УДК 004.056
ПРЕДОТВРАЩЕНИЕ SQL-ИНЪЕКЦИЙ ПРИ ПОМОЩИ МЕЖСЕТЕВЫХ ЭКРАНОВ
ПРИКЛАДНОГО УРОВНЯ
А. Г. Ситдикова*, В. Г. Жуков
Сибирский государственный университет науки и технологий имени академика М. Ф. Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
E-mail: [email protected]
Описывается защита информационных систем с трехуровневой клиент-серверной архитектурой от SQL-инъекций при помощи межсетевых экранов прикладного уровня.
Ключевые слова: информационная безопасность, SQL-инъекции, межсетевой экран прикладного уровня.
PREVENTION OF SQL INJECTIONS WITH APPLICATION FIREWALLS
A. G. Sitdikova*, V. G. Zhukov
Reshetnev Siberian State University of Science and Technology 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660037, Russian Federation E-mail: [email protected]
The article describes how to protect of information systems with a three-level client-server architecture with application firewalls.
Keywords: information security, SQL injections, application firewall.
На настоящий момент одной из распространенных масштабируемых архитектур информационных систем является трехуровневая клиент-серверная архитектура (рис. 1). При ее использовании программы, отвечающие за хранение данных (СУБД), физически отделены от программ, которые обрабатывают эти данные (сервер приложения) [1].
Для обеспечения безопасности веб-сервера, СУБД и хранимых данных рекомендуется включать в состав средств защиты информации межсетевой экран прикладного уровня - уровня веб-сервера, а в некоторых случаях его применение является обязательным.
Межсетевой экран уровня веб-сервера является важным компонентом безопасности, находящимся между пользователями и веб-сервером, который анализирует трафик и запросы, поступающие от пользо-
вателей к веб-приложениям, однако он не обеспечивает комплексную защиту от внедрения 8рЬ-кода, поскольку, по сути, не понимает команды или структуру базы данных - чаще всего защита ограничена черным списком. В тоже время 8рЬ-инъекции становятся все более сложными, поэтому невозможно создать черный список, включающий сигнатуры всех потенциальных атак.
Также стоит отметить, что применение межсетевого экрана уровня веб-сервера не обеспечивает достаточной безопасности СУБД и баз данных, так как доступ к данным осуществляется из многих источников, а не только через веб-приложение. Как правило, возможны три различных варианта доступа к базе данных. Во-первых, другие системы в организации могут получать доступ к базе данных с помощью различных автоматизированных процессов.
Веб-сервер Сервер СУБД
Рис. 1. Трехуровневая клиент-серверная архитектура на базе веб-сервера
Решетневские чтения. 2018
Рис. 2. Структура информационной системы
Количество обнаруженных SQL-инъекций при автоматизированном сканировании
До развертывания межсетевых экранов После развертывания ModSecurity После развертывания DataArmor
SQL-инъекции, шт 8 4 1
Во-вторых, физические лица могут получить доступ к базе данных через внутренние приложения организации. В-третьих, администраторы баз данных, ИТ-менеджеры, программисты и др. также имеют доступ к данным через программное обеспечение администрирования и разработки.
Каждый из этих вариантов доступа к базам данных является потенциальным вектором нарушения безопасности СУБД и баз данных, а межсетевой экран уровня веб-сервера не отслеживает этот трафик.
Таким образом, для защиты СУБД и баз данных помимо межсетевых экранов уровня веб-сервера необходимо использовать межсетевой экран для защиты СУБД. Межсетевые экраны для защиты СУБД представляют собой сетевой шлюз безопасности, который может работать либо в режиме мониторинга копии трафика, либо в режиме, когда трафик к защищаемым серверам проходит через шлюз и возможно блокирование атак «на лету». Безопасность баз данных обеспечивается, как правило, за счет того, что решения такого класса интегрируются с СУБД или базами данных. Они способны отслеживать активность пользователей, выявлять случаи отклонения от разрешенного или нормального поведения и предпринимать различные меры реагирования.
