Ломать не строить, строим защиту сервера

[00000]

В первой части я рассказал о том, как убрать уязвимости с своего сайта, а так же как их найти, теперь во второй части я расскажу о особенностях защиты игрового сервера, а так же связки сайт - сервер.

1-е и самое главное, компьютер на котором стоит сервер, НЕ ДОЛЖЕН эксплуатироваться как домашний или рабочий компьютер!!! Сервер это сервер!!!

Обьяснение: Любая программа которая использует интернет соединение ( например торрент-клиенты ), открывает порт для своих нужд, для сервера же это дополнительная уязвимость!!!

Нужен ли антивирус ? Антивирус нужен ОДНОЗНАЧНО, так как залив жертве на компьютер трояна, я получаю полный админ доступ к компьютеру.

Не используйте для удаленного соединения с сервером R Admin, о уязвимостях данного ПО, Вы можете найти достаточно много информации в google.

Для удаленного соединения с сервером, я рекомендую использовать только TeamViewer или же RDP (удаленный рабочий стол).

НИКОГДА НЕ УСТАНАВЛИВАЙТЕ СЕРВЕР НА ПОЛЬЗОВАТЕЛЯ Администратор ( Administrator ), создайте пользователя с другим именем, создайте пароли, но только в БЕЗОПАСНОМ РЕЖИМЕ !!!!!
Пароли Администратора и пользователя должны быть отличными друг от друга!!!!

В ситуации сайта на хостинге, с помощью Фаервола ограничьте подключение по порту 1433 (порт MSSQL) только с IP хостинга, в Outpost это можно сделать с помощью правил для приложений, если сайт стоит на одной машине с сервером порт 1433 ДОЛЖЕН БЫТЬ ЗАКРЫТ.

Если у вас сайт связан с базой MSSQL, а он связан, создайте пользователя в MSSQL с ограниченными правами только на просмотр таблиц и на редактирование только конкретных колонок, которые задействованы в Вашем сайте. Пароли sa и пользователя должны быть РАЗНЫМИ!!! Да и советую поменять пользователя по умолчанию sa, на другого!!!!

Когда вы установили сервер, посмотрите сколько вам надо открытых портов TCP, у меня например только 1 CS (Connect Server), с помощью фаервола ограничьте использование других атрибутов сервера, на локальное соединение.

Ну и напоследок несколько полезных программ:

Продукция Kerio :: Kerio Connect v7.2.2-4528 & Kerio Control v7.1.2 [build 2333]

скачать можна ТУТ
Особенности настроек смотрите ТУТ

Спойлер

Agnitum Outpost Security Suite Pro - пакет для комплексной защиты компьютера от угроз, которые могут исходить из локальной сети и интернета. Основанный на полностью переработанном Outpost Firewall Pro 2008, он включает в себя антивирус анти-шпион, "умный" анти-спам, широкие возможности веб-контроля плюс к этому совершенную внутреннюю защиту самой программы против возможных хакерских попыток прекратить ее работу. Упреждающая защита от угроз. Outpost Security Suite Pro обеспечивает первую линию обороны от вредоносного ПО, проактивно контролируя поведение и взаимодействие приложений на персональном компьютере и закрывая бреши в системе защиты. Локальная безопасность проактивно отслеживает и блокирует все виды изощренных методов взлома, используемых для кражи данных. Анализируя угрозы и отображая своевременные уведомления, Локальная безопасность останавливает новейшие атаки и защищает компьютер от несанкционированных действий, делая его заранее защищенным от таких угроз безопасности как компьютеры-зомби, руткиты и утечка данных. Новая версия расширяет спектр контролируемых событий и операций, обеспечивая еще более мощную и более настраиваемую защиту. Outpost прекрасно справляется с ныне существующими тестами на утечку данных (leaktests), с дополнительным акцентом на препятствие типичным действиям кейлоггеров.

