Автор работы: Пользователь скрыл имя, 16 Мая 2013 в 11:12, контрольная работа
В настоящее время человек все больше и больше переносит сферы своей жизни в информационную структуру. Все больше и больше он становиться зависим от безопасности данной информационной структуры. Банки, интернет-магазины, многие среды комуникации (e-mail, Skype, социальные сети); в настоящие время многие отделения медицинских образований используют базы данных; наша зарплата, пенсии, страховки – все это где-то храниться в сетевых хранилищах.
Что если однажды, по вине халатности – уязвимости в безопасности сетевого хранилища – большая часть сферы нынешнего делового человека (и не только) разрушиться, исчезнет или попадет в чужие руки?
Это будет фатально для человека. Нет денег, нет возможности получить квалифицированную медицинскую помощь, нет будущего.
1.Актуальность 3
2. Причины 4
3. Уровни безопасности 9
4.Защита 10
5.Заключение 18
6.Литература 19
Внешний Firewall
Установка межсетевого экрана между корпоративной (внутренней) сетью и Web-серверами общего доступа позволяет предотвратить проникновение "левых" пакетов в сеть организации: если злоумышленник проникает на внешний Web-сервер, то попасть в корпоративную сеть организации через firewall ему будет затруднительно. Если же Web-сервер находится внутри корпоративной сети, то хакер, проникнув на него, может, используя захваченный ресурс в качестве плацдарма, нарушить работоспособность всей сети и получить полный контроль над ней.
Удаленное администрирование
Поскольку управлять сервером с
физической консоли зачастую не слишком
удобно, системные администраторы устанавливают
на Web-серверы программное
В тех случаях, когда удаленное администрирование неизбежно, его необходимо сопровождать следующими действиями:
*
шифровать трафик удаленного
администрирования (чтобы
* использовать фильтрацию пакетов (см.
описание ниже) при удаленном администрировании
из предназначенной для этого конфигурации
хоста;
* поддерживать для этой конфигурации
более высокий уровень безопасности;
* не использовать фильтрацию пакетов
вместо шифрования, так как хакеры могут
сфабриковать IP-адреса (посылать сообщения,
маскируя свой IP-адрес другим значением).
Ограничение использования скриптов
Большинство сайтов содержат скрипты (маленькие программы), которые запускаются при переходе на особую страницу. Хакер может использовать эти скрипты (при помощи обнаруженных изъянов в коде) для проникновения на сайт. Для обнаружения таких дыр ему вовсе не обязательно знать исходный код, поэтому скрипты необходимо тщательно проверить, прежде чем они будут выложены на сайт. Скрипты не должны запускать случайные команды или посторонние (опасные) программы, позволять пользователям выполнение определенных узкоспециализированных задач, а также ограничивать количество параметров входящего потока. Последнее необходимо для предотвращения атак на переполнение буфера. (При атаках такого рода злоумышленник пытается принудить систему к запуску программы арбитража с целью получения дополнительной информации.) Наконец, скрипты не должны обладать правами администратора.
Маршрутизаторы с фильтрацией пакетов
Маршрутизаторы устанавливают для того, чтобы отделить Web-серверы от остальной части сети. Этот шаг поможет предотвратить многие атаки, не допуская проникновения "чужих" (не правильных) пакетов. Обычно маршрутизаторы удаляют все пакеты, которые не идут на Web-сервер (например, на порт 80) или к портам, использующимся при удаленном администрировании. Для повышения степени безопасности можно составить перечень пакетов, подлежащих пропуску. Таким образом, хакеру останется еще меньше возможностей для проникновения в сеть. Маршрутизатор с функцией фильтрации пакетов будет более эффективен для предотвращения атак при условии удаления с сервера всего ненужного программного обеспечения (злоумышленник не сможет запросить нестандартный сервис). Однако следует иметь в виду, что применение пакетной фильтрации снижает пропускную способность маршрутизатора и увеличивает риск потери "правильных" пакетов.
Обучение персонала
Часто хакеры проникают в систему из-за того, что администраторы сети не владеют знаниями в области обеспечения безопасности или пренебрегают вопросами защиты. Поэтому занимающим эту должность сотрудникам следует постоянно совершенствоваться, изучая системы безопасности сети и используя полученные знания на практике. Несколько отличных книг и учебных семинаров также помогут вашим администраторам.
