Размещено на http://www.allbest.ru/

Введение

Любой Интернет-сайт является традиционным web-приложением, которое работает в рамках операционной системы и серверного программного обеспечения хостинга, а также использует сервисные функции операционной системы и других программных продуктов.

В настоящий момент многие Интернет-сайты представляют собой не статический набор HTML-страниц, а динамически собираемое «на лету» содержимое. В качестве такого контент-генератора используются системы управления контентом - Content Management Systems или сокращенно CMS.

Блоки контента, из которых динамически строится итоговая страница, хранятся в базе данных web-ресурса. С одной стороны, это облегчает работу с сайтом и его контентом, с другой стороны - создает множество проблем с точки зрения информационной безопасности.



Глава 1. Критический анализ защищённой сети предприятия для доступа к WEB ресурсам предприятия

1.1 Актуальность задачи защищённой сети предприятия для доступа к WEB ресурсам предприятия

Несанкционированный доступ к информации (НСД) - доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.

Более общая классификация возможных последствий НСД:

1. Нарушение функций. Включает четыре вида:

- Временные нарушения, приводящие к путанице в графиках работы, расписании тех или иных действий и т.п.;

- Недоступность системы для пользователей;

- Поврежденная аппаратура (устранимые и неустранимые);

- Повреждения программного обеспечения

2. Потери значимых ресурсов;

3. Потеря монопольного использования;

4. Нарушение прав (авторских, смежных, патентных, изобретательских).

Также последствиями несанкционированного доступа к информации являются:

- утечка персональных данных (сотрудников компании и организаций-партнеров),

- утечка коммерческой тайны и ноу-хау,

- утечка служебной переписки,

- утечка государственной тайны,

- полное либо частичное лишение работоспособности системы безопасности компании.

- Точная утечка информации

Web-ресурсы - это объекты, доступные браузерам через протокол HTTP или HTTP поверх SSL.

Один из возможных методов классификации Web-ресурсов:

- Статическое содержимое.

- Серверные сценарии.

- Дополнительные модули.

- Аплеты и объекты.

- Клиентские сценарии

- Cookie.

- HTML-формы.

Обеспечение ИБ web-ресурса - подразумевает не просто создание дополнительного функционального модуля для CMS. Это постоянный процесс, который должен сопровождать любой сайт с момента начала его проектирования и до завершения его жизненного цикла. Любые реализованные механизмы (в том числе механизмы обеспечения ИБ хостинга и протокола доступа к нему) требуют всестороннего тестирования на предмет защищенности. сеть web криптозащита экранирование

Вариантов атак на web-ресурс большое множество. Цели наиболее популярные из них:

1. Deface - подмена главной страницы либо иных страниц сайта;

- подмена актуальной контактной информации с целью кражи клиентов;

- размещение вредоносного кода с целью принудительной переадресации, кражи персональных данных, дальнейшего распространения вредоносного ПО;

2. Удаление файловой системы и всех данных web-ресурса;

3. Рассылка спама средствами хостинга;

4. DOS/DDOS-атаки - создание большой нагрузки на сервер, выведение его из строя, затруднение доступа к web-ресурсу.

Следствием этих атак является не только прекращение или перебои работы web-ресурса, но и потеря доверия к web-ресурсу в глазах клиентов.

Проверка уже работающего web-ресурса на наличие уязвимостей - достаточно трудоемкое занятие. Кроме того, после этого сайт необходимо переработать, уязвимости закрыть, а ряд важных вопросов придется решать на стороне хостинг-провайдера.

Именно поэтому вопросы обеспечения информационной безопасности web-ресурсов необходимо учесть на этапе проектирования архитектуры решения и создания CMS в рамках этого решения.

1.2 Способы решения задачи защищённой сети предприятия для доступа к WEB ресурсам предприятия

Рассмотрим составляющие web-проекта с точки зрения обеспечения его безопасности:

1. Информационная среда web-сервера:

- операционная система;

- web-сервер (apache, nginx);

- среда исполнения (интерпретатор - например PHP, ASP NET);

- СУБД;

- дополнительные средства защиты web-сервера.

2. Система управления контентом (CMS);

3. Информационная среда администратора web-ресурса:

- информационная система компании (ИС);

- система антивирусной защиты ИС;

- средства межсетевого экранирования ИС;

- средства защиты ИС от утечек информации;

- прочее.

4. Сторонние web-приложения.

Существует распространенное мнение, что основная проблема безопасности сайтов заключается в уязвимостях и ошибках в программных кодах CMS-системы, на которой функционирует сайт.

Кроме CMS для обеспечения безопасности web-проекта необходимо также рассматривать такие составляющие как средства защиты информационной среды web-сервера и средства защиты компьютеров, управляющих сайтом.

Именно из-за этого решение по защите web-ресурсов необходимо строить комплексно. Состояние защищенности каждой рассмотренной составляющей не гарантирует безопасности web-сайта.

