Logo    
Деловая газета CitCity.ru CITKIT.ru - все об Open Source Форумы Все публикации Учебный центр Курилка
CitForum    CITForum на CD    Подписка на новости портала Море(!) аналитической информации! :: CITFORUM.RU
IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

30.04.2017

Google
WWW CITForum.ru
С Новым годом!
2004 г.

Иерархия защиты веб-серверов

Арсений Ефремов
Экспресс-Электроника #3/2004

Информация должна быть в безопасности - пожалуй, эта аксиома известна всем. И несомненно, большинство пользователей знают, что такое Firewall и троянские вирусы и какими средствами можно обеспечить защиту сети. Однако не все знают, как они работают и как оптимально настроить систему защиты компании. Тем не менее именно от этого зависит не только сохранность данных, но и существование предприятия в целом.

Действительно, многие чересчур уверены в своей компетенции, и в этом корень проблемы. Наглядный пример из жизни. Одна компания очень хочет обеспечить сохранность своих данных (ее локальная сеть имеет постоянный выход в Интернет). Для этого один из специалистов установил firewall, перекрыв (на его взгляд) угрозу прямым атакам из публичной сети. Затем озаботился проникновением троянов и установил антивирус. Далее обнаружилось, что многие программы хотят также взаимодействовать с сетью, но не все делают это на безопасном уровне. Пришлось перекрывать доступ и им. Постепенно число потенциальных угроз увеличивалось, и, подобно снежному кому, росло количество установленных средств защиты. И все они были разными. Заканчивалось все, как правило, "падением" системы и неизбежной переустановкой. В результате тратилось драгоценное рабочее время и ресурсы. А ведь куда разумнее выяснить теорию и подготовить защиту в соответствии с ней.

Новое время - новые методы

Приведенный пример говорит о том, что прежний подход к безопасности безнадежно устарел. Угроз слишком много, и нужно что-то заложить в основу иерархии защиты. Интернет уже давно не просто сеть html-страниц. Это сложные приложения, скрипты, транспортная сеть, телеконференции, электронная почта и многое другое. Конечно, корпоративный firewall уже не решает всех проблем безопасности. Ведь равный и обобщенный подход к обеспечению безопасности данных каждого сотрудника компании неизбежно приводит к наличию брешей в защите. Из-за этого страдают нужды того или иного работника, когда оказываются закрыты критичные для выполнения работы ресурсы. Более того, многие системы безопасности отделяют от общего доступа только жизненно важные данные (например, бухгалтерский учет), в то время как остальные сведения, которые считаются менее важными, доступны всем. Конечно, это не означает, что сотрудники соседнего подразделения изучают данные своих коллег. Но такая открытость делает данные всех работников уязвимыми к атаке через одну-единственную лазейку в сети. Поэтому вместо порчи данных на 1-2 компьютерах страдают все.

Что и доказал червь Code Red. Эта одна из самых известных атак вскрыла множество проблем. Установлено: для того чтобы получить брешь в защите, необходимо сочетание трех факторов. Уязвимость программного обеспечения, протоколов или процессов, которыми может воспользоваться нападающий. Угроза со стороны враждебных инструментов, способных эту уязвимость использовать. Наконец, действие, а по сути, использование угрозы вашей уязвимости.

Еще в 1985 году Стив Беллоуин (Steve Bellovin), член Совета по архитектуре Интернета (Internet Architecture Board) опубликовал доклад об уязвимости TCP/IP-протокола. Хотя вплоть до 1996 года возникшая уязвимость оставалась под призрачной теоретической угрозой. Но угроза появилась, а привел ее в действие не кто иной, как Кевин Митник. Поэтому суть компьютерной безопасности не только в ее построении, но и в постоянном поиске уязвимости и устранении ее раньше, чем злоумышленники сумеют создать угрозу и привести ее в действие. Следовательно, безопасность - процесс динамический, а не статический. Анализ и устранения рисков - его основная составляющая, которой нельзя пренебрегать.

Почему веб-серверы так уязвимы?

