با سلام خدمت همه دوستان و همراهان خوب DiGiBoY:
بعد از حملاتی که به وب سرور های سازمان های دولتی صورت گرفت منو بر این داشت که روی امن سازی وب سرور ها تحقیق بیشتری کنم . نتایج تحقیقاتم هر چند که میتونه کامل نباشه رو براتون به اشتراک میذازم.
من فیلمی آموزشی آماده کردم که تو این فیلم نحوه امن سازی Headers , دریافت Certificate معتبر , تغییر نام وب سرور و… براتون آوردم . هر چند به شدت تاکید میکنم که وب سرور هاتونو به آخرین بروز رسانی ها مجهز کنید و وب سرور هاتونو مستقیم روی اینترنت قرار ندید.
ما تو این سایت فایروال هایی معرفی کردیم که میتونید از تمامی قابلیت های اونا استفاده کنید و وب سرور امن تری داشته باشید.
اگر فرصت بشه فیلمه دیگه ای هم براتون آماده میکنم تا اعمال محدودیت بر روی وب سرورتونو براتون بیارم . همچنین استفاده از یه Web Application Firewall رایگان برای امن سازی بیشتر وب سرورتون.
امیدوارم که براتون مفید باشه و اگرهم کسی نقطه نظری داره که من ازش بی اطلاعم و یا تو این فیلم آموزشی نیاوردم خوشحالم میشم در اختیار من و دوستان دیگه قرار بده.
* پی نوشت *
شما بعد از اعمال تغییرات میتونید از وب سایت مرکز ماهرکه توسط آپا دانشگاه صنعتی امیرکبیر پیادهسازی شده هم استفاده کنید.
من به علت در دسترس نبودن این وب سایت زمان تهیه فیلم از نتایج تست اون صرف نظر کردم.
Hardening Your Web Server Training
Link : Hardening Your Web Server – IRAN Download Server
Size : 301.0 MB
Hardening Your Web Server Files
Link : Hardening Your Web Server – IRAN Download Server
Size : 5.30 MB
Password : www.digiboy.ir
سپاس فراوان یوسف جان
ارسلان عزیز سلام
خواهش میکنم
ممنون از شما برای وب سایت بسیار خوبی که ایجاد کردین و نرم افزار و آموزش هاتون
بسیار ممنون هستم از شما
ممنون از سایت پربارتون.
بی صبرانه منتظر Web Application Firewall رایگان برای امن سازی بیشتر وب سرورهامون هستیم.
بسیار عالی اگه بتونید توی بخش آموزش (تصویری) بیشتر فعال بشید خیلی عالی میشه , یادمه می خواستید برای همین موضوع که بلاگ به سایت اضافه کنید , خبری نشد ؟
صادق جان سلام
بله نظر من و محمد عزیز هم همینه.اما متاسقانه بحث آموزش خیلی وقت گیره.مطالب باید همه سطحی رو در بر بگیره.
همین آموزش حداقل دو روز از من وقت گرفت.
البته آموزش باید ساده و روون و حاوی ارزش اطلاعاتی باشه.
سلام . خیلی خوب بود . خسته نباشید .ممنون
با سلام
خدمت آقا یوسف گل و بقیه دوستان
ممنون بابت آموزش خوبتون.
برای WAf رایگان برای ویندوز میتونید از Web Knight استفاده کنید که خوبه و آپدیت هم میشه.
متشکرم افشین عزیز
با درود
رایگان هست ؟
افشین جان سلام
خواهش میکنم زنده باشید.
شما میتونید نسخه ماقبل آخر webknight رو استفاده کنید.نسخه بروز که الان 4.5.1 هست حداقل 129 دلار قیمت داره.
به نظرم استفاده تلفیقی از ModSecurity به همراه WAF شرکت Comodo بسیار عالی خواهد بود.
میشه یکم راجع به این تلفیق توضیح بدی؟ و محصول هارو هم معرفی کنی؟
سلام یوسف جان ، میشه لطفا یکی از برنامه های WAF که روی IIS خوب کار کنه و دارای کرک یا سریال برای آپدیت باشه را در سایت قرار دهید ؟
جای چنین برنامه ای واقعا در زمینه امنیت خالی هست
ممنونم
دم شما گرم.