Кроме этого каждый сайт необходимо рассматривать как отдельный проект и аудит безопасности должен проводиться для каждого такого отдельного проекта постоянно. Только в этом случае можно говорить о комплексной организации ИБ web-ресурса.

Архитектура, которая бы решала следующие основные задачи:

- доверенная загрузка ОС с контролем BIOS, контроль чувствительных файлов и конфигураций, контроль целостности файлов настроек web-сервера;

- защита от модификации модулей CMS неавторизованным пользователем, контроль целостности файлов CMS (скрипты, статическое содержимое и пр.) с помощью статического и динамического контроля целостности;

- безопасная работа с БД (СУБД), с помощью модуля для защищенного взаимодействия с использованием токена авторизации, сгенерированного через средство сильной аутентификации;

- разграничение доступа пользователей к данным web-ресурса.

Для защиты Web-портала наиболее целесообразно применять комплексный подход, сочетающий организационные и технические средства защиты. Организационные средства защиты связаны с разработкой и внедрением нормативно-правовых документов, таких как политика и концепция обеспечения информационной безопасности Web-портала, должностные инструкции по работе персонала с автоматизированной системой портала и т.д. Технические же средства защиты реализуются при помощи соответствующих программных, аппаратных или программно-аппаратных средств, которые обеспечивают выполнение целей и задач, определённых в соответствующих нормативно-правовых документах. Использование комплексного подхода предполагает объединение технических средств защиты Web-портала в интегрированный комплекс, включающий в себя подсистемы антивирусной защиты, контроля целостности, разграничения доступа, обнаружения вторжений, анализа защищённости, криптографической защиты информации, а также подсистему управления. Ниже приведено описание основных функциональных возможностей этих подсистем, а также особенностей их применения для защиты Web-портала.

Подсистема разграничения доступа.

Подсистема разграничения доступа является основным элементом комплекса безопасности Web-портала и предназначена для защиты информационных ресурсов портала от несанкционированного доступа. При помощи средств защиты, входящих в эту подсистему, Web-портал подразделяется на четыре функциональных сегмента:

- сегмент демилитаризованной зоны, в котором размещаются серверы портала, доступ к которым могут получить любые пользователи сети Интернет. К таким серверам относятся кэш-серверы, публичные Web-серверы и DNS-серверы;

- сегмент служебных серверов, доступ к ресурсам которых могут получить только администраторы или служебные сервисы Web-портала;

- сегмент управления, в котором размещаются средства, необходимые для управления комплексом безопасности Web-портала;

- коммуникационный сегмент, включающий в себя маршрутизаторы и коммутаторы, обеспечивающие взаимодействие между другими сегментами портала.

Разделение на отдельные сегменты позволяет изолировать различные ресурсы Web-портала друг от друга. В этом случае при компрометации сервера одного из сегментов портала нарушитель не сможет получит доступ к информационным ресурсам, расположенным в других сегментах.

Разграничение доступа реализуется подсистемой на трёх уровнях стека TCP/IP - канальном, сетевом и прикладном. На канальном уровне разграничение доступа осуществляется на основе виртуальных локальных сетей VLAN (Virtual Local Area Network), на которые разделяется Web-портал. Деление на такие виртуальные сети производится при помощи настроек коммутаторов, в которых каждый физический порт включается в определённую виртуальную сеть. Хосты могут свободно обмениваться данными друг с другом в рамках одной виртуальной сети, а управление взаимодействием между различными виртуальными сетями осуществляется посредством списков контроля доступа ACL (Access Control List). В этих списках определяются правила, в соответствии с которыми разрешается или запрещается информационный обмен между разными сетями VLAN. Так, например, если для работы Web-портала два публичных Web-сервера не должны обмениваться между собой информацией, то они разделяются на разные виртуальные сети, между которыми запрещается взаимодействие. В случае, если нарушитель «взломает» один из публичных серверов Web-портала ему не удастся получить доступ к тем ресурсам, которые хранятся на других серверах, включённых в другие виртуальные сети.

На сетевом уровне разграничение доступа проводится при помощи двух межсетевых экранов (МЭ), обеспечивающие фильтрацию пакетов данных в соответствии с заданными критериями. Примеры критериев фильтрации, определённых на различных уровнях стека протоколов TCP/IP.

Первый межсетевой экран устанавливается в точке сопряжения Web-портала с сетью Интернет и выполняет фильтрацию пакетов данных, поступающих из сети Интернет в сегмент демилитаризованной зоны. Фильтрация осуществляется на основе критерий сетевого, транспортного и прикладного уровня стека TCP/IP. Второй МЕЖСЕТЕВОЙ ЭКРАН устанавливается таким образом, чтобы через него проходили все пакеты, которыми обмениваются серверы сегмента демилитаризованной зоны и сегмента служебных серверов. Этот межсетевой экран выполняет фильтрацию только на сетевом и транспортном уровнях.

