KNOW INTUIT, Лекция, Защита на уеб сървъри

В най-общия си вид мрежата може да бъде разделена на два основни компонента: уеб сървъри - те са приложения, които генерират информация, достъпна чрез HTTP протокола, и уеб браузъри (клиенти) - те се използват за достъп и показване на информация, съхранявана на уеб сървъри. Ще разгледаме главно проблеми със сигурността, свързани с уеб сървърите.

  1. Това може да доведе до получаване на достъп до файлове или директории, които не са предназначени за публичен достъп, или до изпълнение на привилегировани команди и/или инсталиране на софтуер на уеб сървър.
  2. Информацията на уеб сървъра може да бъде умишлено променена за враждебни цели. Най-честият пример за такава заплаха е подправянето на съдържанието на уебсайта.

Нека разгледаме проблемите със сигурността при инсталиране, конфигуриране и поддръжка на уеб сървъри. Нека изброим накратко основните въпроси:

  • Сигурна инсталация и конфигурация на основната операционна система.
  • Сигурна инсталация и конфигуриране на софтуер за уеб сървър.

Внедряване на подходящи механизми за защита на мрежата:

  • Защитни стени;
  • Системи за откриване на проникване ( >

Тук трябва да се придържате към следните принципи.

Трябва да се прилагат подходящи практики за управление на сигурността и надзор на системата.

Подходящите практики за управление са от решаващо значение за работата и поддръжката на защитен уеб сървър. Необходимо е да се определят изисквания за разгръщане, документиране и прилагане на политики, стандарти, процедури и насоки, които гарантират поверителността, целостта и наличността на информационните ресурси.

За да се гарантира сигурността на мрежатаподдръжка на сървърна и мрежова инфраструктура, трябва да се вземат предвид и внедрят следните основни точки:

  • Политика за сигурност на информационната система на организацията.
  • Принципи на управление и контрол на конфигурацията и нейните промени.
  • Анализ на риска и определени подходи за управление на риска.
  • Стандартни софтуерни конфигурации, които отговарят на политиката за сигурност на информационната система.
  • Необходимото количество знания и обучение, за да се осигури необходимото количество знания.
  • Начини за възстановяване от внезапни провали.
  • Подходящо сертифициране и акредитация.

Трябва да се уверите, че операционната система, изпълняваща уеб сървъра, е внедрена, конфигурирана и управлявана по сигурен начин.

Първата стъпка в защитата на уеб сървър е защитата на основната операционна система. Повечето от наличните уеб сървъри работят на ОС с общо предназначение. Много проблеми със сигурността могат да бъдат избегнати, ако операционната система, която е в основата на уеб сървъра, е правилно конфигурирана. Конфигурациите по подразбиране за хардуер и софтуер обикновено се задават от производителите, като се набляга най-общо върху използването на функциите, функционалността на оригиналния софтуер и лекотата на използване на функциите, свързани със сигурността. Трябва също така да се разбере, че производителите не знаят изискванията за сигурност на всяка организация, така че уеб администраторът трябва да конфигурира нови сървъри според изискванията за сигурност и да ги преконфигурира всеки път, когато тези изисквания се променят. Сигурността на ОС трябва да включва поне следните стъпки:

  • извършване на корекции и надстройки на ОС;
  • премахване или забрана на ненужни услуги и приложения;
  • конфигурация за управление на ресурсите;
  • Тестване на сигурността на ОС.

Уверете се, че софтуерът на уеб сървъра е внедрен, конфигуриран и управляван в съответствие с изискванията за сигурност, определени от организацията.

