במאמר זה נדון בכמה היבטים הקשורים לאבטחת חשבון האחסון שלך על חלקיו השונים ואבטחת אתר האינטרנט שלך בפרט. וובגייט משתמשת במספר מערכות הגנה ברמות שונות, כגון פיירוולים, מערכות IPD/IDS, מערכת Anti-DDOS, אנטיוירוסים על שרתי דואר ו-Web, מערכות אנטיספאם לדואר, Application Firewalls ומערכות Brute Force Detection. עבודת האבטחה מתבצעת בשכבות על גבי שכבות, תוך תיאום עם הלקוח ושמירת הקו הדק בין אבטחת האתר לתפעול קל ופשוט.
האופן בו אתרי האינטרנט של לקוחותינו מאובטחים והדרך בה המידע שלהם מוגן חסוי וגלוי רק להם, זהו הדבר החשוב ביותר מבחינתנו. אבטחת האתרים בחברה שלנו מבוססת על ניסיון רב של טכנאינו, המשתמשים בטכנולוגיה החדישה ביותר, בתוכנות הכי עדכניות ונפוצות, מבצעים בקרה וניטור באופן שוטף ומדריכים את לקוחותינו בכל הנוגע לשמירה על נהלי אבטחת מידע ואבטחת אתרים.
חשבון אחסון לאתר אינטרנט – החל מ-9₪ לחודש – לחצ/י לפרטים
אבטחת מידע לאתרי אינטרנט וחשבונות אחסון – ראשי פרקים:
- כיצד לבחור סיסמא מתאימה לשירותים שונים.
- כיצד להתחבר לאתר אינטרנט באמצעות פרוטוקול SSL
- כיצד מאבטחים ניהול באתר באמצעות שם משתמש וסיסמה
- מה לעשות במקרה שפורצים לך לאתר?
- כיצד לאבטח טפסים באתר?
- כיצד שומרים על אתרי קוד פתוח מפריצות / השתלטות עוינת?
- אילו כלים מספקת וובגייט לאימות דואר אלקטרוני?
- איך לאבטח/להגן על מסד נתונים MySQL/MS-SQL?
- איך מאבטחים חלקי אתר לגישה בלעדית מכתובת IP.
- איך לאבטח דואר אלקטרוני יוצא מהשרת באמצעות GPG / PGP
- כיצד להגן על תוכן באתר – Hotlinking
- מהו mod_security ואיך אני יכול להשתמש בו? (לינוקס)
- מהו מנגנון cpHULK של ממשק הניהול cPanel
- מהו התפקיד של בעל האתר בהגנה על פרטיות המשתמשים?
- כיצד מתחברים לשרתים יעודיים באמצעות VPN ו-tunneling.
- מהו תקן PCI-DSS לטיפול בסליקת כרטיסי אשראי?
בחירת סיסמא נכונה לשרותים השונים.
הגדרה, החלפה תכופה ושמירה על סיסמא חזקה ועדכנית הם חלק מהותי בשמירה על אבטחת חשבון האחסון או השרת וירטואלי. כשלב ראשון, מומלץ לקבוע סיסמא שניתן לזכור. דבר שני, הסיסמא צריכה להיות חזקה ככל שהמערכת מאפשרת. רוב המערכות מקבלות סיסמא בת לפחות שמונה תווים. יש לנסות להגדיר סיסמא המכילה שתי מלים, או לחילופין מילה אחת ארוכה. רצוי לכלול שגיאת איות שלא תאפשר למצוא את המלה במילון, וכן להוסיף בסיסמא תו מיוחד, מספר אחד וגם אות ראשית אחת לפחות. לפניכם שתי דוגמאות יעילות: amud4An$ ; Hofer#et . נהוג להחליף סיסמא כל 3 חודשים לפחות. צוות וובגייט לא יבקש את הסיסמא שלכם אלא במקרים נדירים מאד. גם במקרה שכן, אתם תונחו לטופס יצירת הקשר באתר, שם תתבקשו לסמן את אפשרות ההצפנה (GPG) טרם המשלוח. אחרון חביב וחשוב – אל תמחזרו את אותה סיסמא, ואל תשתמשו בשיטת קביעת סיסמא עקבית למערכות שונות. בחרו סיסמא ייחודית שלא ניתן לנחש בעזרת סיסמא אחרת שלכם. לאחרונה אירעו מספר מקרים של דליפת רשימות שמות משתמשים וסיסמאות מכמה אתרים, והבעיה הוכפלה פי כמה אצל משתמשים שהגדירו את אותה סיסמא לדוא"ל, לחשבון אחסון, ל-PayPal ואתרים אחרים.
