CC BY
100Методы и средства защиты информации
УДК 004.056
РАЗВЕРТЫВАНИЕ МЕЖСЕТЕВОГО ЭКРАНА УРОВНЯ ВЕБ-СЕРВЕРА
А. Г. Ситдикова , В. Г. Жуков
Сибирский государственный университет науки и технологий имени академика М. Ф. Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
E-mail: sital95@mail.ru
Обосновывается необходимость использования межсетевых экранов уровня веб-сервера для защиты объектов ИТ инфраструктуры организаций. Рассматривается применение международного опыта для формализации процесса развертывания межсетевого экрана уровня веб-сервера.
Ключевые слова: защита информации, межсетевой экран уровня веб-сервера.
DEPLOYING THE FIREWALL OF THE WEB SERVER LEVEL A. G. Sitdikova*, V. G. Zhukov
Reshetnev Siberian State University of Science and Technology 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660037, Russian Federation E-mail: sital95@mail.ru
The article presents reasons to use firewalls of the web server level for protection of objects ща IT infrastructure at organizations. The paper considers the application of international experience to formalize the process of deploying the firewall of the web server level.
Keywords: information security, firewall of the web server level.
Применение межсетевых экранов для защиты информационных систем организаций является обязательным требованием, но использование злоумышленниками все более сложных и технически изощренных техник при проведении информационных атак на объекты ИТ инфраструктуры вынуждает применять все более сложные и специализированные межсетевые экраны, например, прикладного уровня эталонной модели взаимодействия открытых систем. Так, с 1 декабря 2016 года на территории РФ действуют новые Требования к межсетевым экранам, утвержденные приказом № 9 ФСТЭК, в которых межсетевой экран уровня веб-сервера выделен в отдельный тип - тип «Г» - «межсетевой экран, применяемый на сервере, обслуживающем сайты, веб-службы и веб-приложения, или на физической границе сегмента таких серверов (сервера)» [1].
Межсетевые экраны данного типа должны обеспечивать контроль и фильтрацию информационных потоков веб-сервера. Дополнительно, были разработаны профили защиты межсетевых экранов. Приказ и профили защиты межсетевых экранов определяют систему классификации межсетевых экранов по требованиям безопасности и соответствующие требования, которые к ним предъявляются, однако, многие организации сталкиваются с трудностями при развертывании межсетевого экрана, так как данная процедура не формализована, либо носит частный, субъективный характер и не может применяться повсеместно. Для решения данной проблемы предлагается обратиться к международному опыту, например, OWASP Best Practices: Use of Web Application Firewalls, SANS Web
Application Firewall Enterprise Techniques, NIST Special Publication 800-41.
Так, согласно NIST Special Publication 800-41 Guidelines on Firewalls and Firewall Policy развертывание межсетевого экрана состоит из следующих этапов:
1) планирование;
2) настройка;
3) тестирование;
4) развертывание межсетевого экрана на предприятии;
5) техническое обслуживание на протяжении всего жизненного цикла [2].
Для апробации методики развертывание межсетевого экрана согласно NIST Special Publication 800-41 была собрана тестовая ЭВМ (веб-сервер Microsoft IIS, в качестве межсетевого экрана уровня веб-сервера был выбран ModSecurity), на которой было развернуто веб-приложение Damn Vulnerable Web App [3; 4]. Также, на этапе планирования было проведено сканирование уязвимостей и тестирование производительности веб-сервера с развернутым на нем тестовым веб-приложением. Настройка межсетевого экрана проводилась в два этапа: конфигурирование самого межсетевого экрана и настройка политики.
Для проведения тестирования целесообразно руководствоваться формализованной методикой, например, NIST Special Publications 800-115 Technical Guide to Information Security Testing and Assessment, согласно которой тестирование межсетевого экрана состоит из планирования тестирования; исследования информационной системы; атаки; отчета [5].
Решетневские чтения. 2017
Количество уязвимостей на веб-сервере до и после развертывания межсетевого экрана
уровня веб-сервера Мои8есигку
До развертывания межсетевого экрана, шт. После развертывания межсетевого экрана, шт.
Уязвимости высокого уровня 1 1
Уязвимости среднего уровня 19 7
Уязвимости низкого уровня 39 5
Ошибки 100 2
Всего 159 15
При выполнении возможных сценариев атакующего воздействия со стороны злоумышленника рекомендуется проводить:
1) тестирование контроля информационных потоков;
2) тестирование фильтрации информационных потоков;
3) тестирование путем проведения SQL-инъекций;
4) тестирование подсистемы регистрации событий безопасности;
5) тестирование производительности.
