Ієрархія захисту веб-серверів, Інтернет і інші мережі, Security & Hack, статті

Арсеній Єфремов

Інформація повинна бути в безпеці – мабуть, ця аксіома відома всім. І безсумнівно, більшість користувачів знають, що таке Firewall і троянські віруси і якими засобами можна забезпечити захист мережі. Однак не всі знають, як вони працюють і як оптимально налаштувати систему захисту компанії. Проте саме від цього залежить не тільки збереження даних, а й існування підприємства в цілому.

Дійсно, багато надто впевнені у своїй компетенції, і в цьому корінь проблеми. Наочний приклад з життя. Одна компанія дуже хоче забезпечити збереження своїх даних (її локальна мережа має постійний вихід в Інтернет). Для цього один з фахівців встановив firewall, перекривши (на його погляд) загрозу прямим атакам з публічної мережі. Потім перейнявся проникненням троянів і встановив антивірус. Далі виявилося, що багато програм хочуть також взаємодіяти з мережею, але не всі роблять це на безпечному рівні. Довелося перекривати доступ і їм. Поступово число потенційних загроз збільшувалася, і, подібно сніжному кому, росло кількість встановлених засобів захисту. І всі вони були різними. Закінчувалося все, як правило, “падінням” системи і неминучою перевстановлення. В результаті витрачалося дорогоцінний робочий час і ресурси. Але ж куди розумніше з’ясувати теорію і підготувати захист у Відповідно до неї.

Новий час – нові методи

Наведений приклад говорить про те, що колишній підхід до безпеки безнадійно застарів. Загроз занадто багато, і потрібно щось закласти в основу ієрархії захисту. Інтернет вже давно не просто мережа html-сторінок. Це складні програми, скрипти, транспортна мережа, телеконференції, електронна пошта і багато іншого. Звичайно, корпоративний firewall вже не вирішує всіх проблем безпеки. Адже рівний і узагальнений підхід до забезпечення безпеки даних кожного співробітника компанії неминуче призводить до наявності проломів в захисті. Через це страждають потреби того чи іншого працівника, коли виявляються закриті критичні для виконання роботи ресурси. Більш того, багато систем безпеки відокремлюють від загального доступу тільки життєво важливі дані (наприклад, бухгалтерський облік), в той час як інші відомості, які вважаються менш важливими, доступні всім. Звичайно, це не означає, що співробітники сусіднього підрозділи вивчають дані своїх колег. Але така відкритість робить дані всіх працівників уразливими до атаки через одну-єдину лазівку в мережі. Тому замість псування даних на 1-2 комп’ютерах страждають усі.

Що й довів черв’як Code Red. Ця одна з найвідоміших атак розкрила безліч проблем. Встановлено: для того щоб отримати пролом у захисті, необхідне поєднання трьох чинників.
Уразливість програмного забезпечення, протоколів або процесів, якими може скористатися нападник. Загроза з боку ворожих інструментів, здатних цю уразливість використовувати. Нарешті, дію, А по суті, використання загрози вашої уразливості.

Ще в 1985 році Стів Беллоуін (Steve Bellovin), член Ради з архітектурі Інтернету (Internet Architecture Board) опублікував доповідь про уразливість TCP / IP-протоколу. Хоча аж до 1996 року виникла вразливість залишалася під примарною теоретичної загрозою. Але загроза з’явилася, а привів її в дію не хто інший, як Кевін Митник. Тому суть комп’ютерної безпеки не тільки в її побудові, а й у постійному пошуку уразливості і усунення її раніше, ніж зловмисники зуміють створити загрозу і привести її в дію. Отже, безпека – процес динамічний, а не статичний. Аналіз і усунення ризиків – його основна складова, якою не можна нехтувати.

Чому веб-сервери так уразливі?


