то хотя бы на уровне регламентов.

 

Кстати, основную опасность представляют все-таки не внешние "хакерские" атаки, а собственный персонал, внутренние угрозы.

И здесь чисто технический аудит не даст полной картины.

2471[/snapback]

 

К сожалению, часто уровень защиты публичного ресурса определяется хост-провайдером. Именно от него больше всего зависит безопасность хоста. К сожалению, в этом плане часто царит полное раздолбайство. Имеет смысл при подписании договора прописать основные требования к безопасности - хотя бы по резервному копированию. Если порушат базу или скрипты - можно будет как минимум их быстро восстановить. Кроме того, нужно договориться о хранении и резервном копировании логов, которые относятся к работе хоста и их получении в случае проблем.

Второй вопрос - безопасная реализация скриптов сервера (ПХП или CGI например). Это уже вопрос культуры разработки. На рабочей версии должны быть выкусаны все отладочные входы, пароли по умолчанию или пустые пароли, в исходниках должны быть проверки переменных (хотя бы для предотвращения переполнения буфера).

 

При наличии узкой задачи ("простучать" хост) - есть онлайн сервисы для тестов на уязвимости. Есть даже бесплатные сканеры. Адресов не дам, давно было дело, не помню уже. На худой конец берется физический сервер (если он стоит прямо в офисе), к внешнему шнурку втыкается сканер типа ISS (их много разной степени платности) и пробивается по всем уязвимостям стандартными эксплоитами.

 

КАТЕГОРИЧЕСКИ не стоит вешать на физический сервер какие-либо функции кроме веб-сервера и размещать его внутри периметра сети. Пусть стоит на отлете, по крайней мере в ДМЗ.

 

Что касается внутренних угроз - это более характерно для автоматизированной информационной системы организации (ЛВС, файловые хранилища, почта, БД) и непроизводственного использования ресурсов информационной системы (например, платные справки по телефону, закачка больших объемов через выделенку в обоих направлениях) в личных целях.

Ссылка на комментарий
Поделиться на другие сайты

Заархивировано

Эта тема находится в архиве и закрыта для дальнейших ответов.


×
×
  • Создать...