Zabezpečení
Zabezpečení systému a jeho součástí.
Zabezpečení mobilní aplikace
Přístup k systému ISPadmin z internetu je možné omezit. Aby však technikům fungovalo spojení přes mobilní aplikaci z terénu, je možné vyčlenit vybraný port, přes který bude možné se k systému z mobilní aplikace připojit.
Přístup do systému ISPadmin z mobilní aplikace lze zabezpečit povolením připojení pouze přes volný vybraný port. Cílem je povolit komunikaci se systémem pouze mobilní aplikaci. Systém ISPadmin je pak možné kompletně zabezpečit/znepřístupnit z internetu.
Na nakonfigurovaném portu poběží jen API pro mobilní aplikaci (lze použít jen s mobilní aplikací).
Je potřeba splnit několik podmínek a provést potřebná nastavení konfigurace:
- Vypnutý IP lock (omezení připojení uživatelů z konkrétních IP)
- Vybrat si libovolný volný port pro přístup z mobilní aplikace a ten mít povolen na firewallu pro přístup k systému ISPadmin z internetu
- Na začátku konfiguračního souboru (etc/apache2/sites-enabled/ispadmin.conf) přidat ke stávající konfiguraci:
Listen [zvoleny_port]- A ve stejném souboru (etc/apache2/sites-enabled/ispadmin.conf) kdekoliv přidat konfiguraci:
- POZOR – sekce s certifikáty platí pouze v případě, kdy využíváte certifikáty od certifikační autority Let’s encrypt (výchozí ISPadmin). Pokud využíváte jiné nebo vlastní certifikáty, tak je potřeba SSL sekci zkopírovat z již existující konfigurace Virtualhost např. pro port 443 (v konfiguračním souboru – ispadmin.conf):
<VirtualHost *:[zvoleny_port]>
Protocols h2 h2c http/1.1
ServerName [domenove_jmeno]
DocumentRoot "/data/support/ispadmin/new/ispam/"
AddDefaultCharset UTF-8
<Directory /data/support/ispadmin/new/ispam/>
Options +ExecCGI
AddHandler cgi-script .cgi .pl .py
Options FollowSymLinks MultiViews
AllowOverride All
Require all granted
</Directory>
CustomLog /var/log/apache2/access_support_ispadmin_ispam.log combined
AddType application/x-httpd-php .php
SSLEngine on
SSLCertificateFile /data/ispadmin_cert/[domenove_jmeno]/fullchain.cer
SSLCertificateKeyFile /data/ispadmin_cert/[domenove_jmeno]/[domenove_jmeno].key
</VirtualHost>- Nakonec restartovat službu Apache serveru:
systemctl restart apache2.service- Připojení k systému ISPadmin prostřednictvím mobilní aplikace je (pokud je ISPadmin zabezpečen/nedostupný z internetu) dostupné pouze přes nastavený zvolený port (zadaný v API URL)
Konfiguraci je možné objednat také v rámci placeného servisního zásahu na support@ispadmin.eu.
Zabezpečení systému
Zaznamenali jsme (duben 2022) zvýšenou snahu botů o vyřazení několika systémů z provozu (DoS) vytvořením velkého množství neadekvátních požadavků na porty, na kterých jsou dostupné informační stránky (infopages).
Server je následně zaneprázdněn vyřizováním těchto požadavků (zahlcen) až do vyčerpání jeho prostředků a stane se tak nedostupným (nefunkční služby).
Zjištěný problém se týká rozsahu portů (8100–12500).
Doporučujeme tedy zabezpečit přístup z internetu k Vaší instalaci systému, pokud jste tak již neučinili.
Nabízí se dvě možnosti jak toto zabezpečení provést:
- Vlastním firewallem před serverem s instalací (doporučeno)
- V nastavení zabezpečení systému ISPadmin
Vlastní firewall
Na vlastním řešení firewallu zablokovat rozsah portů 8100-12500 směrem z internetu na server se systémem ISPadmin (pro všechny IP adresy kromě používaných).
Zabezpečení v ISPadmin
V menu systému ISPadmin (Nastavení -> Syst. nastavení -> Zabezpečení) je možné nastavit rozsah portů tlačítkem – Seznam volitelných portů (
) a tento rozsah poté globálně (z internetu) pro všechny IP adresy zakázat (
) na řádku tabulky Globálně.
Nastavení je třeba potvrdit tlačítkem Aktivovat (
) v dolní části formuláře. Nastavení se během 5-ti minut automaticky projeví.
Pokud využíváte možnosti přesměrování na už pouze částečně funkční informační stránky (infopages), je důležité mít v tomto seznamu zadané primárně všechny používané IP rozsahy adres pro služby klientů a pro tyto adresy nastavené porty na odpovídajícím řádku povolit (
) ,jinak může tento rozsah zůstat blokovaný globálně (prevence před možnou nedostupností systému).
