Взломщик не пройдёт, или Зачем прятать сервер в частную сеть

Говорят, кораблю безопаснее всего в порту, но он не для этого строился. Глобальная сеть – тот же океан: боишься пиратов – оставайся на берегу… но о большом плаванье тогда тоже не мечтай. Правда, в отличие от корабля, многие аспекты работы с интернетом можно обезопасить. Сегодня расскажем вам о том, как эффективно защитить свои данные на облачном сервере, спрятав сервер в частную сеть. Продуктивного чтения, друзья!

Когда наши клиенты заказывают виртуальную машину, то получают в своё распоряжение сервер, напрямую подключённый к интернету. Мы никак не фильтруем трафик, поэтому каждый клиент может делать на своём сервере всё, что угодно. Безопасно ли это? Опыт показывает, что не всегда – уязвимостью некоторых сетевых служб могут воспользоваться взломщики.

Что делать?

Мы рекомендуем своим клиентам следующее решение – спрятать сервер в частную сеть, подключиться к которой можно только через VPN. Если нужно, мы поможем настроить ваш персональный виртуальный маршрутизатор, и, как итог, сервер будет подключён к частной сети, а она в свою очередь наглухо закрыта брандмауэром.

Кроме того, можно настроить проброс подключений к TCP/UDP-портам на порты виртуальной машины. Например, чтобы при подключении к порту 13389 внешнего брандмауэра подключение пробрасывается на порт 3389 виртуальной машины. В таком случае можно заходить на удалённый рабочий стол без установки VPN-соединения, а все остальные сервисы будут доступны только при подключении к частной сети.

Что изменится?

Такой подход во многом обезопасит сервер от взлома. А если закрыться совсем наглухо (то есть без проброса портов, но с VPN-соединением), это защитит ещё и от подбора паролей. Ведь чтобы подобрать пароль к учётной записи, злоумышленнику сперва нужно будет попасть в частную сеть, а она защищена VPN-соединением.

Из других изменений, пожалуй, ещё то, что для клиентов, которые перейдут с прямого подключения к общей сети на прямое подключение к частной сети, изменятся IP-адреса.

Цена вопроса

Если вы планируете использовать частную сеть для своих внутренних нужд, имея лишь один внешний адрес на виртуальном маршрутизаторе, на стоимости наших услуг это никак не отразится. Ну, а если сеть нужна для VPN или проброса портов, это значит, что внешние адреса будут и у сервера, и у частной сети – следовательно, нужно будет доплатить символические 2 евро за один адрес.

Вот, собственно, и всё. Используйте этот простой, но в то же время эффективный способ защиты от взлома на сервере. И обращайтесь к нам за консультацией 24/7 – подскажем и поможем.

До связи, друзья!