6.1. Підсистема розмежування доступу
Підсистема розмежування доступу є основним елементом комплексу безпеки Web-портала і призначена для захисту інформаційних ресурсів порталу від несанкціонованого доступу. За допомогою засобів захисту, що входять в цю підсистему, Web-портал підрозділяється на чотири функціональні сегменти (мал. 2):
сегмент демілітаризованої зони, в якому розміщуються сервери порталу, доступ до яких можуть отримати будь-які користувачі мережі Інтернет. До таких серверів відносяться кеш-сервери, публічні Web-сервери і DNS-сервери;
сегмент службових серверів, доступ до ресурсів яких можуть отримати тільки адміністратори або службові сервіси Web-портала;
сегмент управління, в якому розміщуються засоби, необхідні для управління комплексом безпеки Web-портала;
комунікаційний сегмент, що включає маршрутизатори і комутатори, що забезпечують взаємодію між іншими сегментами порталу.
Рис.
2. Структура захищеного
Web-портала
Розділення на окремі сегменти дозволяє ізолювати різні ресурси Web-портала один від одного. В цьому випадку при компрометації сервера одного з сегментів порталу порушник не зможе дістати доступ до інформаційних ресурсів, розташованих в інших сегментах.
Розмежування доступу реалізується підсистемою на трьох рівнях стека TCP/IP - канальному, мережевому і прикладному. На канальному рівні розмежування доступу здійснюється на основі віртуальних локальних мереж VLAN (Virtual Local Area Network), на які розділяється Web-портал. Ділення на такі віртуальні мережі проводиться за допомогою настройок комутаторів, в яких кожен фізичний порт включається в певну віртуальну мережу. Хости можуть вільно обмінюватися даними один з одним в рамках однієї віртуальної мережі, а управління взаємодією між різними віртуальними мережами здійснюється за допомогою списків контролю доступу ACL (Access Control List). У цих списках визначаються правила, відповідно до яких вирішується або забороняється інформаційний обмін між різними мережами VLAN. Так, наприклад, якщо для роботи Web-портала два публічні Web-сервера не повинні обмінюватися між собою інформацією, то вони розділяються на різні віртуальні мережі, між якими забороняється взаємодія. У випадку якщо порушник “зламає” один з публічних серверів Web-портала йому не вдасться дістати доступ до тих ресурсів, які зберігаються на інших серверах, включених в інші віртуальні мережі.
На мережевому рівні розмежування доступу проводиться за допомогою двох міжмережевих екранів (МЕ), що забезпечують фільтрацію пакетів даних відповідно до заданих критеріїв. Приклади критеріїв фільтрації, визначених на різних рівнях стека протоколів TCP/IP, приведені в табл. 1.
Таблиця 1
Рівень стека протоколів |
Приклади критеріїв фільтрації |
Мережевий рівень |
• IP-адреса одержувача і відправника IP-дейтаграми; тип протоколу, за допомогою якого сформований блок даних, розміщений в полі даних IP-дейтаграми; довжина IP- дейтаграми; тип пакету даних ICMP і ін. |
Транспортний рівень |
• номери TCP- і UDP-портов відправника і одержувача TCP-сегмента або UDP-дейтаграми; значення поля прапора передачі TCP-сегментів; довжина TCP-сегмента; порядкові номери TCP-сегментів і ін. |
Рівень застосування |
• довжина заголовка блоку даних прикладного рівня; тип команди, що міститься в блоці даних прикладного рівня; адреса ресурсу, якому призначена команда, що міститься в блоці даних прикладного рівня і ін. |
Приклади критеріїв фільтрування пакетів даних на різних рівнях стека TCP/IP
Перший міжмережевий екран встановлюється в точці сполучення Web-портала з мережею Інтернет і виконує фільтрацію пакетів даних, що поступають з мережі Інтернет в сегмент демілітаризованої зони. Фільтрація здійснюється на основі критерій мережевого, транспортного і прикладного рівня стека TCP/IP. Другий міжмережевий екран встановлюється так, щоб через нього проходили всі пакети, якими обмінюються сервери сегменту демілітаризованої зони і сегменту службових серверів. Цей міжмережевий екран виконує фільтрацію тільки на мережевому і транспортному рівнях. Схематично установка міжмережевого екрану в комунікаційному сегменті Web-портала показана на рис. 3.
Рис. 3. Схема установки міжмережевих екранів в Web-порталі
Другий міжмережевий екран дублює функції захисту на той випадок, якщо порушник зможе зламати зовнішній екран. Треба сказати, що потенційна уразливість атакам зовнішнього міжмережевого екрану обумовлена тим, що він виконує складну фільтрацію пакетів даних на прикладному рівні за допомогою програмних модулів, які можуть містити помилки. Прикладом тут можуть служити помилки, недавно виявлені в модулях міжмережевого екрану “CheckPoint FW-1”, що містять уразливість типу “переповнювання буфера” (http://www.us-cert.gov/cas/techalerts/TA04-036A.html). Використовуючи цю уразливість, порушники могли отримати повний контроль над міжмережевим екраном і використовувати його для розвитку атаки на сервера Web-портала. Проте з урахуванням того, що внутрішній міжмережевий екран виконує лише базову фільтрацію на мережевому і транспортному рівні, він не може бути уразливий відносно тих атак, які використовують уразливості модулів, зайнятих обробкою пакетів даних на прикладному рівні.
Зовнішній міжмережевий екран також виконує захист від атак типу “відмова в обслуговуванні” (denial of service), які реалізуються шляхом формування великого числа запитів на встановлення мережевих з'єднань з публічними Web-серверами. В результаті проведення атаки Web-сервери не справляються з обробкою всіх запитів, що приводить до виходу з ладу всього Web-портала. Захист від такого роду атак забезпечується шляхом обмеження максимальної кількості вхідних TCP-з’єднань, які можуть бути встановлені з однієї IP-адреси. В цьому випадку міжмережевий екран блокуватиме всі спроби встановити мережеві з'єднання, кількість яких перевищує задане обмеження, забезпечуючи тим самим захист Web-серверів від перевантаження їх обчислювальних ресурсів.
Розмежування доступу на прикладному рівні реалізується засобами прикладного програмного забезпечення, встановленого на серверах Web-порталу. Це ПО повинно забезпечувати ідентифікацію і аутентифікацію адміністратора і деяких користувачів порталу і призначати їм відповідні права доступу до файлових ресурсів. Аутентифікація може забезпечуватися на основі паролів або цифрових сертифікатів.