Web服务器保护:Web服务器安全监控

安全资讯 小布 479浏览 0评论

介绍

Web 服务器安全性对于确保您的网站正确运行非常重要。它使您可以在攻击者利用漏洞和发现存在于 Web 服务器中的任何其他安全问题进行破坏之前,识别这些漏洞和任何其他安全问题。

在本文中,我们将了解如何全面监控任何 Web 服务器的安全问题。我们还将讨论在 Web 服务器安全监控期间应考虑的各种注意事项。

概述

在监视 Web 服务器安全性期间,您必须注意一些常规事项。您应该能够回答以下问题:

  • 您的 Web 服务器容易受到攻击吗?您需要确定 Web 服务器是否容易受到最近发布的任何漏洞的攻击。为此,您需要对 Web 服务器进行漏洞评估,以识别任何现有漏洞
  • 您的 Web 服务器现在是否受到攻击?您需要能够通过评估对 Web 服务器资源的请求来确定您是否正在遭受攻击
  • 您的 Web 服务器是否受到威胁?您将需要发现由于恶意软件而导致文件添加或删除的文件系统的任何文件更改

您应该始终能够回答上述问题。在监控 Web 服务器的安全性时,您还应该考虑以下事项:

1. 待定的安全更新

安全更新始终由解决方案供应商发布,您应始终确保运行的是最新软件。这很重要,因为会定期发布软件更新并发布补丁的详细信息。如果黑客在您修补服务器之前访问了这些信息,他们就可以破坏服务器。

2. 新的和未修补的漏洞

有时,漏洞利用可以在修补之前公开。这些漏洞利用被称为0 day漏洞利用,并且能够让您的 Web 服务器受到损害,以防它们落入恶意黑客的手中。您必须确保您正在运行最新的补丁并采取适当的安全措施,例如 Web 应用程序防火墙。

3.对Web服务器的攻击

在许多情况下,黑客会运行漏洞来绕过现有的安全措施。这些漏洞利用最终可能会绕过防火墙和许多其他防御措施。您必须确保您的 Web 服务器针对任何攻击进行了适当的强化,并且您不断地监控传入流量以防止恶意操作。

4. 服务器入侵和恶意感染

不幸的是,有时违规可能会成功。这最终可能会允许未经授权访问 Web 服务器。如果发生违规,您可能需要执行以下操作:

  1. 文件系统监控以确定在文件系统上创建的新文件
  2. 网络监控,以识别可能正在执行诸如暴力破解或模糊测试等恶意活动的流氓 IP 地址
  3. 身份验证监控以识别异常登录或登录尝试
  4. 文件更改监控以识别文件系统内敏感文件的更改
  5. 进程监控以识别可能是恶意的流氓进程

在 Web 服务器安全监控过程中需要考虑哪些因素?

在监视 Web 服务器的安全性时必须考虑一些注意事项:

1、Web服务器日志操作流程

系统管理员应遵循日志管理的标准程序,以确保他们能够从您的 Web 服务器收集和管理正确和所需的日志。以下是一些必须遵循的操作步骤:

  1. 日志源的配置:对 Web 请求进行正确分类以确保对服务的每个请求都被有效记录很重要
  2. 分析日志数据:收集日志后,您需要从其余日志中过滤掉重要数据。这可以通过使用关键字或时间戳搜索来完成
  3. 适当地映射到已识别的事件:然后,您需要在日志中绘制出所需的事件
  4. 管理日志数据的长期存储:您最终希望确保有适当的措施来存储您的日志文件以供将来参考

您还应该拥有可以审计的日志管理基础设施,以确保日志管理的有效性。

2. 收集网络服务器日志

您必须确保对从 Web 服务器收集的日志具有足够的优先级。以下事项应该可以帮助您在收集和分类日志时确定优先级:

  • 条目类型:日志文件的条目类型允许您根据严重程度确定哪些日志包含哪些内容。条目可以标记为高、中或低
  • 日志源:日志文件中的源 IP 地址是识别日志重要性的关键。日志源可能指向网络中被利用来执行攻击的受损系统
  • 时间戳:日志进入的时间对于识别在特定时刻执行的操作很重要。攻击者喜欢在奇数时间进行登录
  • 频率:日志条目的频率可能有助于确定日志的优先级。攻击者可能会通过暴力攻击对某个 Web 服务进行多次登录尝试。识别这些尝试可能有助于指向成功登录

收集 Web 服务器日志后,您就可以准备在其中搜索重要信息。

3. 时间戳在 Web 服务器保护中的作用

出于以下几个原因,时间戳对于保护 Web 服务器非常有用:

  • 标记事件:时间戳用于标记系统记录的事件。只有通过时间戳事件,我们才能识别特定的重要事件
  • 搜索事件:您可能决定定位在特定时间发生的某些事件。为此,使用时间戳
  • 确定过时事件:当日志事件过期很久时,可以使用时间戳来定位和删除它们

时间戳必须反映正确的时间,以便准确描述历史事件。

4. 了解网络服务器状态码

Web 服务器状态代码或(HTTP 状态代码)是对客户端对 Web 服务器上资源的请求的服务器响应。这些可以理解为如下表所示:

HTTP状态码 状态码说明
1xx(信息) 这些意味着已收到信息并且该过程正在继续
2xx(成功) 这些意味着所执行的行动是成功的、被理解和被接受的
3xx(重定向) 这意味着需要进一步的操作才能完成请求
4xx(客户端错误) 这些意味着请求包含不正确的语法或无法满足
5xx(服务器错误) 这些意味着服务器未能满足请求

