Sprawdzone narzędzia do ochrony serwera przed atakami

Od bezpieczeństwa serwera zależy w dużej mierze bezpieczeństwo całej firmy. Jeśli o nie nie zadbamy, hakerzy mogą wykraść ważne dane, narażając firmę na wymierne straty (a jeśli to wrażliwe dane naszych klientów także na utratę dobrej reputacji). Ryzykujemy również zakażeniem systemu złośliwym oprogramowaniem czy unieruchomieniem strony. Jak się bronić przed cyberatakami? Proponujemy narzędzia, które mogą w tym pomóc. Zacznijmy jednak od przedstawienia, jakiego typu ataki mogą zostać przeprowadzone na nasz serwer lub działającą na serwerze usługę.

Jakie są rodzaje ataków na serwery? 7 przykładów:

• DOS/DDOS

  Atak DOS (Denial Of Service - odmowa usługi) polega na przeciążeniu serwera olbrzymią liczbą równoczesnych zapytań. Oznacza to gwałtowny wzrost liczby wejść na stronę, które są dokonywane przez hakerskie boty. Serwer nie jest w stanie poradzić sobie z tak dużym ruchem i witryna przestaje działać.

  W przypadku DDOS (Distrubited Denial Of Service) atak następuje z bardzo wielu różnych lokalizacji. Hakerzy przeprowadzają go, korzystając z botnetów - sieci komputerów (liczącej nawet dziesiątki tysięcy maszyn), które zostały zainfekowane złośliwym oprogramowaniem. Używając komputerów, ich właściciele nieświadomie łączą się z atakowaną stroną.

• Brute force

  Atak brute force polega na próbie odgadnięcia hasła użytkownika (zwykle administratora) za pomocą ciągłego odpytywania kolejnymi kombinacjami haseł. Oprogramowanie atakującego sprawdza każdą możliwą kombinację i jeśli wyczerpie wszystkie kombinacje w danej długości hasła, przechodzi do prób z dłuższymi hasłami. Receptą na ten problem jest stosowanie mocnych haseł (minimum kilkanaście znaków, użycie dużych i małych liter, cyfr, znaków specjalnych) oraz korzystanie z oprogramowania, które blokuje dostęp do usługi przy zbyt wielu nieudanych próbach logowania (nie likwiduje to w całości problemu w przypadku łatwych haseł, ale znacząco wydłuża proces ich złamania). Atak brute force może być także słownikowy, czyli zamiast haseł generycznych (wszystkie kombinacje) atakuje daną usługę, wpisując słowa z wcześniej zdefiniowanego słownika. Najlepszą praktyką jest więc tworzenie unikalnych i generycznych haseł, dla każdej usługi i przechowywanie ich w bezpiecznych miejscach (np. aplikacje do przechowywania haseł jak Keepass, Bitwarden).

• SQL Injection

  SQL to język, którym operujemy na poziomie zarządzania danymi w bazach danych (między innymi ich pobieranie, aktualizowanie, usuwanie). Każdy użytkownik, korzystający z oprogramowania lub strony internetowej, wysyła zapytanie SQL do bazy danych (wykonywane przez kod źródłowy) w celu pobrania lub manipulacji danych, na których aktualnie operuje.

  "Wstrzyknięcie" (injection) SQL polega na wprowadzeniu nieautoryzowanego fragmentu zapytania SQL poprzez modyfikację wysyłanych informacji do serwera (zazwyczaj następuje tutaj doklejenie innego, szkodliwego zapytania). W ten sposób haker może np. zmodyfikować informacje obecne w bazie czy zdobyć loginy i hasła, a nawet usunąć wszystkie dane z bazy. Jest to możliwe, jeśli serwer lub aplikacja ma luki bezpieczeństwa i jedynym sposobem, by zaradzić problemowi, jest ich wykrycie i "załatanie". Pomaga w tym specjalne oprogramowanie - skanery podatności, jak i audyty specjalistów pod kątem bezpieczeństwa.

