Hardening Your Web Server

Security Header1 Security Header2

 

با سلام خدمت همه دوستان و همراهان خوب  DiGiBoY:

بعد از حملاتی که به وب سرور های سازمان های دولتی صورت گرفت منو بر این داشت که روی امن سازی وب سرور ها تحقیق بیشتری کنم . نتایج تحقیقاتم هر چند که میتونه کامل نباشه رو براتون به اشتراک میذازم.

من فیلمی آموزشی آماده کردم که تو این فیلم نحوه امن سازی Headers , دریافت Certificate معتبر , تغییر نام وب سرور و… براتون آوردم . هر چند به شدت تاکید میکنم که وب سرور هاتونو به آخرین بروز رسانی ها مجهز کنید و وب سرور هاتونو مستقیم روی اینترنت قرار ندید.

ما تو این سایت فایروال هایی معرفی کردیم که میتونید از تمامی قابلیت های اونا استفاده کنید و وب سرور امن تری داشته باشید.

اگر فرصت بشه فیلمه دیگه ای هم براتون آماده میکنم تا اعمال محدودیت بر روی وب سرورتونو براتون بیارم . همچنین استفاده از یه Web Application Firewall رایگان برای امن سازی بیشتر وب سرورتون.

امیدوارم که براتون مفید باشه و اگرهم کسی نقطه نظری داره که من ازش بی اطلاعم و یا تو این فیلم آموزشی نیاوردم خوشحالم میشم در اختیار من و دوستان دیگه قرار بده.

* پی نوشت *

شما بعد از اعمال تغییرات میتونید از وب سایت مرکز ماهرکه توسط آپا دانشگاه صنعتی امیرکبیر پیاده‌سازی شده هم استفاده کنید.

من به علت در دسترس نبودن این وب سایت زمان تهیه فیلم از نتایج تست اون صرف نظر کردم.

Hardening Your Web Server Training

Link : Hardening Your Web Server – IRAN Download Server

Size : 301.0 MB

Hardening Your Web Server Files

Link : Hardening Your Web Server – IRAN Download Server

Size : 5.30 MB

Password : www.digiboy.ir

۴۷ دیدگاه نوشته شده است! می توانید دیدگاه خود را بنویسید

  1. ارسلان گفت:

    سپاس فراوان یوسف جان

  2. یاس گفت:

    ممنون از شما برای وب سایت بسیار خوبی که ایجاد کردین و نرم افزار و آموزش هاتون
    بسیار ممنون هستم از شما

  3. رامین گفت:

    ممنون از سایت پربارتون.
    بی صبرانه منتظر Web Application Firewall رایگان برای امن سازی بیشتر وب سرورهامون هستیم.

  4. بسیار عالی اگه بتونید توی بخش آموزش (تصویری) بیشتر فعال بشید خیلی عالی میشه , یادمه می خواستید برای همین موضوع که بلاگ به سایت اضافه کنید , خبری نشد ؟

    • یوسف گفت:

      صادق جان سلام
      بله نظر من و محمد عزیز هم همینه.اما متاسقانه بحث آموزش خیلی وقت گیره.مطالب باید همه سطحی رو در بر بگیره.
      همین آموزش حداقل دو روز از من وقت گرفت.
      البته آموزش باید ساده و روون و حاوی ارزش اطلاعاتی باشه.

  5. arash گفت:

    سلام . خیلی خوب بود . خسته نباشید .ممنون

  6. افشین گفت:

    با سلام
    خدمت آقا یوسف گل و بقیه دوستان
    ممنون بابت آموزش خوبتون.
    برای WAf رایگان برای ویندوز میتونید از Web Knight استفاده کنید که خوبه و آپدیت هم میشه.

  7. milad گفت:

    دم شما گرم.
    ممنون

  8. محمود گفت:

    سلام
    تشکر ویژه از یوسف عزیز …
    عالی بود

    منتظر فیلم بعدی آموزشی تون هستم

  9. Ajirak گفت:

    سپاس از زحمات همه بچه های DiGiBoY

  10. حسن گفت:

    سلام
    ممنون آقا یوسف مطلب مفیدی بود.
    اگه میشه برای آپاچی و انجینکس هم چنین آموزشی بزارید که چطور تغییرات رو اعمال کنیم
    تشکر

  11. رسول گفت:

    سلام
    با سپاس از زحمات همه دوستان دست مریزاد

  12. abbas گفت:

    سلام خیلی خیلی ممنون از زحمات فراوانتون

  13. احمد گفت:

    سلام به همه دوستان
    فیلم بسیار عالی بود. برای سایت هایی که داشتم استفاده کردم. روی نت دو تا کتاب که تو سایت Qualys SSL Lab معرفی شده بود رو پیدا کردم و اینجا با شما به اشتراک میذارم. امیدوارم به کار دوستان بیاد.
    http://s7.picofile.com/file/8260029168/OpenSSL_Cookbook.pdf.html
    http://s7.picofile.com/file/8260029334/Bulletproof_SSL_and_TLS.pdf.html

  14. محمد گفت:

    خسته نباشی یوسف جان. نمی تونم بگم کم نظیر بود بلکه باید بگم بی نظیر بود! خود من که بسیار استفاده بردم.
    یکی از ویژگی هایی که دیجی بوی رو از بقیه جاها متمایز میکنه اینه که محتوا رو خود بچه ها تولید می کنن و از جاهای دیگه ای مطالب کپی نمیشه.

    • یوسف گفت:

      محمد جان سلام
      خواهش میکنم.راستش من هر چیزی بلدم به خاطر استاد هایی چون شما بوده.
      منم از شما ممنونم به خاطر زحمت هایی که من یکی کاملاً بهش واقفم.