ممنون
سلام
تشکر ویژه از یوسف عزیز …
عالی بود
منتظر فیلم بعدی آموزشی تون هستم
سپاس از زحمات همه بچه های DiGiBoY
سلام
ممنون آقا یوسف مطلب مفیدی بود.
اگه میشه برای آپاچی و انجینکس هم چنین آموزشی بزارید که چطور تغییرات رو اعمال کنیم
تشکر
https://scotthelme.co.uk/hardening-your-http-response-headers
سلام
با سپاس از زحمات همه دوستان دست مریزاد
سلام خیلی خیلی ممنون از زحمات فراوانتون
سلام به همه دوستان
فیلم بسیار عالی بود. برای سایت هایی که داشتم استفاده کردم. روی نت دو تا کتاب که تو سایت Qualys SSL Lab معرفی شده بود رو پیدا کردم و اینجا با شما به اشتراک میذارم. امیدوارم به کار دوستان بیاد.
http://s7.picofile.com/file/8260029168/OpenSSL_Cookbook.pdf.html
http://s7.picofile.com/file/8260029334/Bulletproof_SSL_and_TLS.pdf.html
خسته نباشی یوسف جان. نمی تونم بگم کم نظیر بود بلکه باید بگم بی نظیر بود! خود من که بسیار استفاده بردم.
یکی از ویژگی هایی که دیجی بوی رو از بقیه جاها متمایز میکنه اینه که محتوا رو خود بچه ها تولید می کنن و از جاهای دیگه ای مطالب کپی نمیشه.
محمد جان سلام
خواهش میکنم.راستش من هر چیزی بلدم به خاطر استاد هایی چون شما بوده.
منم از شما ممنونم به خاطر زحمت هایی که من یکی کاملاً بهش واقفم.
با سلام و عرض ادب و احترام خدمت کلیه دوستان بویژه یوسف و محمد عزیز،
قبل از هر چیز جا داره از کلیه زحمات شما تشکر و قدردانی کنم. این پست خیلی خوب بود و من اون رو بطور کامل پیاده سازی کردم. سایت ما بعد از انجام تغییدات در سایت ماهر نمره 20 از 20 و در دو سایت دیگر که در فیلم معرفی شده، A+ , A رو گرفت. با اجازه یوسف و محمد، لازم دونستم تجربه خودم رو با دوستان به اشتراک بگذارم. در مورد راه اندازی HPKP ،بدون نیاز به وب سایت دیگه جهت گرفتن Primary و Backup Key ، ابتدا برنامه OpenSSL رو دانلود کنین، بعداز نصب با استفاده از دستورات OpenSSL (با توجه به کمبود جا در این پست، لیست دستورات رو در فایل میتونم براتون ایمیل کنم) شما باید دو کلید بنامهای Primary Key و Backup Key رو بدست بیارین و در آخر در IIS و بعد از انتخاب HTTP Response Headers سایت خودتون، دکمه Add رو زده، اسم رو Public-Key-Pins بذارین و در قسمت Value بصورت زیر مقادیر رو وارد کنین.
pin-sha256=”Primary Key Value”; pin-sha256=”Backup Key Value”; max-age=31536000
بعد از انجام اینکار بدون اینکه لازم باشه اطلاعات مهمی مثل Private Key رو در سایت دیگه ایی وارد کنین، HPKP رو فعال کردین و سایت https://securityheaders.io امتیاز این قسمت رو هم میده.(لازم بذکره که بنده از SSL Certificate خریداری شده برای سایت استفاده میکنم.) همچنین اگر با مشکل Poodle Attack(TLS) برخوردین، باید یک Patch مایکروسافت به شماره KB2655992 رو دانلود کنین و بعد از نصب و ریستارت سرور مشکل حل خواهد شد.دوستان حتما SSL 2 , 3 رو هم غیرفعال کنن، هم از طریق Internet Option و Advanced Tab ، و هم از طریق برنامه IISCrypto.
در مورد Forward Secrecy و حل این مشکل هم من در پاورشل ویندوز با اجرای دستورات مربوط به غیرفعال کردن گزینه های Cipher Suite این مشکل رو هم حل کردم. بهتون بگم که این گزینه بسیار در امنیت سایت مهم هست و اصلا بی خیالش نشین. فایل دستورات رو هم میتونم براتون ایمیل کنم. لطفا هر کسی نیاز داره بهم ایمیل بزنه تا براش ارسال کنم.اگر محمد و یوسف صلاح دونستن من ایمیلمو در پست بعدی میزارم تا فایلها رو بهتون بدم. با تشکر
بسیار ممنون سپهر جان. خیلی مفید بود.
