É possível ter segurança em Servidores Cloud?

segurança em Cloud computing

Imagem ilustrativa sobre segurança em Cloud computing – fonte Freepik

Antes de dar minha opinião, explicarei algumas dicas para serem aplicadas em seu servidor cloud. Em seguida demonstrarei algumas funcionalidades utilizando a ferramenta da DialHost que auxilia na configuração de algumas regras que melhoram a segurança.

Primeiramente temos sempre que manter uma atenção especial na segurança de nossos servidores. Pois há uma evolução constante dos tipos de ataque e defesa.
As tecnologias evoluíram. E com elas, os hackers que cada vez mais ágeis e habilidosos, encontram brechas para burlar sistemas de gerenciamento e informações sigilosas de empresas e instituições.

Mas para que você tenha mais garantias contra estes tipos de ataques seguem algumas dicas para ajudar na proteção do seu servidor

Mantenha atualizado os pacotes e kernel do servidor

Ao deixar seu kernel desatualizado você perde todas as atualizações de segurança, melhorias de estabilidade, atualizações de drivers e funcões que foram desenvolvidas nas novas versões.

Instale um detector de brute force

O ataque brute force é uma técnica hacker que costuma utilizar um dicionário de usuários e senhas para realizar o acesso a algum sistema. Através destas combinações ele tenta constantemente realizar acessos até que um destes dados sejam validados e finalmente o sistema seja aberto.

O detector de brute force, por outro lado fica analisando tentativas sucessivas de acessos vindas de um mesmo IP. Através desta repetição ele bloqueia o acesso do IP malicioso e assim, mata o processo iniciado pelo robô hacker. Um exemplo de sistema detector de brute force é o Fail2Ban.

Desabilite o acesso Root via SSH

Sabemos que o acesso root permite mais facilidades para o usuário avançado, mas como já dizia o tio Ben “Grandes poderes trazem grandes responsabilidades”. Por isso, desabilite este usuário via SSH e crie usuários apenas com as permissões necessárias para o seu projeto e manutenção do mesmo.

root

Crie chaves para o acesso via SSH

Ao fazer um acesso via SSH utilizando chaves de acesso, você garante que seu acesso terá um conjunto longo e complexo de caracteres. Por outro lado o acesso através apenas de senha tendem a ser previsíveis ou fáceis para ataques do tipo brute force.

Mude a porta de acesso do SSH

A alteração da porta de acesso do ssh é importante para retardar a atuação de portscaner que buscam primeiramente as portas default dos serviços como “22,23,53,80,443,21”. Alterando sua porta de acesso estes scaners vão cair em uma porta fechada.

Para realizar esta alteração recomendo que utilize o port forwarding assim seu acesso interno se mantém na porta original, mas seu acesso público pode ser redirecionado para outra porta como 7021, por exemplo.

Busque informações de segurança para os serviços ativados

É normal que serviços famosos possuam em seus próprios cores soluções de segurança ou mesmo pacotes que auxiliam na segurança. Serviços como Apache, Nginx entre outros vão te disponibilizar constantemente novas opções de segurança. Mas, é importante que quem esteja gerenciando suas instâncias fique sempre informado sobre novas soluções. Assim, você pode ficar mais tranquilo contra ataques hackers.

Instale um Firewall

Na DialHost, por exemplo, ao contratar um plano DialCloud+, é disponibilizada uma ferramenta para configuração do Firewall. Assim, você pode garantir mais segurança nas suas instâncias uma forma simples.

Outra análise que vale informar é que as instâncias estão protegidas em um rede totalmente privada. Outros clientes não tem nenhuma comunicação com suas instâncias criadas.

Veja como é simples a criação das regras

Tela do sistema DialCloud - Adicionando regra de segurança do Firewall

Tela do sistema DialCloud – Adicionando regra de Firewall

No campo IP, será exibido o seu IP Público para os acessos.
CDIR: Você informar um range ou único IP permitido para acessar a porta.
Start Port: O inicio de uma série de portas ou a definição de uma única porta
End Port: A última porta a ser liberada ou a mesma informada para o início.
Protocolo: Define qual tipo de protocolo como TCP, UDP ou ICMP.

Após adicionar as regras desejadas, o resultado ficará como abaixo.
Simples de ser visualizado, configurado e reconfigurado.

