Московский государственный университет имени М.В.Ломоносова
Опубликован: 21.09.2006 | Доступ: свободный | Студентов: 4463 / 670 | Оценка: 4.32 / 4.09 | Длительность: 19:19:00
ISBN: 978-5-9556-0076-0
Лекция 12:

Реализация безопасной сетевой инфраструктуры для web-сервера

< Лекция 11 || Лекция 12: 1234567
Дополнительные требования для создания логов

Если web-сервер поддерживает возможность расширения программ, скриптов или plug-ins, web-администратор должен иметь возможность определить специфичные данные логов, которые должны записываться в соответствии с функционированием этих возможностей. Если разработаны специальные программы, скрипты или plug-ins, рекомендуется, чтобы был определен и реализован согласованный и легко понимаемый подход к созданию логов, основанный на механизмах создания логов и предоставляемый ОС и web-сервером. Информация в логах, связанная с программами, скриптами и plug-ins, может быть добавлена к обычной информации, хранящейся в логах web-сервера.

Возможные параметры логов

Логи, созданные со следующими параметрами, можно считать оптимальными для первоначального использования:

  • Combined Log Format для хранения Transfer Log, или вручную сконфигурировать информацию, описываемую Combined Log Format, в стандартном формате для Transfer Log.
  • Создание Referrer Log или Agent Log, если Combined Log Format недоступен.
  • Установить различные имена лог-файлов для различных виртуальных web-сайтов, которые реализованы как часть одного физического web-сервера.
  • Использовать идентификацию удаленного пользователя, как специфицировано в RFC 1413.
  • Предусмотреть выполнение процедур или механизмов, которые бы гарантировали, что лог-файлы не переполняют жесткий диск.

    ПО некоторых web-серверов предоставляет возможность установить первоначально, при запуске web-сервера проверку наличия конкретного управления доступом. Данная возможность может быть полезна, чтобы избежать непреднамеренного изменения прав доступа к лог-файлам в результате ошибок администрирования. Web-администраторы должны определить условия, при которых может возникнуть необходимость таких проверок (в предположении, что ПО web-сервера поддерживает такую возможность).

Просмотр и хранение лог-файлов

Просмотр лог-файлов может быть трудоемким и занимать много времени. Лог-файлы являются реагирующей мерой безопасности; они информируют о событиях, которые уже произошли. Соответственно, они часто бывают полезны для поддержки других доказательств, таких как аномальный сетевой трафик, обнаруженный IDS. Логи web-сервера должны также просматриваться для обнаружения атак. Частота просмотра зависит от следующих факторов:

  • трафик, получаемый сервером;
  • общий уровень угроз (федеральное правительство и крупные коммерческие организации намного больше подвержены атакам, чем сайты других фирм и, таким образом, должны просматривать свои логи более часто);
  • специфические угрозы (могут возникать угрозы, специфичные для определенного времени, что требует более частого анализа лог-файла);
  • уязвимость web-сервера;
  • значимость (ценность) данных и сервисов, предоставляемых web-сервером.

Для облегчения анализа логов разработаны специальные автоматизированные средства.

Кроме того, обычно бывает необходим более глубокий и более продолжительный анализ логов. Так как типичная web-атака может включать сотни web-запросов, атакующий может попытаться замаскировать атаку увеличением интервала между запросами. В этом случае просмотр одних ежедневных или еженедельных логов может не показать общей тенденции. Однако, когда тенденция анализируется в течение недели, месяца или квартала, многие атаки на один и тот же хост могут быть легко обнаружены.

Лог-файлы должны быть защищены для гарантирования того, что атакующий, который скомпрометировал web-сервер, не может изменить лог-файлы, чтобы скрыть свои действия. Хотя шифрование и может использоваться для защиты лог-файлов, лучшим решением является хранение лог-файлов на отдельном от web-сервера хосте. Он часто называется лог- или syslog-хостом.

Необходимо регулярно создавать back up и архивы лог-файлов. Периодическое архивирование лог-файлов существенно по нескольким причинам. Оно может быть важно с точки зрения законодательных действий или использоваться при возникновении различных проблем, связанных с web-сервером. Периодичность архивации лог-файлов зависит от нескольких факторов, включающих следующие:

  • законодательные требования;
  • организационные требования;
  • размер логов (который напрямую зависит от трафика сайта и параметров создания логов );
  • значимость (ценность) данных web-сервера и сервисов;
  • уровень угроз.
Автоматизированные инструментальные средства анализа лог-файлов

Большинство web-серверов имеют большой трафик, и лог-файлы быстро становятся огромными. Для облегчения работы web-администратора необходимо использовать одно или более автоматизированное средство анализа лог-файлов. Эти средства анализируют записи в лог-файле и идентифицируют подозрительную или необычную деятельность.

Доступно большое количество коммерческих и свободно распространяемых средств, обеспечивающих регулярный анализ Transfer Log. Большинство выполняется для Common или Combined Log Format.

Такие средства могут идентифицировать IP-адреса, которые являются источником большого числа соединений или большого объема трафика.

Средства Error Log определяют не только ошибки, которые могут существовать в конкретном web-содержимом (такие как отсутствующие файлы), но также попытки доступа к несуществующим URL. Эти попытки могут указывать на следующее:

  • зондирование на наличие определенных уязвимостей, которые могут быть использованы позднее для осуществления атаки;
  • сбор информации;
  • интерес к конкретному содержимому, такому как базы данных.

Автоматизированный анализатор лог-файла должен как можно быстрее сообщить о любых подозрительных событиях в лог-файле web-администратору.

< Лекция 11 || Лекция 12: 1234567
Виталий Гордиевских
Виталий Гордиевских

Здравстивуйте, диплом о профессиональной переподготовке по программе "Сетевые технологии" дает право на ведение профессиональной деятельности в какой сфере? Что будет написано в дипломе? (В образце просто ничего неуказано)

Напимер мне нужно чтоб он подходил для направления 09.03.01 Информатика и вычислительная техника

Александр Тагильцев
Александр Тагильцев

Где проводится профессиональная переподготовка "Системное администрирование Windows"? Что-то я не совсем понял как проводится обучение.

Алексей Никитин
Алексей Никитин
Россия, Жуковский, МИМ ЛИНК
Геннадий Шестаков
Геннадий Шестаков
Беларусь, Орша