НАУЧНЫЙ ВЕСТНИК МГТУ ГА серия Студенческая наука
УДК 629.735.015:681.3
РАЗРАБОТКА СИСТЕМЫ ЗАЩИТЫ WEB-ПРИЛОЖЕНИЙ
ОРГАНИЗАЦИИ
И.К. МЕНЬШОВ
Статья представлена доктором технических наук, профессором Емельяновым В.Е.
Статья подготовлена под руководством кандидата технических наук, доцента Кузякова Б.А.
В статье разработана оптимальная система защиты Web-приложений.
Введение
Объектом исследования является условная организация, имеющая Интернет-сайт с высокой степенью доступности и большим объемом обрабатываемого трафика.
В статье рассмотрены большинство известных на сегодня сетевых атак, вирусов, аппаратных сбоев, рисков. В результате исследования, на основе многопараметрического анализа, разработана оптимальная архитектура системы защиты веб-приложений с высокой степенью доступности и защищенности. Разработанная система может быть реализована в больших авиакомпаниях, аэропортах, банках и организациях, в которых финансовая прибыль и доступность веб-ресурса напрямую связаны друг с другом. Выполнен сравнительный анализ с уже известной, на сегодняшний день технологией VipNet. Если рассчитать среднее значение качественных рисков системы, построенной по технологии VipNet, можно убедиться, что разработанная схема на настоящее время обладает существенными преимуществами.
Расчет информационных рисков
Формула, чаще всего используемая при расчете рисков, представляет собой произведение трех параметров: - стоимость ресурса (Asset Value, AV).
Указанная величина характеризует ценность ресурса. При качественной оценке рисков стоимость ресурса чаще всего ранжируется в диапазоне от 1 до 3, где 1 - минимальная стоимость ресурса, 2 - средняя стоимость ресурса и 3 - максимальная стоимость ресурса. К примеру, сервер автоматизированной банковской системы имеет AV=3, тогда как отдельный информационный киоск, предназначенный для обслуживания клиента, имеет AV=1 по отношению к информационной банковской системе; - мера уязвимости ресурса к угрозе (Exposure Factor,
ef).
Этот параметр показывает, в какой степени тот или иной ресурс уязвим по отношению к рассматриваемой угрозе. Например, с точки зрения банка ресурс автоматизированной банковской системы имеет наибольшую доступность. Таким образом, атаки с целью реализации отказа в обслуживании (Denial of Service, DoS) представляют для него максимальную угрозу. При качественной оценке рисков данная величина также ранжируется в диапазоне от 1 до 3, где 1 - минимальная мера уязвимости (слабое воздействие), 2 - средняя (ресурс подлежит восстановлению), 3 - максимальная (ресурс требует полной замены после реализации угрозы);
Оценка вероятности реализации угрозы (Annual Rate Of Occurrence, Aro)
Демонстрирует, насколько вероятна реализация определенной угрозы за определенный период времени (как правило, в течение года) и также ранжируется по шкале от 1 до 3 (низкая, средняя, высокая). На основании полученных данных выводится оценка ожидаемых потерь
(уровень риска): - оценка ожидаемого возможного ущерба от единичной реализации определенной угрозы (Single Loss Exposure, SLE) рассчитывается по формуле:
SLE = AVx EF; - итоговые ожидаемые потери от конкретной угрозы за определенный период времени (Annual Loss Exposure, ALE) характеризуют величину риска и рассчитываются по формуле:
ALE = SLE x ARO. Таким образом, конечная формула расчета рисков представляет собой произведение:
ALE = AV x EF x ARO. (1)
Обоснование экономических инвестиций
Для обоснования затрат требуется идентифицировать меры, применение которых позволит снизить данные риски до приемлемых величин. Примем три модели нарушителей: внутренний легальный пользователь, внешний легальный пользователь и внешний хакер. Первого обозначим как A1, второго - А2, а третьего - А3. Таким образом, категории A1 свойственны следующие черты нарушителя: - достаточная квалификация для эксплуатации возможностей нашего внутреннего ресурса; - достаточная квалификация для эксплуатации возможностей нашего внешнего ресурса; - отсутствие цели нанести ущерб компании. Для категории A2 свойственны следующие черты нарушителя: - достаточная квалификация для эксплуатации возможностей нашего внешнего ресурса; - отсутствие цели нанести ущерб компании. Для категории А3 характерны следующие черты нарушителя: - необходимые технические познания для эксплуатации возможностей нашего внешнего ресурса; - навыки и опыт использования уязвимостей и недекларированных возможностей ОС, распространенного прикладного ПО; - опыт взлома подобных систем; - намерение нанести ущерб компании.