Tela do sistema DialCloud - inbound Firewall

Tela do sistema DialCloud – inbound Firewall

Concluindo

Sobre a pergunta proposta no inicio, na minha opinião não podemos afirmar que estamos 100% protegidos contra os invasores. Este é um trabalho onde temos que estar atentos e atualizados às práticas mais atuais para nos proteger.

Os invasores sempre vão preferir servidores desatualizados e que possuam mais brechas para a invasão. Dificultar as invasões com o Firewall e outras ferramentas de proteção é uma atividade contínua dos administradores dos servidores.

Referências

http://www.makeuseof.com/tag/5-reasons-update-kernel-linux/
http://www.liquidweb.com/kb/what-is-brute-force-detection-bfd/
https://www.vivaolinux.com.br/dica/Alterando-a-porta-do-servico-SSH

Tenha controle e flexibilidade nos seus recursos com DialCloud +. Servidores em cloud com load balancing, VPN e todo o controle de rede que você precisa. Saiba Mais.

 

Márcio Rubens
Márcio Rubens

Sou Analista de TI na DialHost, pós-graduado em Gestão de Segurança da Informação pela PUC-MG e graduado em Gestão da Tecnologia da Informação pela UNI-BH.

Bloqueio da Porta 25 – Bloqueio de Spam

Bloqueio da porta 25

Imagem Ilustrativa – Bloqueio da porta 25

O número de Spam aumenta a cada dia na Internet, aumentando o tráfego de informações e enchendo a caixa de entrada de todos os nossos e-mails.

Essas mensagens são usadas para enviar propaganda, vírus entre outros que são transmitidos através de computadores de usuários brasileiros, usuários de programas de e-mail como o Thunderbird e Outlook que usam a porta 25 para envio de e-mails(SMTP).

Desde 2005 vem sido discutido o uso dessa porta e diversos órgãos internacionais apoiam o bloqueio da mesma. No Brasil a medida foi recomendada pelo CGI.br (Comitê Gestor da Internet Brasileira) desde 2009, o que levou um acordo de cooperação entre a Anatel, CGI.br, Sindicato Nacional das Empresas de Telefonia e de Serviço Móvel Celular e Associações de Provedores de Acesso e Serviços de Internet desde o final do ano passado.

Até o final deste ano (2012) “todas as operadoras de infraestrutura de internet ( nas operadoras fixas , moveis e de tv a cabo) devem bloquear a porta 25 para usuários domésticos que usam IP dinâmico.” O uso dessa medida irá diminuir a quantidade de spam trafegada pela internet, através de máquinas infectadas.

Diversas operadoras já começaram o bloqueio, o que pode ocasionar problemas no envio de e-mail, dentre elas a Oi Velox e GVT, e nos próximos dias usuários da Speed Telefônica e Net Virtua terão esse bloqueio. Para resolver esse problema basta trocar a porta de envio SMTP do seu programa de e-mail de 25 para 587.

Quer saber mais e tirar todas as suas dúvidas? Acesse diretamente o site do serviço em antispam.br

Se é Cliente DialHost e está com dúvida de como mudar a porta? Veja em nossa Wiki como configurar seu programa de email.
Qualquer outra dúvida, entre em contato com nosso suporte 24 horas. Teremos o maior prazer em auxiliá-lo.

Precisa de servidores com alto desempenho? confira os planos de servidores dedicados da DialHost.

DialHost
DialHost

Contamos com nosso DataCenter no Brasil de alta qualidade, estabilidade e confiança para hospedar seu site. Utilize poderosas ferramentas para otimizar o uso do seu serviço e seja sempre atendido de forma rápida e clara pelo nosso atendimento 24h.

A DialHost agora tem seu próprio DataCenter

data

A DialHost dá mais um passo a frente e agora tem o seu próprio DataCenter. A qualidade e segurança dos serviços da DialHost ficam ainda melhores.

O novo DataCenter é monitorado 24horas por dia e conta com um rigoroso sistema de controle de segurança física e de prevenção de incêndios de ultima geração, além de nobreaks e geradores de energia modulares com ampla capacidade. Isso sem falar nos equipamentos adequados no comprometimento com as práticas de TI verde.

A segurança das conexões está garantida com conexões redundantes de fibra-óptica de diferentes operadoras e infraestrutura de rede moderna com conexão Gigabit.

O suporte da DialHost, conta com uma equipe de profissionais dedicados e altamente qualificados para atender prontamente á todas as solicitações.

Assim, a DialHost faz do que já era bom, algo muito melhor.

datacenterdatacenter2datacenter3