Второй межсетевой экран дублирует функции защиты на тот случай, если нарушитель сможет взломать внешний экран. Надо сказать, что потенциальная уязвимость атакам внешнего межсетевого экрана обусловлена тем, что он выполняет сложную фильтрацию пакетов данных на прикладном уровне при помощи программных модулей, которые могут содержать ошибки. Примером здесь могут служить ошибки, недавно выявленные в модулях межсетевого экрана «CheckPoint FW-1», содержащих уязвимость типа «переполнение буфера». Используя эту уязвимость, нарушители могли получить полный контроль над межсетевым экраном и использовать его для развития атаки на сервера Web-портала. Однако с учётом того, что внутренний межсетевой экран выполняет лишь базовую фильтрацию на сетевом и транспортном уровне, он не может быть уязвим в отношении тех атак, которые используют уязвимости модулей, занятых обработкой пакетов данных на прикладном уровне.

Внешний межсетевой экран также выполняет защиту от атак типа «отказ в обслуживании» (denial of service), которые реализуются путём формирования большого числа запросов на установление сетевых соединений с публичными Web-серверами. В результате проведения атаки Web-сервера не справляются с обработкой всех запросов, что приводит к выходу из строя всего Web-портала. Защита от такого рода атак обеспечивается путём ограничения максимального количества входящих TCP-соединений, которые могут быть установлены с одного IP-адреса. В этом случае межсетевой экран будет блокировать все попытки установить сетевые соединения, количество которых превышает заданное ограничение, обеспечивая тем самым защиту Web-серверов от перегрузки их вычислительных ресурсов.

Разграничение доступа на прикладном уровне реализуется средствами прикладного программного обеспечения, установленного на серверах Web-портала. Это ПО должно обеспечивать идентификацию и аутентификацию администратора и некоторых пользователей портала и назначать им соответствующие права доступа к файловым ресурсам. Аутентификация может обеспечиваться на основе паролей или цифровых сертификатов.

Подсистема антивирусной защиты.

Подсистема антивирусной защиты должна обеспечивать выявление и удаление информационных вирусов, которые могут присутствовать в ресурсах Web-портала. Подсистема состоит из двух компонентов - модулей-датчиков, предназначенных для обнаружения вирусов и модуля управления антивирусными датчиками. Сами датчики устанавливаются на все серверы Web-портала, а также на АРМ администратора портала. При такой схеме установки датчиков создаются условия для проведения периодической проверки файлов портала на предмет наличия вирусов или программ типа «Троянский конь». Для того, чтобы подсистема антивирусной защиты могла эффективно выявлять и новые типы вирусов необходимо регулярно обновлять базу данных сигнатур подсистемы.

Подсистема контроля целостности.

Подсистема контроля целостности должна обеспечивать выявление несанкционированного искажения содержимого Web-портала. Датчики этой подсистемы, как правило, устанавливаются на серверах портала для того, чтобы с заданной периодичностью проверять целостность файловых ресурсов портала на основе контрольных сумм или хэшей. При этом должен обеспечиваться контроль целостности файлов не только прикладного, но и общесистемного ПО. Алгоритм работы этой подсистемы выглядит следующим образом. Для заданного множества файлов подсистема вычисляет эталонные контрольные суммы. По истечению определённого временного интервала подсистема заново вычисляет контрольные суммы файлов и сравнивает их с ранее сохранёнными эталонными значения. При выявлении несоответствия между эталонным и полученным значением фиксируется факт искажения файлового ресурса, о чём немедленно оповещается администратор безопасности.

Подсистема контроля целостности не является превентивным средством защиты, поскольку позволяет выявить лишь последствия информационного вторжения. Однако наличие такой подсистемы по существу жизненно необходимо, поскольку если все имеющиеся средства защиты пропустили информационную атаку, то подсистема контроля целостности позволяет выявить её последствия.

Подсистема обнаружения вторжений

Подсистема обнаружения вторжений предназначена для выявления сетевых атак, направленных на информационные ресурсы портала. Подсистема включает в себя следующие компоненты:

- модули-датчики, предназначенные для сбора информации о пакетах данных, циркулирующих в Web-портале;

- модуль выявления атак, выполняющий обработку данных, собранных датчиками, с целью обнаружения информационных атак нарушителя;

- модуль реагирования на обнаруженные атаки;

- модуль хранения данных, в котором хранится вся конфигурационная информация, а также результаты работы подсистемы обнаружения вторжений. Таким модулем, как правило, является стандартная СУБД, например MS SQL Server, Oracle или IBM DB2;

- модуль управления компонентами средств обнаружения атак.

В состав подсистемы обнаружения вторжений должны входить два типа датчиков - хостовые и сетевые. Сетевые датчики представляют собой отдельный программно-аппаратный блок, предназначенный для пассивного сбора и анализа информации обо всех пакетах данных, которые передаются в том сегменте, в котором установлен датчик. Хостовые же датчики представляют собой программные модули, которые устанавливаются на серверы портала и анализируют только те пакеты данных, которые поступают на эти серверы. Хостовые датчики, в отличие от сетевых, позволяют не только выявлять, но и блокировать сетевые атаки посредством фильтрации потенциально опасных пакетов данных.

