Реализация безопасной сетевой инфраструктуры для web-сервера

Сетевые элементы

После того как web-сервер размещен в сети, следует сконфигурировать элементы сетевой инфраструктуры для поддержки и защиты web-сервера. Элементами сетевой инфраструктуры, которые влияют на безопасность web-сервера, являются firewall’ы, роутеры, системы обнаружения проникновения и сетевые коммутаторы (switch). Каждый из них играет важную роль для защиты web-сервера при обеспечении многоуровневой обороны. К сожалению, при обеспечении безопасности web-сервера не существует универсального решения. Единичный firewall или IDS не может обеспечить адекватную защиту публичного web-сервера от всех угроз и атак.

Роутер и firewall

Firewall’ы (или роутеры, функционирующие как firewall’ы) являются устройствами или системами, которые контролируют поток сетевого трафика между сетями. Они защищают web-серверы от уязвимостей, существующих в семействе протоколов TCP/IP. Они также помогают уменьшить проблемы безопасности, связанные с небезопасными приложениями и ОС. Существует несколько типов firewall’ов: роутеры, которые могут обеспечивать управление доступом на уровне IP-пакетов; statefull firewalls’ы которые могут также контролировать доступ, основываясь не только на содержимом IP, но также и на содержимом заголовков протоколов ТСР и UDP; и наиболее мощные firewall’ы, которые могут распознавать и фильтровать web-содержимое.

Существует ошибочное мнение, что firewall’ы (или роутеры, функционирующие как firewall’ы) могут избавить от всех рисков и защитить от неправильной конфигурации web-сервера или плохо разработанной топологии сети. К сожалению, этого не происходит. Firewall’ы сами являются уязвимыми с точки зрения неправильной конфигурации, иногда уязвимы с точки зрения ПО. Кроме того, web-серверы уязвимы для многих атак, даже когда они расположены позади безопасного правильно сконфигурированного firewall’а. Например, firewall, который защищает web-сервер, должен блокировать любой доступ к web-серверу из Интернета, за исключением НТТР (обычно ТСР порт 80) и/или HTTPS (обычно ТСР порт 443). Тем не менее при такой конфигурации многие приложения web-сервера уязвимы для атак через 80 порт. Тем самым, firewall можно считать первой линией обороны web-сервера. Однако, чтобы быть действительно в безопасности, организация должна применять "оборону вглубь". Более важно, чтобы организация старалась поддерживать все системы безопасным образом и не зависела исключительно от firewall’ов (или любого другого единственного компонента), которые должны остановить атаку.

Для того чтобы более успешно защищать web-сервер с использованием firewall’а, следует гарантировать, что существует возможность сконфигурировать следующее:

• управление всем трафиком между Интернетом и web-сервером;
• блокирование всего входящего трафика в web-сервере, за исключением 80 порта и/или 443 порта;
• блокирование всего входящего трафика с внутренних IP-адресов (предотвращение атак IP-spoofing);
• блокирование соединений клиента от web-сервера к Интернету и внутренней сети организации (это поможет уменьшить воздействие некоторых червей, таких как Code Red);
• блокирование (совместно с системой обнаружения проникновения) IP-адресов или подсетей, которые по отчетам IDS являются атакующими;
• уведомление сетевого администратора или соответствующего персонала о подозрительной активности (по e-mail или используя сетевую ловушку);
• обеспечение фильтрации содержимого;
• защиту от DoS-атак;
• определение атак, связанных с запросами конкретных URL;

• создание логов критичных событий, включая следующие детали:

  • время и дата;
  • IP-адрес интерфейса;
  • название события, специфичное для производителя;
  • стандартное событие атаки (если существует);
  • IP-адреса источника и получателя;
  • номера портов источника и получателя;
  • сетевой протокол, используемый для атаки.
• возможность своевременного получения patches для ПО firewall’а и лежащей в основе ОС.

Системы обнаружения проникновения (IDS)

IDS является приложением, которое просматривает системные и сетевые ресурсы и анализирует различные виды деятельности, а также, используя информацию, полученную из этих источников, уведомляет сетевого администратора и/или соответствующий персонал, отвечающий за безопасность, о возможном проникновении или попытки взлома. Два основных типами IDS: host-based и network-based.

