Средства защиты Web-сервера

В настоящее время имеет место тенденция роста практического использования Web-приложений для решения различных задач бизнеса [14].

Для защиты Web-приложения наиболее целесообразно применять комплексный подход, сочетающий организационные и технические средства защиты. Организационные средства защиты связаны с разработкой и внедрением нормативно-правовых документов, таких как политика и концепция обеспечения информационной безопасности Web-приложения, должностные инструкции по работе персонала с автоматизированной системой приложения и т. д. Технические же средства защиты реализуются при помощи соответствующих программных, аппаратных или программно-аппаратных средств, которые обеспечивают выполнение целей и задач, определённых в соответствующих нормативно-правовых документах.

Использование комплексного подхода предполагает объединение технических средств защиты Web-приложения в интегрированный комплекс, включающий в себя подсистемы антивирусной защиты, контроля целостности, разграничения доступа, обнаружения вторжений, анализа защищённости, криптографической защиты информации, а также подсистему управления.

Ниже приведено описание основных функциональных возможностей этих подсистем, а также особенностей их применения для защиты Web-приложения.

Подсистема разграничения доступа Подсистема разграничения доступа является основным элементом комплекса безопасности Web-приложения и предназначена для защиты информационных ресурсов проекта от несанкционированного доступа. При помощи средств защиты, входящих в эту подсистему, Web-приложение подразделяется на четыре функциональных сегмента (рис. 4.3):

• ? сегмент демилитаризованной зоны, в котором размещаются серверы, доступ к которым могут получить любые пользователи сети Интернет. К таким серверам относятся кэш-серверы, публичные Web-серверы и DNS-серверы;
• ? сегмент служебных серверов, доступ к ресурсам которых могут получить только администраторы или служебные сервисы Web-приложения;
• ? сегмент управления, в котором размещаются средства, необходимые для управления комплексом безопасности Web-приложения;
• ? коммуникационный сегмент, включающий в себя маршрутизаторы и коммутаторы, обеспечивающие взаимодействие между сегментами.

Разделение на отдельные сегменты позволяет изолировать различные ресурсы Web-портала друг от друга. В этом случае при компрометации сервера одного из сегментов приложения нарушитель не сможет получить доступ к информационным ресурсам, расположенным в других сегментах.

Разграничение доступа реализуется подсистемой на трёх уровнях стека TCP/IP — канальном, сетевом и прикладном.

На канальном уровне разграничение доступа осуществляется на основе виртуальных локальных сетей VLAN (Virtual Local Area Network), на которые разделяется Web-приложение. Деление на такие виртуальные сети производится при помощи настроек коммутаторов, в которых каждый физический порт включается в определённую виртуальную сеть. Хосты могут свободно обмениваться данными друг с другом в рамках одной виртуальной сети, а управление взаимодействием между различными виртуальными сетями осуществляется посредством списков контроля доступа ACL (Access Control List). В этих списках определяются правила, в соответствии с которыми разрешается или запрещается информационный обмен между разными сетями VLAN. Так, например, если для работы Web-портала два публичных Web-сервера не должны обмениваться между собой информацией, то они разделяются на разные виртуальные сети, между которыми запрещается взаимодействие. В случае, если нарушитель «взломает» один из публичных серверов Web-портала ему не удастся получить доступ к тем ресурсам, которые хранятся на других серверах, включённых в другие виртуальные сети.

На сетевом уровне разграничение доступа проводится при помощи двух межсетевых экранов (МЭ), обеспечивающие фильтрацию пакетов данных в соответствии с заданными критериями.

Второй межсетевой экран дублирует функции защиты на тот случай, если нарушитель сможет взломать внешний экран. Следует отметить, что потенциальная уязвимость атакам внешнего межсетевого экрана обусловлена тем, что он выполняет сложную фильтрацию пакетов данных на прикладном уровне при помощи программных модулей, которые могут содержать ошибки. Так уязвимость типа «переполнение буфера» позволяет злоумышленнику изменить путь исполнения программы путем перезаписи данных в памяти системы.

Используя эту уязвимость, нарушители могли получить полный контроль над межсетевым экраном и использовать его для развития атаки на сервера Web-приложения. Однако с учётом того, что внутренний межсетевой экран выполняет лишь базовую фильтрацию на сетевом и транспортном уровне, он не может быть уязвим в отношении тех атак, которые используют уязвимости модулей, занятых обработкой пакетов данных на прикладном уровне.

Внешний межсетевой экран также выполняет защиту от атак типа «отказ в обслуживании» (denial of service), которые реализуются путём формирования большого числа запросов на установление сетевых соединений с публичными Web-серверами. В результате проведения атаки Web-сервера не справляются с обработкой всех запросов, что приводит к выходу из строя всего Web-портала. Защита от такого рода атак обеспечивается путём ограничения максимального количества входящих TCP-соединений, которые могут быть установлены с одного IP-адреса. В этом случае межсетевой экран будет блокировать все попытки установить сетевые соединения, количество которых превышает заданное ограничение, обеспечивая тем самым защиту Web-серверов от перегрузки их вычислительных ресурсов.