В таблице представлен фрагмент результатов сканирования веб-сервера с размещенным на нем веб-приложением до развертывания межсетевого экрана и после при помощи Acunetix Web Security Scanner [6].
Также, были предприняты попытки проведения SQL-инъекций, направленных на веб-приложение Damn Vulnerable Web App, которые были предотвращены межсетевым экраном, а информация о них была занесена в журнал событий.
Тестирование производительности было произведено при помощи программного обеспечения WAPT [7]. Производительность веб-сервера значительно ухудшилась после внедрения межсетевого экрана, что связано с увеличением требований к вычислительным ресурсам, необходимых для контроля и фильтрации информационных потоков.
После завершения тестирования, необходимо развернуть межсетевой экран на предприятии и ввести его в эксплуатацию в соответствии с политикой информационной безопасности организации.
Этап технического обслуживания межсетевого экрана является самым длительным. Необходимо обновлять базы решающих правил, отслеживать производительность компонентов межсетевого экрана, проверять журналы аудита и проводить периодическое тестирование для проверки правильности работы межсетевого экрана.
Межсетевой экран уровня веб-сервера позволяет повысить защищенность веб-серверов и веб-приложений, обеспечивая контроль и фильтрацию информационных потоков, идущих к веб-серверу и от него, но, в то же время, ухудшает его производительность. Таким образом, необходимо искать компромисс между количеством правил межсетевого экрана и производительностью веб-сервера.
Библиографические ссылки
1. Информационное сообщение ФСТЭК России от 28 апреля 2016 г. № 240/24/1986 [Электронный ре-
сурс]. URL: http://fstec.ru/normotvorcheskaya/informa-tsionnye-i-analiticheskie-materialy/1142-infor-matsion-noe-soobshchenie-fstek (дата обращения: 10.03.2016).
2. NIST Special Publications 800-115 Technical Guide to Information Security Testing and Assessment [Электронный ресурс]. URL: http://nvlpubs.nist.gov/ nistpubs/Legacy/SP/nistspecialpublication800-115.pdf (дата обращения: 22.11.2016).
3. ModSecurity [Электронный ресурс]. URL: https://modsecurity.org/ (дата обращения: 03.12.2016).
4. Damn Vulnerable Web App (DVWA) [Электронный ресурс]. URL: http://www.dvwa.co.uk/ (дата обращения: 07.10.2016).
5. NIST Special Publication 800-41 Guidelines on Firewalls and Firewall Policy [Электронный ресурс]. URL: http://csrc.nist.gov/publications/nistpubs/800-41-Rev1/sp800-41-rev 1 .pdf (дата обращения: 30.10.2016).
6. Acunetix [Электронный ресурс]. URL: http://www. acunetix.com/vulnerability-scanner/ (дата обращения: 04.12.2016).
7. WAPT [Электронный ресурс]. URL: http://www. loadtesting.ru/ (дата обращения: 04.12.2016).
References
1. Information message of the FSTEC of Russia from April 28. 2016. № 240/24/1986. Available at: http:// fstec.ru/normotvorcheskaya/informatsionnye-i-analiti-cheskie-materialy/1142-informatsionnoe-soobshchenie-fstek (accessed: 10.03.2016).
2. NIST Special Publications 800-115 Technical Guide to Information Security Testing and Assessment. Available at: http://nvlpubs.nist.gov/nistpubs/Legacy/SP/ nistspecialpublication800-115.pdf (accessed: 22.11.2016).
3. ModSecurity. Available at: https://modsecurity.org/ (accessed: 03.12.2016).
4. Damn Vulnerable Web App (DVWA). Available at: http://www.dvwa.co.uk/ (accessed: 07.10.2016).
5. NIST Special Publication 800-41 Guidelines on Firewalls and Firewall Policy. Available at: http:// csrc.nist.gov/publications/nistpubs/800-41-Rev1/sp800-41-rev1.pdf (accessed: 30.10.2016).
6. Acunetix. Available at: http://www.acunetix.com/ vulnerability-scanner/ (accessed: 04.12.2016).
7. WAPT. Available at: http://www.loadtesting.ru/ (accessed: 04.12.2016).
© Ситдикова А. Г., Жуков В. Г., 2017
