CC BY
15УДК 004
Жуков С.В. студент магистратуры 1 курс, факультет «Информационная безопасность»
Леджиев Д.Ю. студент магистратуры 1 курс, факультет «Информационная безопасность» научный руководитель: Минкина Т.В., к.т.н.
доцент кафедры «ОТЗИ» ИИТТ СКФУ Россия, г. Ставрополь
ОСНОВЫ ОБЕСПЕЧЕНИЕ БЕЗОПАОТОСТИ WEB СЕРВЕРОВ И БАЗ
ДАННЫХ
Аннотация: Статья посвящена проблеме обеспечения безопасности web серверов. В связи с ростом тенденции переноса бизнеса в интернет возникла необходимость создания сайтов и приложений. Появляется проблема при обеспечении информационной безопасности web сервера, для решения которой необходимо использовать комплексный подход защиты информации.
Ключевые слова: информационная безопасность, web сервер, база данных, защита информации.
Zhukov S. V. graduate student 1st year, Faculty of "Information Security"
Ledzhiev D. Yu. graduate student 1st year, Faculty of "Information Security" scientific adviser: Minkina T. V.,Candidate of Technical Sciences
Associate Professor of the Department "OTZI"
IITT NCFU Russia, Stavropol
BASIS OF SECURITY OF WEB SERVERS AND DATABASES
Annotation: The article is devoted to the problem of securing web servers. In connection with the growing trend of transferring business to the Internet, the need arose to create sites and applications. There is a problem in ensuring the information security of the web server, for the solution of which it is necessary to use an integrated approach to information security.
Key words: information security, web server, database, information security.
Хакерские атаки доказали, что web-безопасность остается наиболее важной проблемой для любого бизнеса, который проводит свои операции в интернете. Web-серверы являются одними из наиболее приоритетных целей для злоумышленника из-за конфиденциальных данных, которые хранятся на сервере. Защита web-сервера так же важна, как и защита самого web-сайта или web-приложения и сети вокруг него. Если у вас есть защищенное web -приложение и небезопасный web-сервер, или наоборот, это подвергает ваш бизнес огромному риску. Безопасность вашей компании сильна настолько насколько сильна ее самая уязвимая часть.
Независимо от того, какое программное обеспечение установлено на сервере, стандартная конфигурация обычно небезопасна. Поэтому необходимо предпринять некоторые необходимые шаги для повышения безопасности web-сервера.
1. Удалите ненужные сервисы
Установки и конфигурации операционной системы по умолчанию не защищены. При стандартной установке по умолчанию устанавливаются многие сетевые службы, которые не будут использоваться в конфигурации web-сервера, такие как удаленные службы реестра, службы сервера печати, RAS и т.д. Чем больше служб запущено в операционной системе, тем больше портов будут оставаться открытыми, тем самым оставляя злоумышленникам больше возможностей для проникновения в систему.
2. Удаленный доступ
Хотя в настоящее время это нецелесообразно, по возможности администраторы серверов должны входить на web-серверы локально. Если требуется удаленный доступ, необходимо убедиться, что удаленное соединение защищено должным образом, используя протоколы туннелирования и шифрования. Удаленный доступ также должен быть ограничен определенным количеством IP-адресов и только конкретными учетными записями. Также очень важно не использовать общедоступные компьютеры или общедоступные сети для удаленного доступа.
3. Отдельная среда разработки, тестирования, производства
Поскольку разработчику проще и быстрее разрабатывать более новую
версию web-приложения на рабочем сервере, довольно часто разработка и тестирование web-приложений выполняются непосредственно на самих рабочих серверах. В интернете часто встречаются новые версии определенного web-сайта или некоторый контент, который не должен быть доступен для общественности в таких каталогах, как / test /, / new / или других подобных подкаталогах. Поскольку такие web-приложения находятся на ранней стадии разработки, они, как правило, имеют ряд уязвимостей. Такие приложения могут быть легко обнаружены и использованы злоумышленником.
В идеале разработка и тестирование web-приложений всегда должны проводиться на серверах, изолированных от Интернета, и никогда не должны использовать реальные данные и базы данных или подключаться к ним.
4. Web-содержимое приложения и скрипты на стороне сервера
Файлы и сценарии web-приложения или web-сайта всегда должны
находиться в отдельном разделе или на диске, отличном от диска операционной системы, журналов и любых других системных файлов. Если же злоумышленник проник на сервер, это вопрос времени как быстро он сможет получить полный контроль над сервером.
