Разработка проекта модернизации веб-сервера Apache от сетевых атак
Веб-сервер - программное обеспечение, осуществляющее взаимодействие по протоколу с браузерами пользователей, которые выступают в качестве клиентов. Главные уровни критичности реализации угрозы сетевых атак. Оценка аппаратного обеспечения предприятия.
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | дипломная работа |
| Язык | русский |
| Дата добавления | 02.06.2017 |
| Размер файла | 511,8 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
modsecurity_46_et_web_rules.conf
modsecurity_50_outbound.conf
modsecurity_50_outbound_malware.conf
modsecurity_crs_20_protocol_violations.conf
modsecurity_crs_21_protocol_anomalies.conf
modsecurity_crs_40_experimental.conf
modsecurity_crs_40_generic_attacks.conf
modsecurity_crs_42_comment_spam.conf
modsecurity_crs_46_et_sql_injection.conf
modsecurity_crs_46_et_web_rules.conf
modsecurity_crs_49_header_tagging.conf
modsecurity_crs_55_marketing.conf
Не смотря на то, что перечисленные правила, возможно, представлены не в полном объеме, тем не менее, данный список перекрывает значительную часть уязвимостей, предотвращая тем самым возможность реализации угроз.
Таким образом, задавая правила в конфигурационных файлах модуля mod_security для отдельных узлов сети и веб-приложений, можно определять какие запросы являются легитимными, а какие следует запретить как потенциально опасные.
Выводы:
1. В данном разделе были произведены настройки конфигурационных файлов следующих объектов: веб-сервер Apache - apache2.conf, PHP - php.ini, MySQL - my.cnf, протокол ssh -sshd_config, fail2ban - jail.conf. В результате этого удалось снизить неоправданное потребление ресурсов.
2. Утилита fail2ban используется в рассматриваемой нами системе в качестве средства безопасности по противодействию подбору пароля. Ее главным преимуществом является то, что она способна защитить от брутфорса практически любой сервис присутствующий в системе, достаточно лишь объявить соответствующие директивы защиты в конфигурационном файле jail.conf.
3. Для PHP установлено расширение Suhosin, позволяющее бороться с SQL-инъекциями (SQL injections), атаками на переполнение буфера, с отправкой спама через некачественно написанные скрипты, с воровством cookie.
4. Для веб-сервера Apache установлен и сконфигурирован модуль mod_security, который в сравнении с другими средствами защиты является более универсальным, так как позволяет перекрыть значительную часть существующих уязвимостей. Также следует отметить, что построение защиты на основе mod_security прекрасно сочетается с подходом модели с полным перекрытием и дополненной моделью защищенной системы обеспечения безопасности Клементса. Основное преимущество использования mod_security состоит в том, что разработчики и веб-администраторы могут защитить свои веб-приложения без исправления их исходного кода, а лишь добавлением какого-либо правила блокирующего обнаруженную уязвимость.
5. Все перечисленные выше средства и методы безопасности являются в совокупности единым механизмом и призваны обеспечить комплексную защиту веб-сервера Apache от сетевых атак.
4. Оценка эффективности усовершенствованных методов защиты веб-сервера
4.1 Проверка устойчивости усовершенствованной защиты веб-сервера
После внедрения в систему веб-сервера механизмов безопасности, утилита Grendel Scan показала результаты сканирования, представленные в таблице 4.1.
Таблица 4.1. Результаты анализа уязвимостей после введенных изменений
|
Уязвимость |
Количество |
Уровень критичности реализации угрозы |
Время |
|
|
LDAP инъекция (LDAP injection) |
0 |
Срочный |
5 часов |
|
|
Обратный путь в директориях (Path Traversal) |
2 |
Важный |
||
|
Предсказуемое расположение ресурсов (Predictable Resource Location) |
3 |
Высокий |
||
|
XST (Cross Site Tracing) |
0 |
Средний |
||
|
Подделка межсайтовых запросов (Cross-Site Request Forgery) |
0 |
Высокий |
Исходя из полученных данных, можно предварительно сделать вывод о том, что удалось ликвидировать уязвимости связанные с ошибками фильтрации входных данных, и более чем в половине случаев убрать уязвимости связанные с доступом к файлам.
4.2 Расчет и сравнительный анализ эффективности введенных изменений
Проделав работу по внедрению средств защиты в среду веб-сервера Apache, а также проведя переконфигурацию его компонентов, ввиду сложности определения меры изменения значения вероятности реализации угроз, после введенных изменений безопасности, на основе метода экспертных оценок была проведена переоценка показателей вероятностей реализации угроз P(V) модели анализа угроз и уязвимостей. Все изменения продемонстрированы в таблице Е.1.