  15. سپهر گفت:

    با سلام و عرض ادب و احترام خدمت کلیه دوستان بویژه یوسف و محمد عزیز،
    قبل از هر چیز جا داره از کلیه زحمات شما تشکر و قدردانی کنم. این پست خیلی خوب بود و من اون رو بطور کامل پیاده سازی کردم. سایت ما بعد از انجام تغییدات در سایت ماهر نمره 20 از 20 و در دو سایت دیگر که در فیلم معرفی شده، A+ , A رو گرفت. با اجازه یوسف و محمد، لازم دونستم تجربه خودم رو با دوستان به اشتراک بگذارم. در مورد راه اندازی HPKP ،بدون نیاز به وب سایت دیگه جهت گرفتن Primary و Backup Key ، ابتدا برنامه OpenSSL رو دانلود کنین، بعداز نصب با استفاده از دستورات OpenSSL (با توجه به کمبود جا در این پست، لیست دستورات رو در فایل میتونم براتون ایمیل کنم) شما باید دو کلید بنامهای Primary Key و Backup Key رو بدست بیارین و در آخر در IIS و بعد از انتخاب HTTP Response Headers سایت خودتون، دکمه Add رو زده، اسم رو Public-Key-Pins بذارین و در قسمت Value بصورت زیر مقادیر رو وارد کنین.
    pin-sha256=”Primary Key Value”; pin-sha256=”Backup Key Value”; max-age=31536000
    بعد از انجام اینکار بدون اینکه لازم باشه اطلاعات مهمی مثل Private Key رو در سایت دیگه ایی وارد کنین، HPKP رو فعال کردین و سایت https://securityheaders.io امتیاز این قسمت رو هم میده.(لازم بذکره که بنده از SSL Certificate خریداری شده برای سایت استفاده میکنم.) همچنین اگر با مشکل Poodle Attack(TLS) برخوردین، باید یک Patch مایکروسافت به شماره KB2655992 رو دانلود کنین و بعد از نصب و ریستارت سرور مشکل حل خواهد شد.دوستان حتما SSL 2 , 3 رو هم غیرفعال کنن، هم از طریق Internet Option و Advanced Tab ، و هم از طریق برنامه IISCrypto.
    در مورد Forward Secrecy و حل این مشکل هم من در پاورشل ویندوز با اجرای دستورات مربوط به غیرفعال کردن گزینه های Cipher Suite این مشکل رو هم حل کردم. بهتون بگم که این گزینه بسیار در امنیت سایت مهم هست و اصلا بی خیالش نشین. فایل دستورات رو هم میتونم براتون ایمیل کنم. لطفا هر کسی نیاز داره بهم ایمیل بزنه تا براش ارسال کنم.اگر محمد و یوسف صلاح دونستن من ایمیلمو در پست بعدی میزارم تا فایلها رو بهتون بدم. با تشکر

  16. mohammad javad گفت:

    ممنون از زحمت شما

  17. علی گفت:

    آقا یوسف ممنونم از مطلب مفیدتون
    از کلیه دست اندرکاران این سایت خوب جا داره تشکر بکنم
    بسیار ممنونم

  18. Muhammad گفت:

    دوستانی که تمایل دارند میتونن از این وبسایت هم استفاده کنند که برای امنیت هدر مفید هست.

    https://scotthelme.co.uk/hardening-your-http-response-headers

    با سپاس از یوسف و محمد عزیز

  19. کسری گفت:

    sslای که از wosign گرفتم
    روی IE جواب میده
    روی Firefox جواب نمیده
    روی موبایل هم کلا untrust هست
    یه سوال مگه browser ها جهت بررسی certificate ها به لیست certificate های سیستم عامل رجوع نمی کنند؟
    من داخل certificate های ویندوز که نگاه میکنم شرکت wosign را نمی بینم.

  20. ehsan taghipour گفت:

    ممنون از یوسف عزیز و همه دوستانی نظرات کاربردیشون رو استفاده کردیم
    من کلیه روش های پیشنهادی رو روی وب سایتمون انجام دادم و با wosign هم روی تمام سیستم عامل ها و بروزو ها تست کردم فوق العاده است
    از ssllab هم A+ گرفتیم

  21. حسن گفت:

    دوستان در کل به نظرتون A+ با F در هدر چقدر تفاوت میکنه؟ مثلا سایت بانک ملت امتیاز F میگیره یعنی آسیب پذیر هست؟ یا گوگل و ماکروسافت هم تکمیل نکردن؟!

  22. DArK Pix3l گفت:

    با تشکر از زحمات بچه های خوب digiboy
    خیلی عاااالی بود

  23. حامد گفت:

    waf رایگان چی رو پیشنهاد می دهید؟

  24. soori گفت:

    دمت گرم. بسیار سودمند بود .

  25. فرزام گفت:

    با درود به دوست خوبم
    یوسف جان خیلی عالی بود ممنون از زحمات شما و سایر دوستان. با سپاس

  26. احسان گفت:

    با سپاس فراوان از دوستان و عزیزانی که تجربیاتشون رو میذارن
    همچنین از بچه های digiboy که خستگی ناپذیرن.
    دم همتون گرم……
    لطفن در مورد Hardening سرورها و کلاینتها هم اگر مطلبی هست بذارید.

  27. hosseinkh گفت:

    ممنون از سایت خوبتون

  28. امیر گفت:

    سلام

    امکانش هست لینک فایل ها رو بروز کنید؟

    هیچ کدوم از لینک ها کار نمیکنند

دیدگاه خود را به ما بگویید.