Post view

insoler網站的FortiGate 110C防火牆Internet→Web外部網際網路到網站只開放https與http

在底下這篇文章裡,我公佈了insoler防火牆的「Web→Internet」也就是一般防火牆常用的「DMZ→WAN」的網路封包管理規則,那就是封鎖全部的網路封包流量!就連其他網站都絕對會開放的DNS(這樣才能讓電腦辨識Email地址或是網址)、Email,我都全部封鎖。

insoler網站的FortiGate 110C防火牆關閉全部的Web→Internet對外規則,封鎖對外的所有網路封包

想要在防火牆的後面架設一個或是多個網站的話,當然就不可能封鎖全部的網路封包,而至少必須開放「Internet→Web」也就是一般防火牆常用的「WAN→DMZ」的網路封包管理規則的http或是https。

由於現代所有的瀏覽器都會把「沒有加密的http網站」視為「不安全的網站」(如果有輸入帳號、密碼的話),所以有越來越多,甚至是全球已經有超過70%以上的網站都支援「SSL加密的https網站」。

由於沒有加密的http是使用80 TCP網路埠,而加密的https是是使用443 TCP網路埠,所以實際上一個網站是可以同時支援http與https。但是我考慮過,既然要進入到「加密的https網站」就應該要全面進入,不應該還繼續同時開放沒有加密的http是使用80 TCP網路埠!

所以你可以看到insoler主機只有開放「加密的https」(443 TCP Port),而老舊的BNW則是只有開放「沒有加密的http」(80 TCP Port)。

由於insoler的網路也支援IPv6,所以我也在IPv6的防火牆規則上開放相同的網路埠。但是只有開放80 TCP的http給BNW,並開放443 TCP的https給insoler網站。

許多的其他網站,通常都會在「DMZ→WAN」開放這些網路埠:

  • SSH遠端安全連線:這是Secure Shell安全殼層的縮寫,這個功能可以讓網站管理員、站長從外部的網際網路「遠端登入」到網站伺服器主機,以便遠端管理網站或是資料庫伺服器等。由於SSH只能登入到終端機,因此只能使用命令列模式,不能使用也看不到遠端主機的視窗畫面!
  • Remote Desktop遠端桌面:由於SSH只能透過終端機指令登入,而且只能使用命令列介面,如果是不能使用終端機指令的視窗,就必須使用Remote Desktop的遠端桌面才能操作。例如網站是使用Windows Server的情況。由於Windows Server並不支援SSH,所以只能用Remote Desktop。目前只有最新的Windows Server 2019才開始支援SSH。
  • VPN虛擬私人網路:這是Virtual Private Network的縮寫。這個功能可以讓兩個不同地點的私人網路(例如192.168.x.x網段)透過internet網際網路連接起來。通常用在連接分公司、總公司,甚至是跨國連接兩個公司的內部網路。這個功能可以讓你從遠方,甚至是國外連上公司的內部其他電腦、NAS網路磁碟機、使用公司內部的印表機等。

insoler完全不開放以上這些網路埠!只開放了Web Server需要的唯一的一個https的443 TPC網路埠。也因此只要「站長」離開了網站主機,就連「站長」自己都完全無法管理insoler的網站伺服器主機、MySQL資料庫伺服器主機、BNW網站主機等。

因為我認為「站長」方便管理,就可能也會有「安全性漏洞」可以讓駭客也能入侵來管理、竊取insoler的資料。雖然insoler網站上完全沒有會員的重要資料可以竊取!

雖然BNW沒有升級https,但其實不需要升級了!因為在我決定重新架設一個insoler社群網站的時候,早就已經決定廢除BNW。因此BNW網域只到今年(當時一口氣就買了10年的網域使用權利)就會因為網域到期而被終止。

終止的BNW網站並不會從此人間蒸發,我會把整個網站的內容全部都轉移到insoler網站上。由於insoler網站使用的Dolphin海豚系統只到2023年就停止更新,現在也只會更新版本支援PHP 7,確定不會繼續開發新的功能,因此insoler網站勢必也要轉移到另外一個UNA系統,因此從BNW轉移到insoler網站的計畫也被我擱置了很久。但無論如何,我一定會完成BNW轉移到insoler網站的計畫,就算BNW網域終止以後,我也會完成這項工作。

簡單的說,insoler只開放了「WAN→DMZ」從外面的internet網際網路到Web Server網站伺服器,所需唯一的一個https的443 TPC加密的網路埠!這代表著網站會更加安全,駭客更難以入侵!

