РАЗРАБОТКА ПРОТОТИПОВ РЕШЕНИЙ ДЛЯ ЗАЩИТЫ ОБМЕНА ВАЖНОЙ ИНФОРМАЦИЕЙ ЧЕРЕЗ ДЕМИЛИТАРИЗОВАННУЮ ЗОНУ В КОРПОРАТИВНОЙ СЕТИ

Ковшарь Игорь Романович

студент группы БИб15-И1 Сибирского государственного автомобильнодорожного университета, г. Омск

E-mail: ikovshar91@gmail.com

СибАДИСеменова Зинаида Васильевна

Доктор пед. наук, зав. кафедрой информационной безопасности, профессор б рского государственного автомобильно-дорожного университета, г. Омск

E-mail: zvs111@gmail.com

АННОТАЦИЯ

Целью данной статьи является разработка прототипов решений для защиты обмена важной нформацией через демилитаризованную зону в корпорат вной сети орган зации. В качестве инструментов для выполнения данной цели, спользовал сь возможности языка программирования PHP, вебсервер Apache база данных MySQL. Указанная сборка программных средств является кроссплатформенной, то есть дает возможность программисту разрабатывать необходимые прототипы решения в различных операционных системах. Результатом данной статьи является комплексная защита существующего веб-приложения, которая способствует снижению риска несанкционированного доступа к ра очей информации. На основе проведенной работы, можно сделать вывод, о достаточности предоставляемых средств в разработке защиты обмена информацией в демилитаризованной зоне корпоративной сети организации.

Ключевые слова: безопасность; базы данных; веб-приложение; DMZ; корпоративная сеть.

Введение

Сегодня трудно себе представить любой аспект нашей жизни без использования информационных технологий. Они используются в образовании, медицине, на транспорте, в искусстве в науке. Современный бизнес тем более не мыслим без использования ИТ. Именно информационные технологии, применяемые эффективно, могут дать бизнесу конкурентные преимущества.

Эффективное использование ИТ также предполагает грамотное объединение информационных ресурсов организации или предприятия в единую распределенную корпоративную сеть.

Однако в этом случае возникает еще более серьезная проблема – защита информационных ресурсов как от внешних, так и внутренних нарушителей. Представленная российской компанией InfoWatch [1], специализирующаяся на информационной безопасности в корпоративном секторе, аналитика по утечкам конфедициальной информации, заставляет серьезно задуматься. Так за

38

последние несколько лет (2011-2017) не наблюдается тенденции к снижению количества утечек (рисунок 1).

Более того, как следует из аналитического отчета [1], больший урон наносят компаниям внутренние нарушители: более, чем в 60% случаев виновниками утечек конфиденциальной информации становятся действующие или бывшие сотрудники компании, включая руководителей и системных администраторов. Это свидетельствует о необходимости уделять особое

СибАДИвнимание демилитаризованной зоне.

Рисунок 1. Динамика роста числа утечек по данным компании InfoWatch

Прототипы решений

Демилитаризованная зона (DMZ) – это зона ограниченного доступа, содержащая внутренние общедоступные сервисы [2].

Таким образом, как правило, DMZ рассматривают как специализированный локальный сегмент корпоративной сети. Что касается общедоступных сервисов, то как правило, это почтовые или web-сервисы.

Здесь особо важным является то, что доступ в DMZ регламентирован: все зависит от того, какие именно правила были заданы межсетевым экраном. Кроме того, в DMZ нет пользователей — там располагаются только серверы

Как отмечают специалисты компании Kerio Technologies, специализирующейся на обеспечении безопасности бизнес - предприятий, назначение DMZ заключается в том, чтобы общедоступные сервера не могли связаться с другими сегментами внутренней сети, в том случае, если эти сервера оказываются взломанными хакерами или пораженными вирусами, т.е. представляют реальную угрозу для остальной части сети [3].

Таким образом, демилитаризованная зона является частью сети (отдельной подсетью), которая отделена межсетевыми экранами, как от публичной сети, так и от корпоративной сети. Кроме того, именно туда (в DMZ) вынесены из локальной сети все общедоступные сервисы, доступ к которым необходим извне.

При создании такой зоны перед администраторами корпоративной сети возникают дополнительные задачи. Необходимо обеспечить разграничение

39

доступа к ресурсам и серверам, расположенным в DMZ, обеспечить конфиденциальность информации, передаваемой при работе пользователей с этими ресурсами, вести контроль за действиями пользователей, а также обеспечить защиту веб-приложения, которое служит интерфейсом для передачи информации между сотрудниками.

В первую очередь для повышения безопасности веб-приложения и поддержки шифрования производится установка и настройка https протокола.

СибАДИДля этого необходимо открыть командную стройку от имени администратора ввести команды для настройки сертификата https (рисунок 2).

Рисунок 2 – Команды настройки сертификата https

При правильном вводе команд командная строка выдаст следующий результат (Рисунок 3).

Рисунок 3 – Генерирование сертификатов

Можно считать, что сертификаты сгенерированы, но существует необходимость прописать в настройках Apache путь к данным сертификатам.

40

Для этого необходимо перейти в директорию с установленным приложением,

например: «С:/Apache24/conf/» и открыть файл «httpd.conf».

В нём необходимо заменить ряд строк, в соответствии с тем перечнем замен, который указан в таблице 1.

После произведенных действий https протокол успешно установлен на веб-приложение предприятия.

Следующим шагом защиты веб-приложения будет реализация хеширования паролей всех зарегистрированных пользователей. Следовательно, исключается кража паролей пользователей администраторов при различных атаках на базу данных злоумышленниками. Реализация хеширования внедряется в код данного веб-приложения (Рисунок 4).

41

СибАДИР сунок 6 – Перенаправление файлов на сервер

Рисунок 7 - Перенаправление файлов на сервер (2)

Причем, в строчках «setUrl(‘http://192.168.176.129/delete.php’) «$url = ‘http://192.168.176.129’ .file -> path» необходимо прописать ip-адрес необходимого сервера.

Решение реализовано с помощью виртуальной машины «VMWare» и представлено на рисунке 8.

43

44