УДК 007.51

ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ WEB-СЕРВЕРОВ

Филофеев Сергей Олегович
Московский государственный технический университет имени Н. Э. Баумана
бакалавр «Системы обработки информации и управления»

Аннотация
Большинство организаций, в независимости от их размера уделяют достаточно много внимания оформлению своих сайтов, функциональности и продвижению, пренебрегая при этом базовыми элементами безопасности.
В последнее время участились акты взлома корпоративных web-сайтов, что говорит о слабой защите, а также о том, что перегрузка одного или нескольких сервисов может привести к сбою работоспособности web-серверов.
В данной статье рассматриваются этапы защиты web-серверов с целью предотвращения хакерских атак или устранения их последствий. Описанные способы достаточно просты в применении. Следовательно, любая организация может взять их на вооружение.

Ключевые слова: безопасность веб-серверов


SECURITY OF WEB-SERVERS PROVIDING

Filofeev Sergey Olegovich
Bauman Moscow State Technical University
bachelor of "System of information processing and management"

Abstract
Today many organizations, regardless of their size are paying a lot of attention to their web site design, usability, and promotion, neglecting basic security elements.
There were several acts of corporate web-sites hacking, which indicates a weak defense, and that an overload of one or more services can lead to faulty performance of web-servers.
This article discusses the steps to protect web-servers to prevent hacking attacks or eliminate their consequences. The described methods are simple to implement. As a result, any organization can use it in their performance.

Keywords: dos-attack, firewall, scripts, web service security


Библиографическая ссылка на статью:
Филофеев С.О. Обеспечение безопасности Web-серверов // Современная техника и технологии. 2017. № 4 [Электронный ресурс]. URL: http://technology.snauka.ru/2017/04/12968 (дата обращения: 03.10.2017).

Научный руководитель: Виноградова Мария Валерьевна,

Московский государственный технический университет им. Н.Э.Баумана,

кафедра «Системы обработки информации и управления», к.т.н., доцент

 

Web-серверы – основа интернета. Для web-серверов безопасность является значительной частью системы. Серверы уязвимы из-за того, что они рассчитаны на обмен информацией с пользователями. Поэтому хакеры могут внести изменения в код сервера или базы данных [1].

Для защиты web-серверов необходима совместная работа администраторов сайта, программистов и проектировщиков. Также должно быть установлено необходимо ПО: антивирус, распределение прав доступа и так далее. Можно выделить 3 этапа безопасности web-сервера:

I этап. Начальный уровень безопасности.

  1. Обновление и модернизация установленного ПО.
  2. Разделение задач по серверам.
  3. Удаление лишних (ненужных) программ и приложений.

II этап. Защита от вторжения.

  1. Установка Firewall.
  2. Удаленное администрирование системы.
  3. Ограничение на использование скриптов.
  4. Фильтрация пакетов с помощью маршрутизаторов.
  5. Повышение квалификации сотрудников, разграничение прав.

III этап. Обнаружение и защита от атак.

  1. Разделение привилегий.
  2. Аппаратные системы защиты.
  3. Внутренний межсетевой экран.
  4. Системы обнаружения атак на сеть.
  5. Системы обнаружения атак на сервер. 

I этап. Начальный уровень безопасности

Обновление и модернизация установленного ПО.

Это один из простых и наиболее эффективных методов уменьшения рисков. Все работающие Web-сервера должны постоянно (некоторые ежедневно) проверяться на предмет выхода обновлений.

Требование постоянно обновлять ПО вызвано тем, что любой установленное на сервере ПО может быть использовано хакерами для взлома системы. Поэтому операционные системы, программное обеспечение, сети, работающие с сетевыми пакетами, и системы безопасности должны быть защищены от доступа посторонних лиц.

Проверку ПО можно провести по следующему алгоритму:

  • Запустить процедуру по поиску обновлений системы.
  • Если вышли новые версии ПО, то установить их.

Разделение задач по серверам.

Обеспечение безопасности данных требует выделение ресурсов для каждой задачи. Если это не учитывать, то ошибка может привести к отказу работы нескольких сервисов. Например, не стоит размещать сервер баз данных и сервер электронной почты на одном компьютере. Но при этом каждый сервер должен быть защищен от хакерских атак [2].

Удаление лишних (ненужных) программ и приложений.

Все не обязательное программное обеспечение на сервере должно быть удалено. Существует привилегированное ПО – это ПО, работающее с сетевыми пакетами или запускающееся с правами администратора. Некоторые ОС могут запускать такое привилегированное ПО автоматически и администраторы могут не знать об этом. При этом такие программы могут быть использованы хакера для атаки на сервер. Для безопасности необходимо удалить все ненужное ПО с сервера, чтобы уменьшить риск взлома системы.

II этап. Защита от вторжения.

Установка Firewall.

Установка межсетевого экрана между внутренней (корпоративной) сетью и Web-сервером может не допустить проникновение сторонних пакетов в сеть. Если атака произойдет на Web-сервер, который находится за корпоративной сетью, то firewall может защитить такую сеть от проникновения хакеров. Если же сервер находится внутри сети, то хакеры могут легко вносить свои изменения в сеть и нарушить ее работу [3].

Удаленное администрирование системы.

Иногда не слишком удобно работать с сервером с физической консоли. Для этого системный администратор может установить на Web-сервер программное обеспечение для удаленного администрирования системой. С точки зрения безопасности это не лучший вариант защиты сервера. Поэтому необходимо принимать следующие шаги, чтобы обезопасить Web-сервер:

  • Шифровать трафик удаленного администрирования, чтобы хакеры не смогли перехватить управление трафиком сети, получить пароли или установить свои программы.
  • Использовать фильтрацию пакетов при удаленном администрировании из предназначенной для этого конфигурации хоста.
  • Поддерживать для этой конфигурации высокий уровень безопасности.
  • Не использовать фильтрацию пакетов вместо шифрования, так как хакеры могут изменить IP адреса (посылать сообщения, заменяя свой IP адрес другим значением).

