Ochrona serwera

Serwer WWW, umiejscowiony po wewnętrznej stronie zapory ogniowej, jest często pierwszym celem ataku na system ochrony.

Łatwość zaprojektowania i rozpowszechniania aplikacji intrasieciowych nieuchronnie stwarza chroniczny problem ochrony. Projektowanie aplikacji webowych przeprowadza się inaczej niż tradycyjnych aplikacji informatycznych. Łatwo jest przenieść pewne idee dostępne na rynku internetowym do aplikacji opartych na HTML, działających poza Internetem, bez sprawdzenia implikacji w zakresie ochrony.

Aby uodpornić serwer na ataki z zewnątrz, potrzebne jest staranne wyszukanie wszystkich furtek - mających znaczenie dla bezpieczeństwa serwera – w konfiguracji aplikacji i systemie operacyjnym pracującym na danej maszynie. Serwery intrasieci, zawierające istotne informacje, powinny być regularnie testowane na wielu poziomach. Testowanie powinno ocenić interfejs pomiędzy front-end (HTML) i warstwą pośrednią (jaką są najczęściej aplikacje relacyjnej bazy danych i skrypty CGI), jak również interfejs pomiędzy warstwą pośrednią i systemem operacyjnym.

Skrypty CGI, pracujące na serwerze webowym, są krytycznym łącznikiem pomiędzy stronami HTML, sprowadzanymi przez użytkowników, a bazami danych, dokumentami i innymi zasobami rezydującymi w intrasieci. Skrypty CGI mogą narażać bezpieczeństwo serwera, m.in. przez uruchamianie wirusów, dostęp do strategicznych baz danych, "zamulanie" hostów intensywnym ruchem oraz transfer plików z hasłami i danymi konfiguracyjnymi systemu do nieautoryzowanych odbiorców.

Skrypty CGI powinny być umieszczane w jedynym katalogu z atrybutem "tylko do odczytu" i weryfikowane pod kątem komend wywołujących funkcje mogące stanowić słabe punkty systemu ochrony.

Zalecane jest maksymalne uproszczenie konfigurowania serwerów intrasieci ogólnego użytku dla aplikacji intrasieciowych, uruchamianie jednej bazowej aplikacji Internetu na serwer i usunięcie wszystkich usług, sterowników, przywilejów i plików, które nie są absolutnie niezbędne dla poszczególnych usług.