Разделение привилегий
Независимо от серьезности мер, предпринятых для обеспечения безопасности Web-сервера, вероятность проникновения тем не менее полностью исключить нельзя. Что ж, если это все-таки произошло, важно минимизировать последствия атаки. Разделение привилегий являет собой эффективный способ для достижения этой цели: каждый пользователь может запускать только определенные программы. Поэтому хакер, проникнувший в сеть по скомпрометированным данным отдельного пользователя, сможет нанести системе лишь ограниченный вред. Например, у пользователя на сайте есть свои страницы, но другие страницы ему недоступны. Следовательно, хакер, добыв данные первого пользователя, окажется не в состоянии как-либо повлиять на прочие ресурсы (страницы). Так же обстоят дела и с программным обеспечением. В целях повышения уровня безопасности для пользователей, обладающих правами записи, можно создать личные поддиректории.
Аппаратные решения
Аппаратура, в плане разделения привилегий, имеет более высокий уровень безопасности, так как в отличие от программного обеспечения не так легко модифицируется. Но через дыры в программном обеспечении хакер может получить доступ и к аппаратным средствам. Одним из наиболее доступных способов защиты от этой угрозы является запрет режима записи на внешние жесткие диски, магнитооптические диски и т. д. Обычно для предотвращения атак Web-сервер конфигурируют на режим "только чтение".
Внутренние межсетевые экраны
Современные Web-серверы часто работают
с распределенными системами, они
могут взаимодействовать с
Сетевые системы обнаружения вторжений
Несмотря на все попытки установить
"заплатки" на Web-сервер и реализовать
безопасную конфигурацию, невозможно
добиться гарантированного исключения
всех уязвимостей. Тем более что
Web-сервер, защищенный от внешних атак,
может быть выведен из строя нарушением
работы одного из сервисов. В этом случае
важно получать оперативную информацию
о подобных происшествиях, для минимизации
последствий атаки или быстрого
восстановления работоспособности
сервиса. Для получения такой
информации используют сетевые средства
обнаружения вторжений. Сетевые
системы обнаружения вторжений (IDS)
сканируют весь трафик сети и выявляют
несанкционированную
Системы обнаружения вторжений, размещаемые на серверах (хостах)
Системы обнаружения вторжений, размещаемые на серверах, лучше справляются с задачей определения состояния сети, чем сетевые IDS. Обладая всеми возможностями сетевых IDS, во многих случаях серверные IDS лучше выявляют попытки нарушения защиты, так как обладают более высоким уровнем доступа к состоянию Web-сервера.
Однако и этот способ не лишен
своих недостатков. Если хакер проникнет
на Web-сервер, он сможет отключить серверные
IDS, блокировав тем самым получение
сообщений об атаке администратором.
Удаленные атаки на отказ сервиса
(DoS атаки) также часто блокируют
IDS на время выхода из строя сервера.
А так как DoS-атаки позволяют
злоумышленникам блокировать
Ограничения существующих решений и дополнительные меры
Все специалисты по безопасности советуют
использовать защищенное программное
обеспечение, но в некоторых случаях
установить его невозможно из-за дороговизны
или нехватки времени. Мало того, безопасное
программное обеспечение через
некоторое время устаревает, и
необходимо устанавливать новую
версию. Поэтому использование
Уровень безопасности программного обеспечения,
может быть оценен, во-первых, путем
анализа ранее совершенных атак
на серверы, на которых было установлено
такое же (или подобное) ПО. Количество
атак показывает насколько устойчиво
к ним ПО. Причем надежность программного
обеспечения прямо зависит от
его качества. Некачественное программное
обеспечение не учитывает всех требований
к системе безопасности и уже
поэтому не надежно. Во-вторых, некоторые
компании, специализирующиеся на создании
систем безопасности склонны преувеличивать
возможности своих продуктов (в
плане отсутствия уязвимостей), поэтому
при проектировании систем безопасности
своих серверов пользователи должны
учитывать это обстоятельство. В-третьих,
оценить уровень безопасности программного
обеспечения можно путем
В заключении выделим основные правила
которые системный
1.Использовать наиболее
2.Быть всегда в курсе
3.Как можно часто проводить собеседования с персоналом.
4.Ограничить как можно
5.Периодически изменять
6.Использовать резервное
Данные меры предотвратят или смягчат возможные последствия взлома системы.
2. Безопасность WEB-серверов // URL: http://book.itep.ru/6/web_68.
3. Обеспечение безопасности web-серверов
// URL: http://www.intuit.ru/studies/
4. КАК
ЗАЩИТИТЬ ВЕБ-СЕРВЕР // URL: http://www.xakep.ru/magazine/