Первый сетевой датчик подсистемы обнаружения вторжений устанавливается до внешнего межсетевого экрана и предназначен для выявления всех внешних атак на серверы портала, а также на межсетевой экран. Второй сетевой датчик устанавливается таким образом, чтобы он имел возможность перехватывать весь сетевой трафик, поступающий в сегмент демилитаризованной зоны. Таким образом, второй датчик имеет возможность выявлять атаки на публичные и кэш-серверы, которые были пропущены внешним межсетевым экраном. Анализ результатов работы первого и второго сетевого датчика позволяет контролировать работу внешнего межсетевого экрана и при необходимости изменять его правила фильтрации. Третий датчик предназначается для мониторинга сетевой активности в сегменте служебных серверов Web-портала.

Хостовые датчики подсистемы обнаружения вторжений устанавливаются на всех серверах сегмента демилитаризованной зоны и сегмента служебных серверов. Датчики этого типа должны быть реализованы в виде активных фильтров, функционирующих на уровне прикладного программного обеспечения Web-портала. Это необходимо для того, чтобы датчики не снижали производительности работы серверов портала, а также имели возможность обрабатывать трафик, передаваемый по криптозащищённым каналам связи.

Информация, собранная сетевыми и хостовыми датчиками, анализируется модулем выявления атак с целью обнаружения возможных вторжений нарушителей. Анализ данных может проводиться при помощи двух основных групп методов - сигнатурных и поведенческих. Сигнатурные методы описывают каждую атаку в виде специальной модели или сигнатуры. В качестве сигнатуры атаки могут выступать: строка символов, семантическое выражение на специальном языке, формальная математическая модель др. Алгоритм работы сигнатурного метода заключается в поиске сигнатур атак в исходных данных, собранных сетевыми и хостовыми датчиками. В случае обнаружения искомой сигнатуры, фиксируется факт информационной атаки, которая соответствует найденной сигнатуре. База данных сигнатур атак подсистемы обнаружения вторжений должна обновляться на регулярной основе.

Поведенческие методы, в отличие от сигнатурных, базируются не на моделях информационных атак, а на моделях штатного процесса функционирования Web-портала. Принцип работы поведенческих методов заключается в обнаружении несоответствия между текущим режимом функционирования АС и моделью штатного режима работы, заложенной в параметрах метода. Любое такое несоответствие рассматривается как информационная атака. Как правило, модуль выявления атак интегрируется вместе с сетевыми и хостовыми датчиками подсистемы обнаружения вторжений.

Подсистема анализа защищённости

Подсистема анализа защищённости предназначена для выявления уязвимостей в программно-аппаратном обеспечении Web-портала. Примерами таких уязвимостей могут являться неправильная конфигурация сетевых служб портала, наличие программного обеспечения без установленных модулей обновления (service packs, patches, hotfixes), использование неустойчивых к угадыванию паролей и др. По результатам работы подсистемы анализа защищённости формируется отчёт, содержащий информацию о выявленных уязвимостях и рекомендации по их устранению. Своевременное устранение уязвимостей, выявленных при помощи этой подсистемы позволяет предотвратить возможные информационные атаки, основанные на этих уязвимостях. Сканирование Web-портала должно осуществляться по регламенту с заданной периодичностью. При этом должна регулярно обновляться база данных проверок уязвимостей. Подсистема анализа защищённости устанавливается на АРМ администратора безопасности в сегменте управления Web-портала.

Подсистема криптографической защиты

Подсистема криптографической защиты предназначена для обеспечения защищённого удалённого взаимодействия с Web-порталом. Подсистема базируется на технологии виртуальных частных сетей VPN (Virtual Private Network), которая позволяет создавать защищённые сетевые соединения, в рамках которых проводится аутентификация пользователей, а также обеспечивается конфиденциальность и контроль целостности передаваемых данных. Установка, управление и закрытие таких соединений осуществляется при помощи специализированных крипторотоколов. Для организации VPN-сети могут использоваться разные типы криптопротоколов, функционирующие на различных уровнях стека TCP/IP.

В состав подсистемы криптографической защиты информации входит VPN-шлюз, который устанавливается в Web-портале и VPN-клиенты, устанавливаемые на рабочие станции администраторов Web-портала, а также на станции тех пользователей, для которых необходимо обеспечить защищённое взаимодействие с серверами портала. VPN-шлюз устанавливается в коммуникационном сегменте портала между внешним и внутренним межсетевым экраном. Такая схема установки позволят использовать внутренний экран для фильтрации пакетов данных уже после того, как они будут расшифрованы VPN-шлюзом. В случае, если для организации VPN-сети используется протокол SSL, то на стороне пользователей Web-портала можно не устанавливать дополнительного ПО и использовать стандартные Интернет-браузеры, в которые интегрированы функции SSL-клиента.