В много отношения инсталирането и конфигурирането на сигурността на софтуера на уеб сървъра е подобно на инсталирането и конфигурирането на операционна система. Основният принцип, както и преди, е инсталирането на минималния брой необходими услуги на уеб сървъра и премахването на всички известни уязвимости с помощта на пачове и надстройки. Ако инсталационната програма инсталира ненужни приложения, услуги или скриптове, те трябва да бъдат премахнати веднага след приключване на инсталационния процес. Защитата на уеб сървър трябва да включва поне следните стъпки:

  • извършване на пачове и надстройки на софтуера на уеб сървъра - премахване или деактивиране на ненужни услуги, приложения и примерно съдържание;
  • конфигуриране на потребителско удостоверяване на уеб сървър;
  • конфигуриране на управление на ресурси на уеб сървър;
  • тестване на сигурността на приложението на уеб сървъра и специфично съдържание на уеб сървъра.

Трябва да се предприемат стъпки, за да се гарантира, че на уебсайта е публикувано само правилно съдържание.

Трябва да има ясна политика за това какъв тип информация е публична, каква информация трябва да бъде ограничена и каква информация не трябва да се публикува в публично достъпно хранилище.

Активното съдържание трябва да се използва само след внимателно преценяване на ползите спрямо повишените рискове.

В началото повечето уебсайтове бяха статична информация, разположена върхусървър, обикновено под формата на текстови документи с подходящо маркиране ( HTML ). В бъдеще бяха въведени различни интерактивни елементи. За съжаление тези интерактивни елементи въвеждат нови уязвимости, защото включват изпращане на някакъв вид информация както от уеб сървъра към клиента за изпълнение от страна на клиента, така и от клиента към уеб сървъра за обработка от страна на сървъра. Различните технологии за активно съдържание имат различни уязвимости, които трябва да бъдат претеглени спрямо предимствата.

Удостоверяването, базирано на криптографски технологии, трябва да се използва, за да се осигури адекватна защита на чувствителни данни.

Публичните уеб сървъри обикновено поддържат широк набор от технологии за идентифициране и удостоверяване на потребителите и определяне на различни привилегии за достъп до информация. Някои от тези технологии разчитат на криптографски функции, които могат да предоставят някакъв тип криптиран канал между клиент на уеб браузър и уеб сървър. Уеб сървърите могат да бъдат конфигурирани да използват различни криптографски алгоритми, за да осигурят различни нива на сигурност.

Без удостоверяване на потребителя няма начин да се осигури контрол на достъпа до чувствителна информация. Без силни механизми за удостоверяване цялата информация, която се намира в уеб пространството на сървъра, може да стане достъпна за всеки. В допълнение, без процес на удостоверяване на сървъра, потребителите нямат начин да определят, че сървърът е необходимият, а не измама, създадена от злонамерен участник за прихващане на чувствителна информация за потребителя.

Мрежовата сигурност трябва да бъдеинфраструктура за защита на уеб сървъри.

Мрежовата инфраструктура, в която работи уеб сървърът, играе важна роля за защитата на уеб сървъра. В много отношения мрежовата инфраструктура е първата линия на защита на уеб сървъра. Въпреки това, само внимателното проектиране на мрежата не е достатъчно за защита на уеб сървър. Честотата и вариациите на уеб атаките, случващи се днес, предполагат, че уеб сървърите могат да бъдат защитени само с помощта на различни и многослойни защитни механизми (така наречената „защита в дълбочина“).

Трябва да се гарантира непрекъсната работа на системата за сигурност.

Поддържането на сигурна работа на уеб сървър изисква постоянни усилия и достатъчно ресурси. Поддържането на сигурността на уеб сървъра обикновено включва следните стъпки:

  • своевременно прилагане на корекции и надстройки;
  • конфигуриране, защита и анализ на лог файлове;
  • често архивиране на критична информация;
  • поддръжка за защитени копия на уеб съдържание;
  • дефиниране на процедури за възстановяване от компрометиране и тяхното следване, когато бъде открито проникване;
  • периодични тестове за сигурност.

Разгледайте общите принципи, които се прилагат за всички системи.

Причини за уязвимост на уеб сървъра

Основните проблеми, свързани със сигурността на работата на публично достъпен уебсайт, възникват поради следните причини: