Какие варианты защиты сервера и сайта подойдут вашему проекту и как устроен «коробочный» BitNinja — подходит для VPS-серверов
Разбираем 4 способа защитить «боевой» сервер и сайт. А еще подробно рассказываем об одном из «коробочных» решений — платформе серверной безопасности BitNinja. Выбрали BitNinja, потому что о платформе меньше информации — в отличие от других решений, например, о DDoS-Guard. Полезно для начинающих и тех, кто кто хочет разобраться, как защитить сервер и сайт с помощью «коробочного» решения.
4 варианта защиты сервера и сайта — плюсы, минусы, стоимость
Настроить защиту вручную — например, нужно создать новых пользователей, поменять порт ssh, настроить ModSecurity и Fail2ban. Плюсы — можно выполнить тонкую настройку под задачи проекта. Минусы. Способ не подойдет новичкам — трудозатратно и нужен технический опыт. Подробнее о том, настроить защиту сервера и сайта вручную рассказали на Хабре — «Использование ModSecurity в Nginx — практика защиты проекта на WordPress».
| Стоимость. Бесплатно — если есть нужный опыт, силы и время, чтобы разобраться в процессе. |
Привлечь системного администратора или специалиста по информационной безопасности (ИБ). Плюсы — сотрудник выстроит комплексную защиту от угроз под задачи компании. Минусы. Потребуется время на поиск подходящего специалиста и его адаптацию.
| Стоимость. Оклад 114 000-290 000 ₽ — средняя зарплата сотрудников в сфере ИБ по данным Хабр.Карьера. |
Купить еnterprise-решение. Например, StormWall для защиты от DDoS-атак. Плюсы. Способ подойдет, когда нужна тонкая настройка защиты под задачи проекта. Минусы. Потребуется системный администратор или специалист по ИБ, чтобы обслуживать и поддерживать работу системы. Обычно в enterprise-продуктах работает техподдержка — специалисты ответят на вопросы и помогут решить проблемы.
| Стоимость. Зависит от технических параметров сервера — может стоить до 500 000 ₽ в год и выше. |
Использовать «коробочные» решения. Готовый набор из разных модулей — например, DDoS-Guard или BitNinja. Плюсы. Не нужен большой технический опыт и команда специалистов — справится даже начинающий. Можно включить или отключить модули под задачи проекта и получить помощь техподдержки, если что-то пойдет не так. Минусы. Нельзя выполнить тонкую настройку.
| Стоимость. 500-4000 ₽ в месяц. |
BitNinja подходит для VPS-серверов. Если нужен shared-сервер с предустановленной защитой от DDoS-атак и других угроз — можно обратиться к партнерам ispmanager. Посмотреть список партнеров →
Компоненты BitNinja
BitNinja состоит из двух компонентов:
- Агент — приложение, которое устанавливается на сервер, фильтрует трафик и защищает от атак. Настройки агента хранятся в облаке. Агент не выполняет AI-сканирование.
- SaaS-интерфейс — «админка» для управления агентами.
В BitNinja более 20 модулей для разных задач — проактивной защиты, защиты от вирусов, DoS и исходящего спама. А еще — системные модули, которые обеспечивают корректную работу отдельных частей агента и SaaS-интерфейса.
Рассмотрим, как работают самые важные модули для защиты сервера и сайта.
Защита сервера — фильтрация трафика и блокировка IP-адресов злоумышленников
За проактивную защиту сервера в BitNinja отвечают 4 модуля.
IPfilter — модуль фильтрации трафика. Модуль проверит IP-адрес, который пытается подключиться к серверу по 5 базам с миллионами IP-адресов и заблокирует злоумышленника. Базы обновляются в режиме реального времени.
Модуль блокирует IP-адрес, если:
- находит IP-адрес в одной из «черных» баз — заблокирует еще до попытки подключения к серверу;
- IP-адреса нет в базах — тогда BitNinja блокирует IP-адрес в момент подключения;
- злоумышленник подключается через прокси-сервер. BitNinja увидит его исходный адрес и заблокирует — в случае, если IP-адрес найден в «черном» списке.