Вирус Code Red вывел из строя именно те серверы, которые были защищены от элементарных атак из Сети и не следили за своей растущей уязвимостью (ввиду отсутствия подобных прецедентов). Имела место уязвимость, но так как прежде подобные атаки не проводились, никто о ней не думал. В итоге такая беспечность стоила миллионов долларов. Обобщим основные причины уязвимости веб-серверов:

  1. Большинство растущих предприятий регулярно меняет конфигурацию своих сетей, добавляя новые рабочие станции (иногда и сервера), забывая при этом тестировать ЛВС на безопасность. Разумеется, запретить подключать новых пользователей невозможно, но стоит задуматься о расширении сети заранее. Обозначить ее сегменты, которые способны к расширению, и проводить предварительное тестирование на безопасность.
  2. Большинство веб-мастеров имеют корневой или администраторский доступ к серверу. Разумнее прописать каждому пользователю свою политику доступа, ограничивающую его права прямыми обязанностями. Например, сотрудник работает только с одним каталогом сервера, но имеет доступ на все остальные. Тем самым он ставит под угрозу не только свой сектор работ, но и все данные сервера. Конечно, статус веб-мастера имеет не каждый пользователь, хотя ограничить доступ из соображений безопасности следует и самым высоким профессионалам.
  3. Программное обеспечение веб-серверов. Смесь из пиратских, лицензионных, shareware- и freeware-программ делает систему уязвимой. Самый безопасный подход - совместимое программное обеспечение от одного производителя. Скажете дорого? А не дороже ли потом восстанавливать данные после атаки?

Как видите, безопасность веб-серверов сводится к управлению рисками. Но не каждая компания нуждается в высшей степени защиты своей информации. Вопрос уровня безопасности - это вопрос использования ресурсов сети. Если веб-сервер существует, к примеру, только для нужд маркетинга, то особо сложной защиты устанавливать не стоит. А вот системы электронной коммерции, электронных платежей требуют больших мер безопасности. Поэтому принято разделять уровни защиты веб-серверов.

Уровни защиты веб-серверов

Защиту сети можно разделить на шесть уровней сложности. Первый - самый элементарный и обязательный. Здесь главный инструмент защиты - firewall. Firewall должен лимитировать использование сервисов, которые предоставляются пользователям. Также firewall должен следить за всеми соединениями, как с одной, так и с другой стороны. Кстати, многие версии firewall успешно отразили Code Red. Не стоит применять здесь программы непонятного происхождения, отдавайте предпочтение лицензионному ПО. Ведь это самый передовой бастион защиты ваших данных. Многие риски можно устранить уже на этом этапе.

Второй уровень безопасности подразумевает конфигурацию операционной системы, под чьим управлением работает веб-сервер. Каждая операционная система позволяет создавать контрольные листы безопасности (security checklist). Эти установки должны быть согласованы с операционными системами вендоров, которые сотрудничают с компанией. О том, как это делается под отдельные операционные системы, можно прочитать здесь: Center for Internet Security - www.cisecurity.org; Microsoft - www.microsoft.com/technet/itsolutions/security/tools/tools.asp; Apache - http://httpd.apache.org/docs/misc/security_tips.html; Sun - www.sun.com/security/blueprints/. Важно также, чтобы новое приложение своевременно вносилось в security cheklist, а не отключало его. Это должно быть правилом. И никакой аврал на работе не должен приводить к отключению данного уровня безопасности.

Третий уровень ориентирован уже на сеть. Необходимо оснастить датчиками атаки сетевого оборудования и программного обеспечения провайдера, обеспечивающего хостинг. Главное, чтобы поступивший об опасности сигнал был правильно обработан и нейтрализован.

Четвертый уровень безопасности - установка программного обеспечения на уровне хостинга. Это значительно более сложная задача. Во-первых, здесь можно столкнуться с возражениями самой хостинг-компании. А во-вторых, такое программное обеспечение намного сложнее простых датчиков. По этой причине и уровень безопасности более высокий.