Оптимальная архитектура системы веб-приложений с высокой степенью доступности
Рассматривается сайт с высокой степенью доступности и большим объемом обрабатываемого трафика. Организация имеет связь с двумя различными провайдерами интернет-услуг, и с ними достигнуто соглашение об использовании BGP для обеспечения отказоустойчивой маршрутизации. Данная архитектура могла бы быть расширена для включения других зданий.
Маршрутизаторы, коммутаторы и межсетевые экраны, подключенные к интернету, соединены между собой таким образом, что сбой в любом компоненте никак не повлияет на трафик сайта. За межсетевыми экранами два коммутатора прикладного уровня обеспечивают распределение нагрузки между веб-серверами. Веб-серверы защищены межсетевыми экранами от атак по всем портам, кроме 80 и 443. Веб-серверы имеют второй сетевой интерфейс, обеспечивающий соединение с сетью, в которой расположены серверы приложений. Веб-серверы передают информацию серверам приложений, запрашивающим базы данных и передающим данные клиента на веб-серверы. Двойные межсетевые экраны соединяют сеть сервера приложений с внутренней сетью организации, в которой находится сервер базы данных. Такая структура требует наличия, по крайней мере, двух объектов из всех сетевых компонентов и серверов, а также предусматривает использование коммутаторов прикладного уровня. В зависимости от нагрузки трафиком число веб-серверов и серверов приложений велико (например, более чем 20 единиц каждого из объектов). Это обстоятельство также требует того, чтобы сервер базы данных имел возможность обработки большого числа транзакций в секунду.
Разработанная схема может быть оптимизирована для больших авиакомпаний, аэропортов, банков и организаций, в которых финансовая прибыль и доступность веб-ресурса напрямую связаны с друг другом. В разработанной нами схеме присутствуют 4 межсетевых экрана. Вывести их из строя одновременно - практически невозможно, но для отражения вышеуказанных
атак необходимо качественно их настроить и ограничить удаленный доступ к ресурсу. Дополнительной мерой снижения уязвимости (EF) в части реализации угрозы нарушения доступности рекомендуется пересмотреть исходный код сценариев Веб-сайта и добавить в него функции фильтрации запросов SQL с целью предотвращения внедрения запросов SQL в запросы HTTP GET. Сходные меры могут быть предприняты в отношении атаки Cross-Site Scripting. Что касается эскалации привилегий злоумышленника, то на этот случай могут быть приняты такие меры, как установка недавно вышедших обновлений безопасности службы сервера Web, а также постоянный аудит и периодический пересмотр учетных записей пользователей и прав доступа на системном уровне. Кроме того, при пересылке паролей рекомендуют использовать только защищённые соединения по протоколу HTTPS [1]. Для уменьшения рисков организация должна иметь связь с двумя различными провайдерами интернет-услуг, и с ними должно быть достигнуто соглашение об использовании BGP для обеспечения отказоустойчивой маршрутизации. Данная архитектура может быть расширена для включения других зданий. В результате этих действий автоматически снижается параметр ARO, установка обновлений безопасности уменьшает вероятность реализации описанных угроз. Снижение степени уязвимости и вероятности реализации угрозы в части нарушения конфиденциальности достигается аналогично. Риск нарушения доступности понижается путем установки обновлений безопасности, размещения межсетевого экрана перед сервером Web с учетом топологии сети и ограничения количества одновременных соединений со службой сервера Web с одного IP-адреса. После идентификации перечисленных мер произведем расчет остаточных рисков на каждом из устройств в схеме и сведем их в таблицу.
