هدایت وبسایت از HTTP به HTTPS

Avatar for Saman YazdannikSaman Yazdannik

 

 

HTTPS استانداردی که هم در رنکینگ سایت شما تاثیر دارد هم هزینه‌ی به دنبال ندارد! دلایل زیالدی وجود دارد که سایت خود را به HTTPS مجهز نمایید شاید مهمترین دلیل آن امتیازی است که گوگل برای سایت‌های با HTTPS در رنکینگ خود قائل است.

در این مقاله ما سعی داریم تا بهش ما آموزش دهیم چگونه آدرس خود را با HTTP به HTTPS ری‌دایرکت(redirect) نمایید.

Apache

در قدم اول وارد سرور خود و جایی که Apache نصب شده بشوید.

وارد پوشه پیکربندی که دارای نام conf است بشوید و از فایل httpd.conf نسخه پشتیبان تهیه نمایید.

فایل httpd.conf را با ادیتور مورد نظر خود باز نمایید.

توجه داشته باید که mod_rewrite.so وجود داشته باشد.

اگر عبارت وجود دارد LoadModule rewrite_module modules/mod_rewrite.so آن را از حالت کامنت در بیاورید.

و نوشته زیر را به آخر فایل خود اضافه نمایید:

سرور Apache را دوباره راه اندازی کنید و از تغییرات خود لذت ببرید.

 

Nginx

وارد وب سرور Nginx خود شوید و از فایل nginx.conf پشتیبان تهیه نمایید ممکن است نام فایل مورد نظر شما در وب سرور شما default.conf باشد.

در فایل مورد نظر خط زیر را اضافه نمایید:

فایل را ذخیره نمایید و وب سرور را دوباره راه اندازی کنید.

حالا Nginx را restart نمایید و تغییرات را بررسی نمایید.

 

cPanel

وارد cPanel خود شوید و در قسمت قایل منیجر .htaccess را پیدا نمایید.

دستورات زیر را به آخر فایل اشاره شده اضافه نمایید:

فایل را ذخیره نمایید و تغییرات را بررسی کنید.

 

 

گواهینامه‌های SSL/TLS جدید 397 روزه می‌شوند!

Avatar for Saman YazdannikSaman Yazdannik

 

 

از اول سپتامبر 2020 مرورگر اپل سافاری دیگر از گواهینامه‌های SSL قدیمی تر از 398 روز پشتیبانی نمی‌کند، ماه قبل نیز این خبر برای دو مرورگر گوگل کروم و فایرفاکس نیز منتشر شده بود. بنابر این خبر SSL.com نیز دیگر گواهی‌های با طول عمر بیشتر از 397 روز را صادر نخواهد کرد و گواهی‌نامه های جدید TLS/SSL جدید همگی زیر 397 طول عمر خواهند داشت. در زیر نیز تعدادی از سوالات رایج استفاده کنندگان گواهی هوای قدیمی ذکر شده که ممکن است این سوالات پر تکرار سوالات شما نیز باشند.

 

سوالات پر تکرار:

سوال: چه زمانی باید گواهی SSL/TLS سرور خود را بروزرسانی کنم تا با قوانین جدید 398 روزه مطابق باشد؟

جواب: اگر گواهی شما قبل از 1 سپتامبر خریداری شده نیازی نیست که گواهی جدیدی اختیار کنید و این گواهی تا زمان انقضا در اختیار شما خواهد بود اما باید توجه داشته باشید که گواهی جدیدی که خریداری خواهید نمود طول عمر 397 روزه خواهد داشت.

برای بررسی گواهی وبسایت خود نیز می‌توانید از این سایت نسبت به بررسی گواهی خود اقدام نمایید.

 

سوال: اگر قبل از اول سپتامبر یک گواهی دو ساله تهیه کرده باشمو بعد از اتمام آن دوباره آن را تمدید کنم با توجه به محدودیت 398 روزه چه  بلایی سر آن خواهد آمد؟

جواب: اگر بعد اینکه تمام گواهی‌های ما به 397 روز تغییر کرده شما دوباره یک گواهی دو ساله تمدید کنید ما برای شما یک گواهی 397 روزه و بعد از اتمام یک گواهی با تعداد روز‌های باقی مانده صادر خواهیم نمود. این به این معنی است که چون گواهی‌نامه‌های طولانی تر از 397 روز وجود ندارد نیاز است شما بیشتر برای تمدید گواهی نامه به سایت رجوع نمایید.

 

سوال: شرکت ما از یک گواهی privately-trusted root CA استفاده می‌کند آیا این گواهی‌ها نیز شامل محدودیت جدید 398 روزه می‌گردند؟

جواب: جواب کوتاه خیر است، این محدودیت فقط برای گواهی‌های publicly-trusted root CA در نظر گرفته شده که به صورت پیشفرض بر روی دستگاه نصب می‌گردند نه گواهی‌های privately-trusted root CA که توسط کاربر یا Administrator نصب می‌گردند.

 

اگر هنوز هم سوالی دارید که پاسخ داده نشده می‌توانید از اینجا سوال خود را مطرح نمایید تا به آن پاسخ داده شود.

 

 

 

 

 

Web Application Proxy (WAP) dmz

تنظیم پورت RPC استاتیک در Active Directory Domain Controller

Avatar for Saman YazdannikSaman Yazdannik
636views

 

 

قراردادن فایروال بر روی یک دامنه که با یک سیستم ویندوزی Join شده کاری چالش برانگیز است. اما ما توانستیم این کار را انجام دهیم و قصد داریم در این مطلب شما را راهنمایی کنیم تا (Web Application Proxy(WAP خود را در یک شبکه DMZ قرار دهید.