כיצד להתחבר לאתר אינטרנט באמצעות פרוטוקול SSL
וובגייט מאפשרת לכל לקוח גישה לאתרו באמצעות פרוטוקול SSL. SSL הן ראשי תיבות של Secure Socket Layer. כיום לכל דומיין שמאוחסן על שרתי webgate, כולל על שרתי ווינדוס יש תעודה חוקית תקינה המונפקת על ידי cPanel או בפלס על ידי Lets Encrypt. לקוחות עסקיים, אשר רכשו כתובת IP יעודית יכולים להתקין תעודות פרטיות, אותן אפשר לרשום אצל ספקי תעודות רבים בחשבון האחסון שלהם. ממשקי הניהול מאפשרים הכנת בקשת תעודה – CSR ווובגייט תשמח להנפיק עבורכן מבחר תעודות במחירים מיוחדים ללקוחותיה.
כיצד מאבטחים ניהול באתר באמצעות שם משתמש וסיסמא
אנו בוובגייט מאפשרים לההגן על תיקיות בתוך חשבון האחסון, בין אם בשרתי לינוקס או בשרתי חלונות. מערכות רבות מספקות התחברות מרוכזת למשתמשים ולמנהלים. בפועל מתגלות עם הזמן פרצות אבטחה, חלק מאלה מתבטאות בעקיפת בדיקתsession או עקיפת מנגנוני האבטחה של היישום בדרכים אחרות. במקרה זה, תוספת הגנה בצורת Basic Authentication תסכל את המתקפה מכיוון שהפורץ יזדקק גם לנתוני גישה או לפרוץ לשרת Apache. אם התוקף מסוגל לפרוץ שרת Apache המעודכן כהלכה, כנראה שהאתר מהווה מטרה להאקר ברמה עולמית, מה שאומר שהצלחת בגדול ממשקי הניהול שלנו מגיעים עם מגוון אמצעים לקונפיגורציית הגנה על תיקיות, כולל שרתי ה-Windows אשר עושים זאת בצורה חלקה ונוחה באמצעות תוסף ISAPI המחקה התנהגות של קבצי .htaccess על שרתי לינוקס/אפאצ'י.
מה לעשות במקרה שפורצים לך לאתר?
תהליך הבדיקה לאחר פריצה לאתר מכונה בשפת הטכנאים Forensic Investigation. הרבה מלים ותהליכים בסיטואציות וירטואליות מכונות על שם מקביליהם מהעולם האמיתי. זירת פשע בעולם הוירטואלי יכולה להזדהם באמצעות קובץ שנערך (ושינוי תאריך גישה אליו), לוגים שנמחקו, שחזור מגיבוי וכיוצא בזה. מהרגע שאובחנה הפריצה יש לנו כמה יעדים: ראשית, לגלות את מועד הפריצה המדויק. את זה מגלים לרוב באמצעות בדיקת תאריך שינוי הקבצים. רוב הפריצות שאנו עדים להן נעשות במטרה להשחית את האתר (בדרך כלל מסיבות של פוליטיקה), להשתמש בחשבון האחסון בכדי לתקוף מערכות אחרות, כדי לשלוח דואר זבל וכמובן כדי לגנוב מידע.
