GetInfo.Ru – Компьютерная библиотека
Последние поступления
Как выбрать систему управления базы данных
Базы данных03/09/14
Этапы загрузки UNIX (в схеме)
Unix27/03/12
Gatewall Antispam: тотальный контроль электронной почты
Спам21/04/11
Мастер-класс: создаем Интернет-магазин (Часть 1)
Обзоры ПО20/04/11
CorelDRAW Graphics Suite X5: Что нового?
Обзоры ПО20/07/10
Добавить статью
Самые читаемые материалы
Что такое SSH?(20535)
Один в поле не воин: межсетевые экраны и антивирусы - братья на веки!(11383)
Создание отдела информационной безопасности, или строим забор своими руками(11351)
Оценка затрат компании на ИБ(10568)
Десять мифов о паролях в Windows(10014)
Всего статей: 793Всего авторов: 364Подразделов: 47Добавлено за сутки: 0
Статьи  СТАТЬИ Форум  ФОРУМ Рейтинг  РЕЙТИНГ Поиск  ПОИСК Контакты  КОНТАКТЫ
» Главная » Вопросы безопасности » Система защиты веб-портала. Часть 1

Система защиты веб-портала. Часть 1


Марат Давлетханов
softkey@maratd.ru
http://www.maratd.ru

система защиты веб-портала должна блокировать многие угрозыСегодня мы с вами, уважаемые читатели, поведем разговор о комплексной системе защиты веб-портала, которая позволяет обезопасить его от всевозможных угроз. Правда, для начала, нам необходимо немного определиться с терминами. Давайте договоримся, что веб-порталом мы будем называть не простой сайт, а какую-нибудь сложную распределенную систему, работающую, например, в области электронной коммерции. Такой веб-портал будет состоять из многих составляющих: компьютеров пользователей, подключающихся через Интернет, удаленных рабочих мест администраторов и разных серверов, размещенных у провайдера. Естественно, вопросы защиты всего этого "хозяйства" весьма и весьма актуальны. Тем более что рассмотренный веб-портал подвержен множеству самых разнообразных угроз. А поэтому в защите нельзя обойтись каким-то одним решением, она должна состоять сразу из нескольких систем, каждая из которых будет блокировать ту или иную группу опасностей.

Система разграничения доступа
Система разграничения доступа является базовой "ступенью" защиты серьезного веб-портала. Классическая схема выглядит следующим образом. Вся "внутренняя" часть распределенной системы делится на четыре зоны: демилитаризованную, зону служебных серверов, коммуникационную и зону управления. В первую из них входят общедоступные сервера и сервисы, обращаться к которым могут все пользователи. Обычно это веб-сервера, DNS-сервера, системы кэширования и т.д. Зона служебных серверов доступна только для администраторов и сервисов из демилитаризованного сегмента. Часть управления, как это видно из ее название, содержит средства управление безопасностью веб-портала. Ну а последняя, коммуникационная зона, включает в себя маршрутизаторы, коммутаторы и прочее сетевое оборудование и его программное обеспечение. Но для чего необходимо такое сложное устройство веб-портала? Ответ на этот вопрос очень прост. Система разграничения доступа необходима для защиты управляющих элементов от несанкционированного доступа. Благодаря ней злоумышленник, взломав один из общедоступных сервисов, не сможет проникнуть внутрь веб-портала.

Чаще всего система разграничения доступа реализуется с помощью межсетевых экранов. Один из них устанавливается на стыке внутренней части портала (зоны демилитаризации) с глобальной сетью. В его задачи входит общая фильтрация всего поступающего трафика. Причем данный экран должен работать сразу на трех уровнях: сетевом (фильтрация по IP-адресам, типу используемого протокола и т.д.), транспортном (проверка номеров портов TCP и UDP и т.д.) и прикладном (тестирование длины заголовка блока данных, проверка типа команд и т.д.). Главная задача рассматриваемого межсетевого экрана - контроль над работой пользователей с системой и пресечение запрещенных действий с их стороны. Но и это еще не все. Другой весьма немаловажной в свете последних событий функцией является определение и попытка противостояния атакам на отказ в обслуживании.

