CC BY
38
Секция «Методы и средства зашиты информации»
УДК 004.056
ОБЕСПЕЧЕНИЕ КОНТРОЛЯ И ФИЛЬТРАЦИИ ИНФОРМАЦИОННЫХ ПОТОКОВ МЕЖСЕТЕВЫМ ЭКРАНОМ УРОВНЯ ВЕБ-СЕРВЕРА
А. Г. Ситдикова Научный руководитель - В. Г. Жуков
Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
E-mail: [email protected]
Рассматриваются особенности использования межсетевого экрана уровня веб-сервера и этапы его развертывания. Обосновывается необходимость его использования.
Ключевые слова: межсетевой экран уровня веб-сервера, веб-сайт, веб-приложение.
ENSURING CONTROL AND FILTRATION OF INFORMATION FLOWS WITH THE FIREWALL OF THE WEB SERVER LEVEL
A. G. Sitdikova Scientific Supervisor - V. G. Zhukov
Reshetnev Siberian State Aerospace University 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660037, Russian Federation
E-mail: [email protected]
The article considers the features of using the firewall of the web server level and the stages of its deployment. Makes the case for use it.
Keywords: firewall of the web server level, web site, web application.
Веб-сервера и развернутые на них веб-сайты и веб-приложения продолжают оставаться крупным вектором атаки для преступников, и эта тенденция не проявляет никаких признаков ослабления; злоумышленники все чаще используют такие сетевые атаки, как межсайтовый скрип-тинг, SQL-инъекции, а также многие другие. Причинами уязвимостей веб-серверов, веб-сайтов и веб-приложений могут быть: плохая проверка входных данных, незащищенное управление сессиями, неправильно сконфигурированные параметры системы и недостатки операционных систем и программного обеспечения веб-сервера. Конечно, написание безопасного кода является наиболее эффективным методом для минимизации уязвимостей веб-приложений. Написание безопасного кода включает в себя несколько ключевых вопросов. Прежде всего, многие организации не имеют персонала или бюджет, необходимых, чтобы провести полный анализ кода для обнаружения ошибок. Во-вторых, давление, оказываемое на разработчиков веб-приложений, может привести к ошибкам. В-третьих, в то время как продукты, используемые для анализа веб-приложений, становятся все лучше, есть еще большая часть работы, которая должна быть сделана вручную и которая подвержена человеческим ошибкам. Таким образом, процесс обеспечение безопасности веб-инфраструктуры организации должен учитывать различные области информационных технологий [1].
Одно из средств, которое может помочь в обеспечении безопасности инфраструктуры вебсерверов, - это межсетевой экран уровня веб-сервера. Межсетевой экран уровня веб-сервера -это устройство безопасности, которое следит за HTTP/HTTPS обменом между клиентом и веб-сервером на уровне приложений. Межсетевой экран уровня веб-сервера имеет возможность обеспечивать соблюдение политик безопасности, основанных на различных критериях,
Актуальные проблемы авиации и космонавтики - 2017. Том 2
включая сигнатуры известных атак, правила безопасности, аномальный трафик приложений и другие.
С 1 декабря 2016 года действуют новые Требования к межсетевым экранам, утвержденные приказом № 9 ФСТЭК, в которых межсетевой экран уровня веб-сервера был выделен в отдельный тип (тип «Г»). Согласно приказу межсетевой экран уровня веб-сервера (тип «Г») - «межсетевой экран, применяемый на сервере, обслуживающем сайты, веб-службы и веб-приложения, или на физической границе сегмента таких серверов (сервера)». Межсетевые экраны типа «Г» «могут иметь программное или программно-техническое исполнение и должны обеспечивать контроль и фильтрацию информационных потоков по протоколу передачи гипертекста, проходящих к веб-серверу и от веб-сервера» [2]. Также, были разработаны профили защиты для межсетевых экранов уровня «Г».