[свернуть]

Для установки Trial Reset для 7.0.4.3412 надо запустить Trial Reset, цыкнуть "Установка автоматического сброса триала ......" - нажать ОК, и перезагрузиться. ВСЕ.
Придет нужное время - триал сам сбросится.
После завершения работы с Trial Reset на диске С создается файл Complex_trial_resetter_by_Ioprst.log - это лог-файл с записями работы ресеттера.
По нему вы можете прочитать все ли прошло успешно.
Если Аутпост просрочен - тогда придется вам чистить реестр ручками и переустанавливать программу. Так что не чудите и не экспериментируйте лишний раз.

Качаем ТУТ

И наконец шедевр, как по мне одно из лучших решений

VisNetic Firewall

Возможности

Спойлер

* Remote Administration Servers Only
* Web Server Protection Servers Only
* Port Scan Detection
* Tarpits
* Ban List of IP's
* Filter by MAC Address
* Server Firewall Protection Servers Only
* Selective Control of Other IP Per Device Servers Only
* Port Activity Monitor Servers Only
* Time-Sensitive Rules Servers Only
* Connections Viewer
* Firewall Protection
* SYN Flood Protection
* IP Tracer
* Sequence Number Hardening
* Stateful Inspection
* Address/Port/MAC Groups
* Stand-alone PC or Workstation Firewall Protection
* Network Firewall Protection
* Configuration Wizard
* Rules Based Protection
* Separate Rule Sets for Each Network Adapter
* Importing/Exporting Rules
* Smart Copy
* Separate Filtering and Rules Per Device
* Logging
* Email Notification
* Password security
* Log File Export Scheduling
* Allow or Block Non-IP or Other IP Per Device

[свернуть]

Основные понятия и как поставить

Спойлер

Основные понятия

Файерволл управляет сетевым трафиком, поэтому, прежде чем начать с ним (файерволлом) работать, нужно знать, что такое пакет данных, протокол, соединение, сервер, клиент итп.

Протокол - "язык" общения двух приложений. Неважно, по сети или внутри одной ОС. Здесь речь пойдет о сетевом протоколе.

Протоколы бывают основанными на других протоколах. К примеру, IP - протокол передачи данных. Внутри него 256 других протоколов более высокого уровня. На одном из них, например TCP, работают десятки других: HTTP, FTP, SMTP...

Пакет данных - структурная единица сетевого трафика. Основная характеристика - протокол. Протоколы бывают разные, но здесь в рассмотрение берется только протокол IP (Internet Protocol). Внутри этого протокола есть под-протоколы более высокого уровня. В рамках протокола IP пакет характеризуется номером IP-протокола (0..255). Некоторые широко используемые ip-протоколы имеют названия, к примеру 1 - ICMP, 6 - TCP, 17 - UDP.

Каждый из этих протоколов имеет свои назначения и программные реализации, к примеру ICMP (Internet Control Message Protocol) в первую очередь предназначен для саморегуляции сети путем посылки управляющих пакетов. Как одно из назначений, он может быть использован также и для проверки целостности и скорости сети (ping/traceroute). Другой пример - TCP (Transport Control Protocol): используется для сообщения между двумя узлами, один из которых (инициатор соединения) называют клиентом, другой (ожидающий соединения) - сервером. Когда клиент послал инициирующий пакет серверу, а сервер послал подтверждающий ответ, соединение считается созданным (на самом деле все немного сложнее). Протокол TCP имеет программную реализацию защиты от ошибок. В отличие от него, протокол UDP (User Datagram Protocol) ее не имеет, в итоге ценой ее отсутствия уменьшается время ответа узла и сетевой трафик (в случае, когда ошибок на самом деле мало), и поэтому протокол UDP используется в основном в играх, а также там, где от сервера требуется ответ в виде одного пакета (DNS, DHCP, NTP итд).

Если говорить об IP-соединениях (TCP/UDP), то у них основные характеристики - это адрес/порт первого узла и адрес/порт второго узла. Кто из них клиент, а кто сервер, можно сказать лишь по косвенным данным. В пределах одного соединения пакеты передаются от одного узла к другому и обратно, при этом каждый пакет хранит в своем заголовке данные об отправителе и о получателе.

