Techniki obrony serwerów webowych
ITpedia
Tradycyjne rozwiązania z zakresu ochrony nie są wystarczające do zabezpieczenia serwerów webowych i aplikacji przed atakami hakerów. Nadal pozostawiają pewne furtki. Pojawiły się jednak nowe metody ochrony ośrodków webowych i sieci korporacyjnych przed zewnętrznymi i wewnętrznymi zagrożeniami.
Spis treści |
Wyjścia kontrolowane
Technologia Exit Control skupia się na skutkach włamania, a nie na tym, jak haker dostał się do ośrodka webowego i jakie zmiany tam poczynił. Głównym celem jest zapobieganie skutkom zewnętrznym włamania, widocznym z pozycji użytkowników ośrodka webowego. W rozwiązaniach takich specjalny serwer „kontroli wyjścia” umieszczany jest pomiędzy serwerem webowym a ruterem lub zaporą ogniową łączącą serwer webowy z Internetem. Serwer ten kontroluje każdy fragment zawartości wychodzący z serwera webowego. Kontroluje też proces umieszczania zawartości na serwerze – kiedy dostawca zawartości publikuje nowy lub zmieniony obiekt, serwer kontroli wyjścia zapamiętuje cyfrową kopię i cyfrowy podpis tego obiektu.
W procesie pobierania zawartości tworzone są podpisy cyfrowe pobieranych obiektów strony i następnie porównywane z podpisami przechowywanym na serwerze kontroli wyjścia: jeżeli nie są zgodne, to obiekt jest podmieniany – serwer podstawia swoją kopię obiektu – z jednoczesnym powiadomieniem administratora.
Innym rozwiązaniem jest monitorowanie wszystkich zmian w plikach oraz tego, czy generowane są one wewnątrz czy z zewnątrz danej organizacji, a także raportowanie zmian naruszających zdefiniowane reguły polityki wprowadzania uaktualnień zawartości. Taki program instalowany jest bezpośrednio na chronionych serwerach.
Pułapki i przynęty
Pułapki są projektowane w celu zwabienia intruza do sieci i skierowania go w „ślepy zaułek”. Są to różnego rodzaju urządzenia – przynęty – które mogą odwieść kierunek ataku od systemów produkcyjnych i umożliwić administratorowi przeanalizowanie tego, co wydarzyło się w sieci.
Pułapka może być zakładana obok serwerów danych – jeżeli ma być stosowana do „zwabiania” ataków wewnętrznych, lub też umieszczana poza zaporą ogniową w strefie zdemilitaryzowanej (DMZ) – jeżeli ma być używana przeciw zagrożeniom zewnętrznym. Serwer-pułapka powinien być tak zaaranżowany, aby sprawiał wrażenie serwera plików, który zawiera istotne informacje – na przykład z zakresu planów biznesowych. Skuteczność takich pułapek zależy od wielu czynników, takich jak przyjęty schemat nazewnictwa, rozmieszczenie plików i przyjętych reguł ochrony. Na przykład: pozorowana obrona jest dużo bardziej efektywna, gdy stosowana jest w „dawkach” równych lub większych niż to ma miejsce w systemach produkcyjnych. Atrakcyjną dla atakującego może być też pułapka tak skonfigurowana, aby wyglądała na bardziej „nieszczelną” niż inne serwery. Z chwilą, gdy atakujący dostanie się do serwera-przynęty, administrator odpowiedzialny za ochronę rejestruje jego działania i uzyskuje wgląd w to, co intruz próbuje osiągnąć.
Urządzenia separujące (air gap)
Technika urządzeń separujących polega na tworzeniu fizycznych przerw pomiędzy sieciami „poufnymi” i „jawnymi”. Dla przemieszczania informacji – pomiędzy serwerami zewnętrznymi oraz wewnętrzną siecią i systemami organizacji – tworzona jest izolowana ścieżka przepływu danych.
Mogą to być urządzenia nieprogramowalne, które przełączają pulę pamięci pomiędzy dwoma komputerami – hostami – tworząc w ten sposób „śluzę powietrzną” pomiędzy Internetem a systemami wewnętrznymi organizacji. Urządzenie może być zastosowane na styku pomiędzy usługą zewnętrzną wykorzystującą aplikacje e-commerce, taką jak banking on-line, a wewnętrzną bazą danych, udostępnianą użytkownikom zewnętrznym. System składa się z urządzenia podłączonego do dwóch hostów – zewnętrznego i wewnętrznego. Host wewnętrzny podłączony jest do wewnętrznej sieci organizacji, a host zewnętrzny umiejscowiony jest w strefie zdemilitaryzowanej – przed zaporą ogniową.
Wszystkie URL stron webowych są kierowane do imitowanej lokalizacji na hoście zewnętrznym. Strony te w rzeczywistości nie rezydują jednak na tym hoście. Host zewnętrzny rozpakowuje nagłówki protokołów, wyciąga z nich jedynie zawartość ruchu SSL i przekazuje go do urządzenia. Urządzenie transportuje zaszyfrowane dane do hosta wewnętrznego, używając przełączalnego e-dysku (symulowanego w pamięci). Host wewnętrzny deszyfruje ruch SSL, uwierzytelnia użytkownika i filtruje zawartość URL. Następnie przekazuje zlecenie URL do serwera webowego organizacji rezydującego w sieci wewnętrznej.
System samonaprawczy
Narzędzia ochrony i oceny podatności na atak mogą wykrywać niedostatki w systemie ochrony danej organizacji. Mogą także usuwać te problemy skanując, monitorując i automatycznie naprawiając słabe punkty w ochronie sieci. Oprogramowanie może być instalowane na każdej maszynie w sieci. Przeszukuje ono sieć według podanego zakresu adresów IP, poszukując jej słabych punktów, słabych punktów oprogramowania i problemów związanych z regułami polityki ochrony. Wszystkie wykryte problemy są raportowane do administratora sieci. Mechanizm naprawczy dostarcza administratorowi opisy znalezionych słabych punktów i informacje, jak je usunąć, lub usuwa je automatycznie – zdalnie lub lokalnie.
Odpieranie ataków DoS
Jedną z najnowszych kategorii produktów ochronnych są programy wyspecjalizowane w odpieraniu ataków typu blokada usług – DoS (Denial of Service). Zgodnie z definicją ataki DoS mają na celu „obezwładnienie” systemu komputerowego przez zatrudnienie go do obsługi niepotrzebnych zleceń, powodujących przeciążenie sieci lub serwera. Rozwiązania do obrony przed tą kategorią ataku opierają się na skomplikowanej analizie ruchu sieciowego i filtracji ruchu w całej sieci. Urządzenia monitorujące, takie jak snifery pakietów czy analizatory pakietów, analizują pakiety w sieciach, a następnie określają, jaki ruch powinien być odfiltrowany.