Подсистема управления средствами защиты Web-портала

Подсистема управления средствами защиты размещается в одноимённом сегменте Web-портала. Подсистема включает в себя АРМ администратора безопасности, с которого осуществляется управление, а также служебные серверы, необходимые для функционирования соответствующих средств защиты. Подсистема также дополнительно может включать в себя модуль корреляции событий, зарегистрированных различными подсистемами защиты портала. Наличие такого модуля позволяет автоматизировать обработку большого объёма информации, регистрируемой в Web-портале, и в соответствии с заданным набором правил выделить наиболее критические события, которые требуют немедленного реагирования.

Для повышения надёжности работы портала наиболее критические элементы комплекса средств безопасности, такие как межсетевой экран и VPN-шлюз должны резервироваться путём создания отказоустойчивых кластеров. В этом случае их сбой или отказ не приведёт к нарушению работоспособности всего Web-портала.

Поскольку комплекс средств защиты Web-портала сам может выступать в качестве цели возможной атаки, то все его подсистемы должны быть оснащены механизмами собственной безопасности, которые бы позволяли выполнять следующие функции:

- обеспечение конфиденциальности и контроля целостности информации, передаваемой между компонентами подсистем по каналам связи;

- обеспечения взаимной аутентификации компонентов подсистем перед обменом информацией;

- обеспечения контроля целостности собственного программного обеспечения подсистем на основе контрольных сумм;

- аутентификации администратора безопасности при доступе к консоли управления подсистем на основе пароля. При этом должна регистрироваться информация обо всех успешных и неуспешных попытках аутентификации администратора.



Глава 2. Проектирование системы защищённой сети предприятия для доступа к WEB ресурсам

Для защиты web-ресурсов от НСД на ОС Linux будут применены различные средства и способы защиты информации:

2.1 Программное обеспечение

Создание доверенной среды передачи информации ограниченного доступа с использованием публичных и выделенных каналов связи (Интернет, телефонные и беспроводные линии связи) путем организации виртуальной частной сети (VPN) с одним или несколькими центрами управления

Аппаратно-программный комплекс шифрования «Континент» является средством построения виртуальных частных сетей (VPN) на основе глобальных сетей общего пользования, использующих протоколы семейства TCP/IP.

Комплекс обеспечивает криптографическую защиту информации (в соответствии с ГОСТ 28147-89), передаваемой по открытым каналам связи, между составными частями VPN, которыми могут являться локальные вычислительные сети, их сегменты и отдельные компьютеры.

Современная ключевая схема, реализуя шифрование каждого пакета на уникальном ключе, обеспечивает гарантированную защиту от возможности дешифрации перехваченных данных.

Для защиты от проникновения со стороны сетей общего пользования, комплекс «Континент» обеспечивает фильтрацию принимаемых и передаваемых пакетов по различным критериям (адресам отправителя и получателя, протоколам, номерам портов, дополнительным полям пакетов и т.д.). Осуществляет поддержку VoIP, видеоконференций, ADSL, Dial-Up и спутниковых каналов связи, технологии NAT/PAT для сокрытия структуры сети.

Ключевые возможности и характеристики АПКШ «Континент»

- Безопасный доступ пользователей VPN к ресурсам сетей общего пользования;

- Криптографическая защита передаваемых данных в соответствии с ГОСТ 28147-89;

- Безопасный доступ удаленных пользователей к ресурсам VPN-сети;

- Создание информационных подсистем с разделением доступа на физическом уровне.

2.2 Криптозащита

В рамках обеспечения безопасной работы с web-сервером предлагается отойти от идеи защиты рабочих станций и предложить идею защищенной сессии:

1. Каждому пользователю выдается ПСКЗИ «ШИПКА» для доступа к панели администратора web-ресурса и возможности управления сервером по ssh. ПСКЗИ «ШИПКА» теоретически может предоставляться любому зарегистрированному пользователю ресурса;

2. Для организации доступа необходимо пройти процедуру сильной двусторонней аппаратной аутентификации, в ходе которой:

- программно-аппаратные комплексы семейств «ШИПКА» и «Аккорд» устанавливают между собой виртуальный канал для взаимодействия;

- со стороны клиента проверяется, что сервер именно тот, с которым должен работать данный пользователь;

- со стороны сервера проверяется клиент и его токен авторизации (схема token-based authentication) для предоставления соответствующих прав доступа.

3. Виртуальный канал между клиентом и сервером может организовываться в рамках SSL (с использованием российской криптографии) на базе TLS 1.0 (Addition of GOST Ciphersuites to Transport Layer Security).

Ключи SSL хранятся в защищенной памяти внутреннего процессора ПСКЗИ «ШИПКА» у клиента и в защищенной памяти ПАК СЗИ НСД «Аккорд» на стороне сервера. В данной схеме теоретически невозможно получить ключи или реализовать атаку man-in-the-middle.

Данный подход позволяет отказаться от использования парольной защиты и обеспечить максимальную безопасность передачи аутентификационной информации.