אחרי שביררנו מתי בוצעה הפריצה, נבדוק את הרשומות (לוגים) של שרתי האינטרנט וה-FTP. אם אין ברשותך גישה לרשומות שרת ה-FTP בקש מיד מאנשי התמיכה הטכנית לבדוק זאת בשבילך. אם הפריצה לא קרתה כתוצאה מחיבור לשרת FTP עם פרטי משתמש נכונים (וגנובים כנראה), היא בוצעה באמצעות ניצול פירצה באחד הסקריפטים המאוחסנים בשרת. אם זה נכון, בלוג השרת (אליו תמיד יש לך גישה) יש באפשרותך לבדוק לאיזה עמוד ניגשו בדיוק בזמן שבו הקובץ שבדקת קודם שונה. זוהי הצלבת נתונים פשוטה שבדרך כלל מגלה את הסקריפט הסורר. במקרה שבחשבון נעשה שימוש זדוני והוצא דוא"ל זבל, יש להביט בשורת הכותרת של ההודעות שנשלחו (mail headers). רוב ממשקי הניהול יוסיפו שורה המכונה X-PHP-Mailer שבה יוצגו פרטים על הסקריפט שהוציא את הדואר.
חשוב ביותר: במידה שהבחנתם בדליפת מידע מהאתר, יש להודיע לכל הנוגעים בדבר, חברי פורום, משתמשי קצה וחברות אשראי במקרה של גניבת פרטי כרטיסים. חשוב לזכור שחלק מהיוזרים משתמשים באותה סיסמא להרבה אתרים (רע מאוד לכשעצמו) ובמקרה שאירעה דליפה חשבונות אחרים שלהם יעמדו בסכנה גם הם.
כיצד לאבטח טפסים באתר?
בעיה רווחת ביותר כיום היא שימוש זדוני בטפסים ליצירת קשר באתרים לצורך משלוח דואר זבל או לצורך הכנסת תוכן פרסומי לאתר (Content Spam). אחת הדרכים להילחם ברובוטים היא הקאפצ'ה, מנגנון המייצר מילה אחת או שתיים באופן רנדומלי ומטושטש מעט, המקשה על הקריאה בתחילה. זהו מענה מעיק אבל עובד, רובוטים לא יכולים לקרוא בדרך שמחפה על שגיאות, טעויות איות וכיו”ב. לגבי דואר זבל, אנא ודאו שלא ניתן לעקוף את שדות ה-To, CC, BCC באמצעות הזנת פרמטרים באופן ישיר לסקריפט. על הכתובת אליה נמען המידע להופיע בתוך הסקריפט עצמו ולא בעמוד ה-HTML. אנו ממליצים גם להגדיר לדומיין SPF Record בכדי ליידע את שרתי הדואר בעולם שגם שרת הווב מורשה לשלוח דואר עבור הדומיין, ולא רק שרת ה-MX.
כיצד שומרים על אתרי קוד פתוח מפריצות / השתלטות עוינת?
על אף שזהו תחום נרחב מכדי לענות עליו במקום העומד לרשותנו, ננסה לספק כמה שיטות להורדה משמעותית בסיכוי שתתעורר יום אחד ותמצא תמונה של ארגון עוין במקום הלוגו שלך. חלק נכבד מאבטחת האתר מבוצעת על ידי בחירה בספק אינטרנט מתאים. חשוב לברר שהספק מפעיל ממשק ניהול משובח ומעודכן, כגון cPanel, Plesk או H-sphere. בנוסף, יש לוודא שגרסאות התוכנה, בעיקר PHP, MySQL, Apache עודכנו על פי הגרסאות אחרונות שמספקות מערכת ההפעלה או ממשק הניהול. כעיקרון, אנו מעדיפים להושיב את אתרי ה-PHP על שרתי לינוקס בשל יכולות האבטחה וההפרדה העדיפות שלהן. מומלץ לברר אצל הספק אילו מערכות אבטחה אחרות הוא מפעיל על השרתים ומחוץ להם (mod_security, application firewall, IPS/IDS Systems והכי חשוב, כיצד הוא מבצע גיבויים ומה כרוך בשחזור אתר, בין אם חלקי או מלא. המרכיב הבא בבניית סביבה מוגנת הנו שמירה קבועה על עדכון האפליקציה (וורדפרס, ג'ומלה, דרופל וכו.), ובכלל זה כל הרכיבים האחרים כמו פלאגינים, תוספים, מודולים, תבניות, שפות וכל דבר אחר שהותקן באתר. חובה לזכור שמדובר במערכות קוד פתוח, כל אחד יכול לעיין בקוד ולנסות לגבור על המתכנתים. רק הקפדה על עדכון האתר תמנע פריצה. מי שלא מבצע עדכונים לאתר מבוסס קוד פתוח מזמין פריצה כמעט וודאית תוך 3 חודשים עד חצי שנה, וחשוב לקחת את זה בחשבון לפני שמתחילים לעבוד עם תוכנות קוד פתוח שפתוחות לאינטרנט. המחמירים משנים שמות של קבצי תצורה נפוצים, כמו config.ing.php או configuration.php למשהו אחר, ודם משנים שמות של תיקיות ניהול, קידומות של טבלאות ומשתמשים בהגנת IP ו-basic authentication למערכות הניהול, זאת בנוסף לאבטחה של האפליקציות עצמן.