Уровень 5 имеет два подуровня - А и В. Уровень 5А - это установка специального программного обеспечения, выполняющего роль прослойки между операционной системой веб-сервера и всеми приложениями. Такой буфер позволяет предотвратить атаку хакеров на уязвимые приложения, которые берут под контроль всю операционную систему во время своего выполнения. Это не самый дешевый вариант, потому что, как и на предыдущем уровне, необходимо обеспечить поддержку программного обеспечения, которым оперируют веб-серверы.

Уровень 5B представляет собой установку ориентированных на конкретные приложения firewall или прокси-серверов. Они ориентированы на HТTP-протокол и позволяют предотвратить атаки прежде, чем потенциальные злоумышленники сумеют добраться до запуска приложений, установленных на веб-сервере. Однако, прокси-сервер - это существенное ограничение в работе. Конфигурация и настройка прокси - тоже своего рода искусство.

Шестой уровень - своеобразная вершина безопасности. Здесь допускается использование только доверительных операционных систем и работающих под их управлением приложений. Иными словами, все функционирующие приложения и операционные системы должны быть либо максимально адаптированы, либо разработаны специально для специфических нужд компании. Это самый дорогой, но и самый эффективный способ защиты. К тому же требующий специальной подготовки от администратора сети, а зачастую и от пользователей, что также влечет дополнительные расходы. Да и обновление какого-либо приложения потребует предварительной интеграции в доверительную систему.

Что выбрать?

Как и везде решающим фактором становится соотношение цена/качество. И тем не менее каждая компания должна иметь как минимум два первых уровня защиты. Любая компания, для которой порча информации является критической (и может серьезно повлиять на функционирование предприятия), должна оснастить свои веб-серверы третьим уровнем безопасности. Это касается предприятий, которые просто используют в своей работе сеть Интернет. Если ваши пользователи подключены к ней, то злоумышленники могут найти лазейки, чтобы проникнуть в ваши виртуальные владения и испортить ваши данные. Все компании, использующие удаленный доступ к сети для запуска приложений на веб-сервере, обязаны иметь уровни выше четвертого (4, 5A или 5B). Один из примеров - наличие важной базы данных на сервере, доступ к которой осуществляется через удаленный доступ или сеть Интернет. К этой категории можно отнести интернет-магазины и электронные трейдинги. Если вы не можете полностью контролировать действие своих веб-мастеров, то достаточным будет уровень 4. Классический случай, когда несколько администраторов отвечают за различные участки сайта. Часто такие администраторы могут работать вне офиса или дома. При этом их права на доступ позволяют внести существенные коррективы в хранящиеся данные. А это не всегда желательно. Если же пользователи способны контролировать настройки сетевых приложений, то необходима защита пятого уровня (как А, так и В). Это справедливо для сложных систем, когда компьютеры, подключаются через сеть к серверу и имеют права не только запускать приложения, но и изменять настройки этих приложений. Шестой уровень - полная гарантия безопасности.

В жизни каждого предприятия важную роль играет прибыльность. Здесь приведен материал, ориентированные на менеджеров, которые желают оценить экономическую эффективность от внедрения системы компьютерной безопасности. Приблизительные оценки для крупных компаний указывают на то, что возврат средств ожидает компанию в объеме 145% за три года. Но это субъективные и теоретические оценки. Многие компании, занимающиеся безопасностью, сегодня предлагают специальную услугу - проверку вашего сервера на устойчивость к атакам хакеров. То есть установление наличия рисков. А при помощи простой онлайн-формы можно оценить ROI от внедрения системы безопасности для вашего собственного предприятия. Напомним, что ROI (Return Of Investment) - это количественная оценка прибыли на инвестированный капитал. Адрес для изучения выгодности этой инвестиции здесь. Заполняйте позиции с левой стороны, а справа в окне браузера вы получите результаты. Необходимо четко знать следующие данные: количество обращений в службу сервиса в месяц, число рабочих мест, требующих установки ПО. Стоимость таких действий как вызов, оборудование защитой различных уровней, уменьшение числа обращений в службу сервиса на каждом из уровней и ряд других. Впрочем, форма сама предлагает определенные цифры, которые считаются эталонными для предприятий. Оценка инвестиции приведена вполне дотошно. Здесь и Net Present Value (NPV) Savings, и Internal Rate of Return (IRR), и Return on Investment (ROI). И каждый уровень расписан в подробностях. Впрочем, российская специфика и здесь имеет место, поэтому стоит проверить, справедливы ли вводимые цены.

