- •1. Безпека www-серверів 6
- •2. Безпека ос, що лежить в основі web-сервера 15
- •3. Безпечна інсталяція і конфігурація web-сервера 28
- •4. Безпека програмного середовища 42
- •5. Використання криптографії в захисті www-серверів 45
- •6. Захист web-портала від інформаційних атак 68
- •1. Безпека www-серверів
- •1.1. Короткий опис проблеми
- •1.2. Принципи безпеки веб-серверів
- •1. Слід реалізувати відповідну практику управління безпекою і контроль за функціонуванням системи.
- •2. Слід зробити кроки для гарантування того, що на web-сайті публікується тільки коректний вміст.
- •3. Слід гарантувати захист web-вмісту від неавторизованого доступу або модифікації.
- •4. Слід використовувати активний вміст тільки після ретельного зважування отримуваних при цьому переваг порівняно із збільшенням ризиків.
- •5. Слід використовувати аутентифікацію, засновану на криптографічних технологіях, для забезпечення відповідного захисту чутливих даних.
- •6. Слід гарантувати постійне функціонування системи забезпечення безпеки.
- •1.3. Причини уразливості web-сервера
- •1.4. Планування розгортання web-сервера
- •2. Безпека ос, що лежить в основі web-сервера
- •2.1. Безпечна інсталяція і конфігурація ос
- •2.2. Видалення або заборона непотрібних сервісів і програм
- •2.3. Конфігурація аутентифікації користувача в ос
- •2.4. Управління ресурсами на рівні ос
- •2.6. Використання Appliances для web-сервера
- •2.7. Спеціально посилені (pre-hardened) ос і web-сервери
- •2.7.1. Тестування безпеки операційної системи
- •2.7.2. Список дій для забезпечення безпеки ос, на якій виконується web-сервер
- •2.7.3. Застосування patch-ів і upgrade-ів ос
- •2.7.4. Видалення або заборона непотрібних сервісів і програм, конфігурація аутентифікації користувачів в ос.
- •2.7.5. Тестування безпеки ос
- •3. Безпечна інсталяція і конфігурація web-сервера
- •3.1. Безпечна інсталяція web-сервера
- •3.2. Конфігурація управління доступом
- •3.3. Розмежування доступу для по web-сервера
- •3.4. Управління доступом до директорії вмісту web-сервера
- •Управління впливом web Bots
- •Використання програм перевірки цілісності файлів
- •Список дій для безпечної інсталяції і конфігурації web-сервера
- •3.5. Конфігурація безпечної директорії web-вмісту
- •3.6. Використання програм перевірки цілісності
- •4. Безпека програмного середовища
- •5. Використання криптографії в захисті www-серверів
- •5.1. Асиметрична криптографія
- •5.2. Симетрична криптографія
- •5.3. Дайджести повідомлень
- •5.4. Цифрові підписи
- •5.5. Сертифікати
- •5.6. Забезпечення цілісності даних і призначеної для користувача аутентифікації за допомогою підписів xml
- •5.7. Формування цифрового підпису xml: основні чотири кроки
- •5.8. Перевірка цифрового підпису xml
- •5.9. Шифрування xml
- •5.9.1. Шифрування цілого xml-файла
- •5.9.2. Шифрування окремого елементу
- •5.9.3. Шифрування змісту елементу
- •5.9.4. Обробка шифрування xml
- •5.10. Введення в безпеку Web-сервісів
- •6. Захист web-портала від інформаційних атак
- •6.1. Підсистема розмежування доступу
- •6.2. Підсистема антивірусного захисту
- •6.3. Підсистема контролю цілісності
- •6.4. Підсистема виявлення вторгнень
- •6.5. Підсистема аналізу захищеності
- •6.6. Підсистема криптографічного захисту
- •6.7. Підсистема управління засобами захисту Web-портала
- •Висновок
2.6. Використання Appliances для web-сервера
Відносно недавні розробки в області web-серверів привели до появи так званих web Appliances. Web Appliances є комбінацією ПО і апаратури, яка розроблена, щоб бути “plug-and-play” web-сервером. Ці Appliances використовують спрощену ОС, яка оптимізована для підтримки web-сервера. Спрощена ОС забезпечує безпеку, мінімізуючи можливості, сервіси і опції, які не є необхідними для web-програм. ПО web-сервера в таких системах часто заздалегідь інстальовано і заздалегідь конфігуровано з погляду безпеки.