אילו כלים מספקת וובגייט לאימות דואר אלקטרוני?
על שרתי cPanel שלנו אפשר להגדיר רשומות SPF – Sender Policy Frameword והאימפלמנטציה של מיקרוסופט – Domain Key. על שרתי ה-H-Sphere ניתן נכון להיום להשתמש ב-SPF בלבד. הרעיון בשני המקרים דומה – אנחנו מודיעים לעולם, על ידי שימוש ברשומה בשרתי DNS אותה אפשר לבדוק באופן פשוט, למי יש הרשאה להוציא דואר בשם הדומיין ולמיאין. בדרך זו שרתים אחרים יכולים לבדוק אם דואר שנשלח תחת השם me@example.com יצא משרת של תיבות, שרת של יישום או שרת דואר המוני – שנרשם על ידינו באופן מיוחד. אפשר ליצור רשומת SPF בהתאמה אישית בהרבה אתרים ברשת, פשוט חפשו "SPF Wizard”. אם האתר משתמש בדואר של שרת חיצוני (exchange למשל) חשוב להגדירו ברשומת SPF.
איך לאבטח/להגן על מסד נתונים MySQL/MS-SQL?
מסדי נתונים מחזיקים לרוב בנתונים בעלי חשיבות. כמה חשיבות? את זה אתם מגדירים. מה שחשוב הוא שחברות התוכנה המציאו עבורנו כלים שיכולים לעזור די הרבה, אם משלמים עבורם ומשתמשים בהם. כשעוסקים באבטחה של מסד נתונים, ההבדל בין אחסון בשרתים שיתופיים לבין אחסון בשרתי VPS או שרתים יעודיים מתחיל להיות משמעותי. לוגים, עסקאות ואפשרות להעתיק קבצים "חמים" מתחילים לשחק תפקיד. בו בזמן, ישנן מספר פעולות שיכולות לעזור בתהליך. קודם כל, צריך (שוב) לבדוק את ספק שירות האחסון. מהי סכמת אבטחה של השרת, האם השרת מעודכן כמו שצריך, מהן אפשרויות הגיבוי ובמה כרוכים שחזורים, והאם הספק מודע באופן כללי לסוגיות אבטחת מידע. הדבר השני שכדאי לבצע הוא ליצור כמה משתמשים, עם הרשאות מתאימות לצרכים השונים. לדוגמא, משתמש של אתר יכול להסתפק בהרשאות פשוטות כגון קריאה וכתיבת מידע, ולעומתו אדמין זקוק גם ליכולת ליצור או למחוק טבלאות שלמות.
איך מאבטחים חלקי אתר לגישה בלעדית מכתובת IP.