Агенты BitNinja обучаются и оперативно реагируют на атаки. Если один модуль заблокировал IP-адрес, то же самое сделают все остальные серверы в аккаунте BitNinja.
BitNinja временно блокирует IP-адрес, если фиксирует больше 80 подключений с одного IP-адреса. Количество подключений можно настроить в интерфейсе BitNinja — как это сделать, расскажем в следующей статье о настройке модулей.
Модуль Captcha на популярных протоколах — SMTP, FTP, HTTP. Дополняет модуль фильтрации трафика и усиливает его защиту. Если пользователь подключился к серверу по одному из протоколов вручную и попал в бан по ошибке, то он может разблокировать себя с помощью модуля Captcha.
WAF (Web Application Firewall) — защищает от SQL-инъекций, XSS и других уязвимостей. Рекомендуем не менять настройки модуля, если не уверены в результате — неправильная настройка может привести к полной недоступности сервера.
Port Honeypot — «ловушки» на портах. Дополнительная степень защиты, если злоумышленник обошел капчи, фильтрацию и даже WAF. BitNinja размещает «ловушки» на 100 случайных портах из 1000 популярных по оценке BitNinja. «Ловушка» симулирует подключение к серверу и не дает злоумышленнику навредить.
Если на сервере работает нужное приложение, которое использует порт — например, почта, то BitNinja снимает «ловушку» с этого порта и переносит на другой.
Защита от вирусов — собственная разработка BitNinja
BitNinja находит зараженные файлы на сервере с помощью встроенного антивируса. Антивирусные базы обновляются каждый день.
Антивирус находит зараженные файлы и переносит их в карантин. Что анализирует BitNinja, когда находит зараженный файл:
- Логи, связанные с этим файлом, за последние 30 секунд до последнего изменения файла. BitNinja находит IP-адрес злоумышленника и блокирует его.
- Основные логи приложений на сервере: Apache, Nginx, логи ОС, Exim, Postfix, Dovecot.
Для слабых серверов можно перенести плановое сканирование антивирусом в облако с помощью AI и снизить нагрузку на сервер. Как оптимизировать работу BitNinja для слабых серверов →
Конфиденциальные данные не передаются на сервер — только зашифрованные MD5 hash файлы. MD5 hash — криптографическая хеш-функция, которая преобразует данные — например, текст или файл, в уникальное хеш-значение. Используется для проверки целостности файла. Узнать из MD5 hash файла содержимое невозможно.
BitNinja сможет найти вредоносное ПО, даже если оно находится в базе данных MySQL. Поддержки других баз данных в документации вендора нет. Возможность сканировать базы данных в BitNinja выключена по умолчанию.
Защита от спама и CVE-уязвимостей
BitNinja защищает от спама и CVE-уязвимостей с помощью модулей:
Spam Detection — защищает от спама. Модуль анализирует заголовок письма, отправителя и получателя, а с помощью AI распознает спам. BitNinja сразу узнает, если одну из форм на сайте взломали и используют для рассылки спама. Затем подсветит проблему на дашборде и в ближайшей рассылке уведомлений. Модуль выключен по умолчанию.
Vulnerability Patcher — защищает от CVE-уязвимостей. CVE — список общеизвестных уязвимостей и проблем безопасности, которые есть в распространенных системах, например, в CMS. BitNinja сообщит о найденной CVE-уязвимости на дашборде.
Чек-лист: важное о BitNinja
BitNinja подойдет проектам, где нужно защитить VPS-сервер. Для shared-сервера рекомендуем выбрать предустановленную защиту у партнеров ispmanager.
- Агенты BitNinja обучаются и оперативно реагируют на атаки — если один модуль заблокировал IP-адрес, то же самое сделают все остальные серверы, доступные в аккаунте.
- Рекомендуем не менять настройки WAF — есть риск потерять доступ к серверу.
- BitNinja не передает конфиденциальные данные на сервер.
- Антивирус BitNinja — собственная разработка вендора. Антивирусные базы обновляются каждый день.
- BitNinja найдет вредоносное ПО даже в базе данных MySQL. Поддержки других баз данных пока нет.