Такі системи часто мають переваги, що відносяться до наявності додаткової безпеки. Виконання часто поліпшується, оскільки система (ОС, ПО web-сервера і апаратура) розроблена і зібрана спеціально для виконання web-сервера. Ціна на них часто нижче, оскільки апаратура і ПО не вимагають спеціальної настройки для web-сервера. Такі системи можуть бути відмінним рішенням для малих і середніх організацій, які не можуть собі дозволити мати web-адміністратора на повну ставку.
Найбільшим недоліком таких систем є те, що вони не підходять для великих складних і багаторівневих web-сайтів. Вони можуть також не підійти організаціям, яким вимагається більш за один сервер, якщо тільки організація не захоче купувати web Appliances від одного виробника, оскільки така простота робить важкою конфігурацію разом web Appliances від різних виробників. Web Appliances доступні від основних виробників апаратури і від різних спеціалізованих виробників web Appliances.
Деякі питання, які слід розглядати при ухваленні рішення купівлі web Appliances:
яка ОС лежить в основі і як вона протестована з погляду безпеки;
як web Appliance само протестовано з погляду безпеки. (Відмітимо, що конфігураційні опції web Appliances є обмеженими, таким чином, web Appliance зазвичай буває безпечним тільки при інсталяції за умовчанням);
яка різнорідність інфраструктури web-сервера організації. (Різні торгові марки web Appliances, як правило, не дуже добре працюють разом);
чи є можливість якого-небудь розширення web Appliances. (Організація, яка припускає швидке зростання, може не захотіти обмежувати себе web Appliance).
2.7. Спеціально посилені (pre-hardened) ос і web-сервери
Сьогодні розповсюджується все зростаюче число спеціально посилених ОС і пакетів web-сервера. Ці пакети включають ОС і ПО web-сервера, які модифіковані і заздалегідь конфігуровані для забезпечення більшої безпеки. Деякі з цих пакетів містять і апаратну платформу, інші є ПО, яке складається тільки з ОС і ПО web-сервера. Ці дистрибутиви зазвичай засновані на спеціально посиленій і/або модифікованій ОС загального призначення (наприклад, Linux, Unix і, рідше, Windows), яка спеціально розроблена для підтримки безпечного web-сервера. Застосування web-сервера також часто засноване на посиленому і/або модифікованому звичайному ПО web-сервера (наприклад, Apache або IIS). Ці пакети часто включають більше число опцій безпеки і розроблені для легшої конфігурації за допомогою заздалегідь скомпільованих скриптів і GUIs. Хоча всі пакети різні, вони зазвичай забезпечують які-небудь з наступних можливостей:
безпечна початкова конфігурація забезпечена за умовчанням;
наявність посиленої ОС і/або TOS– наявність посиленого ПО web-сервера;
розширювані можливості аудиту;
наявність різного роду обгорток (wrappers) для застосувань;
наявність можливостей мережевих wrappers і/або host-based firewall;
host-based IDS;
спрощене адміністрування безпеки (наприклад, меню, GUIs).
Ці типи систем повинні бути розглянуті організацією, яка розуміє важливість погроз і/або має важливі дані на web-сайтах (наприклад, урядові організації, банки і тому подібне). Такі пакети доступні від деяких основних виробників апаратури і ПО, а також від деяких спеціалізованих виробників.
Деякі питання, які слід розглянути при придбанні посиленого web Appliance.
Яка ОС лежить в основі і як вона протестована щодо безпеки;
Як само ПО web-сервера протестовано щодо безпеки;
Наскільки важко його адмініструвати;
Чи сумісно посилене ПО web-сервера з web-програмами, що існують в організації, і скриптами.