Для проведения автоматизированного тестирования межсетевого экрана прикладного уровня для защиты СУБД и баз данных был развернут испытательный стенд: на веб-сервере Microsoft IIS 7, расположенном на компьютере с операционной системой Windows 7, был развернут веб-сайт. На другом компьютере был установлен сервер баз данных MySQL, на котором хранится информация для веб-сайта [2]. Было проведено сканирование возможных SQL-инъек-ций при помощи Acunetix Web Security Scanner [3]. В соответствие с этапами развертывания межсетевого экрана был установлен ModSecurity с базовым набором правил и проведено повторное сканирование
количества возможных SQL-инъекций [4]. Затем на сервере СУБД был развернут межсетевой экран для защиты СУБД DataArmor и проведено повторное сканирование количества возможных SQL-инъекций [5]. Структура информационной системы изображена на рис. 2.
В таблице представлены результаты сканирования.
Совместное применение межсетевого экрана уровня веб-сервера и межсетевого экрана для защиты СУБД позволяет свести количество возможных SQL-инъек-ции к минимуму. Чтобы добиться их абсолютного устранения, возможно, необходимо вносить изменения в конфигурации межсетевых экранов: подбирать и изменять параметры межсетевых экранов, пересматривать политику, создавать или изменять правила и др. для каждого конкретного веб-сайта и базы данных, либо использовать дополнительные средства защиты информации: системы обнаружения вторжений, DLP-системы, SIEM-системы и др.
Библиографические ссылки
1. CLAIM [Электронный ресурс]. URL: http://it-claim.ru/Education/Course/ISDevelopment/Lecture_3.pdf (дата обращения: 02.08.2018).
2. MySQL [Электронный ресурс]. URL: https:// www.mysql.com/ (дата обращения: 12.08.2018).
3. Acunetix. Available at: http://www.acunetix.com/ vulnerability-scanner/ (accessed: 04.08.2018).
4. Ситдикова А. Г., Жуков В. Г. Развертывание межсетевого экрана уровня веб-сервера // Решетнев-ские чтения : материалы XXI Междунар. науч.-практ. конф., посвящ. памяти генерального конструктора ракетно-космических систем академика М. Ф. Решет-нева (08-11 ноября 2017, г. Красноярск) : в 2 ч. / под общ. ред. Ю. Ю. Логинова ; Сиб. гос. ун-т. наук. и техн. Красноярск, 2017. Ч. 2. С. 429-430.
5. Ситдикова А. Г. Контроль информационных потоков СУБД межсетевым экраном прикладного уровня // Актуальные проблемы авиации и космонавтики : материалы IV Междунар. науч.-практ. конф., посвящ. Дню космонавтики (09-13 апреля 2018, г. Красноярск) : в 3 т. / под общ. ред. Ю. Ю. Логинова ; Сиб. гос. ун-т. наук. и техн. Красноярск, 2018.
References
1. CLAIM. Available at: http://it-claim.ru/Education/ Course/ISDevelopment/Lecture_3.pdf (accessed: 02.08.2018).
2. MySQL. Available at: https://www.mysql.com/ (accessed: 12.08.2018).
3. Acunetix. Available at: http://www.acunetix.com/ vulnerability-scanner/ (accessed: 04.08.2018).
4. Sitdikova A. G., Zhukov V. G. Razvertyvaniye mezhsetevogo ekrana urovnya veb-servera [Deploying the firewall of the web server level] II Materialy XXI Mezhdunar. nauch.-prakt konf. "Reshetnevskie chteniya" [Materials XXI Intern. Scientific Conf. "Reshetnev readings"], Krasnoyarsk, 2017. Part 2. P. 429-430. (In Russ.)
5. Sitdikova A. G. Kontrol' informatsionnykh poto-kov SUBD mezhsetevym ekranom prikladnogo urovnya [Control of information flows the database management system with application firewall] II Materialy IV Mezhdunar. nauch.-prakt. konf. "Aktual'nye problemy aviacii i kosmonavtiki" [Materials IV Intern. Scientific. Pract. Conf "Actual problems of aviation and cosmonautics"]. Krasnoyarsk, 2018. (In Russ.)
© Ситдикова А. Г., Жуков В. Г., 2018