و بدین صورت بتوانید تمام ورودی و خروجی‌های ACL را مشخص نمایید.

چالش اصلی پیکر بندی کنترل کننده‌های دامنه است تا بر پورت‌های مشخص شده RPC باشند. پس ما تنها مجاز به استفاده از تعدادی پورت‌های TCP/UDP می‌باشیم.

اسکریپت زیر باید بر روی هر Domain Controller اجرا شود که توسط سرورهای موجود در DMZ امکان پذیر است. اسکریپت زیر بر ویندوز سرور 2019 اجرا شده و تست گردیده است.

پس از راه اندازی مجدد Domain Controller، دستور gpupdate را روی سرور DMZ خود اجرا می کنم تا مطمئن شوم که سرویس های AD در دسترس هستند. برای اطمینان از عدم مسدود شدن پورت ، راه اندازی و ورود مجدد به سیستم را انجام می‌دهیم.

 

 

 

فعالسازی تایید هویت دومرحله ای در DirectAdmin

Avatar for زاگریوزاگریو

پس از ورود با سطح دسترسی کاربری به پنل، به قسمت Two-Step Authentication بروید.

 

در قسمت Generate Secret یک کد جدید برای اسکن تولید می شود.

و در بخش Scratch Codes می توانید کدهای بکاپ در زمان در دسترس نبودن تلفن را ذخیره کنید.

 

پس از اسکن، در هر بار ورود با سیستم یا مرورگر جدید باید کد وارد کنید.

امکان تایید یک دستگاه تا 30 روز نیز وجود دارد.

 

 

فعالسازی تایید هویت دومرحله ای در cPanel

Avatar for زاگریوزاگریو
ابتدا به cPanel و یا WHM خود وارد شوید.
سپس از بروی گزینه Two-Factor Authentication کلیک کنید.

احراز هویت دو مرحله ای سی پنل

کد مذکور را در برنامه Google Authenticator یا Microsoft Authenticator اسکن کنید و کد ورود یکبار مصرف دریافت کنید.
توجه کنید که برای ورود از پورتال زاگریو به cPanel کماکان نیازی به 2FA نمی باشد و فقط برای ورود توسط نام کاربری و رمز عبور این مورد درخواست می شود.

 

نحوه فعالسازی تایید هویت دو مرحله ای در پورتال زاگریو

Avatar for زاگریوزاگریو

 

ابتدا باید برنامه Microsoft Authenticator و یا برنامه مشابه دیگری مانند Google Authenticator را بر روی گوشی همراه خود نصب کنید.

سپس از منوی کاربری به بخش تنظیمات امنیتی مراجعه کنید.

 

در قسمت احراز هویت دو مرحله ای برای فعالسازی اقدام کنید و مطابق راهنمای درج شده، نسبت به اکسن و وارد نمودن کد نمایش داده شده اقدام کنید.

 

از این پس برای ورود به زاگریو باید این کد یکبار مصرف را در اختیار داشته باشید.

همچنین چندین کد برای شرایط اضطراری در اختیار شما قرار خواهد گرفت.

 

اطمینان حاصل کنید که اطلاعات تماس شما، پین کد پشتیبانی و آدرس های درج شده در پنل زاگریو بصورت صحیح باشند تا در صورت در دسترس نبودن دستگاه تلفن، بتوانید سبت به احراز هویت اقدام کنید.

 

نحوه انتخاب رمز عبور قوی و مناسب چیست؟

نحوه انتخاب رمز عبور قوی و مناسب چیست؟

Avatar for زاگریوزاگریو
10.4kviews

در این مقاله سعی می‌کنیم، راه کار انتخاب یک رمز عبور قوی و ایمن را به شما آموزش دهیم و نکات مهم، برای داشتن پسووردی مطمئن را در زاگریو به شما خواهیم گفت.

نکاتی که در انتخاب رمز عبور باید به آن دقت کنید

رمز عبور قوی، یکی از مهم‌ترین مواردی است که شما برای ساخت هر اکانت و ورود به سوشیال مدیا (اینستاگرام، فیس‌بوک، توییتر، لینکدین و …) به آن نیاز دارید، پس باید بسیار در ساخت پسوورد دقت به خرج دهید.

1. طولانی بودن رمز عبور |اصول انتخاب رمز قوی

اکثر سیستم‌هایی که پسوورد دریافت می‌کنند به حداقل ۸ کاراکتر نیاز دارند، هر چقدر پسورد شما طولانی‌تر باشد امنیت آن بیشتر است.

2. ترکیبی تصادفی از حروف و عدد

یک کلمه و یا کلماتی “تصادفی” را انتخاب کنید که یادآوری آن برای شما ساده باشد و آن کلمات را به عنوان “کلمات پایه” در نظر بگیرید.
مثال: نام فرزندان من علی، تارا، سامان و ستاره است پس کلمه تصادفی من می‌تواند altasase باشد (دو حرف اول هر نام).

خرید سرور مجازی

3. اعدادی را به کلمات پایه خود اضافه کنید تا امن‌تر شوند.

مثال: سن فرزندان خود را به آن اضافه کنید: altasase391720

4. کاراکترهای اضافی را اضافه کنید تا پسوورد شما پیچیده‌تر شود.