Безопасность - это люди, процессы, программы. Это непрерывный поиск уязвимых мест вашей системы, налаженная структура ликвидации угрозы и контроль над исполняемыми приложениями. Интернет прочно вошел в нашу жизнь и все методики должны совершенствоваться. Появляются новые подходы к безопасности, и игнорирование их было бы большой ошибкой. Ошибкой, осознание которой может прийти слишком поздно.

Размещение рекламы — тел. +7 495 4119920, ICQ 232284597

Подписка на новости IT-портала CITForum.ru
(библиотека, CITKIT.ru, CitCity)

Новые публикации:

24 декабря

CITKIT.ru:

  • Новогодние поздравления
  • Сергей Кузнецов. Цикл Операционные системы: Ностальгия по будущему:

  • Алексей Федорчук. OpenSolaris 2008.11 Release

  • Сергей Голубев:

  • Евгений Чайкин aka StraNNik (Блогометки):

    17 декабря

  • С.Д.Кузнецов. Базы данных. Вводный курс

    10 декабря

    CITKIT.ru:

  • OpenSolaris 2008.11 Release

  • Альтернативные ОС: две грустные истории (С.Кузнецов)
  • Nokia N810 — доведение до ума
  • CitCity:

  • Платформа 2009: заоблачные перспективы Microsoft

    4 декабря

  • Лекция С.Д.Кузнецова Понятие модели данных. Обзор разновидностей моделей данных

    CITKIT.ru:

  • OpenSolaris 2008.11 Release. Первые впечатления

  • Linux vs FreeBSD: продолжим "Священные войны"?

  • Nokia N810 as is

  • Индульгенция для FOSS

  • Друзья СПО'2008

    26 ноября

  • Нечеткое сравнение коллекций: семантический и алгоритмический аспекты

    CitCity:

    CITKIT.ru:

  • Глава из книги А.Федорчука
    Сага о FreeBSD:
  • 19 ноября

  • Проблемы экономики производства крупных программных продуктов

  • Язык модификации данных формата XML функциональными методами

    CITKIT.ru:

  • Главы из книги А.Федорчука
    Сага о FreeBSD:

    Заметки к книге:

  • FreeBSD: монтирование сменных устройств и механизм HAL
  • Текстовый редактор ee

    12 ноября

  • Правило пяти минут двадцать лет спустя, и как флэш-память изменяет правила (Гоц Грейф, перевод: Сергей Кузнецов)

    CITKIT.ru:

  • Главы из книги А.Федорчука
    Сага о FreeBSD:
  • OSS в России: взгляд правоведа (В.Житомирский)

  • Новая статья из цикла С.Голубева "Железный марш":

    29 октября

  • О некоторых задачах обратной инженерии

  • Веб-сервисы и Ruby

  • Тестирование web-приложений с помощью Ruby

    CITKIT.ru:

  • Главы из книги А.Федорчука
    Сага о FreeBSD:

  • PuppyRus Linux - беседа с разработчиком (С.Голубев)

  • Сергей Кузнецов. Заметка не про Linux

    22 октября

  • Обзор методов описания встраиваемой аппаратуры и построения инструментария кросс-разработки

    CITKIT.ru:

  • Сергей Кузнецов. Почему я равнодушен к Linux

  • Глава из книги А.Федорчука
    Сага о FreeBSD:
  • Что надо иметь
    3. Базовые познания

    CitCity:

  • Управление IT-инфраструктурой на основе продуктов Microsoft

    15 октября

  • Методы бикластеризации для анализа интернет-данных

    CitCity:

  • Разъемы на ноутбуках: что они дают и зачем их так много?
  • AMD Puma и Intel Centrino 2: кто лучше?