באפשרותם של לקוחות שאתרם יושב על שרתי לינוקס (וגם של לקוחות וונדוס בעלי שרתים וירטואליים) להגביל את הגישה לאזורים שונים באתר למחשבים היושבים על כתובות IP מורשות בלבד. בשרתי הלינוקס עושים שימוש בקבצי .htaccess, שבהם ניתן לכלול הוראות פשוטות כגון: Deny from All; Allow from 127.0.0.1 וכיו”ב. אפשר גם לכלול בדיקת IP בנוסף למשתמש basic authentication. לדוגמא, אפשר לגונן על תיקיית wp-admin של וורדפרס על ידי הגבלה ל-IP מסוים, ובדרך זו גם אם יצליחו לפרוץ אל הוורדפרס גופו, יתקשה הפורץ הרבה יותר לגשת לקבצים שבתיקיית האדמין. אם לא האתר לא מרבה להתעדכן, אין זו טרחה רבה להתחבר באמצעות FTP לפני כל עדכון ולהזין מחדש את כתובת ה-IP בתוך קובץ ה-htaccess.
איך לאבטח דואר אלקטרוני יוצא מהשרת באמצעות GPG / PGP
בדואר אלקטרוני עדיין נעשה שימוש רב כאמצעי למשלוח מידע מהאתר אל בעליו. בין אם מדובר בהזמנות הכוללות כרטיסי אשראי, מידע פרטי רגיש, או מידע סוציו-אקונומי, רפואי וכו. קידוד המידע הוא חיוני מכמה היבטים. תחילה, אם משאירים את המידע על איזה שהוא מחשב, אפילו המחשב בעסק/בבית, הוא פגיע לגניבה, כפי שקורה מדי פעם. היערכות נבונה תמנע מנוכלים להשתמש במידע גנוב ותשמור על פרטיות לקוחותיך. עיקרון ה-PGP, ראשי תיבות של Pretty Good Privacy מורכב משימוש במפתח ציבורי, מפתח פרטי וסיסמא. אתר שמורשה לשלוח דואר מוצפן כולל בתוכו רק את המפתח הציבורי. את המפתח הזה ניתן לפרסם בכל דרך רצויה, שכן בלעדיו איש לא יוכל לקדד דבר. המפתח הפרטי – Private Key המתווסף לסיסמא אותה מזינים בתוכנות שונות (כמו Outlook, Mozilla, Mail) נחוץ לקריאת ההודעה. החסרון בשיטה הוא שאם המפתח הפרטי או הסיסמא אבדו הרי שכל החומר אבד. מסיבה זו, חיוני לשמור עותקים בשני מקומות שונים ובטוחים לכל הפחות.
כיצד להגן על תוכן באתר – Hotlinking
Hot-Linking הוא נושא שחשנו כי חובה לדון בו במאמר זה. זוהי מין דרך לגנוב תוכן ולהציג אותו באתרים מתחרים. מדובר בכל תוכן, בין אם תמונות, אייקונים, סרטוני פלאש, באנרים, קבצי סאונד ווידאו. בנוסף לבעיה של זכויות יוצרים, למעשה גונבים לך תעבורה. כאשר אתר אחר מציג תמונה היושבת על חשבון האחסון שלך באמצעות Hotlink, אתה בעצם משלם על התעבורה לאתר שלו. אמנם בחבילות האחסון שלנו אנו מעניקים כיום מכסות טראפיק נדיבות מאד ולכן בעיית גניבת התעבורה ב-Hotlinking זניחה יותר, אבל זה עדיין גורר צרות אחרות כגון שיבוש סטטיסטיקות וכמובן, פגיעה בזכויות היוצרים.
מהו mod_security ואיך אני יכול להשתמש בו? (לינוקס/ווינדוס)
זהו אד-און (או מודול) לשרתי Apache שמאפשר ניקוי של כתובות אינטרנט (URL) ובכלל זה בדיקת תוכן בקשות GET/POST. למשל, אפשר לקבוע חוקים מבוססי Regular Expressions כדי לבדוק את זהות הבקשה ותוכנה, ברמת Agent, Referer, Originating IP ובדיקת Strings עמוקה של כל הבקשה. בנוסף mod_security מסוגל לבדוק קוקיז ולשמש כגשר לתוכנת אנטיוירוס, בכדי לבדוק קבצים המועלים על ידי גולשים, לדוגמא.