مثال: altasase#391720

5. با استفاده ار حروف بزرگ و کوچک رمز خود را پیچیده‌تر کنید.

مثال: AlTaSaSe#391720

6. پسوورد‌های مشابه اما متغیر استفاده نمائید |  رمز عبور مناسب

کلمات پایه و ترکیب آن‌ها به شما کمک می‌کند که یادآوری آن‌ها ممکن است ساده باشد پس با ترکیب کردن این موارد آن را از به صورتی تبدیل نمائید که به سادگی قابل شکستن (Crack) نباشد.

مثال: تبدیل AlTaSaSe#391720 به mykidsAlTaSaSe#3090170200

زاگریو

۱۰ نکته کاربردی برای افزایش امنیت وب‌سایت

Avatar for زاگریوزاگریو
2.5kviews
در سال‌های اخیر ابزارها و خدمات گسترش وسیعی برای توسعه فضای وب ایجاد شد. سیستم‌های مدیریت محتوا (CMS)  مانند وردپرس، جوملا و بسیاری دیگر به صاحبان کسب و کار اجازه می‌دهد که سریع و کارآمد برای خود یک حضور آنلاین ایجاد کنند. معماری توسعه‌پذیر، ماژول‌ها و پلاگین‌های ارزشمند و اکوسیستم‌های توسعه‌پذیر آنها داشتن یک وب‌سایت را بدون نیاز به سال‌ها آموزش امکان‌پذیر می‌کند.

بدون شک این یک چیز با ارزش است اما از طرف دیگر مشکلی وجود دارد و آن این است که بسیاری از طراحان وب نمی‌دانند که چگونه از امنیت وب‌سایت خود مطمئن شوند و یا حتی درکی از اهمیت امنیت وب‌سایت ندارند. ما در این آموزش ۱۰ مرحله مهم که طراحان وب برای تامین امنیت وب‌سایت خود باید در نظر بگیرند را ارائه می‌دهیم.

۱- به‌روزرسانی، به‌روزرسانی، به‌روزرسانی:

وب‌سایت‌های بسیاری هر روزه در معرض خطر ناشی از استفاده از نرم‌افزارهای منسوخ و ناامنی که بر روی آنها اجرا می‌شوند، هستند. این خیلی مهم است که وب‌سایت خود را با پلاگین‌ها و نسخه CMS جدیدی که در دسترس است بروز رسانی کنید تا امنیت وب‌سایت شما در خطر نباشد. امروزه بیشترین هک‌ها کاملا اتوماتیک هستند توسط ربات‌هایی که به طور مداوم سایت‌ها را اسکن می‌کند و به دنبال بهره‌برداری از فرصت‌ها هستند. بروز رسانی یک‌بار در ماه یا یک‌بار در هفته خیلی کافی نیست زیرا به احتمال بسیار زیاد ربات‌ها قبل از شما یک آسیب‌پذیری برای نفوذ پیدا کرده‌اند. مگراینکه شما درحال اجرای website firewall like CloudProxy باشید که به محض انتشار آن نیاز به بروز رسانی دارید. اگر در حال اجرای وردپرس هستید پلاگین ‘WP Updates Notifier توصیه می‌شود. این ایمیل‌ها به شما اجازه می‌دهد از زمانی که یک پلاگین یا هسته وردپرس برای بروزرسانی موجود باشد، باخبر شوید. شما می‌توانید با دنبال کردن @sucuri_security در توتیتر از بروز رسانی و هشدارهای امنیتی اطلاع پیدا کنید.

۲- انتخاب Passwords قدرتمند برای امنیت وب‌سایت و خودتان:

برای کار کردن به روی سایت مشتری اغلب نیاز است که با استفاده از جزئیات مدیریت کاربران به سایت/سرور آنها وارد شویم. در بسیاری از موارد Root Password آن‌ها امن نبوده ولی کمی ترسناک است که این موضوع به آن‌ها گفته شود، اما admin/admin ترکیب امنی برای Username و Password نیست. اگر Password شما در لیست پسوردهای رایج مشاهده شود باعث می‌شود که سایت شما نقاطی برای هک داشته باشد و امنیت وب‌سایت شما در خطر باشد. حتی اگر Password شما در این لیست وجود نداشته باشد، تصورات اشتباهی در مورد رمز عبور قوی وجود دارد. سهل‌انگاری در مورد انتخاب اندازه Password مناسب بخشی از مشکل است.
هنگامی‌که می‌خواهید یک پسورد مناسب انتخاب کنید باید سه مورد زیر را در نظر بگیرید:
–    پیچیده بودن: Password باید بصورت تصادفی (Random) انتخاب شود. با انتخاب Password تصادفی دیگر کسی با پی بردن به تاریخ تولد یا تیم ورزشی مورد علاقه شما و دیگر موارد نمی‌تواند حساب شما را هک کند.
–    طولانی بودن: Password باید از بیشتر از ۱۲ کاراکتر باشد. وقتی که برای محدودیتی برای وارد کردن رمز عبور وجود نداشته باشد یک رمز عبور ۱۲ کاراکتری به راحتی می‌تواند حدس زده شود. بنابراین بهتر است که رمز عبور طولانی‌تر انتخاب شود و بیش از ۱۲ کاراکتر باشد.

–    منحصربه‌فرد بودن: از Password تکراری استفاده نکنید.