    CITKIT.ru:

  • Новый цикл статей С.Голубева
    Железный марш:

  • Главы из книги А.Федорчука
    Сага о FreeBSD:

    8 октября

  • Автоматизация тестирования web-приложений, основанных на скриптовых языках
  • Опыт применения технологии Azov для тестирования библиотеки Qt3

    Обзоры журнала Computer:

  • SOA с гарантией качества
  • Пикоджоуль ватт бережет
  • ICT и всемирное развитие

    CitCity:

  • Пиррова победа корпорации Microsoft

    CITKIT.ru:

  • Главы из книги А.Федорчука
    Сага о FreeBSD:

    Статья из архива:

  • Я живу в FreeBSD (Вадим Колонцов)

    Новые Блогометки:

  • Перекройка шаблона Blogger или N шагов к настоящему
  • Blogger. Comment style
  • Screenie или глянцевый снимок экрана

    2 октября

    CITKIT.ru:

  • Сага о FreeBSD (А. Федорчук)

    Zenwalk: пакет недели

  • Банинг — интеллектуальное развлечение (С.Голубев)

    CitCity:

    25 сентября

  • Клермонтский отчет об исследованиях в области баз данных

    CITKIT.ru:

  • Пользователям просьба не беспокоиться... (В.Попов)

  • Снова про ZFS: диск хорошо, а два лучше
  • Командная оболочка tcsh (А.Федорчук)

    Zenwalk: пакет недели

    17 сентября

  • T2C: технология автоматизированной разработки тестов базовой функциональности программных интерфейсов
  • Технология Azov автоматизации массового создания тестов работоспособности

    CITKIT.ru:

  • FreeBSD: ZFS vs UFS, и обе-две — против всех (А.Федорчук)

    Zenwalk: пакет недели

  • Дачнет — практика без теории (С.Голубев)

    10 сентября

  • За чем следить и чем управлять при работе приложений с Oracle
  • Планировщик заданий в Oracle
    (В.Пржиялковский)

    CITKIT.ru:

  • Microsoft: ответный "боян" (С.Голубев)

  • Причуды симбиоза, или снова "сделай сам" (В.Попов)

  • Файловые системы современного Linux'а: последнее тестирование
  • Zsh. Введение и обзор возможностей
    (А.Федорчук)

    Описания пакетов Zenwalk: Zsh, Thunar, Thunar-bulk-rename, Xfce4-places-plugin, Xfce4-fsguard-plugin

    Блогометки:

  • Google Chrome
  • Лончер для ASUS Eee PC 701

    3 сентября

    CITKIT.ru:

  • Заметки о ядре (А.Федорчук):

    Добавлены описания пакетов Zenwalk: Galculator, Screenshot, Gnumeric, Pidgin

    В дискуссинном клубе:

  • И еще о Википедии и Google Knol

  • Лекция для начинающего линуксоида (С.Голубев)

    26 августа

  • Транзакционная память (Пересказ: С. Кузнецов)

    CITKIT.ru:

  • Открыт новый проект Zenwalk: пакет недели

  • Статья Текстовые процессоры и их быстродействие: конец еще одной легенды?

    21 августа

    CITKIT.ru:

  • Почему школам следует использовать только свободные программы (Ричард Столлман)
  • Беседа Сергея Голубева с учителем В.В.Михайловым

  • Википедия или Гуглезнание? Приглашение к обсуждению (Алексей Федорчук)
  • Народная энциклопедия от Google (StraNNik)

  • Обзор Mandriva 2009.0 Beta 1 Thornicrofti
  • Новичок в Линукс: Оптимизируем Mandriva 2008.1

  • Книга Zenwalk. Приобщение к Linux:

    13 августа

    CitCity:

  • Мирный Atom на службе человеку. Обзор платы Intel D945GCLF с интегрированным процессором
  • Обзор процессоров Intel Atom 230 на ядре Diamondville

  • iPhone - год спустя. Скоро и в России?