Второй важной составляющей системы разграничения доступа является внутренний межсетевой экран. Его задачей является фильтрация трафика между серверами, входящими в состав зоны демилитаризации, и всеми остальными "внутренними" сервисами. Для чего он нужен? Дело в том, что зона демилитаризации представляет собой наименее защищенную часть распределенной системы. И если злоумышленник взломает ее и получит несанкционированный доступ к какому-нибудь из серверов, то сможет обращаться к другим сегментам и выполнять определенные действия от его имени. Для того чтобы не допустить подобной ситуации и нужен второй межсетевой экран. Он осуществляет фильтрацию трафика только на сетевом и транспортном уровне. А это значит, что он устойчив ко многим удаленным атакам, основанным на использовании "дыр" в различном программном обеспечении.

Естественно, важную роль в системе разграничения доступа играет программное обеспечение. Ведь именно на него ложится задача идентификации и аутентификации администраторов и пользователей, обладающих расширенными правами. Для этого могут использоваться различные способы. Но в подавляющем большинстве существующих сегодня систем применяется парольная защита. Кроме того, в последнее время все большее и большее распространение получает аутентификация, основанная на использовании цифровых сертификатов.

Систем защиты от вирусов
Наверное, никому не нужно объяснять, что вирусы являются сегодня одной из самых серьезных угроз для любого компьютера. И различные сервера не стали исключением из этого правила: сейчас в Интернете можно найти немало "червей", которые поражают не только домашние ПК. Поэтому антивирусное программное обеспечение является обязательной частью системы защиты любого веб-портала. Причем, стоит отметить, что речь идет не об обычных утилитах, привычных домашним пользователям. Серверные антивирусные системы защиты состоят из отдельных модулей-датчиков и общего модуля управления. Датчики устанавливаются на все сервера веб-портала, именно они обнаруживают вирусы. Ну а модуль управления необходим для обновления баз данных сигнатур, обновления ПО, его настройке и т.д.

Система контроля целостности
Одной из важных задач информационной безопасности является обеспечение целостности данных. Причем под целостностью понимается не только их "неповрежденность", как думают многие пользователи, но и подлинность информации. Проблема заключается в том, что злоумышленник может, используя те или иные уязвимости в программном обеспечении серверов, попытаться исправить какие-то данные. В некоторых случаях эта угроза не несет большой опасности. Например, изменив текст на корпоративном сайте, хакер вряд ли сможет нанести серьезный ущерб компании. В других же случаях подмена информации может привести к действительно большим убыткам. Так, например, известны случаи, когда мошенникам удавалось исправить стоимость товаров в интернет-магазинах и в результате этих действий приобрести что-то буквально за бесценок. Именно поэтому контроль целостности данных зачастую является весьма важной задачей.

Для ее решения предназначено специальное программное обеспечение. Принцип его работы таков. Системный администратор или специалист по информационной безопасности указывает системе контроля целостности список защищаемых файлов. Затем специальная утилита обрабатывает их и вычисляет для каждого контрольную сумму. В будущем система с заданной периодичностью проверяет данные файлы и в случае выявления различий между эталоном и реальным значением подает сигнал о несанкционированном вмешательстве. Стоит отметить, что система контроля целостности не относится к обязательным средствам защиты данных. И действительно, с ее помощью нельзя предотвратить какое-нибудь злонамеренное воздействие на веб-портал. Но зато она позволяет определить последствие таких атак, если остальные модули безопасности почему-то не справились со своими задачами.

Подводим итоги
Итак, мы с вами, уважаемые читатели, рассмотрели несколько систем защиты, каждая из которых может обезопасить веб-портал от тех или иных угроз. Правда, стоит отметить, что в данной статье описаны далеко не все инструменты, которые могут применяться для защиты. Дело в том, что их слишком много, а поэтому о части из них мы поговорим в следующий раз. Напоследок же отметим, что защита веб-портала совсем не обязательно должна включать в себя абсолютно все системы безопасности. В каждом конкретном случае решение об использовании того или иного инструмента принимается специалистами на основе анализа предполагаемых угроз и доступных возможностей.

Оригинал статьи опубликован здесь

 
17.06.2005
Версия для печати Версия для печати Запомнить ссылку Запомнить ссылку
Ваша оценка:  1   2   3   4   5     

 О проектеПерепечаткаАвторамПартнерыО нас пишут
Наверх
©2003—2007. GETINFO.RU. ВСЕ ПРАВА ЗАЩИЩЕНЫ.