Основы безопасности
Cтатья "Обеспечение безопасности веб-сайтов" предоставлена Sophos Plc и SophosLabs.
Декабрь 2007 г.
Первый этап проектирования, создания или использования безопасного веб-сайта — это обеспечение максимального уровня безопасности сервера, на котором он размещается.
Веб-сервер формируется несколькими слоями ПО, каждый из которых подвержен разнообразным способам атаки, как показано на диаграмме ниже. Помните: целью атаки может стать любой из блоков.
Основа любого сервера — это операционная система. Обеспечить ее безопасность сравнительно просто: достаточно вовремя устанавливать последние обновления системы безопасности. Это не самое трудоемкое занятие, поскольку системы Microsoft [1] и многие представители семейства Linux позволяют организациям устанавливать исправления автоматически или запускать их одним щелчком мыши.
Следует помнить, что хакеры также склонны автоматизировать свои атаки, используя вредоносное ПО, перебирающее один сервер за другим в поисках сервера, где обновление не было установлено. В связи с этим важно следить за тем, чтобы обновления устанавливались своевременно и надлежащим образом; любой сервер, на котором установлены устаревшие версии обновлений, может подвергнуться атаке.
Также следует вовремя обновлять все программное обеспечение, работающее на веб-сервере. Любое ПО, не относящееся к необходимым компонентам (например, DNS-сервер либо средства удаленного администрирования наподобие VNC или служб удаленных рабочих столов), следует отключить или удалить. Если средства удаленного администрирования все же необходимы, следите за тем, чтобы не использовались пароли по умолчанию или пароли, которые можно легко угадать [2]. Это замечание относится не только к средствам удаленного администрирования, но и к учетным записям пользователей, коммутаторам и маршрутизаторам.
Следующий важный момент — это антивирусное ПО. Его использование является обязательным требованием для любого веб-сервера вне зависимости от того, используется в качестве платформы Windows или Unix. В сочетании с гибким межсетевым экраном антивирусное ПО становится одним из самых эффективных способов защиты от угроз безопасности. Когда веб-сервер становится целью атаки, злоумышленник без промедления пытается загрузить инструменты взлома или вредоносное ПО, чтобы успеть использовать уязвимость системы безопасности до того, как она будет закрыта. При отсутствии качественного антивирусного пакета уязвимость системы безопасности может долгое время оставаться незамеченной.
В вопросах защиты оптимальным является многоуровневый подход. На переднем крае — межсетевой экран и операционная система; стоящий за ними антивирус готов заполнить любые возникающие бреши.
Подведем итоги:
Не устанавливайте ненужные компоненты. Любой компонент несет с собой отдельную угрозу; чем их больше, тем выше суммарный риск.
Своевременно устанавливайте обновления системы безопасности для операционной системы и приложений.
Используйте антивирус, включите автоматическую установку обновлений и регулярно проверяйте правильность их установки.
Некоторые из этих задач могут казаться затруднительными, но следует помнить о том, что для атаки достаточно единственной бреши в системе безопасности. Потенциальные риски при этом — кража данных и трафика, занесение IP-адреса сервера в черные списки, ущерб репутации организации и нестабильность веб-сайта.
Следующий по важности компонент программного обеспечения — сам HTTP-сервер; самыми популярными альтернативами здесь являются IIS и Apache.