Загальний опис ПІБ WEB-сервера

Внутрішній web-сервер використовується для публікації внутрішньокорпоративних новин, документів, регламентів і наказів Вимоги щодо доступності інформації, що зберігається на web-сервері, низькі, простій протягом одного дня допустимо Вимоги по конфіден-ціальностей середні, отримання інформації, що зберігається на сервері, конкурентами може призвести до фінансових втрат Вимоги по цілісності високі, спотворення інформації, що зберігається на сервері, може призвести до дезорганізації діяльності багатьох підрозділів і до порушення нормальної роботи підприємства в цілому

В якості web-сервера використовується сервер Apache 1333, встановлений на сервері під керуванням ОС Debian GNU Linux Сервер використовується для предявлення тільки статичних web-сторінок Доступ до web-серверу дозволений всім користувачам локальної мережі Доступ із зовнішніх мереж заборонений Периметрова міжмережевим екраном До-даткові засоби захисту web-сервера (аутентифікація, SSL, TLS, захист від DoS-атак) не передбачені Резервування даних не виконується Системні журнали та журнали реєстрації зберігаються безпосередньо на сервері

Примітка

Дана інформація може бути отримана від системного адміністратора, а також шляхом підключення до web-серверу

Виявлені ризики і рекомендації по їх обробці

Сервер підтримує HTTP-методи GET, HEAD, OPTIONS, TRACE

Примітка

Інформація отримана сканером nikto

Метод OPTION може використовуватися для отримання списку підтримуваних HTTP-

методів, рекомендується його відключити

Метод TRACE використовується тільки для цілей налагодження, його необхідно відключити, так як існують техніки атак на web-сервер, що використовують цей метод

Існує можливість перегляду каталогів / icons та / doc Рекомендовано закрити цей доступ

Існує можливість перегляду системної інформації сервера (наприклад, з по-міццю наступного запиту web-оглядача http://192168103/server-status) Дана функція повинна бути відключена, якщо вона не використовується Якщо вона використовується, то дос-туп до цієї інформації повинен надаватися тільки певному набору вузлів

Примітка

Інформація виявлена ​​сканером nikto і додатково має бути перевірена вруч-

ную

Протоколи SSL і TLS не використовуються У силу високих вимог по доступності рекомендується впровадження протоколів SSL або TLS для забезпечення цілісності даних, одержуваних з web-сервера Для цього можна використовувати модуль mod_SSL web-сервера Apache

До сервера дозволений неавторизований доступ Рекомендується заборонити неавторізо-ванний доступ до сервера, так як його функціональне призначення передбачає, що доступ повинні отримувати тільки співробітники підприємства Для прозорості доступу рекоменду-ється використовувати технології єдиної реєстрації в рамках всієї інформаційної інфра-структури

Системні журнали та журнали реєстрації зберігаються безпосередньо на сервері Ре-комендуется використовувати централізоване (у рамках всієї інформаційної інфраструктури тури) сховище системних журналів і журналів реєстрації Це дозволить спростити до них доступ і захистить від модифікації Дані журналів повинні аналізуватися на ре-гулярно основі

Web-сервер використовує налаштування безпеки за замовчуванням Для підвищення рівня безпеки web-сервера рекомендується встановити модуль mod-security, здійснюю-щий виявлення і запобігання вторгнень на web-сервер Зокрема, з арсеналу засобів захисту модуля mod-security необхідно використовувати функцію chroot (виконан-ня сервера в ізольованому файловому просторі) і маскування банера сервера

Рекомендується відключити всі невживані функції та модулі web-сервера, такі як підтримка CGI та ін

Примітка

Оскільки аудитор знаходився в рамках моделі «сірого ящика» (зокрема, не було віз-

можности провести аналіз конфігурації сервера), він не міг точно визначити, які функції відключені, а які – ні Тому що приводиться рекомендація носить загальний ха-рактер

ВИКОНАТИ

24 За допомогою утиліти netcat (або telnet) підключіться до web-серверу, функціонуючому на вузлі «Сервер» Визначте версію web-сервера і запросіть кореневу сторінку

25 Послідовно виконайте сканування web-сервера за допомогою утиліт

Cgichk і Nikto

26 Доповніть табл 83 Зробіть висновок про можливість аналізу захищено-

сти web-сервера різними методами Напишіть тези «Аналітично-го звіту», описують ПІБ, виявлення ризики і рекомендації для цього сервера, в припущенні, що даний сервер є web- сервером, що містить інформацію про компанію, її структуру, новинах і про профіль діяльності

27 Сформуйте підсумковий звіт про проведення тестування Вкажіть пере-

чень першочергових заходів для усунення знайдених вразливе-

стей

Джерело: Андрончик А Н, Богданов В В, Домуховскій Н А, Коллеров А С, Синадський Н І, Хорьков Д А, Щербаков М Ю, Захист інформації в компютерних мережах Практичний курс

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*