Компаниям, которые подключают свои серверы к сети, нужно следить за тем, что бы ресурсы, предлагаемые ими для легального использования, не использовались со злой целью мошенниками. Злоупотребления могут быть самые различные: так на вашем сайте могут разместить пиратские программы, а URL опубликовать в соответствующих телеконференциях, использовать для своих целей ресурсы вашей системы (процессоры – для больших и сложных вычислений, принтеры – для распечатки тысяч страниц). Часто злоумышленники атакуют чужие системы, прикрываясь чужим именем.
Из-за их деятельности органы правопорядка в интернете и владельцы других сайтов могут обвинить Вас в попытках взлома или в том, что такие попытки совершались под вашим руководством или с вашего ведома. Даже если Вам удастся доказать свою правоту и непричастность к преступлению, всё равно ваша репутация потерпит непоправимый урон, а это в свою очередь приведёт к тому, что урон получит и ваш электронный бизнес. Чтобы помочь органам правопорядка в поисках настоящих взломщиков, нужно организовать дополнительное резервное копирование файлов журнала регистрации и гарантировать, что все приложения и сервисы вносят в журналы точную неискажённую информацию.
О нападении может свидетельствовать удалённый файл регистрации или пустой журнал Unix-оболочки. Обычно хакеры атакуют систему, взламывая пароли зарегистрированных пользователей. Это облегчает им навигацию по системе и не вызывает подозрений у других пользователей системы, подключённых в то же самое время.
Успех большинства атак можно объяснить тем, что в конфигурации внешних систем могут быть ошибки, а также в операционной системе, сетевых устройствах или приложениях, работающих на внешних серверах и в режиме суперпользователя. Подобные «дыры» в программах могут открыть систему для проникновения.
Ещё один способ взлома систем связан с недостаточной защитой ценных файлов. Раньше хакеры проникали в системы, добравшись до файла пароля, который потом загружали в свои компьютеры через ftp или http. Затем коды паролей хакер не спеша расшифровывал на своём компьютере; так он мог не оставлять следов, пытаясь проникнуть в систему с помощью перебора паролей. Расшифровав пароль, он спокойно входил в систему, как авторизованный пользователь.
Хотя Web-серверы нередко подвергаются нападениям, с помощью последних версий программного обеспечения можно обеспечить достаточно надёжную защиту, обойти которую можно только если есть ошибки в конфигурации. Значительно хуже дело обстоит с серверными приложениями, подключёнными к интернету. Дело в том, что по замыслу разработчиков они очень часто не поддерживают функции безопасности, поэтому столь уязвимы и являются слабым звеном в защите системы.
Проникнув на внешние серверы хакер получает информацию о внутренних серверах, а там может храниться жизненно важная для компании информация. Поэтому так важно обеспечить надёжную защиту внешних веб-серверов. Одного брандмауэра не достаточно для защиты серверной платформы. Нужно защитить хосты. Только так брандмауэр сможет блокировать весь нежелательный трафик.
Меры предосторожности нужно принимать постоянно. Система защиты должна отслеживать все попытки вторжения и информировать о них так как обнаруженные «дыры» всегда будут представлять угрозу безопасности. Злоумышленники способны изменять конфигурацию системы, приспосабливая её для своих целей – снижают параметры защиты или добавляют новых пользователей. Эти изменения можно выявить если регулярно проверять целостность ключевых файлов (например файла паролей). Если несанкционированное изменение конфигурации всё таки произошло, это говорит о том, что в системе защиты имеется брешь.
Необходимо использовать систему аудита, которая позволит администратору вовремя вмешиваться и предотвращать попытки проникновения.
Вот основные требования для системы аудита.
– ВОЗМОЖНОСТЬ АДАПТАЦИИ. Журнал аудита выполняется в стандартном формате и позволяет с помощью стандартных средств создавать отчёты для руководства.
-АВТОМАТИЗАЦИЯ. Механизм аудита должен иметь возможность закрыть систему для проникновения.
-КОНФИГУРИРУЕМОСТЬ. В системе должно быть доступным добавление, редактирование и удаление элементов из числа предусмотренных функций.
-ГИБКОСТЬ. Управление потреблением системных ресурсов должно быть гибким.
-УПРАВЛЯЕМОСТЬ. Необходимо иметь средства управления файлами различных сеансов.
-СИСТЕМНЫЙ УРОВЕНЬ. Как на уровне операционной системы так и на уровне приложений необходимо обеспечить мониторинг базовых системных функций.
Например, если один и тот же пользователь утром входит из Кореи, а днём из Швейцарии, то система защиты должна сработать и оповестить об этом администратора. Сканирование порта с определённого IP-адреса тоже может являться сигналом тревоги. Поводом для беспокойства могут быть так же повторяющиеся неудачные попытки входа в систему.
В систему оповещения стоит встроить возможность отправлять сообщения на сотовый телефон или электронный адрес ответственному за безопасность лицу. Кроме того нужно позаботиться о том что бы эта система могла работать как в автоматическом так и ручном режиме.
Squid как Reverse прокси
Такой метод работы прокси-сервера еще называют Web Server Acceleration, заключается он в расположении прокси между Интернетом и сервером. Таким образом он меняет принцип своей работы на обратный – вместо выпуска пользователей в Инет он впускает Интернет пользователей на сайт.
Преимущества такой цепочки – ускорение работы (в случае статических страниц), более безопасная работа Web-сервера и возможность углубленной настройки промежуточного звена, но бишь прокси-сервера. Процедуры настройки кэширования данных в общем говоря ничем не отличаются от традиционных (forward прокси), главное отличие само собой скрывается в настройке ACL (access control lists).
Шифрование данных
<
p class=”pl24″>Для защиты данных, хранящихся на дисках сервера, предложим использовать шифрование этих данных с использованием стойких к взлому криптоалгоритмов. Рассмотрим типовую схему применения системы шифрования информации, хранящейся на сервере.
Применение шифрования позволяет предотвратить несанкционированный доступ к данным при соблюдении следующих условий: данные на дисках всегда хранятся в зашифрованном виде и управление этими данными может осуществлять только назначенный офицер безопасности.
Адекватная система защиты данных, хранящихся и обрабатываемых на серверах должна обладать следующим набором качеств:
- Использование стойких алгоритмов шифрования, возможность подключения внешних (уже установленных на сервере) крипторовайдеров;
- Защита мастер-ключа с помощью специальных аппаратных носителей, базирующихся на смарт-карт технологиях;
- Блокирование прямого доступа пользователей к защищенным данным, обрабатываемым на серверах приложений (в этом режиме работа с данными возможна только для приложений, работающих на сервере);
- Высокая скорость работы за счет использования технологии многопоточного шифрования;
- Отказоустойчивость и защита данных от программных и аппаратных сбоев в процессе шифрования (в том числе и в результате сбоев питания компьютера).