Защиту же системы управления контентом (CMS) необходимо рассматривать с нескольких сторон:

1. Защита от SQL-инъекций и от XSS-атак;

2. Защита от несанкционированного изменения конфигурации CMS, данных в БД (например, построение подсистемы разграничения доступа пользователей на основе ACL-списков доступа).

Система защиты и разграничения доступа реализуется с применением дескрипционной политики, токенов авторизации и сервера ACL. Сервер ACL (Access Control List) проверяет запросы клиента на соответствие заданным политикой безопасности правилам. Используя ACL, каждому запросу можно создать правило, чтобы блокировать его, кэшировать, отправить в пул задержки. Существует множество различных типов ACL, например:

- ACL, проверяющий клиентские IP-адреса;

- ACL, проверяющий запрашиваемые URL-адреса;

- ACL, проверяющие имя web-сервера и подлинность пользователя.

В данной реализации защитных механизмов формируется инфраструктура, устойчивая к различным сетевым атакам, с абсолютно «прозрачным» процессом подтверждения и получения доступа для легальных пользователей.

2.3 Защита информации от НСД

Защита от прочтения и/или модификации обрабатываемых электронных документов, от возможности внедрения злоумышленником управляемой программной закладки

Dallas Lock. Система защиты конфиденциальной информации, в процессе её хранения и обработки, от несанкционированного доступа. Представляет собой программный комплекс средств защиты информации в автоматизированных системах и в информационных системах, осуществляющих обработку персональных данных.

- аутентификация пользователей (однофакторная или двухфакторная).

- разграничение прав доступа пользователей и администраторов к локальным и сетевым ресурсам.

- разграничение доступа к сменным накопителям для исключения утечки конфиденциальной информации.

- доверенная информационная среда.

- возможность организации замкнутой программной среды.

- контроль каналов распространения конфиденциальной информации.

- контроль целостности ресурсов компьютера. Контроль программно-аппаратной конфигурации.

- удаленное администрирование рабочих мест.

- отсутствие обязательной аппаратной части.

- работа на сервере терминального доступа.

- централизованное управление политиками безопасности при использовании Сервера безопасности.

- оперативный мониторинг и аудит действий пользователей.

- очистка остаточной информации.

2.4 Анализ защищённости

Оценка защищенности автоматизированных систем и компьютерных сетей по отношению к внутренним и внешним атакам

Nessus Scanner. Популярная и свободно распространяемая программа для системы UNIX (модуль сканирования), в которой для сканирования используется распределенная архитектура. Позволяет проверить наличие около 900 изъянов.



Глава 3. Реализация системы защищённой сети предприятия для доступа к WEB ресурсам

3.1 Screening routing

Настройка зашиты.

Защита локальной сети от взлома осуществляется следующими способами:

- запретом роутирования (машрутизации) указанных пакетов с одного интерфейса на другой (screening routing).

- выключение серверов на локальным машинах

- закрытие или ограничение доступа к серверам на локальных машинах (wrapping).

Данный режим защиты использует возможности ядра Linux блокировать указанные пакеты при их передаче (forwarding) с одного интерфейса на другой. Эти возможности включаются при конфигурации ядра (make config - см.выше) с параметрами:

IP forwarding/gatewaying (CONFIG_IP_FORWARD) [y]

IP firewalling (CONFIG_IP_FIREWALL) [y]

Преимущество данного метода состоит в том, что Вы можете на одной машине (gateway между локальной сетью и Internet'ом) защитить всю локальную сеть, не защищая каждую мащину в отдельности.

Для того чтобы включить защиту Вам необходимо воспользоваться программой настройкой защиты ipfwadm.

В 90% случает бывает достаточно закрыть TCP-порты c 1-го по 1024 для запреты доступа к основным TCP-серверам и порты с 5000 по 65535 для запреда доступа с X-серверам, оставив порты 1025-4999 для работы программ-клиентов локальной сети. Если Вы хотите открыть доступ клиентам Internet к Вашим серверам (ftp,http и т. п.) (предварительно тщательно проверив защиту), то вы можете оставить открытыми соответствующие порты (см. /etc/service).

Все команды защиты можно записать в отдельный командный файл (например /etc/rc.d/rc.firewall) и вызывать его при выходе системы в мультирежим из файла /etc/rc.d.rc.inet1.