Рис. 1. Оптимальная архитектура системы веб-приложений
Таблица 1
Расчет качественного значения рисков на устройствах из схемы
Ресурс (АУ) Угроза (механизм реализации) Модель нарушителя ЕЕ АЯО 8ЬЕ АЬЕ
2 Угроза нарушения целостности А3 1 1 2 2
Маршрутизаторы 2 Угроза нарушения конфиденциальности А3 1 1 2 2
2 2 2 Угроза нарушения доступа целостности А1, А2, А3 1 1 1 1 1 1 2 2 2 2 2 2
Коммутаторы и коммутаторы прикладного 1 Угроза нарушения целостности А3 0 0 0 0
1 Угроза нарушения конфиденциальности А3 0 0 0 0
1 А1, А2, А3 0 0 0 0 0 0 0 0 0 0 0 0
уровня 1 1 Угроза нарушения доступа целостности
1 Угроза нарушения целостности А3 3 2 2 6
Межсетевые экраны 1 Угроза нарушения конфиденциальности А3 3 2 3 6
1 1 1 Угроза нарушения доступа целостности А1, А2, А3 0 0 0 0 0 0 0 0 0 0 0 0
3 Угроза нарушения целостности А3 2 2 6 12
Сервер СУБД в избыточном 3 Угроза нарушения конфиденциальности А3 3 1 9 9
кластере 3 3 3 Угроза нарушения доступа целостности А1, А2, А3 1 2 2 1 1 1 3 3 6 3 6 6
3 Угроза нарушения целостности А3 3 2 9 12
Web-сервер 3 Угроза нарушения конфиденциальности А3 2 1 6 3
3 3 3 Угроза нарушения доступа целостности А1, А2, А3 2 1 2 1 1 1 6 3 6 6 3 6
3 Угроза нарушения целостности А3 2 2 6 12
Сервер приложений 3 Угроза нарушения конфиденциальности А3 1 1 3 3
3 3 3 А1, А2, А3 1 1 1 1 1 1 1 1 1 3 3 3
Угроза нарушения доступа целостности
ViPNet
Когда локальные сети должны быть доступны из глобальной сети, когда к ним должны подключаться мобильные пользователи или сотрудники удаленных подразделений, либо когда пользователи локальной сети должны иметь доступ к глобальной сети - решений этой проблемы является создание виртуальных частных сетей (Virtual Private Network - VPN). Для их создания используется специальное программное обеспечение, одно из которых называется ViPNet. На рис. 2 приведена схема сети, построенной на этой технологии. Расчет качественного значения рисков на устройствах из схемы был произведен аналогично оценки в табл. 1.
Рис. 2. Virtual Private Network - VPN + ViPNet
Посчитаем среднее значение качественного риска в системе:
ALE„
a / ni + b / n2 + c / n3 + d / n4 + e / n5 + f / n6
n
(2)
где: a - ^ ALE маршрутизаторов / ALE ViPNet координаторов;
b - ^ ALE коммутаторов и коммутаторов прикладного уровня / ALE ViPNet клиентов; с -^ ALE межсетевых экранов d - ^ ALE серверов СУБД в избыточном кластере; e - ^ ALE Web-серверов f - ^ ALE серверов приложений;
nx - количество определенного оборудования; n - общее количество различного оборудования.
Расчет:
10/2 + 0 +12/4 + 36 + 30 + 24 ALE^ =-------------------------------= i6,33 ;
ОРТ
30/3 +18 / 3 + 27/3 + 36 + 30 + 24
ALE^ =---------------------------------= 19,8 .
6
Таким образом, среднее значение качественного риска без учета серверов - OPT = 2,66, а VIP = 8,3.
Заключение
В результате исследования, на основе многопараметрического анализа, разработана оптимальная архитектура системы защиты веб-приложений с высокой степенью доступности и защищенности. Выполнен сравнительный анализ с уже известной, на сегодняшний день технологией VipNet. Если рассчитать среднее значение качественных рисков системы, построенной по технологии VipNet, можно убедиться, что разработанная схема, на настоящее время обладает существенными преимуществами.
ЛИТЕРАТУРА
1. Галатенко В.А.Основы информационной безопасности. Интернет-университет информационных технологий. - ИНТУИТ.ру, 2005.
2. Лапонина О.Р. Основы сетевой безопасности: криптографические алгоритмы и протоколы взаимодействия . Интернет-университет информационных технологий - ИНТУИТ.ру, 2005.
3. Robert Auger, Ryan Barnett, Yuval Ben-Itzhak, Erik Caso и др. - Web Application Security Consortium (перевод: Классификация ВЕБ угроз). Издательство webappsec, США, 2004.
4. Корпорация МАЙКРОСОФТ - Fundamentals of Network Security (перевод: основы сетевой безопасности). Издательство МАЙКРОСОФТ, США, 2003.
WEB-APPLICATIONS SYSTEM OPTIMAL ARCHITECTURE WITH ACCESSIBLE HIGH DEGREE
Menshov I.K.
Working up web-applications system optimal architecture.
Сведения об авторе
Меньшов Иван Константинович, 1987 г.р., студент факультета авиационных систем и комплексов МГТУ ГА, область научных интересов - защита информации, системы защиты веб-приложений с высокой степенью доступности».