Пакеты TCP и UDP имеют схожие характеристики: адрес/порт источника и адрес/порт назначения. Эти характеристики в основном и используются при составлении правил управления пакетами.

В дальнейшем порт, от которого пришел пакет, я буду называть портом источника, а тот порт, куда он был направлен - портом приемника. Применительно к конкретному соединению, можно говорить о локальном порте (порт, использующийся соединением на локальной машине) и удаленном порте (на удаленной машине).

Нужно знать, что порт источника в пакете, идущем от клиента к серверу, в 99% случаев находится в диапазоне 1024...65535. И наоборот.

Сейчас уже собственно о файерволле.

I. Установка.

1) Удалите ВСЕ файерволлы, которые у вас стоят. Во избежание конфликтов.

2) запуск инсталла. Ключ можно взять из кейгена. Разберитесь сами, в какую папку его надо поставить, куда засунуть меню.

3) Configuration wizard

Make my ruleset for me

Do you want the firewall to start automatically - Yes (будет создана служба)

Do you want to allow or block communications when your firewall is not running - Block

Finish

перезагрузка.
учтите, что интернет после нее может и не работать.

4) тут мне у себя не удалось повторить того же, что я видел при первом инсталле, потому что файерволл у меня уже стоял и он эту настройку запомнил. Но на память скажу, что надо выбрать, если это будет предложено. Просто везде говорите "далее".

II. Начальная настройка, знакомство с управлением, создание первичной конфигурации.

Нажмите дважды мышкой по красной иконке файерволла в трее. Откроется окно настройки файерволла.
Слева можно найти список сетевых соединений (имена соединений - такие же, какими они называются в винде), пункт Activity и Log. В списке адаптеров должны быть все сетевые карты, а также dial-up adapter (у меня например появился, даже если его нет) и "DEVICENDISWANIPX" (не знаю, зачем). Нам нужны только те соединения, которые на самом деле нужны (по названиям видно).

Разверните список внутри этого соединения. Появятся пункты Configuration и Rules - самые важные элементы управления соединением в файерволле.

Сначала зайдем в Rules. Справа видны 5 вкладок, куда можно вписывать правила для каждого из 5 основных протоколов (почему туда попали ARP и RARP - сам не знаю). Каждое правило содержит в себе критерии, которые "примеряются" к пакету, и в случае соответствия пакета критериям принимается решение, которое записано в этом же правиле. Каждый пакет проходит проверку по критериям каждого правила, правила "примеряются" к пакету по порядку сверху вниз. Сначала пакет будет проверен на соответствие первому правилу в списке, затем второму и так далее, до тех пор, пока пакет не будет соответствовать какому-либо правилу. Если соответствие найдено, "движение" пакета по правилам прекратится, и к пакету будет применено действие, которое записано в том правиле, под чье соответствие попал пакет. Если соответствующее правило так и не было найдено, к пакету применяется политика по умолчанию (об этом чуть позже).

В каждой из 5 вкладок нужно удалить ВСЕ правила (выделить - Del). Потом настроим подробнее.

Перейдем к пункту Configuration. Справа появится диаграмма (если честно, я не знаю зачем она нужна, для красоты что ли) и чуть левее - кнопка Advanced с несколькими опциями чуть повыше. Галка Allow all traffic разрешает весь трафик через адаптер. Галка Filter traffic включает фильтрацию трафика, используя правила. Галка Use stateful inspection позволяет использовать механизм определения состояния пакета (принадлежит ли он уже существующему соединению) и должна быть всегда включена. Я ни разу не встречался с необходимостью ее снимать.

Нажмите кнопку Advanced. Откроется окно "Default filtering", позволяющее настроить политику по умолчанию для пакета. На первой вкладке можно настроить 5 основных IP-протоколов, вкладки для которых присутствовали в элементе Rules (TCP, UDP, ICMP, ARP, RARP), на второй - все IP-протоколы, на третьей - все другие (не IP) протоколы. Для протокола TCP также можно настроить несколько дополнительных параметров.