• Cross-site scripting (XSS)

  Podobnie jak technika związana z SQL Injection, XSS wykorzystuje sytuacje, gdy w aplikacjach po stronie zewnętrznej (tej widocznej dla użytkownika) występują luki bezpieczeństwa (np. wyświetlane dane nie są odpowiednio sanityzowane). Cross-site scripting polega na wstrzyknięciu kodu pozwalającego na uruchomienie złośliwych skryptów lub pozyskanie poufnych informacji bezpośrednio z serwera. Tu również pomocne są skanery podatności.

• MITM

  Haker stosujący metodę MITM (man-in-the-middle) stara się podsłuchać komunikację mającą miejsce pomiędzy dwiema osobami w sieci (ustawia się pośrodku - stąd nazwa). Wiadomości są przejmowane przez hakera, ale mogą być także modyfikowane, zanim dotrą do adresata. Dobrym rozwiązaniem tego problemu jest stosowanie silnego szyfrowania danych (np. użycie połączenia SSL) lub korzystanie z VPN w komunikacji pomiędzy dwoma węzłami w sieci.

• Przejęcie DNS

  Atak ten służy przekierowaniu użytkownika na stronę stworzoną przez hakerów, która jednocześnie wygląda jak oryginalna strona. Odwiedzający nie jest świadomy, że trafił do niebezpiecznej witryny, ponieważ wprowadził znany sobie i zaufany adres. W ten sposób przestępcy mogą np. wyłudzić dane logowania czy karty kredytowej. Rozwiązaniem jest dbałość o to, by w oprogramowaniu obsługującym strefy DNS nie było luk bezpieczeństwa oraz korzystanie z renomowanych dostawców DNS.

• Złośliwe oprogramowanie (malware)

  Malware to oprogramowanie instalowane przez hakerów na serwerach i komputerach użytkowników po to, by wykonywało żądaną przez przestępców akcję. Istnieje wiele rodzajów malware. Są to m.in. wirusy, boty, spyware czy trojany.

  Jedną z popularnych metod rozprzestrzeniania malware jest tzw. atak drive-by. Polega na umieszczeniu w kodzie słabo zabezpieczonej strony internetowej skryptu pozwalającego na rozprzestrzenianie złośliwego oprogramowania. Odwiedzający witrynę, który nie jest zbyt dobrze zabezpieczony żadnym oprogramowaniem antywirusowym/antymalware, automatycznie ściąga malware na swoje urządzenie i od tej chwili jego system zostaje zainfekowany złośliwym oprogramowaniem.

Użyteczne narzędzia do ochrony serwera przed atakami

• Snort (open source)

  Snort służy do analizy ruchu na serwerze w czasie rzeczywistym. Jest pomocny w zapobieganiu włamaniom, ponieważ wykrywa anomalie i nadużycia, korzystając z zaawansowanych reguł.

  Gdy występuje zagrożenie, użytkownik otrzymuje alert, a oprogramowanie może zatrzymać niebezpieczne pakiety danych. Ma dostęp do informacji o ich charakterze, ponieważ działa jako tzw. sniffer pakietów. Oznacza to, że jest w stanie przechwytywać transmitowane dane.

• Avast Server Antivirus

  Avast Server Antivirus opiera się na technologii chmury obliczeniowej i uczenia maszynowego. Dzięki temu jest w stanie skutecznie zapobiegać atakom na serwery. Wysyła także alerty do administratorów, aby mogli ocenić, czy występuje zagrożenie oraz generuje obszerne raporty.

  Oprogramowanie skanuje również pocztę, aby odfiltrować niebezpieczne wiadomości oraz ma wbudowany VPN i niszczarkę danych. Zarządzenie nim jest proste i intuicyjne.

• ClamAV (open source)

  ClamAV to darmowy i wyjątkowo wydajny skaner antywirusowy. Działa w trybie wielowątkowym, dzięki czemu chroni serwer w czasie rzeczywistym, nawet jeśli obsługuje on wiele pakietów danych.

