2015-09-07
555
Публічні веб-сервера продовжують залишатися об'єктами атак хакерів, які хочуть за допомогою цих атак нанести втрату репутації організації або добитися яких-небудь політичних цілей. Хороші заходи захисту можуть захистити сайт від тих неприємностей, які матиме організація у разі успішної атаки на нього. Уразливими операційними системами вважаються всі версії Unix або Windows, які використовується як веб-сервер.
Збиток від атаки. Можливий різний збиток - від простого блокування роботи сервера до заміни його вмісту порнографічним матеріалом, політичними гаслами або видалення груп файлів, а також розміщення на сервері програм-троянських коней.
Як вирішити проблему. Дотримувати всі правила безпеки, описані нижче, і оперативно встановлювати всі виправлення програм, використовуваних на веб-сервері, про які повідомила група комп'ютерної безпеки або виробник програм,.
Оцінка ризику. Публічні веб-сервера зламуються майже щодня; загроза того, що буде здійснена атака на веб-сервер - реальна. Нижче приведені основні правила забезпечення безпеки WWW-сервера:
· Розміщення веб-сервера в демілітаризованій зоні (DMZ). Необхідно конфігурувати міжмережевий екран (файpвол) так, щоб він блокував вхідні з'єднання з веб-сервером зі всіма портами, окрім http (порт 80) або https (порт 443).
· Видалити всі непотрібні сервіси з веб-сервера, залишивши FTP (але тільки якщо він потрібний насправді) і засіб безпечного підключення в режимі віддаленого терміналу, такий як SSH. Будь-який непотрібний, але залишений сервіс може стати помічником хакера при організації ним атаки.
· Відключати всі засоби віддаленого адміністрування, якщо вони не використовують шифрування всіх даних сеансів або одноразових паролів.
· Обмежити число людей, що мають повноваження адміністратора або суперкористувача (root).
· Протоколювати всі дії користувачів і зберігати системні журнали або в зашифрованій формі на веб-сервері або на іншій машині в інтpанеті.
· Проводити регулярні перевірки системних журналів на предмет виявлення підозрілої активності. Слід встановити декілька програм-пасток для виявлення фактів атак сервера (наприклад, пастку для виявлення PHF-атаки). Можна написати програми, які запускаються кожну годину або біля того, які перевіряють цілісність файлу паролів і інших критичних файлів. Якщо така програма виявить зміни в контрольованих файлах, вона повинна посилати лист системному адміністраторові.
· Видалити всі непотрібні файли, такі як phf, з директорій, звідки можуть запускатися скрипти (наприклад, з /cgi-bin).
· Видалити всі стандартні директорії з документами, які поставляються з веб-серверами, такими як IIS і ExAir.
· Встановлювати всі необхідні виправлення програм на веб-сервері, що стосуються безпеки, як тільки про них стає відомо.
· Якщо необхідно використовувати графічний інтерфейс на консолі адміністратора веб-сервера, слід видалити команди, які автоматично запускають його за допомогою інформації в.RC-піддиpектоpіях і замість цього створити команду для його ручного запуску. Потім при необхідності можна використовувати графічний інтерфейс, але закривати його негайно ж після того, як будуть проведені необхідні дії. Не варто залишати графічний інтерфейс таким, що працює тривалий період часу.
· Якщо машина повинна адмініструватися віддалено, потрібно вимагати, щоб використовувалася програма, що встановлює захищене з'єднання з веб-сервером (наприклад, SSH). Не потрібно дозволяти встановлювати з веб-сервером telnet-з’єдняння або не анонімні ftp-з’єдняння (тобто ті, які вимагають введення імені і пароля) з недовіpених машин. Непогано буде також надати можливість встановлення таких з'єднань лише невеликому числу захищених машин, які знаходяться в місцевому інтpанеті.
· Запускати веб-сервер в chroot-pежимі або режимі ізольованої директорії (у цьому режимі ця директорія здається кореневою директорією файлової системи і доступ до директорій файлової системи поза нею неможливий), щоб не можна було дістати доступ до системних файлів.
· Використовувати анонімний FTP-сервер (якщо він звичайно потрібний) в режимі ізольованої директорії для директорії, відмінної від директорії, що є коренем документів веб-сервера.
· Проводити всі оновлення документів на публічному сервері з інтpанета. Зберігати оригінали веб-сторінок на веб-сервері в інтpанеті і спочатку оновлювати їх на цьому внутрішньому сервері; потім копіювати оновлені веб-сторінки на публічний сервер за допомогою SSL-з’єдняння. Якщо робити це кожну годину, то можна буде уникнути того, що зіпсований вміст сервера буде доступний в Інтернет довгий час.
· Періодично сканувати веб-сервер такими засобами, як ISS або nmap, для перевірки відсутності на нім відомих вразливих місць.
· Організувати спостереження за з'єднаннями з сервером за допомогою програми виявлення атак (intrusion detection). Конфігурувати цю програму так, щоб вона подавала сигнали тривоги при виявленні спроб застосувати відомі атаки або підозрілих діях з веб-сервером, а також протоколювала такі з'єднання для детального аналізу. Ця інформація зможе згодом допомогти усунути вразливі місця і підсилити систему захисту.
