[общее описание инструментов защиты веб-портала от разных угроз]материал подготовил: Марат Давлетханов 27.04.2005
Сегодня мы с вами, уважаемые читатели, поведем разговор о комплексной системе защиты веб-портала, которая позволяет обезопасить его от всевозможных угроз. Правда, для начала нам необходимо немного определиться с терминами. Давайте договоримся, что веб-порталом мы будем называть не простой сайт, а какую-нибудь сложную распределенную систему, работающую, например, в области электронной коммерции. Такой веб-портал будет состоять из многих составляющих: компьютеров пользователей, подключающихся через интернет, удаленных рабочих мест администраторов и разных серверов, размещенных у провайдера. Естественно, вопросы защиты всего этого хозяйства весьма и весьма актуальны. Тем более что рассмотренный веб-портал подвержен множеству самых разнообразных угроз. А поэтому в защите нельзя обойтись каким-то одним решением, она должна состоять сразу из нескольких систем, каждая из которых будет блокировать ту или иную группу опасностей.
Система разграничения доступа
Система разграничения доступа является базовой ступенью защиты серьезного веб-портала. Классическая схема выглядит следующим образом. Вся внутренняя часть распределенной системы делится на четыре зоны: демилитаризованную, зону служебных серверов, коммуникационную и зону управления. В первую из них входят общедоступные серверы и сервисы, обращаться к которым могут все пользователи. Обычно это веб-серверы*, DNS-серверы*, системы кеширования и т. д. Зона служебных серверов доступна только для администраторов и сервисов из демилитаризованного сегмента. Зона управления, как это видно из ее название, содержит средства управление безопасностью веб-портала. Ну а последняя, коммуникационная, зона включает в себя маршрутизаторы, коммутаторы и прочее сетевое оборудование и их программное обеспечение. Но для чего необходимо такое сложное устройство веб-портала? Ответ на этот вопрос очень прост. Система разграничения доступа необходима для защиты управляющих элементов от несанкционированного доступа. Благодаря ей злоумышленник, взломав один из общедоступных сервисов, не сможет проникнуть внутрь веб-портала.
Система разграничения доступа является базовой ступенью защиты серьезного веб-портала
Чаще всего система разграничения доступа реализуется с помощью межсетевых экранов. Один из них устанавливается на стыке внутренней части портала (зоны демилитаризации) с Глобальной сетью. В его задачи входит общая фильтрация всего поступающего трафика. Причем данный экран должен работать сразу на трех уровнях: сетевом (фильтрация по IP-адресам*, типу используемого протокола и т. д.), транспортном (проверка номеров портов TCP* и UDP и т. д.) и прикладном (тестирование длины заголовка блока данных, проверка типа команд и т. д.). Главные задачи рассматриваемого межсетевого экрана — контроль над работой пользователей с системой и пресечение запрещенных действий с их стороны. Но и это еще не все. Другими весьма немаловажными в свете последних событий функциями являются определение атак на отказ в обслуживании и попытка противостояния им.
Второй важной составляющей системы разграничения доступа является внутренний межсетевой экран. Его задачей является фильтрация трафика между серверами, входящими в состав зоны демилитаризации, и всеми остальными внутренними сервисами. Для чего он нужен? Дело в том, что зона демилитаризации предс
тавляет собой наименее защищенную часть распределенной системы. И если злоумышленник взломает ее и получит несанкционированный доступ к какому-нибудь из серверов, то сможет обращаться к другим сегментам и выполнять определенные действия от его имени. Для того, чтобы не допустить подобной ситуации, и нужен второй межсетевой экран. Он осуществляет фильтрацию трафика только на сетевом и транспортном уровне. А это значит, что он устойчив ко многим удаленным атакам, основанным на использовании дыр в различном программном обеспечении.
В системе разграничения доступа используются межсетевые экраны
Естественно, важную роль в системе разграничения доступа играет программное обеспечение. Ведь именно на него ложится задача идентификации и аутентификации администраторов и пользователей, обладающих расширенными правами. Для этого могут использоваться различные способы. Но в подавляющем большинстве существующих сегодня систем применяется парольная защита. Кроме того, в последнее время все большее и большее распространение получает аутентификация, основанная на использовании цифровых сертификатов.
Система защиты от вирусов
В системе разграничения доступа применяется ПО
Наверное, никому не нужно объяснять, что вирусы являются сегодня одной из самых серьезных угроз для любого компьютера. И различные серверы не стали исключением из этого правила: сейчас в интернете можно найти немало «червей», которые поражают не только домашние ПК. Поэтому антивирусное программное обеспечение является обязательной частью системы защиты любого веб-портала. Причем стоит отметить, что речь идет не об обычных утилитах, привычных домашним пользователям. Серверные антивирусные системы защиты состоят из отдельных модулей-датчиков и общего модуля управления. Датчики устанавливаются на все серверы веб-портала, именно они обнаруживают вирусы. Ну а модуль управления необходим для обновления баз данных сигнатур, обновления ПО, его настройки и т. д.
Система контроля целостности
В систему защиты веб-портала обязательно должно входить антивирусное программное обеспечение
Одной из важных задач информационной безопасности является обеспечение целостности данных. Причем под целостностью понимается не только их неповрежденность, как думают многие пользователи, но и подлинность информации. Проблема заключается в том, что злоумышленник может, используя те или иные уязвимости в программном обеспечении серверов, попытаться исправить какие-то данные. В некоторых случаях эта угроза не несет большой опасности. Например, изменив текст на корпоративном сайте, хакер вряд ли сможет нанести серьезный ущерб компании. В других же случаях подмена информации может привести к действительно большим убыткам. Так, например, известны случаи, когда мошенникам удавалось исправить стоимость товаров в интернет-магазинах и в результате этих действий приобрести что-то буквально за бесценок. именно поэтому контроль целостности данных зачастую является весьма важной задачей.
Для ее решения предназначено специальное программное обеспечение. Принцип его работы таков. Системный администратор или специалист по информационной безопасности указывает системе контроля целостности список защищаемых файлов. Затем специальная утилита обрабатывает их и вычисляет для каждого контрольную сумму. В будущем система с заданной периодичностью проверяет данные файлы и в случае выявления различий между эталоном и реальным значением подает сигнал о несанкционированном вмешательстве. Стоит отметить, что система контроля целостности не относится к обязательным средствам защиты данных. И действительн
о, с ее помощью нельзя предотвратить какое-нибудь злонамеренное воздействие на веб-портал. Но зато она позволяет определить последствие таких атак, если остальные модули безопасности почему-то не справились со своими задачами.
Подводим итоги
итак, мы с вами, уважаемые читатели, рассмотрели несколько систем защиты, каждая из которых может обезопасить веб-портал от тех или иных угроз. Правда, стоит отметить, что в данной статье описаны далеко не все инструменты, которые могут применяться для защиты. Дело в том, что их слишком много, а поэтому о части из них мы поговорим в следующий раз. Напоследок же отметим, что защита веб-портала совсем не обязательно должна включать в себя абсолютно все системы безопасности. В каждом конкретном случае решение об использовании того или иного инструмента принимается специалистами на основе анализа предполагаемых угроз и доступных возможностей.