Согласно NIST Spécial Publication 800-41 Guidelines on Firewalls and Firewall Policy развертывание межсетевого экрана уровня веб-сервера можно разделить на этапы:
1) планирование. На данном этапе определяется структура информационной системы, выявляются угрозы и уязвимости информационной системы и выбирается режим работы межсетевого экрана;
2) настройка. Этап настройки включает в себя установку аппаратного и программного обеспечения, настройку политик, аудита и оповещения, а также интеграцию межсетевого экрана в сетевую архитектуру;
3) тестирование. Новые межсетевые экраны должны быть проверены до этапа развертывания межсетевого экрана на предприятии, чтобы убедиться, что они работают правильно. Проверки должны быть завершены в тестовой сети без подключения к реальной сети. Согласно NIST Special Publications 800-115 Technical Guide to Information Security Testing and Assessment тестирование межсетевого экрана состоит из следующих стадий:
3.1) планирование тестирования. На данной стадии ставятся необходимо определить цели тестирования, что будет тестироваться, и каким образом будет производиться тестирование. Никакого фактического тестирования на данной стадии не производится;
3.2) исследование информационной системы. Стадия исследования включает в себя начало фактического тестирования и охватывает сбор информации о системе, сканирование и анализ уязвимостей системы;
3.3) атака. На стадии атаки производится полноценное тестирование;
3.4) отчет Стадия отчета проводится одновременно со всеми вышеперечисленными стадиями. На каждом этапе создаются отчеты. В заключение тестирования создается отчет, описывающий результат тестирования [3];
4) развертывание межсетевого экрана на предприятии. После завершения тестирования, необходимо развернуть межсетевой экран на предприятии в соответствии с политикой информационной безопасности организации. Перед этим необходимо уведомить всех пользователей, на которых может повлиять развертывание межсетевого экрана. Необходимо интегрировать межсетевой экран с другими элементами сети, с которыми он взаимодействует;
5) техническое обслуживание на протяжении всего жизненного цикла. Данный этап является самым длительным. Необходимо отслеживать производительность компонентов межсетевого экрана, чтобы гарантировать, что потенциальные проблемы с ресурсами будут вовремя обнаружены, проверять журналы аудита для определения угроз, проводить периодическое тестирование для проверки правильности обработки трафика правилами межсетевого экрана, регулярно создавать резервные копии политик и правил межсетевого экрана [4].
Для исследования эффективности межсетевого экрана было проведено сканирование уяз-вимостей веб-сервера Microsoft IIS с установленным веб-приложением Damn Vulnerable Web App при помощи Acunetix Web Security Scanner до и после развертывания межсетевого экрана уровня веб-сервера ModSecurity. Результаты исследования представлены в таблице.
Дополнительно была произведена оценка производительности веб-сервера Microsoft IIS с установленным веб-приложением Damn Vulnerable Web App при помощи WAPT, до и после развертывания межсетевого экрана уровня веб-сервера ModSecurity.
Секция «Методы и средства защиты информации»
Количество уязвимостей на веб-сервере до и после развертывания межсетевого экрана
уровня веб-сервера ModSecurity
До развертывания межсетевого После развертывания межсетевого
экрана экрана
Уязвимости высокого уровня 1 1
Уязвимости среднего уровня 19 7
Уязвимости низкого уровня 39 5
Ошибки 100 2
Всего 159 15
Исходя из результатов оценки производительности, можно сделать вывод, что межсетевой экран уровня веб-сервера влияет на производительность веб-сервера, ухудшая ее, повышает требования к аппаратному обеспечению и пропускной способности сети, увеличивает время отклика, что может создавать проблемы для некоторых приложений. Тем не менее, межсетевой экран является эффективным средством для обеспечения контроля и фильтрации информационных потоков, для защиты от эксплуатации уязвимостей веб-серверов и веб-приложений.
Библиографические ссылки
1. SANS Web Application Firewall. Enterprise Techniques [Электронный ресурс]. URL: https://www.sans.org/reading-room/whitepapers/application/web-application-firewalls-35817 (дата обращения: 02.12.2016).
2. Об утверждении Требований к межсетевым экранам : Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 1 декабря 2016 г. № 9. М. : ФСТЭК России, 2016.
3. NIST Special Publications 800-115 Technical Guide to Information Security Testing and Assessment [Электронный ресурс]. URL: http://nvlpubs.nist.gov/nistpubs/Legacy/SP/ nistspecialpublication800-115.pdf (дата обращения: 22.11.2016).
4. NIST Special Publication 800-41 Guidelines on Firewalls and Firewall Policy [Электронный ресурс]. URL: http://csrc.nist.gov/publications/nistpubs/800-41-Rev1/sp800-41-rev1.pdf (дата обращения: 30.10.2016).
© Ситдикова А. Г., 2017