Пример файла настройки защиты:

#!/bin/sh

NET=198.223.25

LOCALNET=198.223.25.0

/sbin/ipfwadm -B -f #сброс блокировок

#Пропускать все пакеты внутри локальной сети

/sbin/ipfwadm -B -a accept -S ${LOCALNET}/24 -D ${LOCALNET}/24

#Задерживать пакеты на TCP-серверы локальной сети сети

/sbin/ipfwadm -B -P tcp -a deny -S 255.255.255.255/0 -D ${LOCALNET}/24 0:1024

#Задерживать пакеты на X-server'ы локальной сети

/sbin/ipfwadm -B -P tcp -a deny -S 255.255.255.255/0 -D ${LOCALNET}/24 5000:64575

# Пакеты с TCP-портов 1025 по 4999 разрешены для доступа из/в Internet

# эти порты используются клиентами (а не серверами) и взлом по ним невозможен

#Задерживать пакеты на UDP-серверы локальной сети

/sbin/ipfwadm -B -P udp -a deny -S 255.255.255.255/0 -D ${LOCALNET}/24 0:1024

#Защита gateway в Internet

GateWayIP=194.126.198.229/32

/sbin/ipfwadm -B -P tcp -a deny -S 255.255.255.255/0 -D ${GateWayIP} 0:20

# оставить окрытыми порты 21-23 - ftp -доступ

/sbin/ipfwadm -B -P tcp -a deny -S 255.255.255.255/0 -D ${GateWayIP} 24:79

# и 80 - http - доступ

/sbin/ipfwadm -B -P tcp -a deny -S 255.255.255.255/0 -D ${GateWayIP} 81:1024

/sbin/ipfwadm -B -P tcp -a deny -S 255.255.255.255/0 -D ${GateWayIP} 5000:64575

/sbin/ipfwadm -B -P udp -a deny -S 255.255.255.255/0 -D ${GateWayIP} 0:1024

# не забудьте максимально защитить ftp и www серверы от возможности взлома

#Зашита машин локальной сети вне Internet'a

# Запретить локальным машинам с номерами 32-255 доступ к Internet

#машины 32-63

/sbin/ipfwadm -B -a deny -S 255.255.255.255/0 -D ${NET}.32/27

#машины 64-128

/sbin/ipfwadm -B -a deny -S 255.255.255.255/0 -D ${NET}.64/26

#машины 128-255

/sbin/ipfwadm -B -a deny -S 255.255.255.255/0 -D ${NET}.128/25

Выключение серверов на локальным машинах.

Для того чтобы полностью закрыть доступ на локальной машине к определенному сервису (например telnetd) достаточно в файле /etc/inetd.conf закомментировать строчку запуска данного сервера. В отличие от защиты через firewall:

- необходимо подправить файл /etc/inetd.conf на всех локальных машинах

- закрывать доступ к серверу не только Internet'овских пользователей но и локальных. Если Вы хотите лишь огранчить доступ к серверу, не выключая его, то Вам надо настроить TCP-wrapper.



3.2 Wrapping

В ОС Linux при обращении из сети к TCP-порту суперсервер inetd вызывает не сам сервер, а программу tcpd, передавая ей параметром имя необходимого сервера (см. файл/etc/inetd.conf). Программа tcpd определяет IP-адрес клиента ищет этот адрес для указанного сервиса в файлах /etc/hosts.allow и /etc/hosts.deny. Если адрес найден в файле/etc/hosts.allow - клиенту разрешается доступ к указанному серверу, если же адрес найден в файле /etc/hosts.deny, то клиент не получает доступ к серверу. Например, если Вы хотите открыть доступ на сервер telnetd только с одной машины Вы добавляете в файл /etc/hosts.deny строку:

in.telnetd:ALL EXCEPT 194.128.18.25

3.3 Logwatch / Logcheck

Читать свои журналы с помощью logwatch или logcheck. Эти инструменты облегчат анализ журналов. Можно получать по почте подробные отчеты о необычных записях, обнаруженных в системном журнале syslog. Пример отчета по syslog:

################### Logwatch 7.3 (03/24/06) ####################

Processing Initiated: Fri Oct 30 04:02:03 2009

Date Range Processed: yesterday

( 2009-Oct-29 )

Period is day.

Detail Level of Output: 0

Type of Output: unformatted

Logfiles for Host: www-52.nixcraft.net.in

##################################################################

--------------------- Named Begin ------------------------

**Unmatched Entries**

general: info: zone XXXXXX.com/IN: Transfer started.: 3 Time(s)

general: info: zone XXXXXX.com/IN: refresh: retry limit for master ttttttttttttttttttt#53 exceeded (source ::#0): 3 Time(s)

general: info: zone XXXXXX.com/IN: Transfer started.: 4 Time(s)

general: info: zone XXXXXX.com/IN: refresh: retry limit for master ttttttttttttttttttt#53 exceeded (source ::#0): 4 Time(s)

---------------------- Named End -------------------------

--------------------- iptables firewall Begin ------------------------

Logged 87 packets on interface eth0

From 58.y.xxx.ww - 1 packet to tcp(8080)

From 59.www.zzz.yyy - 1 packet to tcp(22)

From 60.32.nnn.yyy - 2 packets to tcp(45633)

From 222.xxx.ttt.zz - 5 packets to tcp(8000,8080,8800)

---------------------- iptables firewall End -------------------------

--------------------- SSHD Begin ------------------------

Users logging in through sshd:

root:

123.xxx.ttt.zzz: 6 times

---------------------- SSHD End -------------------------

--------------------- Disk Space Begin ------------------------

Filesystem Size Used Avail Use% Mounted on

/dev/sda3 450G 185G 241G 44% /

/dev/sda1 99M 35M 60M 37% /boot

---------------------- Disk Space End -------------------------

###################### Logwatch End #########################



3.4 Межсетевое экранирование

Играет роль фильтра пакетов, проходящих через сеть Интернет [2].

