- •1. Безпека www-серверів 6
- •2. Безпека ос, що лежить в основі web-сервера 15
- •3. Безпечна інсталяція і конфігурація web-сервера 28
- •4. Безпека програмного середовища 42
- •5. Використання криптографії в захисті www-серверів 45
- •6. Захист web-портала від інформаційних атак 68
- •1. Безпека www-серверів
- •1.1. Короткий опис проблеми
- •1.2. Принципи безпеки веб-серверів
- •1. Слід реалізувати відповідну практику управління безпекою і контроль за функціонуванням системи.
- •2. Слід зробити кроки для гарантування того, що на web-сайті публікується тільки коректний вміст.
- •3. Слід гарантувати захист web-вмісту від неавторизованого доступу або модифікації.
- •4. Слід використовувати активний вміст тільки після ретельного зважування отримуваних при цьому переваг порівняно із збільшенням ризиків.
- •5. Слід використовувати аутентифікацію, засновану на криптографічних технологіях, для забезпечення відповідного захисту чутливих даних.
- •6. Слід гарантувати постійне функціонування системи забезпечення безпеки.
- •1.3. Причини уразливості web-сервера
- •1.4. Планування розгортання web-сервера
- •2. Безпека ос, що лежить в основі web-сервера
- •2.1. Безпечна інсталяція і конфігурація ос
- •2.2. Видалення або заборона непотрібних сервісів і програм
- •2.3. Конфігурація аутентифікації користувача в ос
- •2.4. Управління ресурсами на рівні ос
- •2.6. Використання Appliances для web-сервера
- •2.7. Спеціально посилені (pre-hardened) ос і web-сервери
- •2.7.1. Тестування безпеки операційної системи
- •2.7.2. Список дій для забезпечення безпеки ос, на якій виконується web-сервер
- •2.7.3. Застосування patch-ів і upgrade-ів ос
- •2.7.4. Видалення або заборона непотрібних сервісів і програм, конфігурація аутентифікації користувачів в ос.
- •2.7.5. Тестування безпеки ос
- •3. Безпечна інсталяція і конфігурація web-сервера
- •3.1. Безпечна інсталяція web-сервера
- •3.2. Конфігурація управління доступом
- •3.3. Розмежування доступу для по web-сервера
- •3.4. Управління доступом до директорії вмісту web-сервера
- •Управління впливом web Bots
- •Використання програм перевірки цілісності файлів
- •Список дій для безпечної інсталяції і конфігурації web-сервера
- •3.5. Конфігурація безпечної директорії web-вмісту
- •3.6. Використання програм перевірки цілісності
- •4. Безпека програмного середовища
- •5. Використання криптографії в захисті www-серверів
- •5.1. Асиметрична криптографія
- •5.2. Симетрична криптографія
- •5.3. Дайджести повідомлень
- •5.4. Цифрові підписи
- •5.5. Сертифікати
- •5.6. Забезпечення цілісності даних і призначеної для користувача аутентифікації за допомогою підписів xml
- •5.7. Формування цифрового підпису xml: основні чотири кроки
- •5.8. Перевірка цифрового підпису xml
- •5.9. Шифрування xml
- •5.9.1. Шифрування цілого xml-файла
- •5.9.2. Шифрування окремого елементу
- •5.9.3. Шифрування змісту елементу
- •5.9.4. Обробка шифрування xml
- •5.10. Введення в безпеку Web-сервісів
- •6. Захист web-портала від інформаційних атак
- •6.1. Підсистема розмежування доступу
- •6.2. Підсистема антивірусного захисту
- •6.3. Підсистема контролю цілісності
- •6.4. Підсистема виявлення вторгнень
- •6.5. Підсистема аналізу захищеності
- •6.6. Підсистема криптографічного захисту
- •6.7. Підсистема управління засобами захисту Web-портала
- •Висновок
1.2. Принципи безпеки веб-серверів
Потрібно дотримуватися наступних принципів:
1. Слід реалізувати відповідну практику управління безпекою і контроль за функціонуванням системи.
Відповідна практика управління є критичною для функціонування і підтримки безпечного web-сервера. Необхідно визначити вимоги до розгортання, документування і реалізації політик, стандартів, процедур і керівництва, яке гарантує конфіденційність, цілісність і доступність інформаційних ресурсів.
Для гарантування безпеки web-сервера і підтримки мережевої інфраструктури повинні бути розглянуті і реалізовані наступні основні моменти:
Політика безпеки інформаційної системи організації;
Принципи управління і контролю конфігурації і її змін;
Аналіз ризику і певні підходи до управління ризиком;
Стандартні конфігурації ПО, які задовольняють політиці безпеки інформаційної системи;
Необхідний об'єм знань і тренінги, що забезпечують необхідний об'єм знань;
Способи відновлення після раптових збоїв;
Відповідна сертифікація і акредитація.
Слід гарантувати, що ОС, на якій виконується web-сервері, розгорнена, конфігурована і управляється відповідно до вимог безпеки.
Першим кроком в забезпеченні безпеки web-сервера є безпека лежачої в основі ОС. Більшість доступних web-серверів виконуються на ОС загального призначення. Багатьох проблем безпеки можна уникнути, якщо ОС, лежача в основі web-сервера, конфігурована відповідним чином. Конфігурації за умовчанням для апаратури і ПО зазвичай встановлюються виробниками, при цьому, як правило, робиться упор на використання можливостей, функціональності початкового ПО, а також на простоту використання можливостей, пов'язаних з безпекою. Також слід розуміти, що виробники не знають вимог безпеки кожної організації, тому web-адміністратор повинен конфігурувати нові сервери відповідно до вимог безпеки і переконфігурувати їх кожного разу при зміні цих вимог. Забезпечення безпеки ОС як мінімум повинна включати наступні кроки:
виконання patch-ей і upgrade-ів ОС;
видалення або заборона непотрібних сервісів і програм;
конфігурація управління ресурсами;
тестування безпеки ОС.
Слід гарантувати, що ПО web-сервера розгорнений, конфігуровано і управляється відповідно до вимог безпеки, визначених в організації.
У багатьох аспектах інсталяція і конфігурація безпеки ПО web-сервера аналогічна процесу інсталяції і конфігурації ОС. Головним принципом, як і раніше, є інсталяція мінімального числа необхідних сервісів web-сервера і видалення всіх відомих уязвимостей за допомогою patche-ей і upgrade-ів. Якщо інсталяційна програма встановлює якісь непотрібні програми, сервіси або скрипти, вони повинні бути видалені негайно після завершення процесу установки. Забезпечення безпеки web-сервера як мінімум повинне включати наступні кроки:
виконання patch-ів і upgrade-ів ПО web-сервера – видалення або заборона непотрібних сервісів, програм і прикладів вмісту;
конфігурація аутентифікації користувачів web-сервера;
конфігурація управління ресурсами web-сервера;
тестування безпеки застосування web-сервера і конкретного вмісту web-сервера.