De manera similar a esta pregunta sobre Stack Overflow, ¿qué debe saber un administrador de sistemas que está acostumbrado a situaciones privadas de tipo intranet antes de ser administrador de un sitio público?
Estas podrían ser cosas relacionadas con la seguridad, como "no dejarlo telnet
abierto", o cosas prácticas como cómo hacer un equilibrio de carga para un sitio de alto tráfico.
Una herramienta que he encontrado útil para fortalecer la red es nessus
Básicamente, lo configura en un servidor externo, e intenta atacar su red con una gran cantidad de exploits conocidos. Puede configurarlo para el modo seguro (donde ninguno de los ataques debería bloquear su servidor), o si está bastante seguro de que tiene todo parcheado, o puede permitirse reiniciar sus servidores si es necesario, para el modo inseguro .
Luego, proporcionará un informe calificado muy completo para cada máquina que pueda ver de las vulnerabilidades / debilidades que encuentre, y las calificará en cuanto a su gravedad, e incluso recomendará acciones a tomar para abordar los problemas.
fuente
Deben saber cómo funciona su sistema de respaldo y recuperación ante desastres y cómo recuperarán el sistema cuando se vea comprometido.
fuente
Esto es un poco contrario, pero en términos de seguridad no distingo entre un servidor interno y un servidor externo. Tarde o temprano, alguien cometerá un error en un firewall, la administración insistirá en que un servidor esté expuesto debido a un cliente importante, Betty en contabilidad de alguna manera obtendrá un cliente VPN en su máquina doméstica infectada, etc.
Dicho esto, las capas son tus amigas y deberías incluirlas en la lista negra de forma predeterminada.
Capas: debe tener varias capas de seguridad. Por ejemplo, un firewall de hardware y un firewall de software. En teoría, tienen el mismo propósito, pero tener varias capas protege contra errores y mitiga las consecuencias de una sola capa que se explota.
Otro aspecto de la estratificación es el "hogareño", que es esencialmente DMZ múltiples. En algún momento, debe tener cierto nivel de confianza entre sus máquinas y las personas que acceden a sus cuentas. Si puede reducir esos puntos de interacción, puede controlar estrictamente el tipo de tráfico en el que confía en cualquier momento. Por ejemplo, si separa sus servidores de interfaz / aplicación de sus servidores de base de datos, reduce el nivel de confianza. Si sus servidores de aplicaciones se ven comprometidos, esos atacantes obtienen un punto de apoyo mínimo en su infraestructura (es decir, para continuar su ataque e intentar explotar sus otros servidores, solo tienen esos puntos de confianza establecidos para usar).
Con respecto a las listas negras por defecto, básicamente debería cerrar todo y exigir (incluso si es solo de usted) justificación para cada puerto que abra, nombre de usuario al que permita el acceso, aplicación que instale, etc.
fuente
En los sistemas con CUALQUIER interfaz pública, asegúrese de que sus usuarios tengan contraseñas seguras implementando una política de contraseña segura y probando el archivo de contraseña con una utilidad para descifrar contraseñas como John the Ripper
Puede protegerse aún más contra los ataques de adivinación de contraseña de fuerza bruta bloqueando las direcciones IP después de varios intentos fallidos. Una buena herramienta para esto (en Linux) es fail2ban
fuente
Su interruptor puede ser pirateado y alguien puede alterar los datos. Si no es el propietario del conmutador, configure un vpn, ya que la restricción de acceso al firewall por ip podría no ser suficiente.
No deje ningún puerto abierto excepto aquellos a los que desea que accedan los usuarios y los hackers. Escanee sus propios servidores desde otro sitio todos los meses.
No deje el puerto predeterminado de ssh abierto para hackers.
fuente