5. Разрешения и привилегии
Разрешения на файловые и сетевые службы играют важную роль в безопасности web-сервера. Если ядро web-сервера скомпрометировано с помощью программного обеспечения сетевой службы, злоумышленник может использовать учетную запись, под которой работает сетевая служба, для выполнения задач, таких как выполнение определенных файлов. Поэтому очень важно всегда назначать наименьшие привилегии, необходимые для запуска конкретной сетевой службы, такой как программное обеспечение web-сервера. Также очень важно назначить минимальные привилегии анонимному пользователю, необходимые для доступа к web-сайту, файлам web-приложений, а также к данным и базам данных.
6. Установите все патчи безопасности вовремя
Хотя наличие полностью исправленного программного обеспечения не обязательно означает, что ваш сервер полностью защищен, все же очень важно обновить операционную систему и любое другое программное обеспечение, работающее на ней, последними обновлениями безопасности. До сегодняшнего дня хакерские атаки все еще происходят, потому что хакеры использовали в своих интересах не обновленные серверы и программное
7. Мониторинг и аудит сервера
Все журналы, присутствующие на web-сервере, в идеале должны храниться в отдельной области. Все журналы сетевых служб, журналы доступа к web-сайтам, журналы сервера баз данных (например, Microsoft SQL Server, MySQL, Oracle) и журналы операционной системы следует регулярно проверять. Нужно всегда быть в поисках странных записей журнала. Файлы журналов, как правило, содержат всю информацию о попытке атаки и даже об успешной атаке, но в большинстве случаев они игнорируются. Если кто-то замечает странную активность в журналах, это значит, что необходимо обострить внимание и понять причину возникновения проблемы для ее устранения.
8. Аккаунты пользователей
Неиспользуемые учетные записи пользователей по умолчанию, созданные во время установки операционной системы, должны быть отключены. Существует также длинный список программного обеспечения, при установке которого учетные записи пользователей создаются в операционной системе. Такие учетные записи также должны быть проверены должным образом, для них необходимо изменить разрешения. Встроенная учетная запись администратора должна быть переименована и
не должна использоваться, то же самое для пользователя root при установке linux / unix. Каждый администратор, обращающийся к web-серверу, должен иметь собственную учетную запись с необходимыми правами доступа.
9. Удалите все неиспользуемые модули и расширения приложений.
В установке Apache по умолчанию включено несколько предопределенных модулей, которые в типичном сценарии web-сервера не используются, если они не требуются специально. Отключите такие модули, чтобы предотвратить целевые атаки против таких модулей.
10. Используйте инструменты безопасности, поставляемые с программным обеспечением web-сервера
Microsoft выпустила ряд инструментов, помогающих администраторам защитить установки web-сервера IIS, таких как сканирование URL-адресов. Также есть модуль mod_security для Apache.
11. Будьте в курсе
В настоящее время информацию и советы по используемому программному обеспечению и операционной системе можно найти в Интернете бесплатно. Очень важно быть в курсе событий и узнавать о новых атаках и инструментах, читая журналы, связанные с безопасностью, и подписываясь на новостные рассылки, форумы или любой другой тип сообщества.
12. Используйте сканеры
Сканеры - это удобные инструменты, которые помогут вам автоматизировать и упростить процесс защиты web-сервера и web-приложений. Сканер уязвимостей Acunetix Web обеспечивает безопасность web-сайта и web-сервера, проверяя наличие SQL-инъекций, межсайтовых сценариев, проблем с настройкой web-сервера и других уязвимостей. Он проверяет надежность пароля на страницах аутентификации и автоматически проверяет корзины покупок, формы, динамический контент Web 2.0 и другие web-приложения. По завершении сканирования программное обеспечение выдает подробные отчеты, которые точно указывают на наличие уязвимостей.
Использованные источники:
1. Бирюков А. «Информационная безопасность: защита и нападение» 2-е изд. Учебное пособие. 2017. - 293 с.
2. Бондарев В. «Введение в информационную безопасность автоматизированных систем» Учебное пособие. 2016. - 252 с.
3. Родичев Ю. «Нормативная база и стандарты в области информационной безопасности» Учебное пособие. 2017. - 256 с