۳- یک سایت = یک ظرف:

من وسوسه شدن را درک می‌کنم. شما یک فضای نامحدودی برای میزبانی وب دارید پس چرا سایت‌های بسیاری بر روی آن قرار ندهید! متاسفانه این یکی از بدترین شیوه‌ها از نظر امنیتی است. با قرار دادن سایت‌های بسیار بر روی یک فضا سطح حمله بزرگی ایجاد می‌کنید. به عنوان مثال شما ممکن است یک سایت که شامل وردپرس و با یک موضوع و  ۱۰ پلاگین است که بر روی آن نصب شده است به طور بالقوه ممکن است مورد هدف مهاجمان قرار گیرد. حال اگر بر روی سروری که مورد حمله مهاجمان قرار گرفته شما میزبان ۵ سایت باشید که سه تا از آنها با وردپرس و دوتا با جوملا طراحی شده باشند با ۵ موضوع و ۵۰ پلاگین که بر روی آنها نصب شده است، وضعیت بدتر خواهد شد. این کار نه تنها باعث می‌شود که تمامی سایت‌های شما هم‌زمان هک شوند بلکه فرآیند پیشگیری و پاکسازی به زمان بیشتری نیاز پیدا می‌کند.

بعد از اینکه پاکسازی با موفقیت انجام شد شما باید به فکر بازنشانی پسورد باشید، به جای اینکه این کار را فقط برای یک سایت انجام دهید اکنون باید برای تمام سایت‌های خود پسورد را بازنشانی کنید. هر پسورد مرتبط با هر وب‌سایت، تمامی سیستم‌های مدیریت محتوا (CMS)، پایگاه داده‌ها، FTP تمامی کاربران سایت‌ها باید تغییر کند. در نهایت بعد از انجام تمامی این موارد به خانه اول بازمی‌گردید و وب‌سایت شما ممکن است که دوباره آلوده شود.

۴- دسترسی محسوس کاربر:

این قانون برای وب‌سایتهایی است که چندین کاربر برای لاگین کردن به سایت دارند. این مهم است که هر کاربر برای انجام کار خود اجازه دسترسی داشته باشد. اگر نیاز دارند به صورت لحظه‌ای به آن‌ها دسترسی داده شود و بعد از اتمام کارشان این دسترسی محدود شود. این مفهوم به عنوان حداقل امتیاز شناخته می‌شود.
به عنوان مثال اگر دوستی دارید که می‌خواهد یک پست در سایت شما قرار دهند نیازی نیست که دسترسی کامل داشته باشد. این حساب کاربری فقط  باید قادر به ایجاد پست جدید و ویرایش باشد. نیازی نیست دسترسی که قادر به تغییر تنظیمات وب‌سایت است را داشته باشد. داشتن دسترسی‌هایی که به دقت تعریف شده می‌تواند اشتباهات و عواقب خطر را محدود کند و می‌تواند وب‌سایت را از آسیب‌های کاربران سرکش محافظت کند.
اغلب مدیریت کاربران بخش پاسخگویی و نظارت را نایده می‌گیرند. اگر مردم یک حساب کاربری مشترک داشته باشند و ناخواسته توسط کاربران تغییر کند، چگونه شخصی را که مسئول است را پیدا می‌کنید؟

وقتی برای هر کاربر حساب جداگانه‌ای داشته باشید می‌توانید رفتار هر کاربر را جداگانه بررسی کنید، بنابراین می‌توانید نقاط ناهنجار را پیدا کنید و شخصی که حسابش در معرض خطر است را تشخیص دهید.

۵- تغییر تنظیمات پیش فرض CMS ها برای بهبود امنیت وب‌سایت:

برنامه‌های CMS امروزی اگرچه برای استفاده بسیار راحت هستند اما از دیدگاه امنیتی برای کابران نهایی بسیار خطرناک است. تاکنون رایج‌ترین حملات در وب‌سایت‌های بوده که کاملا اتوماتیک اند و بسیاری از حملات با تکیه بر تنظیمات پیش‌فرض انجام می‌شود. شما با تغییر تنظیمات پیش‌فرض هنگام نصب CMS ها می‌توانید از بسیاری از حملات دوری کنید. معمولا ساده‌ترین راه برای تغییر تنظیمات پیش ‌فرض هنگام نصب CMS است اما بعد از نصب هم می‌توان این نتظیمات را تغییر داد.

۶- انتخاب توسعه‌پذیری برای بهبود امنیت وب‌سایت:

یکی از زیباترین نکات در مورد برنامه‌های کاربردی CMS های امروزی توسعه‌پذیر بودن آن‌هاست. اما این توسعه‌پذیر بودن بزرگ‌ترین نقطه ضعف آن‌ها است. تعداد زیادی از پلاگین، افزودنی‌ها، و ماژول‌ها وجود دارند که تقریبا هر قابلیتی که شما می‌توانید تصور کنید را ارائه می‌دهند. واقعیت این است که این تعداد بی‌شمار برنامه‌های افزودنی مانند شمشیر دو لبه هستند، اغلب افزونه‌های متعددی پیشنهاد می‌شود که قابلیت‌های مشابه دارند، شما چگونه متوجه می‌شوید که کدام‌یک را نصب کنید؟
در اینجا مواردی را بیان می‌کنیم که معمولا در هنگام تصمیم‌گیری در مورد انتخاب افزونه‌ها برای نصب باید در نظر گرفته شوند:
–    اولین مورد این است که پسوندی که به تازگی بروزرسانی شده انتخاب شود. اگر آخرین بروزرسانی برای یک سال قبل باشد باعث این نگرانی می‌شود که نویسنده دیگر قصد ندارند بر روی آن کاری انجام دهد. بهتر است از افزونه‌هایی  استفاده شود که به طور مداوم نویسنده در حال توسعه آن‌ها هستند.
–    همچنین به قدمت و تعداد نصب افزونه‌های باید توجه شود. افزونه‌هایی که خیلی زیاد نصب شده‌اند نسبت به آن‌هایی که حدود ۱۰۰ مرتبه نصب شده و توسط یک نویسنده برای اولین بار منتشر شده، بیشتر قابل اعتماد است. نه تنها توسعه‌دهنده‌های با تجربه ایده‌های بهتری دارند بلکه احتمال اینکه بخواهند شهرت و محبوبیت خود را با توسعه کدهای مخرب از بین ببرند بسیار کم است.