سپهر جان سلام
بسیار ممنونم از شما
برای اینکه مطالب ساده و روون باشه من از مطرح کردن بعضی مسایل که ممکن بود پیچیده باشه خودداری کردم.
فقط یه نکته که شما حتما OpenSSL رو روی سیستم عامل لینوکس اجرا کنید چون شامل بروز رسانی های سریعتری هست.
بسیار ممنونم یوسف جان حتما
ممنون از شما
اگه میشه فایل رو در سایت هایی مثل http://www.picofile.com آپلود کنید و لینکش رو اینجا بزارید برای کاربرا
با سلام خدمت دوستان،
حسن جان من فایل رو آپلود کردم، توضیحات لازم رو در فایلها دادم. فقط قبل از اجرای اسکریپت در محیط پاورشل، پاورشل رو بصورت Run as Administrator اجرا کنین که بهتون خطا نده. اینم لینک فایلها و دستورات : http://s2.picofile.com/file/8260310692/Setup_HPKP_and_TLS.rar.html
ممنون سپهر جان،
دوستان در کل به نظرتون A+ با F در هدر چقدر تفاوت میکنه؟ مثلا سایت بانک ملت امتیاز F میگیره یعنی آسیب پذیر هست؟ یا گوگل و ماکروسافت هم تکمیل نکردن؟!
ممنون از زحمت شما
آقا یوسف ممنونم از مطلب مفیدتون
از کلیه دست اندرکاران این سایت خوب جا داره تشکر بکنم
بسیار ممنونم
دوستانی که تمایل دارند میتونن از این وبسایت هم استفاده کنند که برای امنیت هدر مفید هست.
https://scotthelme.co.uk/hardening-your-http-response-headers
با سپاس از یوسف و محمد عزیز
دوستان حتما HPKP رو هم رعایت کنند بخصوص اگر redirect از http به https دارن
sslای که از wosign گرفتم
روی IE جواب میده
روی Firefox جواب نمیده
روی موبایل هم کلا untrust هست
یه سوال مگه browser ها جهت بررسی certificate ها به لیست certificate های سیستم عامل رجوع نمی کنند؟
من داخل certificate های ویندوز که نگاه میکنم شرکت wosign را نمی بینم.
اجتمالا هنوز self sign رو داره استفاده میکنه مجدد یه چک بکن من دارم استفاده میکنیم هم با IIS و هم با Apache
ممنون از یوسف عزیز و همه دوستانی نظرات کاربردیشون رو استفاده کردیم
من کلیه روش های پیشنهادی رو روی وب سایتمون انجام دادم و با wosign هم روی تمام سیستم عامل ها و بروزو ها تست کردم فوق العاده است
از ssllab هم A+ گرفتیم
دوستان در کل به نظرتون A+ با F در هدر چقدر تفاوت میکنه؟ مثلا سایت بانک ملت امتیاز F میگیره یعنی آسیب پذیر هست؟ یا گوگل و ماکروسافت هم تکمیل نکردن؟!
با تشکر از زحمات بچه های خوب digiboy
خیلی عاااالی بود
waf رایگان چی رو پیشنهاد می دهید؟
دمت گرم. بسیار سودمند بود .
با درود به دوست خوبم
یوسف جان خیلی عالی بود ممنون از زحمات شما و سایر دوستان. با سپاس
با سپاس فراوان از دوستان و عزیزانی که تجربیاتشون رو میذارن
همچنین از بچه های digiboy که خستگی ناپذیرن.
دم همتون گرم……
لطفن در مورد Hardening سرورها و کلاینتها هم اگر مطلبی هست بذارید.
ممنون از سایت خوبتون
سلام
امکانش هست لینک فایل ها رو بروز کنید؟
هیچ کدوم از لینک ها کار نمیکنند
دوست عزیز سلام
لینک ها سالم هستن.
به روش open link in new tab باز کنید.
ممنون آقا یوسف حل شد