    CITKIT.ru:

  • Интермедия 3.4. GRUB: установка и настройка (из книги Zenwalk. Приобщение к Linux)

    6 августа

  • СУБД с хранением данных по столбцами и по строкам: насколько они отличаются в действительности? (Пересказ: С. Кузнецов)

    CITKIT.ru:

  • Интермедия 2.2. Что неплохо знать для начала (из книги Zenwalk. Приобщение к Linux)

  • И снова про шрифты в Иксах (А.Федорчук)

  • 20 самых быстрых и простых оконных менеджеров для Linux

  • Дело о трех миллиардах (С.Голубев)

    30 июля

  • OLTP в Зазеркалье (Пересказ: С. Кузнецов)

    CitCity:

  • Будущее BI в облаках?
  • Тиражные приложения и заказная разработка. Преимущества для заказчика
  • Дискуссия со сторонниками заказной разработки

    CITKIT.ru:

  • Новые главы книги Zenwalk. Приобщение к Linux:
  • Глава 8. Пакеты: средства установки, системы управления, системы построения
  • Глава 9. Zenwalk: репозитории, пакеты, методы установки

    23 июля

    CITKIT.ru:

  • Все против всех. 64 vs 32, Intel vs AMD, tmpfs vs ext3
  • Две головы от Intel

  • Zenwalk: обзор штатных приложений (глава из книги "Zenwalk. Приобщение к Linux")

  • Нормально, Григорий...

    16 июля

    Обзоры журнала Computer:

  • Перспективы и проблемы программной инженерии в XXI веке
  • Большие хлопоты с большими объемами данных
  • Перспективы наноэлектроники

    CITKIT.ru:

  • Интермедия о лицензиях (А.Федорчук. "Zenwalk. Приобщение к Linux")

  • Есть ли будущее у KDE?

  • Linux в школе: альтернативный вариант в задачах

  • Шифр (приключения агента Никодима)

    10 июля

    CITKIT.ru:

  • Новые разделы книги А. Федорчука Zenwalk. Приобщение к Linux:
  • Интермедия вступительная. Linux или GNU/Linux? Как вас теперь называть?
  • Глава 5. Среда Xfce
  • Глава 6. Xfce: приложения и плагины

  • ZUR (Zenwalk User Repository) FAQ

    2 июля

  • Персистентность данных в объектно-ориентированных приложениях (С. Кузнецов)

    CITKIT.ru:

  • Новые разделы книги А. Федорчука Zenwalk. Приобщение к Linux:
  • Интермедия 1.2. Дорога к Zenwalk'у. Период бури и натиска
  • Интермедия 3.3. Немного о Linux'е и "железе"
  • Глава 4. Настройка: инструментами и руками
  • Интермедия 4.1. Zenpanel и конфиги: поиски корреляции

  • Интервью с Жан-Филиппом Гийоменом, создателем дистрибутива Zenwalk

  • Linux в школе: первые итоги (С. Голубев)

    25 июня

    CITKIT.ru:

  • Zenwalk. Приобщение к Linux (А. Федорчук)

  • Логика и риторика (С.Голубев)

  • Технология Tru64 AdvFS

  • Ханс Райзер предлагает отвести полицейских к телу Нины

    18 июня

  • Проекты по управлению данными в Google (Пересказ: С. Кузнецов)

    CITKIT.ru:

  • ОС и поддержка "железа": мифы и реальность (А. Федорчук)

  • Linux в школе: другие дистрибутивы

  • Пинок (С. Голубев)

    4 июня

  • Ландшафт области управления данными: аналитический обзор (С. Кузнецов)

    CITKIT.ru:

  • Linux в школе: слово заинтересованным лицам

  • SlackBuild: пакеты своими руками

  • Linux от компании Novell. Установка и обзор openSUSE Linux

    Все публикации >>>




  • IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

    Информация для рекламодателей PR-акции, размещение рекламы — тел. +7 495 4119920, ICQ 232284597 Пресс-релизы — pr@citcity.ru
    Послать комментарий
    Информация для авторов
    Rambler's Top100 TopList liveinternet.ru: показано число просмотров за 24 часа, посетителей за 24 часа и за сегодня This Web server launched on February 24, 1997
    Copyright © 1997-2000 CIT, © 2001-2007 CIT Forum
    Внимание! Любой из материалов, опубликованных на этом сервере, не может быть воспроизведен в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав. Подробнее...