Plesk tarjoaa mahdollisuuden määrittää web-sovellusten palomuurin (plesk modsecurity) hallintavalikossa.
Mikä on modsecurity?
Plesk Modsecurity on verkkosovellus Palomuuri, eli palomuuri, joka estää pääsyn verkkosovelluksiin, kuten esimerkiksi sisällönhallintajärjestelmät (wordpress, joomlajne.) tai muita sovelluksia ja estää tunnetut hyökkäykset.
Modsecurityn etuna on mahdollisuus analysoida käyttöoikeudet ensin ja määritellä sen perusteella, mitkä käyttöoikeudet ovat laillisia ja mitkä on hylättävä suoraan.
Kaikkea ei tietenkään ole mahdollista määrittää itse, mutta on olemassa palveluntarjoajia, jotka tarjoavat valmiita sääntöjä, joista osa on reaaliaikaisia, ja voivat siten reagoida suoraan nykyisiin uhkiin.
Jos esimerkiksi tiettyyn sisällönhallintajärjestelmään kohdistuu uusi hyökkäys, nämä palveluntarjoajat päivittävät sääntönsä, ja modsecurity voi näin estää pääsyn ennen tartunnan syntymistä.
Plesk-käyttäjille tämä on hyvä ohjelma, jolla voit pysäyttää useimmat tunnetut hyökkäykset sovellusta vastaan.
Yhdessä palomuurin kanssa, joka suodattaa ja estää IP-osoitteet, voit suojata palvelimesi hyvin.
Ulkoiset ratkaisut
Ulkoinen palomuuri, kuten Cloudflare WAF toimii samalla tavalla osittain samoilla säännöillä, mutta tarjoaa mahdollisuuden torjua hyökkäyksiä ennen kuin ne saapuvat palvelimelle. Optimaalinen suojaus olisi näin ollen Cloudflaren web-sovelluspalomuuri tai Imperva/Incapsula ja käytä palvelimella vain erityisiä sääntöjä. Tämä säästää prosessointitehoa ja nopeuttaa siten sivua huomattavasti.
Vaihtoehtoisesti voit tietysti asettaa modsecurityn käänteiseksi välityspalvelimeksi ja käyttää siten kaikkia muita verkkopalvelimia kuin Apachea.
Miten Plesk modsecurity asennetaan?
Napsauta järjestelmänvalvojana yksinkertaisesti Asetukset ja valitse sieltä Web Application Firewall (modsecurity).
Voit valita palveluntarjoajan, jonka sääntöjä haluat käyttää, Plesk-valikosta. OWASP- tai Atomic Basic -säännöt ovat maksuttomia. Näissä on kuitenkin se haittapuoli, että niitä päivitetään harvoin, tai OWASP:n tapauksessa säännöt ovat liian vahvoja, joten esimerkiksi wordpressin kanssa on ongelmia, jotka on sitten ensin poistettava.
On täällä vielä edullinen comodo säännöt tarjoavat hyvän suojan kaikkia uhkia vastaan. Lisenssi on kuitenkin myös aina päivitettävä.
Kuka on liian laiska, voi siksi myös yksinkertaisesti käyttää Atomic tilaus sääntöjä, jotka tarjoavat live-suojaa. Tässä yhteydessä on kuitenkin huomattava, että tämäkään ei ole aivan totta, koska verkkopalvelin on ladattava uudelleen, jolloin 502 bad gateway -ongelma ilmenee uudelleen.
Käytännöllinen on Atomic Professional -suojaus, joka on saatavilla yhdessä Cloudflaren kanssa paketissa. Tässä voit helposti ottaa web-sovelluspalomuurin Pleskistä ja vaihtaa kaikki verkkotunnuksesi Cloudflareen lisäsuojamekanismiksi.
Ongelmana on se, että voit suojata vain aliverkkotunnuksia, joten sivustosi pitäisi olla käytettävissä vain osoitteessa www.ihrefirma.de eikä osoitteessa yourcompany.com. Vaihtoehtoisesti voit Cloudflaren kumppanina käyttää myös Cloudflaren nimipalvelimia ja tarjota siten täydellisen suojan.
Koska Pleskin ja lisäosien lisenssihintoja nostetaan yhä uudelleen ja uudelleen laskemattomasti, pitäisi palveluntarjoajan harkita ehkä myös ulkoista lisensointia.
On olemassa mielenkiintoisia ratkaisuja suoraan atomicorpista, tai toinen tapa ottaa mod_security käyttöön palvelimella, tai jopa käyttää suoraan ulkoista suojausta, kuten Cloudflarea.
Hyvä korvaaja Pleskille kaikkien liitännäisten epävarmojen yksityisyyskysymysten vuoksi olisi saksalaisen valmistajan suosittu admin-paneeli "Liveconfig".
Plesk-laajennukset, joissa on ModSecurity-tuki
Pleskiin on olemassa joitakin laajennuksia, joiden avulla voit suojata palvelimen. Näihin sisältyy myös modsecurity-sääntöjä, joilla puolustutaan tunnettuja hyökkäysmalleja vastaan.
Imunify360
Cloudlinux tarjoaa oman käyttöjärjestelmänsä lisäksi myös tietoturvaratkaisun Imunify360. Tämä tarjoaa erittäin laajan valikoiman toimintoja palvelimen kaikille turva-alueille. Palomuuri valvoo protokollia ja tarvittaessa estää IP-osoitteet, jotka esimerkiksi ottavat yhteyttä liian usein väärillä kirjautumistiedoilla, ovat estolistalla tai haluavat käyttää tunnettuja hyökkäysmalleja. Voit myös yksinkertaisesti aktivoida DoS-suojauksen ja skannata kaikki tiedostot tunnettujen haittaohjelmien varalta ja myös osittain puhdistaa ne. Lisäksi on olemassa niin sanottu KernelCare-toiminto, joka päivittää Linux-ytimen automaattisesti ilman järjestelmän uudelleenkäynnistystä. Laajennuksen voi hankkia suoraan Cloudlinuxista, ja se maksaa enemmän kuin itse Plesk.