–    اینکه شما برنامه‌های افزودنی و تم‌های خود را از منابع قانونی دانلود کنید بسیار  مهم است. سایت‌های بسیاری هستند که نسخه‌های رایگانی را به شما برای دانلود پیشنهاد می‌دهند. وب‌سایت‌ها این نسخه‌های رایگان را فقط با یک هدف ارائه می‌دهند: آلوده کردن وب‌سایت شما با نرم‌افزارهای مخرب.

۷- بک‌آپ گرفتن دوره‌ای برای بهبود امنیت وب‌سایت:

مانند هر چیز دیگری در دنیای دیجیتال، ممکن است که یک‌باره همه چیز از بین برود. بهتر است که گاهی اوقات از وب‌سایت خود بک‌آپ بگیرید. بک‌آپ گرفتن از وب‌سایت خیلی مهم است اما ذخیره‌سازی این بک‌آپ بر روی سرور یک ریسک امنیتی خیلی بزرگ است. این بک‌آپ که شامل نسخه‌های اصلاح نشده CMS و افزونه‌هایی است که در دسترس عموم است، به هکرها اجازه می‌دهد که به راحتی به سرور شما دسترسی پیدا کنند.

۸- فایل‌های پیکربندی شده سرور:

شما باید درباره پیکربندی فایل‌های وب سرور خود اطلاعات داشته باشید. وب‌سرورهای آپاچی از فایل .htaccess و سرورهای Nginx از فایل nginx.conf و سرورهای Microsoft IIS از فایل web.config. استفاده می‌کنند که اغلب در root web directory یافت می‌شوند و بسیار قدرتمندند. این فایل‌ها به شما اجازه می‌دهند قوانینی از جمله دستورات بهبود امنیت وب سایت را اجرا کنید.

۹- نصب SSL:

در مورد مقالات بسیاری که  به اشتباه بیان کرده‌اند که نصب SSL همه مسائل امنیتی شما را حل می‌کند دو طرز تفکر وجود دارد. SSL سایت شما را در برابر هیچ حمله مخربی محافظت نمی‌کند و توزیع نرم‌افزارهای مخرب را متوقف نمی‌کند. SSL ارتباط بین دو نقطه A و B – بین سرور وب سایت شما و مرورگر را رمزگذاری می‌کند. این رمزگذاری به این دلیل که مانع از این می‌شود که هر کسی قادر به مشاهده ترافیک و اطلاعات انتقالی شما نباشد بسیار با اهمیت است. SSL برای امنیت وب‌سایت تجارت الکترونیک و هر وب‌سایتی که فرم‌هایی با اطلاعات حساس و شخصی افراد را می‌پذیرد بسیار مهم است. گواهینامه‌های امنیتی SSL انتقال اطلاعات بازدیدکنندگان شما را محافظت می‌کند.

۱۰- مجوزهای دسترسی فایل:

مجوزهای دسترسی تعریف می‌کند  که چه کسی می‌تواند با فایل چه کاری انجام دهد.
هر فایل سه مجوز دسترسی دارد:
–    خواندن (Read): به این سطح دسترسی عدد ۴ داده می‌شود.
–     نوشتن (Write): به این سطح دسترسی عدد ۲ داده می‌شود.
–    اجرا کردن (Execute): به این سطح دسترسی عدد ۱ داده می‌شود.

اگر می‌خواهید چندین اجازه دسترسی را به شخصی بدهید کافی است که اعداد را باهم جمع کنید. به عنوان مثال اگر می‌خواهید به شخصی اجازه خواندن و نوشتن بدهید باید در مجوز دسترسی کاربر عدد ۶ را وارد کنید. اگر علاوه بر خواندن و نوشتن مجوز اجرای فایل‌ها را هم بدهید باید عدد ۷ را وارد کنید.

نتیجه:

با انجام این ده مرحله نسبتا ساده شما می‌توانید به طور چشمگیری امنیت سایت خود را افزایش دهید، هرچند که انجام این مراحل به تنهایی تضمین نمی‌کند که سایت شما هرگز هک نشود اما می‌تواند اکثریت قریب به اتفاق حملات خودکار را متوقف کند.

IPSec: تامین امنیت گردش اطلاعات توسط فایروال ویندوز سرور

Avatar for زاگریوزاگریو
3.9kviews

IPSec چیست؟

Internet Protocol Security یا به اختصار IPSec یک پروتکل برای تامین امنیت ارتباطات IP است که این امنیت را توسط Authentication (احراز هویت) و Encryption (کد گذاری) به ازای هر Session از بسته‌های ارتباطی IP تامین می‌کند.
IPSec همچنین شامل پروتکل‌هایی است که با استفاده از کلیدهای کدگذاری شده برای احراز هویت و کد گذاری دو طرفه سمت گیرنده و فرستنده در ابتدای برقراری ارتباط و در طول مدت ارتباط اقدام می‌کند.