Одним из межсетевых экранов является netfilter, таблица 3.1.

Таблица 3.1 Команды работы с межсетевым экраном (брандмауэром) netfilter на примере Linux

Команда	Обозначение
iptables -A OUTPUT -j DROP	запрещает все исходящие соединения по всем интерфейсам
iptables -R OUTPUT 1 -j ACCEPT	разрешает все исходящие соединения по всем интерфейсам
iptables -A INPUT -p icmp -j ACCEPT	разрешает все входящие ICMP пакеты на всех интерфейсах
iptables -I OUTPUT 1 -p icmp -j ACCEPT	разрешает все исходящие ICMP пакеты на всех интерфейсах
iptables -I OUTPUT 1 -p dns -j ACCEPT	разрешает все исходящие DNS пакеты на всех интерфейсах
iptables -A INPUT -i eth0 -o lo -j DROP	запрещает передачу пакетов с интерфейса на интерфейс
iptables -A FORWARD -i eth0 -o lo -j DROP
iptables -A FORWARD -i lp -o lo -j DROP
iptables -A INPUT -i lp -j ACCEPT	разрешает все входящие соединения на кольцевом (loopback) интерфейсе
iptables -A INPUT -p tcp --dport 22 -j ACCEPT	запрещает все входящие соединения кроме портов: 22/TCP (ssh), 25/TCP (smtp), 80/TCP (http), 110/TCP (pop3), 143/TCP
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp -j ACCEPT --dport 80

IPtables - утилита командной строки, которая является интерфейсом управления работой межсетевого экрана (брандмауэра), а конкретно netfilter для ядер Linux.

В данном случае в качестве фильтрации используются следующие правила:

- INPUT - правила фильтрации входящих пакетов.

- OUTPUT - фильтр исходящего трафика, сгенерированного локально.

- FORWARD - фильтрация маршрутизируемого транзитного трафика.

3.5 Разграничение доступа

Клиенты предприятия, которые используют web-ресурсы, должны иметь каждый свою роль. Администратор сети должен распределить доступ к ресурсам, используя ограничение доступа или его разрешение [1]. Для этого наиболее лучшим способом является Radius - сервер, в который администратор заводит учетную запись каждого клиента и определяет ему права. В данном случае это удобно, так как, если сотрудник окажется уволенным, его учетная запись будет просто удалена.

Таким образом, чтобы защитить распределенную сеть предприятия, необходимо изучить возможные угрозы информационной безопасности и определить методы защиты сети. Однако наилучшим способом защитить конфиденциальную информацию - это использовать несколько методов ее защиты. Для этого необходимо распределить права сотрудников, установить фильтры, которые будут определять внутри и вне сети угрозы, а также возможный несанкционированный доступ к важной информации и непосредственно загрузить программное обеспечение, которое будет шифровать переданные данные, что позволит обезопасить сеть от утечки данных.



Заключение

В настоящее время нормальное функционирование Web-портала, подключённого к сети Интернет, практически невозможно если не уделять должное внимание проблеме обеспечения его информационной безопасности. Наиболее эффективно эта проблема может быть решена путём применения комплексного подхода к защите web-ресурсов от возможных информационных атак. Для этого в состав комплекса средств защиты портала должны входить подсистемы антивирусной защиты, обнаружения вторжений, контроля целостности, криптографической защиты, разграничения доступа, а также подсистема управления. При этом каждая из подсистем должна быть оснащена элементами собственной безопасности.



Список литературы

1. Pierre-Alain Fayolle, Vincent Glaume, "A buffer overflow Study. Attacks and Defenses", ENSEIRM, 2002.

2. Лукацкий А.. Обнаружение атак. - СПб.: БХВ-Петербург, 2001.

3. Рыбин Алексей. Корпоративный сайт. Эффективный инструмент бизнеса или нереализованные возможности. Бюллетень JetInfo № 4 (119), 2003.

4. Сердюк В.А. Ахиллесова пята информационных систем //BYTE/Россия. 2004. №4 (68). С. 19-22.

5. Белов Е. Б., Лось В. П., Мещеряков Р. В., Шелупанов А. А., Основы информационной безопасности/ Учебник для Вузов - М.: Горячая линия - Телеком , 2006. - 544 с.: ил.

6. Кобзева Е. А. Системный анализ методов контроля доступа к web-ресурсам, 2016.

7. Семкин С. Н., Семкин А. Н. Основы информационной безопасности объектов обработки информации. Научно - практическое пособие. - Орел:, 2000. - 300 с.

8. Михеев В. А. Доступ к Веб-ресурсам: проблемы контроля, 2013.

Размещено на Allbest.ru