Temel güvenlik ilkeleri

“Bir web sitesinin güvenliğini sağlama” makalesi Sophos Plc ve SophosLabs tarafından sunulmaktadır.

Aralık 2007.

Güvenli bir site tasarlamanın, oluşturmanın veya kullanmanın ilk aşaması, barındırma sunucusunun maksimum güvenliğini sağlamaktır.

Bir web sunucusu, birkaç yazılım katmanından oluşur ve her biri aşağıdaki diyagramda gösterildiği gibi farklı türde saldırılara maruz kalır. Unutmayın: herhangi bir blok saldırı hedefi olabilir.

Her sunucunun temeli işletim sistemidir. Bunu güvence altına almak oldukça kolaydır. Güncellemeler yayınlandığında bunları yüklemeniz yeterlidir. Bu çok fazla çaba gerektirmez. Microsoft [1] ve birçok Linux sürümü, şirketlerin hata düzeltmelerini otomatik olarak yüklemelerine ve tek bir tıklamayla başlatmalarına olanak tanır.

Bilgisayar korsanlarının saldırılarını otomatikleştireceklerini unutmayın. Bunun için, sunucuları kontrol eden ve güncellemeleri yüklenmemiş olanları arayan kötü amaçlı yazılımlar kullanırlar. Güncellemeleri zamanında ve doğru bir şekilde yüklemek önemlidir. Son güncellemeleri olmayan herhangi bir sunucu saldırı hedefi olabilir.

Ayrıca, web sunucusunda çalışan tüm yazılımları zamanında güncellemelisiniz. Gerekli olmayan herhangi bir yazılımı kapatın veya kaldırın (örneğin, bir DNS sunucusu veya VNC veya uzak masaüstü hizmetleri gibi uzaktan yönetim araçları). Uzaktan yönetim araçlarına hala ihtiyaç varsa, bunların varsayılan parolalar veya tahmin edilmesi kolay parolalar kullanmadığından emin olun [2]. Bu, yalnızca uzaktan yönetim araçları için değil, aynı zamanda kullanıcı hesapları, anahtarlar ve yönlendiriciler için de geçerlidir.

Bir sonraki önemli nokta antivirüs yazılımıdır. Kullanımı, hangi platformu kullanırsa kullansın, her web sunucusu için zorunlu bir gerekliliktir. Esnek bir güvenlik duvarı ile birleştirildiğinde, antivirüs yazılımı güvenlik tehditlerine karşı korunmanın en etkili yollarından biri haline gelmektedir. Web sunucusu saldırıya uğradığında, hacker güvenlik sistemindeki açığı düzeltmeden önce kullanmak için siber saldırı araçlarını ve kötü amaçlı yazılımları mümkün olan en kısa sürede yüklemeye çalışır. Sunucuda kaliteli bir antivirüs paketi yoksa, güvenlik sistemindeki açık uzun süre fark edilmeden kalabilir.

Koruma açısından en iyi yaklaşım çok katmanlı bir yaklaşımdır: ağ güvenlik duvarı ve işletim sistemi önde, arkalarında ise güvenlik açıklarını kapatmaya hazır antivirüs.

Özetlemek gerekirse:

• Gereksiz bileşenleri yüklemeyin. Her bileşen bir tehdittir. Ne kadar çok bileşen varsa, genel risk o kadar yüksek olur.

• İşletim sistemi ve uygulamalar için güvenlik güncellemelerini zamanında yükleyin.

• Antivirüs kullanın, otomatik güncellemeleri açın ve düzenli olarak doğru yüklendiklerini kontrol edin.

Bu görevlerden bazıları zor görünebilir, ancak unutmayın ki güvenlikteki tek bir açık saldırı için yeterlidir. Potansiyel riskler veri ve trafik hırsızlığı, sunucu IP adresinin kara listelere eklenmesi, kuruluşun itibarının zarar görmesi ve sitenin istikrarsızlığıdır.

Bir sonraki önemli yazılım bileşeni HTTP sunucusunun kendisidir. En popüler alternatifler IIS ve Apache’dir.

İleri

Destek birimiyle iletişime geçin