چرا از IPSec استفاده کنیم؟

• برای تامین امنیت مورد نیاز ارتباطات و یا برای ارتقای امنیت نرم‌افزارها
• این امکان را به شما می‌دهد که بر مبنی IP محدودیت‌هایی اعمال کنید و در لایه TCP/UDP با اینکه ممکن است نرم‌افزار شما آن را پشتیبانی نکند کدگذاری انجام دهید.

پیش‌نیازها:
• ورودی/خروجی پورت (IP Protocol 50 (ESP
• ورودی/خروجی پورت (IP Protocol 51 (AH
• ورودی/خروجی پورت UDP port 500
• انتخابی: پورت TCP/UDP 88 (در صورت Authentication)
• انتخابی: پورت (UDP 4500 (NAT

با استفاده از Windows Firewall with Advanced Security در دامنه Active Directory
لازم است تمامی مراحل زیر را انجام دهید:

Identity Management یک Policy تحت عنوان CIT-IDM-MachineCertificateAutoEnrollment دارد که به هر کامپیوتری که در یک OU وجود دارد این اجازه را می‌دهد که یک گواهینامه IPSec به ازای هر کامپیوتر ایجاد کند.

۱- یک GPO در OU مورد نظر خود که می‌خواهید توسط IPSec ایمن شود ایجاد نمائید. تمامی ServerFarm ها باید این GPO به آنها Link شده باشد.

۲- مطمئن شوید این Policy به همه سیستم ها اعمال شده و با دستور gpupdate از به روزرسانی آن اطمینان حاصل کنید (پیش‌فرض بروزرسانی ۹۰ دقیقه است).

ایجاد Connection Security Rule بر روی سرور

۱- به سرور وارد شوید.
۲- پنجره Windows Firewall with Advanced Security را باز کنید.
۳- بر روی Connection Security Rule دکمه راست را بزنید و گزینه New Rule را انتخاب کنید.

How-to-Secure-Windows-Traffic-with-IPsec-01

۴- گزینه Custom را انتخاب کنید و بر روی Next کلیک کنید.

How-to-Secure-Windows-Traffic-with-IPsec-02

۵- در تب Endpoints این موارد را انجام دهید:
• در قسمت Endpoint1 آدرس IP یا آدرسهای IP سرور(های) خود را وارد کنید.
• در قسمت Endpoint2 آدرس IP یا آدرسهای IP کلاینت(های) خود را وارد کنید.
• بر روی Next کلیک کنید.

How-to-Secure-Windows-Traffic-with-IPsec-03

۶- گزینه Require authentication for inbound and outbound connections را انتخاب و بر روی Next کلیک کنید.

How-to-Secure-Windows-Traffic-with-IPsec-04

۷- در قسمت Authentication Method گزینه Advanced را انتخاب و Customize را بزنید.

How-to-Secure-Windows-Traffic-with-IPsec-05

۸- در پنجره First Authentication Method گزینه Add را بزنید.

How-to-Secure-Windows-Traffic-with-IPsec-06

۹- در پنجره Add First Authentication Method گزینه Computer certificate from this certificate authority را انتخاب و مراحل زیر را انجام دهید:
• (Signing algorithm : (default
• (Certificate store type: (default
• گزینه Browse را زده و مرجع صادرکننده گواهینامه را انتخاب کنید.
• بر روی OK کلیک کنید.

How-to-Secure-Windows-Traffic-with-IPsec-07

 

How-to-Secure-Windows-Traffic-with-IPsec-08

۱۰- در پنجره Customize Advanced Authentication Methods بر روی OK کلیک کنید.

How-to-Secure-Windows-Traffic-with-IPsec-09

۱۱- مجددا پنجره New Connection Security Rule Wizard: Authentication Method را مشاهده خواهید کرد. بر روی OK کلیک کنید.
۱۲- در باکس To which ports and protocols does this rule apply سرویس‌ها و پروتکل‌های موردنظر خود (برای مثال SMB, TCP 445) را انتخاب کنید و بر روی Next کلیک کنید.
از آنجایی که این سرویس فقط در Endpoint1 ارائه می‌شود، شماره پورت موردنظر را وارد کنید و در قسمت Endpoint2 بر روی All Ports باشد.

How-to-Secure-Windows-Traffic-with-IPsec-10

۱۳- در باکس When does this rule apply تمامی چک باکس‌ها فعال باشد و بر روی Next کلیک کنید.

How-to-Secure-Windows-Traffic-with-IPsec-11

۱۴- یک نام برای این Rule انتخاب کنید و گزینه Finish را بزنید.

تنظیمات امنیتی سمت Client

۱- به ماشین Client وارد شوید.
۲- تمامی مراحل بالا را از مرحله ۳ تا ۱۴ برای کلاینت نیز تکرار کنید. (تمامی مراحل حتی قسمت Endpoint ها یکسان است.)
۳- ارتباط خود را تست کنید و مطمئن شوید کماکان فعال است.
نکته: ممکن است در ابتدای ارتباط شما یک وقفه وجود داشته باشد که این مورد به دلیل شروع Negotiationارتباط است.
۴- در قسمت Monitoring شما باید ارتباط احراز هویت شده خود را فی‌مابین سیستم‌ها مشاهده کنید.