Вірус Code Red вивів з ладу саме ті сервери, які були захищені від елементарних атак з Мережі і не стежили за своєю зростаючою вразливістю (через відсутність подібних прецедентів). Мала місце вразливість, але так як раніше подібні атаки не проводилися, ніхто про ній не думав. У підсумку така безпечність коштувала мільйонів доларів. Узагальнимо основні причини уразливості веб-серверів:


  1. Більшість зростаючих підприємств регулярно змінює конфігурацію своїх мереж, додаючи нові робочі станції (іноді й сервера), забуваючи при цьому тестувати ЛВС на безпеку. Зрозуміло, заборонити підключати нових користувачів неможливо, але варто задуматися про розширення мережі заздалегідь. Позначити її сегменти, які здатні до розширення, і проводити попереднє тестування на безпеку.
  2. Більшість веб-майстрів мають кореневої або адміністраторський доступ до сервера. Розумніше прописати кожному користувачеві свою політику доступу, що обмежує його права прямими обов’язками. Наприклад, співробітник працює тільки з одним каталогом сервера, але має доступ на всі інші. Тим самим він ставить під загрозу не лише свій сектор робіт, але і всі дані сервера. Звичайно, статус веб-майстра має не кожен користувач, хоча обмежити доступ з міркувань безпеки слід і самим високим професіоналам.
  3. Програмне забезпечення веб-серверів. Суміш з піратських, ліцензійних, shareware-і freeware-програм робить систему вразливою. Найбезпечніший підхід – сумісне програмне забезпечення від одного виробника. Скажете дорого? А не дорожче Чи потім відновлювати дані після атаки?

Як бачите, безпека веб-серверів зводиться до управління ризиками. Але не кожна компанія має потребу у вищій ступені захисту своєї інформації. Питання рівня безпеки – це питання використання ресурсів мережі. Якщо веб-сервер існує, наприклад, тільки для потреб маркетингу, то особливо складної захисту встановлювати не варто. А от системи електронної комерції, електронних платежів вимагають великих заходів безпеки. Тому прийнято розділяти рівні захисту веб-серверів.

Рівні захисту веб-серверів

Захист мережі можна розділити на шість рівнів складності. Перший – самий елементарний і обов’язковий. Тут головний інструмент захисту – firewall. Firewall повинен лімітувати використання сервісів, які надаються користувачам. Також firewall повинен стежити за всіма з’єднаннями, як з однієї, так і з іншого боку. До речі, багато версій firewall успішно відбили Code Red. Не варто застосовувати тут програми незрозумілого походження, віддавайте перевагу ліцензійним ПЗ. Адже це самий передовий бастіон захисту ваших даних. Багато ризики можна усунути вже на цьому етапі.

Другий рівень безпеки передбачає конфігурацію операційної системи, під чиїм управлінням працює веб-сервер. Кожна операційна система дозволяє створювати контрольні листи безпеки (security checklist). Ці установки повинні бути узгоджені з операційними системами вендорів, які співпрацюють з компанією. Про те, як це робиться під окремі операційні системи, можна прочитати тут: Center for Internet Security – www.cisecurity.org/; Microsoft – www.microsoft.com/technet/itsolutions/security/tools/tools.asp;
Apache – httpd.apache.org/docs/misc/security_tips.html;
Sun – www1.citforum.ru/security/web/hierarchy/www.sun.com/security/blueprints/. Важливо також, щоб новий додаток своєчасно вносилося в security cheklist, а не відключало його. Це повинно бути правилом. І ніякої аврал на роботі не повинен призводити до відключення даного рівня безпеки.

Третій рівень орієнтований вже на мережу. Необхідно оснастити датчиками атаки мережевого обладнання та програмного забезпечення провайдера, що забезпечує хостинг. Головне, щоб надійшов об небезпеки сигнал був правильно оброблений і нейтралізований.

Четвертий рівень безпеки – установка програмного забезпечення на рівні хостингу. Це значно складніша завдання. По-перше, тут можна зіткнутися з запереченнями самої хостинг-компанії. А по-друге, таке програмне забезпечення набагато складніше простих датчиків. З цієї причини і рівень безпеки вищий.

Рівень 5 має два підрівні – А і В. Рівень 5А – це установка спеціального програмного забезпечення, що виконує роль прошарку між операційною системою веб-сервера і всіма додатками. Такий буфер дозволяє запобігти атаці хакерів на вразливі програми, які беруть під контроль всю операційну систему під час свого виконання. Це не найдешевший варіант, тому що, як і на попередньому рівні, необхідно забезпечити підтримку програмного забезпечення, яким оперують веб-сервери.

Рівень 5B являє собою установку орієнтованих на конкретні програми firewall або проксі-серверів. Вони орієнтовані на HТTP-протокол і дозволяють запобігти атаки перш, ніж потенційні зловмисники зуміють дістатися до запуску додатків, встановлених на веб-сервері. Однак, проксі-сервер – це істотне обмеження в роботі. Конфігурація та налаштування проксі – теж свого роду мистецтво.