Таблица 4.2. Уровень угрозы после введенных изменений
|
Угроза/Уязвимость |
Уровень угрозы (%), Th |
Уровень угрозы по всем уязвимостям, через которые реализуется данная угроза (%), СTh |
|
|
Угроза 1/Уязвимость 1 |
0 |
0,002 |
|
|
Угроза 1/Уязвимость 2 |
0,002 |
||
|
Угроза 2/Уязвимость 1 |
0,0012 |
0,00479 |
|
|
Угроза 2/Уязвимость 2 |
0,0036 |
||
|
Угроза 3/Уязвимость 1 |
0,00138 |
0,01849 |
|
|
Угроза 3/Уязвимость 2 |
0,012 |
||
|
Угроза 3/Уязвимость 3 |
0,0052 |
||
|
Угроза 4/Уязвимость 1 |
0,02 |
0,08503 |
|
|
Угроза 4/Уязвимость 2 |
0,0105 |
||
|
Угроза 4/Уязвимость 3 |
0,05 |
||
|
Угроза 4/Уязвимость 4 |
0,0068 |
||
|
Угроза 5/Уязвимость 1 |
0,003 |
0,11548 |
|
|
Угроза 5/Уязвимость 2 |
0,07464 |
||
|
Угроза 5/Уязвимость 3 |
0,0036 |
||
|
Угроза 5/Уязвимость 4 |
0,0378 |
||
|
Угроза 6/Уязвимость 1 |
0,00408 |
0,0305 |
|
|
Угроза 6/Уязвимость 2 |
0,02564 |
||
|
Угроза 6/Уязвимость 3 |
0,00092 |
Таблица 4.3. Общий уровень угроз, действующих на ресурс после введенных изменений
|
Угроза/Уязвимость |
Уровень угрозы по всем уязвимостям, через которые реализуется данная угроза (%), СTh |
Общий уровень угроз по ресурсу (%), CThR |
|
|
Угроза 1/Уязвимость 1 |
0,002 |
0,23093 |
|
|
Угроза 1/Уязвимость 2 |
|||
|
Угроза 2/Уязвимость 1 |
0,00479 |
||
|
Угроза 2/Уязвимость 2 |
|||
|
Угроза 3/Уязвимость 1 |
0,01849 |
||
|
Угроза 3/Уязвимость 2 |
|||
|
Угроза 3/Уязвимость 3 |
|||
|
Угроза 4/Уязвимость 1 |
0,08503 |
||
|
Угроза 4/Уязвимость 2 |
|||
|
Угроза 4/Уязвимость 3 |
|||
|
Угроза 4/Уязвимость 4 |
|||
|
Угроза 5/Уязвимость 1 |
0,11548 |
||
|
Угроза 5/Уязвимость 2 |
|||
|
Угроза 5/Уязвимость 3 |
|||
|
Угроза 5/Уязвимость 4 |
|||
|
Угроза 6/Уязвимость 1 |
0,0305 |
||
|
Угроза 6/Уязвимость 2 |
|||
|
Угроза 6/Уязвимость 3 |
Таблица 4.4 показывает риск ресурса в денежном эквиваленте.
Таблица 4.4 - Риск ресурса после введенных изменений
|
Угроза/Уязвимость |
Общий уровень угроз по ресурсу (%), CThR |
Риск ресурса (у.е.), |
|
|
Угроза 1/Уязвимость 1 |
0,23093 |
2923,5738 |
|
|
Угроза 1/Уязвимость 2 |
|||
|
Угроза 2/Уязвимость 1 |
|||
|
Угроза 2/Уязвимость 2 |
|||
|
Угроза 3/Уязвимость 1 |
|||
|
Угроза 3/Уязвимость 2 |
|||
|
Угроза 3/Уязвимость 3 |
|||
|
Угроза 4/Уязвимость 1 |
|||
|
Угроза 4/Уязвимость 2 |
|||
|
Угроза 4/Уязвимость 3 |
|||
|
Угроза 4/Уязвимость 4 |
|||
|
Угроза 5/Уязвимость 1 |
|||
|
Угроза 5/Уязвимость 2 |
|||
|
Угроза 5/Уязвимость 3 |
|||
|
Угроза 5/Уязвимость 4 |
|||
|
Угроза 6/Уязвимость 1 |
|||
|
Угроза 6/Уязвимость 2 |
|||
|
Угроза 6/Уязвимость 3 |
Теперь когда оценены риски до введения контрмер и после, можно оценить эффективность введенных контрмер по формуле:
,
где E - эффективность введения контрмер
Rold и Rnew - риски ресурсов до и после введения контрмер соответственно. Произведя вычисления, получим значение эффективности E = 0,582.
Выводы:
1. Введение контрмер позволило снизить риск в 2.4 раза.
2. Так же как и в системе до введения контрмер наибольшие уровни угроз, по сравнению с другими, принадлежат угрозам разглашения информации и угрозе выполнения кода.