就算駭客有本事靠一個443 TCP Port就能入侵insoler網站的Web伺服器主機,那個天才駭客馬上就會發現他有本事入侵,也沒本事把資料竊取出去!因為網站伺服器主機對外的「DMZ→WAN」竟然是全部封鎖!沒有一個網路埠可以連接到外面!

全世界的各大知名網站,絕對沒有人會公佈自己的防火牆設備、防火牆規則與設定畫面!甚至就連非常小的討論區、公司網站也不會公佈自己的防火牆。但其實我在BNW網站上10幾年前就有公佈我使用的Cisco PIX、ZyWALL 5、ZyWALL 70的防火牆設定!

也因此你看到的FortiGate 110C防火牆的畫面,全部都是真實的畫面,沒有任何隱藏,我也不需要在畫面上打馬賽克或是塗白,當然更不需要為了公開畫面而故意刪除一些規則,公開畫面以後再追加回去。

因為我認為連「各國天才駭客」的BOT註冊程式都無法在insoler網站上註冊惡意帳號,亂貼垃圾廣告,更不可能因為公開防火牆設定,就有本事入侵insoler使用的3台Mac mini的電腦主機!

insoler網站每天都有許多各國駭客跑來註冊惡意帳號!企圖張貼垃圾廣告或是含有木馬的惡意廣告!


延伸閱讀:什麼是https的SSL加密與EV憑證

由於我並不是SSL加密的專家,所以關於這方面的說明,就直接參考賽門鐵克網站。

什麼是 SSL 憑證?

SSL 的全名是 Secure Sockets Layer,即安全通訊端層,簡而言之,這是一種標準的技術,用於保持網際網路連線安全以及防止在兩個系統之間發送的所有敏感資料被罪犯讀取及修改任何傳輸的資訊,包括潛在的個人詳細資料。兩個系統可以是伺服器與用戶端 (例如購物網站與瀏覽器),或者伺服器至伺服器 (例如,含有個人身份資訊或含有薪資資訊的應用程式)。

這樣做是為了確保使用者與網站、或兩個系統之間傳輸的任何資料保持無法被讀取的狀態。此技術可使用加密演算法以混淆輸送中的資料,防止駭客在資料透過連線發送時讀取資料。此資訊可能是任何敏感或個人資訊,包括信用卡號與其他財務資訊、姓名與地址。

TSL (Transport Layer Security,傳輸層安全性) 是更新、更安全的 SSL 版本。我們仍將安全性憑證稱為 SSL,因為這是較常用的詞彙,不過當您透過賽門鐵克購買 SSL 時,您所購買的其實是最新的 TLS 憑證及 ECC、RSA 或 DSA 的加密選項。

HTTPS (Hyper Text Transfer Protocol Secure,超級文字傳輸協議安全) 會在網站受到 SSL 憑證保護時在網址中出現。該憑證的詳細資料包括發行機構與網站擁有人的企業名稱,可以透過按一下瀏覽器列上的鎖定標記進行檢視。

SSL 憑證安裝於伺服器上,但是在瀏覽器上,使用者仍可看到網站是否受到 SSL 的保護。首先,如果 SSL 出現在網站上,使用者看到的網址會是以 https:// 開頭,而不是 http:// (多出的一個 s 代表「安全」)。按照企業所獲得的驗證或憑證等級,安全連結會通過掛鎖圖標或綠色位址欄來顯示。

Google 正在倡導在網路上全面使用 HTTPS 或 SSL。自 2014 年,搜尋引擎一直透過更高的網站排名來獎勵安全的網站,成為網站安裝 SSL 另一個重要理由。

傳輸層安全性 (TLS) 是 SSL 的後繼協議。TLS 是 SSL 的改良版本。其運作方式與 SSL 大致相同,使用加密來保護資料和資訊的傳輸。在業界這兩個詞常常互用,SSL 使用率更高些。如果您從賽門鐵克購買一個 SSL 憑證,您當然可以與 SSL 和 TLS 協議一起使用。

業務認證等級

除了加密之外,憑證授權機構(CA)還可以驗證網站所有者的身份,更增安全性。然後以 SSL 憑證做為公司身份的證明。根據認證等級,憑證可以分為三個認證組,分別是:

  • 網域驗證 SSL 憑證

這兩者需要企業證明他們對網域名稱的控制。此憑證包含將網域名稱提供給憑證發給機構,是憑證請求的一部份。由於組織的身份不會在這裡檢查,網域驗證憑證是 SSL 憑證的最基本等級,只適用於測試伺服器和內部連結。

  • 組織驗證 SSL 憑證

申請人不僅需要證明他們擁有他們想要確保安全的網域名稱,也需證明他們的公司是完成註冊,在法律上需負責的企業。授與的憑證是網域和公司名稱的證明。此等級的驗證適用於自網站使用者收集個人資料的公開網站。請注意,個人不能夠獲得此憑證,只有組織和企業才可以。