Шостий рівень – своєрідна вершина безпеки. Тут допускається використання тільки довірчих операційних систем і працюють під їх управлінням додатків. Іншими словами, все функціонуючі програми та операційні системи повинні бути або максимально адаптовані, або розроблені спеціально для специфічних потреб компанії. Це найдорожчий, але і самий ефективний спосіб захисту. До того ж вимагає спеціальної підготовки від адміністратора мережі, а часто і від користувачів, що також спричиняє додаткові витрати. Та й оновлення якого-небудь програми зажадає попередньої інтеграції в довірчу систему.

Що вибрати?

Як і скрізь вирішальним фактором стає співвідношення ціна / якість. І тим не менш кожна компанія повинна мати як мінімум два перші рівня захисту. Будь-яка компанія, для якої псування інформації є критичною (і може серйозно вплинути на функціонування підприємства), повинна оснастити свої веб-сервери третім рівнем безпеки. Це стосується підприємств, які просто використовують у своїй роботі мережу Інтернет. Якщо ваші користувачі підключені до неї, то зловмисники можуть знайти лазівки, щоб проникнути у ваші віртуальні володіння і зіпсувати ваші дані. Всі компанії, що використовують віддалений доступ до мережі для запуску додатків на веб-сервері, зобов’язані мати рівні вище четвертого (4, 5A або 5B). Один із прикладів – наявність важливої ​​бази даних на сервері, доступ до якої здійснюється через віддалений доступ або мережу Інтернет. До цієї категорії можна віднести інтернет-магазини та електронні трейдингу. Якщо ви не можете повністю контролювати дію своїх веб-майстрів, то достатнім буде рівень 4. Класичний випадок, коли кілька адміністраторів відповідають за різні ділянки сайту. Часто такі адміністратори можуть працювати поза офісом або вдома. При цьому їх права на доступ дозволяють внести істотні корективи в зберігаються дані. А це не завжди бажано. Якщо ж користувачі здатні контролювати настройки мережевих додатків, то необхідний захист п’ятого рівня (як А, так і В). Це справедливо для складних систем, коли комп’ютери, підключаються через мережу до сервера і мають права не тільки запускати додатки, але і змінювати налаштування цих додатків. Шостий рівень – повна гарантія безпеки.

У житті кожного підприємства важливу роль відіграє прибутковість. Тут наведено матеріал, орієнтовані на менеджерів, які бажають оцінити економічну ефективність від впровадження системи комп’ютерної безпеки. Приблизні оцінки для великих компаній вказують на те, що повернення коштів чекає компанію в обсязі 145% за три роки. Але це суб’єктивні і теоретичні оцінки. Багато компаній, що займаються безпекою, сьогодні пропонують спеціальну послугу – перевірку вашого сервера на стійкість до атакам хакерів. Тобто встановлення наявності ризиків. А за допомогою простий онлайн-форми можна оцінити ROI від впровадження системи безпеки для вашого власного підприємства. Нагадаємо, що ROI (Return Of Investment) – це кількісна оцінка прибутку на інвестований капітал. Адреса для вивчення вигідності цієї інвестиції тут. Заповнюйте позиції з лівого боку, а праворуч у вікні браузера ви отримаєте результати. Необхідно чітко знати такі дані: кількість звернень в службу сервісу в місяць, число робочих місць, що потребують установки ПЗ. Вартість таких дій як виклик, обладнання захистом різних рівнів, зменшення числа звернень в службу сервісу на кожному з рівнів і ряд інших. Втім, форма сама пропонує певні цифри, які вважаються еталонними для підприємств. Оцінка інвестиції наведена цілком прискіпливо. Тут і Net Present Value (NPV) Savings, і Internal Rate of Return (IRR), і Return on Investment (ROI). І кожен рівень розписаний в подробицях. Втім, російська специфіка і тут має місце, тому варто перевірити, чи справедливі Чи вводяться ціни.

Безпека – це люди, процеси, програми. Це безперервний пошук вразливих місць вашої системи, налагоджена структура ліквідації загрози та контроль над виконуваними програмами. Інтернет міцно увійшов в наше життя і все методики повинні удосконалюватися. З’являються нові підходи до безпеки, і ігнорування їх було б великою помилкою. Помилкою, усвідомлення якої може прийти надто пізно.


 

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*