How-to-Secure-Windows-Traffic-with-IPsec-12

۵- توجه کنید در همین قسمت در زیر منوی Quick Mode مقدار ESP Encryption بر روی None است. این گزینه به این معناست که احراز هویت سیستم مقابل تامین شده است اما اطلاعات رد و بدل شده توسط IPSecایمن نشده است!

How-to-Secure-Windows-Traffic-with-IPsec-13

تنظیمات فایروال سمت سرور

۱- به سرور وارد شوید.
۲- یک New Rule از قسمت Inbound Connections ایجاد کنید.

How-to-Secure-Windows-Traffic-with-IPsec-14

۳- بر روی Custom کلیک کنید و به مرحله بعدی بروید.

How-to-Secure-Windows-Traffic-with-IPsec-15

۴- گزینه All Programs را انتخاب کنید و به مرحله بعدی بروید.

How-to-Secure-Windows-Traffic-with-IPsec-16

۵- پورت ورودی سمت سرور (مثلا ۴۴۵ SMB) را انتخاب و به مرحله بعدی بروید.

How-to-Secure-Windows-Traffic-with-IPsec-17

۶- آدرس IP های موردنظر خود را مانند بالا انتخاب کنید و بر روی Next کلیک کنید.

How-to-Secure-Windows-Traffic-with-IPsec-18

۷- گزینه Allow the connection if it is secure را انتخاب و سپس Customize را انتخاب کنید.

How-to-Secure-Windows-Traffic-with-IPsec-19

۸- گزینه Require the connections to be encrypted را انتخاب و بر روی OK کلیک کنید.

How-to-Secure-Windows-Traffic-with-IPsec-20

۹- در منوی Action بر روی OK کلیک کنید.
۱۰- در منوی Users نیز OK را بزنید.
۱۱- در منوی Computer نیز OK را بزنید.

 

How-to-Secure-Windows-Traffic-with-IPsec-21

۱۲- در قسمت Profiles تمامی تیک‌ها را بزنید و به مرحله بعد بروید.
۱۳- نامی را برای این Rule انتخاب کنید و Finish را بزنید.

تنظیمات فایروال سمت کلاینت

۱- به کلاینت وارد شوید.
۲- یک Rule جدید در قسمت Outbound Rules ایجاد کنید.

How-to-Secure-Windows-Traffic-with-IPsec-22

۳- انتخاب گزینه Custom و سپس مرحله بعد.
۴- انتخاب گزینه All Programs و سپس مرحله بعد.
۵- گزینه Remote Port (در این مثال SMB 445) را انتخاب و به مرحله بعدی بروید.

How-to-Secure-Windows-Traffic-with-IPsec-23

۶- آدرس IP های مورد نظر را انتخاب کنید.

How-to-Secure-Windows-Traffic-with-IPsec-24

۷- گزینه Allow the connection if it is secure را انتخاب کنید و بر روی Customize کلیک کنید.
۸- گزینه Require the connections to be encrypted را انتخاب کنید و OK را بزنید.

How-to-Secure-Windows-Traffic-with-IPsec-25

۹- در منوی Action بر روی OK کلیک کنید.
۱۰- در منوی Computer نیز OK را بزنید.
۱۱- در قسمت Profiles تمامی تیک‌ها را بزنید و به مرحله بعد بروید.
۱۲- نامی را برای این Rule انتخاب کنید و Finish را بزنید.

تست ارتباط نهایی با IPSec

۱- از سمت کلاینت ارتباط را تست کنید که فعال باشد.
۲- در قسمت Windows Firewall -> Security Associations -> Quick Mode باید گزینه ESP Encryption دارای مقدار موردنظر باشد. این نشانگر امنیت تبادل اطلاعات شماست.

 

How-to-Secure-Windows-Traffic-with-IPsec-26

 

مواردی که می‌بایست در نظر داشت:

• برای سیستم‌هایی که به دامنه متصل نیستند می‌توانید از PreShared Key استفاده کنید. این کلیدها به صورت یک متن ساده هستند که در سمت کلاینت و سرور ذخیره می‌شود. برای امنیت اطلاعات در یک شبکه کابلی کماکان مناسب است.

• در قسمت Connection Security Rule باید به جای Computer Certificate گزینه Use PreShared Key را انتخاب کنید.

How-to-Secure-Windows-Traffic-with-IPsec-27

• برای سیستم عامل‌های قدیمی‌تر از Vista استفاده از این امکان وجود ندارد. در صورت امکان سیستم خود را ارتقا دهید. در صورتی که امکان ارتقا ندارید می‌توانید از IPSec بر روی سیستم استفاده نمائید. در این روش فقط به ازای هر سیستم یک ارتباط می‌توانید تعریف کنید و امکان تعریف آن بصورت یک Rule در فایروال وجود ندارد. این روش برای یک‌بار تنظیم قابل استفاده است اما در یک سازمان Enterprise مناسب نیست مگر آنکه تمامی سیستم‌ها از یک تنظیمات استفاده نمائید. اطلاعات بیشتر

• لینوکس و OSX نیز امکان IPSec دارند اما در سمت کلاینت به نرم‌افزارهای جانبی نیاز خواهید داشت.

• آدرسهای IPv6 بصورت پیش‌فرض شامل IPSec هستند و به صورت خودکار تنظیم می‌شوند.