Разграничение доступа на прикладном уровне реализуется средствами прикладного программного обеспечения, установленного на серверах Web-портала. Это ПО должно обеспечивать идентификацию и аутентификацию администратора и некоторых пользователей портала и назначать им соответствующие права доступа к файловым ресурсам. Аутентификация может обеспечиваться на основе паролей или цифровых сертификатов.

Подсистема антивирусной защиты Подсистема антивирусной защиты должна обеспечивать выявление и удаление информационных вирусов, которые могут присутствовать в ресурсах Web-приложения. Подсистема состоит из двух компонентов — модулей-датчиков, предназначенных для обнаружения вирусов и модуля управления антивирусными датчиками. Сами датчики устанавливаются на все серверы Web-приложения, а также на АРМ администратора.

Подсистема контроля целостности Подсистема контроля целостности должна обеспечивать выявление несанкционированного искажения содержимого Web-портала. Она не является превентивным средством защиты, поскольку позволяет выявить лишь последствия информационного вторжения. Однако наличие такой подсистемы необходимо, поскольку если все имеющиеся средства защиты пропустили информационную атаку, то подсистема контроля целостности позволяет выявить её последствия.

Алгоритм работы этой подсистемы выглядит следующим образом. Для заданного множества файлов подсистема вычисляет эталонные контрольные суммы. По истечению определённого временного интервала подсистема заново вычисляет контрольные суммы файлов и сравнивает их с ранее сохранёнными эталонными значения. При выявлении несоответствия между эталонным и полученным значением фиксируется факт искажения файлового ресурса, о чём немедленно оповещается администратор.

Подсистема обнаружения вторжений Подсистема обнаружения вторжений предназначена для выявления сетевых атак, направленных на информационные ресурсы портала.

В состав подсистемы обнаружения вторжений должны входить два типа датчиков: хостовые и сетевые. Сетевые датчики представляют собой отдельный программно-аппаратный блок, предназначенный для пассивного сбора и анализа информации обо всех пакетах данных, которые передаются в том сегменте, в котором установлен датчик. Хостовые же датчики представляют собой программные модули, которые устанавливаются на серверы приложения и анализируют только те пакеты данных, которые поступают на эти серверы. Хостовые датчики, в отличие от сетевых, позволяют не только выявлять, но и блокировать сетевые атаки посредством фильтрации потенциально опасных пакетов данных.

Информация, собранная сетевыми и хостовыми датчиками, анализируется модулем выявления атак с целью обнаружения возможных вторжений нарушителей. Анализ данных может проводиться при помощи двух основных групп методов — сигнатурных и поведенческих.

Сигнатурные методы описывают каждую атаку в виде специальной модели или сигнатуры. В качестве сигнатуры атаки могут выступать: строка символов, семантическое выражение на специальном языке, формальная математическая модель др. Поведенческие методы, в отличие от сигнатурных, базируются не на моделях информационных атак, а на моделях штатного процесса функционирования Web-приложения.

Подсистема анализа защищенности Подсистема анализа защищённости предназначена для выявления уязвимостей в программно-аппаратном обеспечении Web-приложения. Примерами таких уязвимостей могут являться неправильная конфигурация сетевых служб, наличие программного обеспечения без установленных модулей обновления (service packs, patches, hotfixes), использование неустойчивых к угадыванию паролей и др. По результатам работы подсистемы анализа защищённости формируется отчёт, содержащий информацию о выявленных уязвимостях и рекомендации по их устранению.

Подсистема криптографической защиты Подсистема криптографической защиты предназначена для обеспечения защищённого удалённого взаимодействия с Web-порталом. Подсистема базируется на технологии виртуальных частных сетей VPN (Virtual Private Network), позволяющей создавать защищённые сетевые соединения, в рамках которых проводится аутентификация пользователей, а также обеспечивается конфиденциальность и контроль целостности передаваемых данных. Установка, управление и закрытие таких соединений осуществляется при помощи специализированных крипторотоколов: SSL, IPSec, SKIP, PPTP, L2 °F, L2TP.

В состав подсистемы криптографической защиты информации входит VPN-шлюз, который устанавливается в Web-приложении и VPN-клиенты, устанавливаемые на рабочие станции администраторов, а также на станции тех пользователей, для которых необходимо обеспечить защищённое взаимодействие с серверами приложения. VPN-шлюз устанавливается в коммуникационном сегменте между внешним и внутренним межсетевым экраном. Такая схема установки позволят использовать внутренний экран для фильтрации пакетов данных уже после того, как они будут расшифрованы VPN-шлюзом.

Подсистема управления средствами защиты Подсистема управления средствами защиты размещается в одноимённом сегменте Web-приложения. Подсистема включает в себя АРМ администратора, с которого осуществляется управление, а также служебные серверы, необходимые для функционирования соответствующих средств защиты.

Подсистема также дополнительно может включать в себя модуль корреляции событий, зарегистрированных различными подсистемами защиты. Наличие такого модуля позволяет автоматизировать обработку большого объёма информации, регистрируемой в Web-приложении, и в соответствии с заданным набором правил выделить наиболее критические события, которые требуют немедленного реагирования.

Поскольку комплекс средств защиты Web-приложения сам может выступать в качестве цели возможной атаки, то все его подсистемы должны быть оснащены собственными механизмами безопасности.