Я рекомендую настроить конфигурацию политик по умолчанию следующим образом:
TCP: Block, Log (ничего больше менять не надо)
UDP: Block, Log
ICMP: Block, Don't log (снять галку)
ARP: Allow, Don't log
RARP: Block, Don't log

Others (3-я вкладка): Block, Don't log

Первичная настройка окончена, сейчас нужно настроить правила, чтобы интернет наконец-то нормально заработал. Здесь необходимо знать, какую же конфигурацию нужно реализовать. Но для начала попробуем создать первое правило.

Зайдите во вкладку TCP элемента Rules нужного соединения. Нажмите правой клавишей по пустому месту в области справа, выберите New. В поле Description можно вписать название правила, которое будет видно в списке. Поля "Applies to:" и "Filter data going" менять не надо. Перейдите во вкладку Filtering. В поле Local->Address нужно поставить "My Address", в поле Local->Port - "1024..65535". В поле Remote->Address нужно ввести "All addresses", а Remote->Port - "Any number". Во вкладке "Restrictions" нужно поставить галки "Block incoming fragments" (это рекомендуется ставить во всех правилах для TCP, поскольку фрагментированные пакеты гораздо чаще являются частью атаки, чем частью нужного пакета) и "Block incoming connections". Этой галкой устанавливается, что по данному правилу будут запрещаться входящие соединения. Это не значит, что пакет запроса соединения извне продолжит "движение" по правилам. Нет, это как раз означает, что он на этом правиле и будет отброшен. Наконец, во вкладке Actions нужно поставить действие Allow и убрать все галки Log. Теперь можно нажимать Ок, и новое правило будет создано. Выглядеть оно будет примерно так:

Allow 40 name My address [1024-65535] <-> All Addresses [All Ports] (BF)

Первое поле - действие, которое применяется к пакету, попавшему под это правило. Второе - номер правила. Третье - его название. И четвертое - параметры правила, где видны локальные и удаленные адреса и диапазоны портов, возможное направление следования пакета, попадающего под это правило, а также добавочные флаги. По этой информации можно однозначно восстановить то, что записано в св-вах правила. Все, кроме расписания его работы.

Да, и надо привыкнуть нажимать кнопку "Save" после изменения конфигурации.

Сейчас нужно создать правило для корректной работы клиента DNS, без которого интернет как надо работать опять-таки не захочет. Нужно перейти во вкладку UDP и вызвать окно создания правила. Некоторые параметры этом окне отсутствуют, потому что для соединения UDP они неприменимы. Во вкладке Filtering нужно выбрать Service->DNS и в Remote->Address сменить All Addresses на адрес вашего DNS-сервера. Если их два или более, то нужно создать соответствующее количество правил для каждого сервера.

Итак, правило для DNS создано. Уже можно работать в интернете. Начальная конфигурация создана. Есть только один нюанс: возможны проблемы с комплексными протоколами, такими как FTP, IRC, ICQ. С FTP серверами можно будет работать только в пассивном режиме, в IRC и ICQ невозможно будет принимать файлы. Сообщения в ICQ будут ходить медленно и через сервер. Но это пока только первоначальная конфигурация.

[свернуть]

Ну и конечно же скачать тут

Надеюсь данный гайд вам поможет, но не забывайте главного, главное на сервере это не сборка, а игроки.
Всем спасибо за внимание))

[Screamer]

Будь добр, сделай гайд по Sygate Firewall pro

[Paqpka]

Будь добр, сделай гайд по Sygate Firewall pro

Ага не помешало бы про Sygate Что и как можна-лучше настроить для сервера

[ausmann]

Ага не помешало бы про Sygate Что и как можна-лучше настроить для сервера

для тебя надо все гайды заного делать так как тебе одному из 200 не понятно
походу даже видео гид не спасёт