מהו מנגנון cpHULK של ממשק הניהול cPanel
ממשק הניהול cPanel כולל בתוכו מערכת הגנה נרחבת מסוג Brute Force Detection הנקראת cpHulk. המערכת בודקת גישה ליישומים שונים כמו FTP, Mail, SSH, MySQL, מונה את מספר נסיונות הגישה הכושלים וחוסמת את הגישה לכתובות IP באופן לא חוקי שמנסות לגשת למערכות השונות. המשתמשים בשרתים וירטואליים ויעודיים הכוללים התקנת cpanel/whm נפרדת מקבלים שלל אפשרויות להגדיר את המנגנון הזה, דבר המאפשר להם להשאיר פורטים חשובים פתוחים לעולם מבלי לחשוש שבוטים ינגחו בשרת ללא הפרעה עד לפיצוח הסיסמא.
שרת וירטואלי (VPS) – החל מ-99₪ לחודש – לחצ/י לפרטים
מהו תפקידו של בעל האתר בהגנה על פרטיות המשתמשים?
אגירת מידע מטילה על האוגר אחריות רבה מאד. אתרים רבים אוגרים במהלך השנים ג'יגות רבות של מידע. מדובר בפוסטים של פורומים, תמונות, סרטים, לוגים של שרתים וכל מידע אחר שבאמצעותו ניתן לחבר בין הגולש לפעילות מסוימת (התפקדות למפלגה, העדפה פוליטית וכיו”ב). המשתמש באתרכם מתפה מכם כבעלי האתר לא רק לא לעשות שימוש זדוני במידע שנאגר, אלא גם לאבטח אותו בצורה המיטבית. אדם המשתתף בפורום יודע שבעל האתר צריך גם להתפרנס, ולכן הוא מציג פרסומות לצד התוכן. אבל אם בעל האתר ינתח את ההודעות בפורום ויספק את פרטי הגולש לחברות שיווק אגרסיביות בליווי מידע מנותח עח אופיו, זוהי חצייה של קו אדום. ראוי שאתרים יצהירו בפומבי, על ידי "הצהרת פרטיות", על כל שימוש שיעשו בתוכן שמעלים הגולשים לאתר, בכל צודה שהיא.
כיצד מתחברים לשרתים יעודיים באמצעות VPN ו-tunneling.
אחד השרותים המשלימים שאנו מציעים ללקוחות שרתים יעודיים ומערכות אינטרנט בשרידות גבוהה הוא חיבור לשרתים באמצעות רשת וירטואלית פרטית (VPN – Virtual Private Network). הלקוח יכול לבחור בין השימוש בחומות האש (Firewall) שלנו לצורך הקמת Tunnel יעודי בין המשרד או העסק לבין השרת שלנו, או חיבור בטוח לשרת באמצעות קליינט או SSL-VPN. אנו תומכים בכל הפרוטוקולים הנפוצים כגון AES/MD5/IPSEC.
מהו תקן PCI-DSS לטיפול בסליקת כרטיסי אשראי?
תקן PCI-DSS בא לעולם לפני שנים ספורות בכדי לאחד ולתחזק מידע והנחיות לעסקים וארגונים המחייבים כרטיסי אשראי באמצעות האינטרנט. למרות מה שרבים סבורים, התקן אינו חל רק על פעולה של קבלת פרטי האשראי דרך אתרים. למעשה, הוא בוחן את כל תהליכי האבטחה והטיפול במידע של הארגון – החל באתר, עבור בשמירה על מסדי נתונים, גיבוי ושמירת המידע במקום מרוחק ובטוח, בניית מנגנוני ניטור ובקרה על מעבר המידע בתוך הארגון, וכלה ב"סימון" מידע על מנת לאתר מקורות זליגה בעתיד ועוד היבטים רבים.