  Jest to narzędzie wieloplatformowe, zatem można go używać na urządzeniach o różnych systemach operacyjnych, działających w jednej sieci. Sygnatury wirusów i złośliwego oprogramowania aktualizują się automatycznie, co pozytywnie wpływa na bezpieczeństwo. Można go używać za pomocą interfejsu wiersza poleceń lub interfejsu graficznego razem z rozwiązaniem ClamTK.

• Zabbix (open source)

  Zabbix to zaawansowane narzędzie do monitorowania działania serwerów. Można za jego pomocą stworzyć odpowiednie reguły, na podstawie których oprogramowanie będzie wysyłało powiadomienia dotyczące jakiejkolwiek anomalii w stabilnym działaniu serwera.

  Za jego pomocą możemy monitorować dowolną usługę, działająca na serwerze, zarówno pod kątem ogólnego działania, jak i wykorzystywanych przez nią zasobów serwerowych. Pozwala to na przeciwdziałanie wszelkim atakom, które służą celowemu destabilizowaniu działania płynności serwera. Umożliwia także szybkie reagowanie w przypadku niedostępności działania określonych usług na serwerze. Narzędzie to jest również bardzo pomocne przy optymalizacji wydajności działania serwera, jak i działających na nim aplikacji.

• Wireshark (open source)

  Wireshark to darmowy analizator protokołów sieciowych, który doskonale sprawdzi się do monitorowania sieci. Pozwala na przechwytywanie pakietów danych i sprawdzanie ich zawartości, aby wykryć te potencjalnie niebezpieczne.

  Oprogramowanie jest w stanie przechwytywać dane docierające do serwera z różnych źródeł: sieci LAN, Wi-Fi, Bluetooth czy poprzez USB. Dla nowego użytkownika może być nieco trudne w obsłudze i jego opanowanie wymaga pewnego wysiłku. Jednocześnie pomocą służyć tu może rozległa społeczność zgromadzona wokół rozwiązania.

• OpenVAS (open source)

  OpenVAS to skaner podatności, czyli narzędzie pozwalające wykryć luki w systemie, które mogą zostać wykorzystane przez hakerów do przeprowadzenia ataku. Oprogramowanie jest w stanie wykryć 26 000 rodzajów luk.

  Dużą zaletą OpenVAS jet aktywna społeczność programistów, którzy udoskonalają narzędzie oraz tworzą do niego wtyczki. Pluginy pozwalają dostosować je do swoich potrzeb, co sprawia, że staje się bardzo uniwersalne.

• Nessus

  Nessus jest płatną alternatywą dla OpenVAS. Wyróżnia go to, że ma wyjątkowo niski wskaźnik zgłaszania fałszywych alarmów. Znacznie zmniejsza to ilość pracy administratorów serwera.

  Rozwiązanie wykrywa błędy w oprogramowaniu oraz niewłaściwe konfiguracje systemów operacyjnych i urządzeń IT. W przeciwieństwie do OpenVAS zawiera wstępnie skonfigurowane zasady i szablony skanowania dla różnego rodzaju zasobów informatycznych. Wykrywa 50 000 rodzajów luk i obsługuje 130 000 wtyczek. Wadą Nessusa jest jednak wysoka cena.

• Sentry (open source)

  Sentry to monitoring działania aplikacji uruchomionych na serwerze. Oprogramowanie rejestruje każdy błąd, jaki pojawił się w uruchomionej aplikacji i informuje o tym zdefiniowane wcześniej osoby (najczęściej są to osoby techniczne oraz zarządzające w danym projekcie).

  Narzędzie jest bardzo pomocne w szybkim reagowaniu na błędne działanie aplikacji. Osoby techniczne nie muszą na bieżąco przeglądać logów, bo robi to za nich oprogramowanie, które w czasie rzeczywistym zgłasza wszelkie błędy, pojawiające się w oprogramowaniu.

  Dodatkową zaletą Sentry jest grupowanie błędów, rejestrowanie dodatkowych informacji dla każdego z nich (dotyczących przeglądarki, IP itp.) oraz przejrzyste przedstawianie logów w interfejsie graficznym (zamiast surowych logów opartych na plikach).

