На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Защита сервера Web организации

Сервер Web организации обеспечивает ее присутствие в Internet. Однако распространяемые этим сервером данные могут содержать сведения частного характера, не предназначенные для чужих глаз. К сожалению, серверы Web представляют собой лакомую приманку злоумышленников. Широкую огласку получили случаи «нападения» на серверы Министерства юстиции и даже ЦРУ: злоумышленники подменяли домашние страницы этих организаций на непристойные карикатуры. Поборники прав животных проникли на сервер Kriegsman Furs и заменили домашнюю страницу ссылкой на узлы, по­священные защите братьев наших меньших. Схожая судьба постигла серверы Министерства юстиции США, ЦРУ, Yahoo и Fox. Дэн Фар­мер, один из создателей программы SATAN, для поиска брешей в за­щите сетей использовал еще не завершенную официально версию сво­его сканера для зондирования Web-серверов Internet и установил, что почти две трети из них имеют серьезные в защите.
Очевидно, что серверы Web защищены далеко не так надежно, как хотелось бы. В некоторых простых случаях все дело в незаметных, но небезопасных огрехах в сценариях CGI. В других ситуациях угрозу представляет недостаточная защита операционной системы хоста.
Простейший способ укрепить защиту сервера Web состоит в раз­мещении его за брандмауэром. Однако, действуя таким образом, поль­зователь как бы переносит проблемы защиты во внутрикорпоратив­ную сеть, а это не самый удачный выход. Пока сервер Web располага­ется «по другую сторону» брандмауэра, внутренняя сеть защищена, а сервер — нет. Побочным эффектом от такого шага является усложне­ние администрирования сервера Web.
Лучшим выходом было бы компромиссное решение: размещение
сервера Web в его собственной сети, запрет внешних соединений или
ограничение доступа к внутренним серверам.

Сквозной туннель
Немало пользователей размещают серверы Web за брандмауэ­ром во внутренней сети. Такая диспозиция обеспечивает простоту уп­равления, но ценой безопасности. Кроме того, в этом случае работать с сервером защищенным образом становится намного труднее.
Вернемся на несколько лет назад, чтобы посмотреть, что может случиться, когда общедоступный сервер Web размещается во внутрен­ней сети. Допустим, конфигурация брандмауэра такова, что он про­пускает только трафик, предназначенный серверу Web (HTTP и, воз­можно, HTTPS). Если злоумышленник прощупывает сеть в поисках слабых мест, то его зонд обнаружит только порт сервера Web, и ниче­го более. Посылать пакеты UDP или TCP для других служб (SMTP, telnet, ftp, finger и других) злоумышленник не может, так как они пол­ностью блокированы. Что же еще может случиться?
Первой выяснить это имела несчастье компания General Electric. В 1994 году (как назло, как раз в День Благодарения) хакер обнаружил лазейку на Сервере Web компании, расположенном за брандмауэром во внутренней сети. Он послал HTTP-запрос по стандартному соеди­нению TCP и воспользовался невыявленной ошибкой сервера Web.
Исследовав систему, хакер сохранил TCP-соединение с сервером Web, однако теперь он уже мог взаимодействовать не с программным обес­печением сервера, а с интерпретатором команд.
Иными словами, изначально стандартное Web-соединение
функционировало уже скорее как сеанс telnet. Сервер Web теперь
можно было использовать как базу для проникновения во внутрикор­поративную сеть. У хакера был удачный день — он пробрался во мно­жество систем, и все благодаря туннелю через сервер Web, с которым брандмауэр разрешал устанавливать соединение извне.
Еще один недостаток размещения сервера за брандмауэром состоит в том, что пользователи невольно начинают рассматривать
сервер Web как обычный внутренний сервер. Такое отношение недо­пустимо: сервер Web нуждается в особом внимании, так как он открыт для доступа внешних пользователей, даже если эта открытость и огра­ничивается HTTP. Восприятие сервера Web как неотъемлемого эле­мента брандмауэра вырабатывает у администраторов именно такое от­ношение, какое требуется, — подозрительное до помешательства.
Открытый всем ветрам
Другая стратегия состоит в размещении сервера Web по другую
сторону брандмауэра (в данном случае под брандмауэром мы понима-
ем шлюз приложений или брандмауэр с контекстной проверкой). Ча­ще всего между сервером Web и Internet по-прежнему располагается маршрутизатор, с помощью которого сервер Web можно защитить средствами фильтрации пакетов. Так что и в этом случае сервер Web не оказывается полностью беззащитным.
Достоинство такой конфигурации, безусловно, состоит в том,
что, даже проникнув на сервер Web, злоумышленник все же остается
по внешнюю сторону брандмауэра. При «атаке» на сервер брандмауэр
ограничит доступ с сервера во внутрикорпоративную сеть. С другой роны, администрировать сервер Web становится намного труднее, по­скольку доступ к нему оказывается в значительной мере затруднен -теперь между администратором и сервером Web находится брандмау­эр. Кроме того, конфиденциальная информация оказывается как бы «за дверью» — за пределами внутренней сети. Допустим, сервер Web находился под охраной брандмауэра, и пользователи работали с ним,
как с обычным сервером базы данных, и размещали на нем конфиден­циальные данные, которые имеющие на то надлежащие права пользо­ватели Web могли просматривать контролируемым образом. Теперь же сервер со всеми закрытыми данными надо вынести наружу.
Кому такое понравится? Смысл брандмауэров и состоит в том,
чтобы защитить критически важные данные и внутреннюю сеть по пе­риметру. Теперь эти данные оказываются «за оградой» и защищены только маршрутизатором. Стоит лишь кому-нибудь проникнуть на сервер — и все хранящиеся на нем сведения станут известны посторон­ним людям. Впрочем, справедливости ради стоит отметить, что то же самое произойдет и в том случае, если удастся атака на защищенный
брандмауэром сервер Web.
Выход может быть только один — критически важные данные не следует хранить на сервере Web. Лучше разместить их на внутреннем сервере базы данных. Тогда вы можете создать многоуровневую систе­му защиты на сценариев CGI или других механизмов сервера Web, с помощью которых он обрабатывает запросы от внешних поль­зователей и передает их на внутренний сервер базы данных. Внутрен­ний сервер способен проверить полномочия подающего запрос и пре­дставить ему ограниченную выборку закрытых данных. В этом случае сервер Web действует как клиент базы данных, используя средства
удаленной идентификации пользователей (имя и пароль, например)
для получения доступа к определенной части базы данных.
Брандмауэр позволит серверу Web обратиться только к серверу базы данных, но ни к каким другим внутренним ресурсам. Если даже
злоумышленник проникнет на открытый сервер Web, единственной
лазейкой во внутреннюю сеть для него остается сервер базы данных, а
он имеет собственную защиту.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика