Сопровождение домена сайта ресурсов на хостинге Взаимосвязь

Сопровождение домена, сайта, ресурсов на хостинге

Взаимосвязь Пользователи и разработчики Доменное имя (сайта) Серверы имен (NS) IP Хостинг

Домен

Серверы имен domain: ***. RU nserver: ns 3. nic. ru. nserver: ns 4. nic. ru. nserver: ns 8. nic. ru. state: REGISTERED, DELEGATED

NS’ы в том же домене domain: ***. RU nserver: ns 1. ***. ru. 91. 217. 20. 150 nserver: ns 2. ***. ru. 91. 217. 21. 150 state: REGISTERED, DELEGATED

DNS-записи Основные типы записей SOA (Start Of Authority) A (Address) CNAME (Canonical Name) MX (Mail e. Xchanger) Файл зоны Многие регистраторы и провайдеры предоставляют веб-интерфейс для редактирования

MX-записи для Gmail @ IN MX 1 ASPMX. L. GOOGLE. COM. @ IN MX 5 ALT 1. ASPMX. L. GOOGLE. COM. @ IN MX 5 ALT 2. ASPMX. L. GOOGLE. COM. @ IN MX 10 ASPMX 2. GOOGLEMAIL. COM. @ IN MX 10 ASPMX 3. GOOGLEMAIL. COM. @ IN TXT "google-site-verification=…"

Администратор домена Вы или регистратор? Вы или веб-студия? Можно в случае необходимости скрыть свои персональные данные из данных whois: person: Private Person

Время «Ч» created: 2002. 03. 28 paid-till: 2013. 03. 29 free-date: 2013. 04. 29

Уведомления, контакты Следите за уведомлениями от регистратора Можно при необходимости включить уведомления при помощи SMS Поддерживайте актуальность контактной информации Электронная почта. Давно не использующиеся почтовые адреса, заведенные на бесплатных сервисах, имеют обыкновение освобождаться. Не используйте такие адреса в качестве административных контактов Телефоны. Готовы ли вы доверить получение SMS-уведомлений кому-то другому после смены номера телефона? Паспортные данные Проверяйте наличие сведений о ранее выданном документе при смене паспорта! Были случаи перехвата доменов по поддельным документам

Панель регистратора Храните пароли в тайне! Заведите два различных пароля в целях разграничения доступа: административный и технический Введите при необходимости ограничение доступа в панель управления по IP-адресу

Восстановление

Атаки на домены В чем смысл? Пользователи находят сайт по имени домена Не требуется ломать сайт — сломайте домен! Если домен «сломан» … Пользователи отправляются куда угодно (и там вводят, вводят свои данные)

Атаки на домены «Безбумажные» 1. Взлом, подмена NS’ов 2. Перехват управления (через регистратора) 3. Взлом регистратора

Атаки на домены «Бумажные» 1. «Угон» домена 2. Захват «опечаток» 3. «Обратный захват»

Атаки на домены «Второго порядка» 1. Перехват домена контактной почты 2. Взлом, «инфицирование» , «отравление» элементов DNS (на стороне провайдера, на стороне клиента)

Примеры Получение доступа к панели управления 1. Подбор пароля, перехват трафика 2. Фишерские ссылки в почтовых сообщениях, в социальных сетях, на форумах, … 3. «Подхват» почтовых адресов с запросом на восстановление пароля (массовые попытки)

Реальность Сентябрь 2011 года Произведена смена NS’ов некоторых доменов, зарегистрированных Net. Names: theregister. co. uk telegraph. co. uk vodafone. com acer. com nationalgeographic. com

Сайт, хостинг

Азы безопасности Сопровождение сайта предполагает хранение множества паролей **** Храните пароли только в зашифрованном виде Не пользуйтесь для хранения паролей стандартными средствами клиентского ПО Вместо FTP старайтесь использовать SSH (SFTP) Настройте доступ к административным вебинтерфейсам по HTTPS Пользуйтесь открытыми сетями очень осторожно

Азы безопасности Остерегайтесь троянов Старайтесь не заниматься администрированием сайтов на сомнительных чужих компьютерах Включите все доступные уведомления хостингпровайдера Наладьте разумный мониторинг — cron, wget, … Своевременно обновляйте версии CMS и связанных модулей

В дополнение к азам Хостинг — это не только скрипты и CMS, но также и хранение данных 1. Пользовательские (персональные!) данные — контактная информация, заказы, платежи, личные сообщения, … 2. Коммерческая информация — поставки, склады, партнеры, статистика, … 3. Электронная почта

В дополнение к азам Бэкапы С одной стороны: там есть вся ваша информация! С другой стороны: не мешает время от времени делать бэкапы самостоятельно Соседи по серверу Могут «заглянуть» к вам на площадку (если хостинг плохой)

Настройка сервера Файлы управления доступом Обычно называются. htaccess Ошибки 401 403 404 500 Алиасы http: //***. ru/ http: //www. ***. ru/

Настройка сервера Индексная страница http: //***. ru/index. html Замыкающая косая черта http: //***. ru/news/ http: //***. ru/news Кодировка utf-8

Настройка сервера Постоянные соединения Connection: keep-alive Сжатие mod_gzip mod_deflate Кэширование Файлы; SQL-запросы; содержимое, генерируемое при помощи CMS

SSL/TLS Обеспечивают защиту от: — подмены сайта (любым способом) — «прослушивания» трафика — изменения данных в передаваемых сообщениях

SSL/TLS Разновидности сертификатов для сайтов 1. С проверкой домена 2. С дополнительной проверкой юридического лица 3. Для одного домена, для «всех» поддоменов — *. google. com 4. Для адреса электронной почты, персональные 5. Для программ, сервисов …

SSL/TLS Тезисы из практики 1. Рекомендуется отдельный IP-адрес для каждого веб-сервера (но существует и поддерживается SNI — Server Name Indication) 2. Необходимо для административного вебинтерфейса CMS 3. Проблема: пользователи привыкли игнорировать предупреждения (можно припомнить фиктивные сертификаты google. com)

Вопросы? info@nic. ru