  Sentry pozwala na szybkie reagowanie, gdy oprogramowanie działa niewłaściwie i generują się błędy, przez celowe, niewłaściwe wykorzystywanie programu. Poszukuje luk bezpieczeństwa.

• Nmap (open source)

  Nmap to narzędzie służące do sprawdzania luk w zabezpieczeniach, skanowania portów, wykrywania urządzeń i usług działających w systemie oraz mapowania sieci. Jest uznanym i standardowym rozwiązaniem dla tych zastosowań.

  Luki w zabezpieczeniach wykryć można podczas przeprowadzania testów penetracyjnych sieci. Jest to rodzaj ataku hakerskiego na własną sieć, aby sprawdzić jej wrażliwość na działania prawdziwych cyberprzestępców. Nmap doskonale nadaje się do tego celu.

  Narzędzie działa na wielu systemach operacyjnych i jest łatwe w użyciu. Obsługiwać je można zarówno za pomocą wiersza poleceń, jak i interfejsu graficznego. Wokół Nmap wykształciła się duża społeczność programistów, dzięki czemu program jest stale aktualizowany.

• Fail2ban (open source)

  Fail2ban analizuje logi związane z łączeniem się do serwera i wychwytuje wszelkie anomalia, które zostały wcześniej zdefiniowane przez administratora. Jeśli dana anomalia wystąpi, określony IP, który do niej doprowadził, może zostać tymczasowo lub na stałe, zablokowany. Pozwala to przeciwdziałać atakom brute-force na określone usługi oraz aplikacje, jak i też od strony programowej przeciwdziała atakom DDoS.

Hakerzy nie śpią - przygotuj na nich serwer

Liczba cyberataków wciąż rośnie. Hakerzy doskonalą także swoje metody, na co muszą reagować specjaliści od bezpieczeństwa serwerów. Przestępcy coraz częściej stosują m.in. technologię sztucznej inteligencji i uczenia maszynowego, przez co łatwiej jest im przeprowadzać skuteczne ataki.

Dlatego też absolutnie niezbędne jest stałe monitorowanie sieci, wykrywanie wrażliwych punktów serwerów czy zabezpieczanie się przed wirusami i malware. Powyższe narzędzia mogą stanowić skuteczną broń przeciwko hakerom, co potwierdza ich popularność wśród programistów na całym świecie.

Jednakże poza odpowiednim oprogramowaniem, niezbędne jest również zastosowanie dodatkowych zapór bezpieczeństwa, jak:

• używanie silnych haseł oraz kluczy SSH do łączenia się z serwerem
• ograniczanie dostępu do newralgicznych usług dla określonej puli adresów IP (najlepiej wykorzystując sieć VPN)
• stałe aktualizowanie oprogramowania działające na serwerze, podnoszenie wersji bibliotek w zainstalowanych na serwerze aplikacjach
• śledzenie stron hakerskich, aby szybko reagować na jakiekolwiek podatności 0-day, na które może być podatny nasz serwer lub uruchomiona aplikacja
• dbanie o bieżący i bezpieczny backup serwera
• stosowanie niestandardowych konfiguracji serwerowych (np. inny niż domyślny port dla połączeń SSH)
• ograniczenie i ukrycie otwartych portów na serwerze

Trzeba również pamiętać, że często najsłabszą zaporą bezpieczeństwa, jest sam... człowiek. Należy być ostrożnym, zwłaszcza gdy jest się administratorem danego serwera lub aplikacji, bo hakerzy często wykorzystują słabość czynnika ludzkiego, do zdobycia nieuprawnionego dostępu.

Zawsze należy zwracać uwagę na to, co się klika oraz na to, co się przekazuje innym osobom - powinniśmy tutaj zawsze stosować zasadę ograniczonego zaufania i sprawdzać, czy intencje osób, które się z nami kontaktują, są na pewno szczere. Inaczej możemy narazić się na poważne problemy.