3. При подходе к построению алгоритмов защиты с использованием модели с полным перекрытием можно говорить о том, что чем большее число уязвимостей в защищаемой системе будет известно, тем более защищенной будет являться данная система, так как на каждую уязвимость в такой системе будет предусмотрен барьер безопасности.
Заключение
Все описанные действия по конфигурированию, настройке и построению модели организации защиты проводились на основе реально существующего веб-сервера в боевых условиях. Были проанализированы существующие угрозы и уязвимости, а также рассчитаны риски до и после введения средств безопасности с целью повышения уровня надежности веб-сервера Apache. В ходе разработки алгоритма защиты в качестве нового подхода в реализации системы защиты веб-сервера, было предложено использовать модель защиты с полным перекрытием дополненную моделью защищенной системы обеспечения безопасности Клементса. Данная модель как нельзя лучше подходит для описания построения и разработки механизмов защиты веб-сервера, а если говорить на языке этой модели: защита есть выставление заградительных барьеров на пути реализации угроз. При должном подходе к выявлению существующих угроз и уязвимостей рассматриваемая модель будет являться достаточно эффективной. Так как предусматривает предотвращение реализации угроз наличием барьеров.
Эффективность введенных мер защиты подтвердилась вычислениями. Риск по ресурсу в денежном эквиваленте сократился в 2,4 раза и составил 2923,5 у.е.
Можно считать, что результаты, полученные в ходе выполнения работы, соответствуют поставленным целям, общий уровень защищенности исследуемого веб-сервера по отношению к сетевым атакам, приобрел большее значение.
Размещено на Allbest.ru
Подобные документы
Проблема безопасности операционных систем. Функции подсистемы безопасности. Идентификация пользователей, программные угрозы (атаки). Типы сетевых атак. Жизненный цикл разработки безопасных программных продуктов. Оценка атак на программное обеспечение.
презентация [1,4 M], добавлен 24.01.2014Классификация сетевых атак по уровню модели OSI, по типу, по местоположению злоумышленника и атакуемого объекта. Проблема безопасности IP-сетей. Угрозы и уязвимости беспроводных сетей. Классификация систем обнаружения атак IDS. Концепция XSpider.
курсовая работа [508,3 K], добавлен 04.11.2014Исследование наиболее распространенных видов сетевых атак. Сетевая разведка. Характеристика способов защиты от сетевых атак с использованием специальных программ. Изучение преимуществ и недостатков сетевых экранов. Переполнение буфера. Вирусные программы.
реферат [329,2 K], добавлен 23.12.2014Анализ и сравнение различных методов реализации системы защиты сетевых соединений. Виды сетевых атак и методика их негативного воздействия, возможные последствия и меры их профилактики. Структура протокола создания защищенных сетевых соединений ISAKMP.
дипломная работа [284,1 K], добавлен 19.06.2010Обобщенная модель процесса обнаружения атак. Обоснование и выбор контролируемых параметров и программного обеспечения для разработки системы обнаружения атак. Основные угрозы и уязвимые места. Использование системы обнаружения атак в коммутируемых сетях.
дипломная работа [7,7 M], добавлен 21.06.2011Описание и предназначение протокола DNS. Использование файла host. Особенности и описание способов атак на DNS: ложный DNS-сервер, простой DNS-флуд, фишинг, атака посредством отраженных DNS-запросов. Защита и противодействие атакам на протокол DNS.
реферат [324,3 K], добавлен 15.12.2014Способы применения технологий нейронных сетей в системах обнаружения вторжений. Экспертные системы обнаружения сетевых атак. Искусственные сети, генетические алгоритмы. Преимущества и недостатки систем обнаружения вторжений на основе нейронных сетей.
контрольная работа [135,5 K], добавлен 30.11.2015Установка VirtualBox. Создание двух виртуальных машин с операционной системой CentOS. Настройка сетевых интерфейсов в режиме bridgeс и хоста как маршрутизатора для сети. Установка www-сервера. Настройка динамической маршрутизации по протоколу RIP.
курсовая работа [807,5 K], добавлен 14.07.2012Компоненты вычислительной системы, предоставляющие клиенту доступ к определенным ресурсам и обмен информацией. Функциональные возможности ядра веб-сервера Apache. Механизм авторизации пользователей для доступа к директории на основе HTTP-аутентификации.
курсовая работа [105,6 K], добавлен 07.06.2014Концепция адаптивного управления безопасностью. Средства анализа защищенности сетевых протоколов и сервисов. Компоненты и архитектура IDS. Классификация систем обнаружения атак. Поиск уязвимостей в современных системах IDS. Методы реагирования на атаки.
курсовая работа [488,5 K], добавлен 13.12.2011