  • 延伸驗證 SSL 憑證

延伸驗證 SSL 能幫助防止使用者將其資料細節提供給能讓罪犯進行網路釣魚的虛假網站。EV SSL 是對網域和公司進行上述的驗證,並證明 SSL 憑證屬於註冊公司之相關驗證步驟。這個額外的公司資訊會於發佈憑證的位址欄中顯示,可以由許多網頁瀏覽器透過點擊掛鎖圖示來訪問。許多瀏覽器會以綠色位址欄來表示這些網站有 EV SSL,讓使用者能很容易看到這個網站和企業在處理個人資料上是很可以信賴的。這類的憑證也是只發給組織和企業。

insoler社群網站一開始是使用一年免費試用的SSL憑證,在一年到期以後,我就決定直接升級到目前最高的「延伸驗證 SSL 憑證」。這個同樣是「個人不能夠獲得此憑證,只有組織和企業才可以」。所以我就只轉貼「EV SSL/TLS 的運作方式」的說明。

EV SSL/TLS 的運作方式

具有延伸驗證 (EV) 的 Symantec SSL/TLS 憑證提供了一種解決方案,讓公司和客戶可以安心地在線上通訊和進行商務活動。

延伸驗證與 SSL/TLS 安全性

對於知名品牌的商務,使用延伸驗證 (EV) SSL/TLS 憑證已被證明能有效防禦網路釣魚詐欺。對於任何網路商務,使用 SSL 與 EV 可對盈虧產生很大的影響。 線上購物者更喜歡將自己的信用卡與/或機密財務資訊輸入含有 SSL/TLS EV 綠色網址列的網站。

網站漏洞

網路釣魚與網路詐騙破壞消費者的信心

甚至是在安全的網頁上,擔心身份被盜與瀏覽器警告也會打擊消費者信心。 為了重新獲得信任,網站擁有人需要有個輕鬆可靠的方式讓消費者知道其交易是安全的,且網站沒有被假冒。 憑證授權中心與網際網路瀏覽器供應商聯手為 SSL/TLS 憑證建立 EV 標準。

具有延伸驗證的綠色網址列重獲信任

EV SSL 憑證讓消費者更加相信他們在與值得信任的網站互動,相信自己的資訊是安全的。 EV SSL 憑證會觸發高安全網頁瀏覽器而在綠色網址列中顯示貴公司的名稱,以及核發此憑證的憑證授權中心的名稱。 憑證授權中心採取經過審核且嚴格的驗證方式,而瀏覽器則會控制顯示,在在使網路釣魚者與偽造者難以劫持您的品牌與客戶。

為何選擇賽門鐵克 EV SSL?

賽門鐵克協助引領延伸驗證的發展,從 2012 年 1 月起已核發的 EV SSL 憑證超過任何其他憑證授權中心。* 我們的驗證實踐非常嚴格,為線上身份擔保設定了標準,並且受到 KPMG 審核。 持續投資於研究與基礎設施讓賽門鐵克保持在業界最高標準,並且在安全風險形成前掌握情勢。

* 包括賽門鐵克子公司、經銷商與附屬公司。

所有使用「延伸驗證 SSL 憑證」的網站,都會在網址列看到綠色的標示。在Safari 12瀏覽器會看到綠色的安全鎖與網址。

在Google Chrome 71瀏覽器會看到灰色的安全鎖與insoler的公司名稱。這是一個創業20多年的電子公司。

在Firefox 64瀏覽器會看到綠色的安全鎖與insoler的公司名稱。

在微軟的Microsoft Edge瀏覽器同樣會看到綠色的安全鎖與insoler的公司名稱。

這是只有使用「延伸驗證 SSL 憑證」的安全加密認證的公司網站,才會同時顯示綠色安全鎖、綠色的公司名稱與網址。以前Safari會只有顯示綠色的公司名稱,而不顯示網址,現在則是改成綠色的網址。

詳細說明請閱讀在03/17/2017發表的這篇文章:

insoler社群網站升級Extended Validation SSL增強型安全性加密(企業認證證明書)

蘇言霖 2019/01/14 2 1253
Comments
Order by: 
Per page:
 
  •  ayaka: 
     

    443有開就可以方向代理的covermouthhacker照樣可以利用

    另外建議為了節省資源,在firewall使用SSL proxy,內網完全不用https,這樣好做入侵檢測covermouth

     
     2019/01/181 replies1 replies 
    0 points
     
Rate
0 votes
Post info
蘇言霖
「超級懶貓級」社群網站站長
2019/01/14 (624 days ago)
Actions