جوملا: راه‌کارهای افزایش امنیت وب‌سایت

Avatar for زاگریوزاگریو
1kviews

۱- محافظت از طریق .htaccess

کلیه فرآیندهای جوملا براساس ۲ فایل index.php و index2.php انجام می‌شود به همین منظور شما می‌توانید با استفاده از کدهای زیر از اجرای سایر فایل‌های PHP که ممکن است در میان فایل‌های شما آپلود شده باشند و در درون آنها backdoor وجود داشته باشد خودداری نمایید.
کد:

<Filesmatch ".(php)$">
order deny,allow
deny from all
Filesmatch>

<Filesmatch "^index.php">
order allow,deny
allow from all
Filesmatch>

<Filesmatch "^index2.php">
order deny,allow
allow from all
Filesmatch>

البته ممکن است یک هکر دانا یک backdoor را با نام index.php در یکی از پوشه‌های جوملا شما آپلود نماید به همین منظور از کد زیر در همه زیر پوشه‌ها استفاده نمایید:

<Files ~ ".(php)$">
Deny from all
Files>

در پوشه مدیریت نیاز است شما از کد زیر استفاده نمایید:

<Files ~ ".(php)$">
Deny from all
<Files

 

۲- محافظت از طریق FTP

می‌دانید که مشخصات FTP هاست شما در درون فایل configuration.php برای استفاده جوملا وجود دارد و در صورت دست یافتن هکر به این اطلاعات ، هکر می‌تواند به سادگی سایت شما را هک نماید.
به همین منظور شما می توانید دسترسی به FTP را به IP خود سرور و مثلا IP خودتان محدود نمایید.
مثال زیر برای proftpd می‌باشد و این امر برای سایر سرویس دهنده‌های FTP کمی متفاوت است.
در فایل /etc/proftpd.conf خط زیر را اضافه نمایید.

<Limit LOGIN>
Order allow,deny
Allow from 11.22.33.44
Allow from 127.0.0.1
Deny from all
Limit>

IP شماره ۱۱٫۲۲٫۳۳٫۴۴ مثلا متعلقه به کامپیوتر شما است و IP شماره ۱۲۷٫۰٫۰٫۱ متعلق به سرور است تا بتواند از FTP استفاده نماید

۳- بلوک کردن IP‌ها

معمولا اکثر سایت‌ها نیازی به مراجعه کاربران از کشورهای هکرخیز مانند چین و روسیه ندارند به همین منظور می‌توانید با استفاده از سایت زیر ، بازه IP‌های کشور مورد نظر را یافته و مسدود نمایید:

<countryipblocks.net/country-blocks/select-formats>
/sbin/iptables -I INPUT -s 88.147.196.0/88.147.253.255 -j DROP

۴- فایل‌ها و پوشه‌ها در جوملا

اکنون زمان محافظت از فایل‌ها و پوشه‌ها است. مالک فایل‌ها و پوشه‌ها کاربر FTP و دسترسی پوشه‌ها ۷۵۵ و دسترسی فایل‌ها ۶۴۴ می‌باشد به همین منظور دستور زیر را اجرا نمایید.

Navigate to joomla root chown -R user:group ./ chmod -R 0644 ./ find . -type d -exec chmod 755 {} ;

با این کار مالک فایل‌های شما تغییر کرده و دیگر PHP قادر به نوشتن بر روی فایل‌ها نیست.

البته فراموش نکنید که باید به صورت دستی دسترسی cache و backupsرا ۷۷۷ نمایید.

نکته: این کار را از طریق کنترل پنل و FTP ‌هم میتوانید به راحتی انجام دهید.

۵- جوملا خود را به روز نگه دارید

شما همواره باید جوملا خود را به‌روز نگه دارید و پس از انتشار هر نسخه جدید، سریعا جوملا خود را به نسخه جدیدتر ارتقا دهید.

۶- محافطت از پوشه administrator در جوملا

یکی از راه‌های ساده جهت محافظت از جوملا گذاشتن رمزعبور بر روی پوشه Administrator است با این کار در صورتی که هکر، نام کاربری و رمزعبور شما را هم داشته باشد قادر به تخریب زیادی در سایت شما نخواهد بود.

۷- کاهش دسترسی کاربر admin در جوملا

کاربر admin که مدیرکل جوملا می‌باشد همواره یکی از اهداف حمله هکرها است. به همین منظور یک کاربر مدیر کل دیگر ایجاد نموده و سپس با آن وارد بخش مدیریت شده و دسترسی کاربر admin را به “کاربر ثبت شده” تغییر دهید.

۸- نصب پلاگین jSecure Authentication

نصب این پلاگین باعث ایجاد امنیت بیشتر در مسیر ورودی به مدیریت جوملای شما می‌شود.

۹- تغییر پیشوند جداول دیتابیس

از دیتابیس خود بکاپ بگیرید.

وارد مدیریت جوملا شوید.

در تنظیمات کلی وارد بخش دیتابیس شوید.

پیشوند جداول را به مثلا به rthf_ تغییر داده و سپس ذخیره نمایید.

وارد phpMyAdmin شوید.

وارد export شده و از دیتابیس خود خروجی ساده بگیرید.

کل خروجی ایجاد شده را کپی نمایید.

در phpMyAdmin کلیه جدول‌ها را حذف نمایید.

در notepad عبارت jos_ را مثلا با rthf_ جایگزین نمایید.

وارد تب SQL شده و متن را از notapad کپی و سپس بر روی دکمه Go کلیک نمایید.

نتیجه‌گیری

با انجام کارهای بالا سایت شما بیش از ۹۹٫۹۹% از احتمال هک شدن مصون می‌گردد.