Сетевые коммутаторы и концентраторы

Сетевые коммутаторы являются устройствами, которые обеспечивают соединение между двумя или более хостами, расположенными в одном сетевом сегменте. Они аналогичны концентраторам (hub) в том, что обслуживают коммуникации между хостами, но, в отличие от концентраторов, коммутаторы более "интеллектуальны" и посылают пакеты только тому хосту, для которого эти пакеты предназначены. Тем самым коммутаторы изолируют хосты в сетевом сегменте друг от друга. Такая изоляция может иметь преимущества в уменьшении воздействия DoS-атаки на другие хосты в сети.

При использовании коммутаторов труднее просматривать взаимодействия между различными хостами в данном сегменте сети. Это преимущество особенно важно, когда web-сервер расположен в сегменте сети, в котором также расположены и другие хосты. Например, если используется концентратор и web-сервер скомпрометирован, атакующий может иметь возможность подсмотреть взаимодействие других хостов, что может привести к компрометации этих хостов или информации, которую они посылают по сети. E-mail серверы часто расположены вместе с web-серверами и в конфигурации по умолчанию принимают незашифрованные пароли. В таком случае компрометация web-сервера приводит к компрометации почтового сервера, независимо от того, используется коммутатор или нет. Коммутатор предотвращает или, по крайней мере, затрудняет для атакующего перехват паролей почтового сервера с использованием скомпрометированного web-сервера, если эти серверы расположены на разных хостах.

Многие коммутаторы имеют специфические настройки безопасности, которые еще больше усиливают безопасность сети, затрудняя "разрушение" коммутатора. Некоторые примеры включают возможность минимизировать риск от атак на протокол ARP.

Список действий для обеспечения безопасности сетевой инфраструктуры

Расположение сети.

• Web-сервер располагается в DMZ или внешне по отношению к организации, и соответствующим образом защищается firewall.
• DMZ не следует располагать на третьем (или более) интерфейсе firewall’а.

Конфигурация firewall’а.

• Web-сервер защищается firewall’ом.
• Web-сервер, если он в большей степени подвержен атакам или является достаточно уязвимым, защищается firewall’ом прикладного уровня.
• Firewall контролирует весь трафик между интернетом и web-сервером.
• Firewall блокирует весь входящий трафик к web-серверу, за исключением ТСР порта, предназначенного для НТТР (80), и/или порта, предназначенного для НТТРS, который использует SSL/TLS (443).
• Firewall блокирует (совместно с IDS) IP-адреса или подсети, о которых IDS сообщает, что с них выполняется атака.
• Firewall уведомляет сетевого или web-администратора о подозрительной активности.
• Firewall обеспечивает фильтрацию содержимого.
• Firewall конфигурируется для защиты от атак на сервисы.
• Firewall определяет неправильно сформатированные или известные атаки, связанные с запросом конкретных URL.
• Firewall заносит в лог критичные события.
• Firewall и лежащая в основе ОС устанавливаются в максимальный уровень безопасности.

Использование IDS.

• Host-based IDS применяются для web-серверов, которые используют SSL/TLS.
• IDS конфигурируется для просмотра сетевого трафика до любого firewall’а или фильтрующего роутера (network-based).
• IDS конфигурируется для просмотра сетевого трафика к web-серверу и от web-сервера после firewall’а.
• IDS блокирует (совместно с firewall) IP-адреса или подсети, с которых выполняется атака.
• IDS уведомляет сетевого или web-администратора об атаках.
• IDS конфигурируется для определения сканирования портов.
• IDS конфигурируется для определения DoS-атак.
• IDS конфигурируется для определения неправильно сформатированных URL-запросов.
• IDS конфигурируется для создания логов событий.
• IDS часто обновляется для получения новых сигнатур атак.
• IDS конфигурируется для просмотра сетевых ресурсов, доступных web-серверу (host-based).

Использование сетевых коммутаторов и концентраторов.

• Сетевые коммутаторы используются в сети web-сервера для защиты от сетевого просматривания.
• Сетевые коммутаторы конфигурируются в режим максимальной безопасности для защиты от ARP-атак.
• Сетевые коммутаторы конфигурируются таким образом, чтобы посылать весь трафик в сетевом сегменте к IDS-хосту (network-based).