您应该能够确定对客户端请求的响应,尤其是在分析日志文件时。将对敏感文件提出一些请求,应确定并阻止这些请求。

5. 分析网络服务器

分析是指对您的 Web 服务器和/或 Web 应用程序进行基准测试的过程。您可以使用多种工具在不同的 Web 服务器下分析您的 Web 应用程序。

这是由于 Web 服务器应用程序的工作方式造成的。不同之处在于 Web 服务器应用程序可能会生成动态内容,IIS 服务器可以以一种方式请求这些内容,而 .NET 服务器可以以不同方式请求这些内容。

  • 要分析 ASP.NET Web 应用程序,您可以按照此处给出的步骤操作
  • 要使用 AQTime 分析 ASP.NET Web 应用程序,请按照此处给出的步骤操作
  • 要分析 IIS Web 应用程序,您可以按照此处给出的步骤操作
  • 要使用 dotTrace 分析 IIS Web 服务器,请按照此处给出的步骤操作
  • 要分析 Apache Web 服务器,您可以使用称为 ab 的工具,可在此处找到

分析可以在本地、远程或使用控制台工具完成,每种工具都有自己的优点和缺点。让我们考虑以下几点:

分析模式 优点 缺点
本地分析 很容易在本地安装工具来运行基准测试 由于安全配置,这些工具的本地安装可能是不可能的
远程分析 不需要对服务器进行物理/地理访问 运行工具需要网络通信
控制台工具分析 无需网络通讯 控制台工具必须本地复制到服务器并在服务器上运行

6. 用于网络服务器安全的安全洋葱

Security Onion 是当今可用的众多基于安全的操作系统之一。它特别适用于入侵检测、企业安全监控和日志管理,并且是免费和开源的。它融合了不同的技术,例如 ElasticSearch、Logstash、Kibana、Suricata、Zeek 等。Security Onion 也是基于主机的入侵检测系统 (HIDS) 和网络入侵检测系统 (NIDS)。您可以使用 Security Onion 来监控基础架构的安全性,方法是利用它构建的三个主要核心组件。这些是:

  • 完整数据包捕获:这允许您捕获安全洋葱传感器看到的所有流量。捕获的流量在取证期间很有用,您可以在其中确定哪些流量进入​​或退出网络
  • 基于网络和基于主机的入侵检测系统:使用基于网络和基于主机的入侵检测系统 (IDS),您可以监控基础设施内的安全事件。Security Onion 使您能够使用 NIDS 和 HIDS 收集日志并针对检测到的活动发出警报
  • 强大的分析工具:一旦您确信收集的数据足够,您将需要分析所有收集的数据。Security Onion 为您提供了大量可用于分析的工具。这些如下:
    • Sguil:提供一个 GUI,您可以在其中查看 Snort、Suricata 和 Wazuh 警报。您还可以通过 WireShark 或 NetworkMiner 或触发警报的完整会话的副本直接从警报转向数据包捕获。让 Sguil 受欢迎的一件事是它支持分析师之间协作的方式
    • Squert:这是 Sguil 数据库的 Web 应用程序接口。使用 Squert,您可以查看多种表示形式,例如时间序列、加权和逻辑分组的结果集以及地理 IP 映射
    • Kibana:使用它,您可以分析和转换不同的数据类型,从 HIDS 和 NIDS 警报到由 syslog 收集的 Zeek 日志和系统日志,再到使用 CapMe 的完整数据包捕获
    • CapMe:允许您下载 PCAP 文件,实现抓包并将数据包发送到 Squert 和 Kibana

您可以在此处访问 Security Onion 的完整文档并查看其功能。

7. Web 服务器安全异常检测

您应该有一种方法来检测基础架构中的各种异常,尤其是日志文件中的异常。一种这样的系统被称为Linux 日志异常检测引擎 (ADE)

ADE 可以分析来自多个 Linux 服务器的大量日志,并继续创建这些日志的摘要。此摘要提供了关键信息,例如已发布的已报告消息的 ID 是否按预期发布、它们是否在一个时间片内以预期的速率发布以及 ID 的发布频率(是发布不同的 ID 还是相同的消息出现多次)。

此信息对于允许您检查多个日志以识别异常情况非常重要,您可以使用这些信息来识别问题的根本原因或检查当前生成的日志以识别正在进行的事件的异常情况。

可以在此处找到 ADE 的安装、配置和整个文档。

8. Web 服务器安全警报

监控所有基础设施的安全性可能具有挑战性,因此您需要一种解决方案或方法来在警报发生时收集和发出警报。拥有这样一个系统很重要,以防止攻击继续进行。以下是您可以监控的一些内容:

  • 正常运行时间监控:您希望您的网站在需要时始终可以访问,以便您通过它提供的服务仍然可以访问
  • 页面加载速度监控:您的 Web 应用程序的最佳性能确保访问者加载网页不会花费太多时间加载资源
  • 真实用户监控:出于统计和物流目的,您可能希望监控访问您网站的访问者。您想区分机器人和实际用户
  • 交易监控:确保对您来说最重要的网站交互正在发生非常重要

执行此类监控的最佳解决方案之一是Solarwinds pingdom。使用 Solarwinds pingdom,您可以:

  • 当您的网站出现故障时通过短信获得通知,从不同位置监控您网站的可用性并确定中断的根本原因
  • 检查以任何顺序加载 HTML、CSS 和 JavaScript 的速度。此信息可以帮助您就您的网站做出明智的优化决策

您可以考虑替代 Solarwinds 的是Cloudways

结论

Web 服务器安全监控是一个持续的过程,不应视为完整的。由于当今基于 Web 的漏洞越来越多的攻击和流行,您应该始终能够监控 Web 基础架构的安全性。基本原理是一样的:始终确保您运行的是最新的软件,并且您有适当的解决方案,可以让您监控 Web 基础设施的安全性。

转载请注明:布尔云安的博客 » Web服务器保护:Web服务器安全监控

头像
发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址