Ограничение на использование скриптов.

Многие сайты содержат скрипты, которые запускаются при работе на сайте. Хакеры могут использовать неправильно написанные скрипты для проникновения в сеть. Поэтому программисты должны проверить написанный код, прежде чем он будет размещен в сети. Скрипты не должны запускать лишние программы или команды, а также позволять пользователям выполнение определенных задач.

Фильтрация пакетов с помощью маршрутизаторов.

Маршрутизаторы необходимы для того, чтобы отделить Web-сервер от сети. Это помогает предотвратить попадание лишних пакетов в сеть. Маршрутизаторы могут удалять пакеты, которые не идут на сервер или к портам, используемым для удаленного администрирования системы. Для повышения безопасности можно указать пакеты, которые маршрутизатор будет пропускать. Такой маршрутизатор будет лучше защищать систему от хакерских атак. Но при использовании пакетной фильтрации снижается пропускная способность маршрутизатора.

Повышение квалификации сотрудников, разграничение прав.

Низкий уровень знаний системных администраторов может привести к плохой защищенности системы. Поэтому специалисты, работающие в этом направлении, должны постоянно совершенствоваться, проходить специализированные курсы и самостоятельно изучать новые материалы [4].

III этап. Обнаружение и защита от атак.

Разделение привилегий.

Разделение привилегий необходимо для того, чтобы разграничить возможности каждого пользователя – пользователь может работать с определенным набором данных и программ. Поэтому если хакеры получат данные одного из пользователей и попадет в сеть, то они смогут нанести лишь небольшой вред системе. Также для обеспечения безопасности для пользователей, обладающих правами записи, можно создать личные поддиректории.

Аппаратные системы защиты.

Аппаратура, в плане распределения привилегий, имеет более высокий уровень безопасности, так как в отличие от программного обеспечения не так легко модифицируется. Но если хакеры получат доступ к программному обеспечению, то он может получить доступ и к аппаратным средствам. Одним их способов защиты от этого является ограничение режима записи на внешние жесткие диски. Для этого необходимо установить режим «только чтение».

Внутренний межсетевой экран.

В настоящее время Web-серверы часто взаимодействуют с другими хостами, получают и передают данные. В таком случае существует возможность размещения компьютеров за межсетевым экраном внутри корпоративной сети, обеспечивая этим безопасность хранимых данных. Но хакеры могут скомпрометировать Web-сервер и он может быть использован для атаки на сеть. Для предотвращения этого следует отделить системы, работающие с серверами, от остальной части сети внутренним межсетевым экраном. Если хакерам удастся попасть на сервер, то он попадет только на часть корпоративной сети, тем самым это не приведет к атаке на всю сеть.

Системы обнаружения атак на сеть.

Несмотря на все возможности защитить Web-сервер, невозможно гарантировать полную безопасность системы. Web-сервер, защищенный от внешних атак, может быть поврежден из-за работы одного из сервисов. В таком случае необходимо быстро получать информацию о данных ошибках, чтобы быстро восстановить работу сервера и уменьшить риск повторной ошибки. Для получения этой информации используются средства обнаружения вторжений. Сетевые системы обнаружения вторжений (IDS) сканируют трафик сети и выявляют нехарактерную активность, нарушение защиты или блокировку сервера. Современные IDS делают отчет обо всех нарушениях и уведомляют администраторов сети, выводя сообщение на экран или высылая на электронную почту.

Системы обнаружения атак на сервер.

Системы обнаружения атак, размещенные на серверах, лучше определяют состояние сети, чем сетевые IDS. Серверные IDS обладают всеми свойствами сетевых IDS и обладают более высоким уровнем доступа к состоянию сервера. Поэтому они лучше находят попытки нарушения и взлома сервера.

Недостатки такой системы в том, что если хакер проникнет на Web-сервер, то он сможет отключить серверные IDS, блокируя получение сообщений об атаке администраторам. Удаленные атаки на отказ сервера (DOS-атаки) также блокируют IDS на время выхода из строя сервера. Так как DOS-атаки позволяют хакерам блокировать сервер без проникновения на него, то IDS, расположенный на сервере, должен дополняться сетевой системой обнаружения атак [5].

Вывод

Для качественной защиты сервера необходимо использовать качественное ПО, но в некоторых ситуация это невозможно ввиду высоких цен на такое ПО. Также необходимо постоянно обновлять систему или отдельные компоненты. Администраторы сети должны обладать соответствующей квалификацией для обеспечения безопасности Web-сервера. Атака может проводиться как из внешней, так и из внутренней сети, поэтому необходимо также осуществить безопасность внутри сети.


Библиографический список
  1. Гхаиад Исаам, Теоретические основы метода распределенной защиты данных. Москва 2007
  2. http://www.securitylab.ru/analytics/243752.php
  3. http://citforum.ru/security/web/hierarchy/
  4. http://book.itep.ru/6/intrusion.htm
  5. http://vasilisc.com/security_server


Все статьи автора «Филофеев Сергей Олегович»


© Если вы обнаружили нарушение авторских или смежных прав, пожалуйста, незамедлительно сообщите нам об этом по электронной почте или через форму обратной связи.

Связь с автором (комментарии/рецензии к статье)

Оставить комментарий

Вы должны авторизоваться, чтобы оставить комментарий.

Если Вы еще не зарегистрированы на сайте, то Вам необходимо зарегистрироваться: