Создание электронного учебника по дисциплине "Компьютерные сети"

дипломная работа

2.7 Меры по информационной защите Web-проекта

Защита сайта от вирусов. Причиной появления вирусов на сайте может быть либо зараженность сервера, на котором размещен сайт, либо, наиболее часто, кража паролей для доступа к серверу сайта.

Для защиты сайта от вирусов, рекомендуется:

не производить работы с сайтом на общих или непроверенных на наличие вирусов компьютерах;

не использовать простые пароли;

не использовать для работы с сайтом неизвестные или неоригинальные программы, особенно взломанными FTP клиенты;

регулярное изменение пароля, хотя бы - раз в месяц.

Для проверки сайта на вирусы и если потребуется удалить их, используется специальная система Site Guard (Защитник сайта), во многом популярен тем, что получил бесплатное распространение. При постоянной проверке сайтов на вирусы в Site Guard используется как база сигнатур вирусов, так и эвристический анализатор, позволяющий выявлять неизвестные системе типы вирусов. Дополнительный анализатор поведения позволяет предотвратить ложные срабатывания при появлении потенциально безопасных кодов. Помимо обнаружения вирусов, комплекс Site Guard осуществляет общий мониторинг и может информировать, если сайт по какой-либо причине недоступен (например, в случае взлома или отключения сервера). Полезной функцией также является автоматическое напоминание владельцу сайта о необходимости продления оплаты доменного имени - к сожалению, иногда письма с напоминаниями от регистраторов просто не приходят, и доменное имя из-за просрочки платежа оказывается занятым киберсквоттерами.

Так же, стоит позаботится, о таком частом явлении как Dos-атаки.

DoS-атака - атака на вычислительную систему с целью вывести её из строя, то есть создание таких условий, при которых легитимные (правомерные) пользователи системы не могут получить доступ к предоставляемым системой ресурсам, либо этот доступ затруднён. Отказ "вражеской" системы может быть как самоцелью (например, сделать недоступным популярный сайт), так и одним из шагов к овладению системой (если во внештатной ситуации ПО выдаёт какую-либо критическую информацию - например, версию, часть программного кода и т.д.).

Существуют различные причины, по которым может возникнуть DoS-условие:

ошибка в программном коде, приводящая к обращению к неиспользуемому фрагменту адресного пространства, выполнению недопустимой инструкции или другой необрабатываемой исключительной ситуации, когда происходит аварийное завершение серверного приложения. Классическим примером является обращение по нулевому указателю;

недостаточная проверка данных пользователя, приводящая к бесконечному либо длительному циклу или повышенному длительному потреблению процессорных ресурсов (исчерпанию процессорных ресурсов) либо выделению большого объёма оперативной памяти (исчерпанию памяти).

Флуд - атака, связанная с большим количеством обычно бессмысленных или сформированных в неправильном формате запросов к компьютерной системе или сетевому оборудованию, имеющая своей целью или приведшая к отказу в работе системы из-за исчерпания ресурсов системы - процессора, памяти либо каналов связи.

Атака второго рода - атака, которая стремится вызвать ложное срабатывание системы защиты и таким образом привести к недоступности ресурса.

Существует мнение, что специальные средства для обнаружения DoS-атак не требуются, поскольку факт DoS-атаки невозможно не заметить. Во многих случаях это действительно так. Однако достаточно часто отмечались успешные атаки, которые были замечены жертвами лишь через 2-3 суток. Бывало, что негативные последствия атаки флуд заключались в излишних расходах по оплате трафика, что выяснялось лишь при получении счёта. Кроме того, многие методы обнаружения атак неэффективны вблизи цели атаки, но эффективны на магистральной сети. В таком случае целесообразно ставить системы обнаружения именно там, а не дожидаться, пока пользователь, подвергшийся атаке, сам её заметит и обратится за помощью. К тому же, для эффективного противодействия необходимо знать тип, характер и другие показатели DoS-атаки, а оперативно получить эти сведения как раз и позволяют системы обнаружения.

Методы обнаружения можно разделить на несколько больших групп:

сигнатурные - основанные на качественном анализе трафика;

статистические - основанные на количественном анализе трафика;

гибридные - сочетающие в себе достоинства двух предыдущих методов.

Меры противодействия DoS-атакам можно разделить на пассивные и активные, а также на превентивные и реакционные.

Предотвращение. Профилактика причин, побуждающих тех или иных лиц организовывать DoS-атаки. Очень часто атаки являются следствиями личной обиды, политических, религиозных разногласий, провоцирующего поведения жертвы и т.п.

Фильтрация и блэкхолинг. Эффективность этих методов снижается по мере приближения к цели атаки и повышается по мере приближения к её источнику.

Устранение уязвимостей. Не работает против атак типа флуд, для которых "уязвимостью" является конечность тех или иных ресурсов.

Рассредоточение. Построение распределённых и продублированных систем, которые не прекратят обслуживать пользователей, даже если некоторые их элементы станут недоступны из-за атаки.

Увод непосредственной цели атаки (доменного имени или IP-адреса) подальше от других ресурсов, которые часто также подвергаются воздействию вместе с непосредственной целью. Активные ответные меры. Воздействие на источники, организатора или центр управления атакой, как технического, так и организационно-правового характера.

Внедрение оборудования по отражению DoS-атак. Например DefensePro.

Система DefensePro есть устройство безопасности, обеспечивающее защиту внутренних ресурсов от различного вида сетевых атак:

защита на уровне сети. Защита от DOS/DDOS атак. Защита от сканирования. Защита от сетевых червей;

защита на уровне серверов. Защита от SYN-flood. Ограничение одновременных подключений. Защита от подбора паролей. Защита от HTTP-flood атак;

защита на основе сигнатур;

глубокая инспекция протоколов.

У программы довольная широкая система настроек. DefensePro обладает возможностью настройки политик как на уровне сети, так и на прикладных уровнях. Политики защиты уровня сети позволяют контролировать целые сегменты и управлять проходящим трафиком. Политики уровня приложений или политики контроля серверов позволяют отслеживать все обращения к каждому конкретному серверу и управлять ими. Данные политики применяются к заранее определенным сегментам сети и позволяют выявлять и блокировать нежелательную сетевую активность. Каждая сетевая политика состоит из следующих компонентов:

описание сетевого сегмента - порт, к которому подключен сегмент, адреса источников и назначений;

профили безопасности;

необходимые результирующие действия.

Для защиты на уровне сети существует два профиля Intrusion Preventions и Deny of Service Protection. Которые в свою очередь состоят из:

сигнатура - защита на основе сигнатур, защита от DOS/DDOS атак, защита от известных уязвимостей;

сканирование - защита от вертикального и горизонтального сканирования, а также защита от zero-day эксплоитов;

tateful inspection: глубокая инспекция некоторых протоколов;

behavioral DOS: самообучаемая система предотвращения DOS/DDOS атак, защита от flood-атак, защита от бот-сетей;

connection limit: ограничение числа соединений;

На рисунке 9 можно увидеть окно с уже готовыми настройками.

Рисунок 9 - Окно Connect & Protect

Данная защита позволяет предотвращать сетевые атаки, атаки на операционные системы, атаки на приложения, DOS атаки. Защита построена на основе сигнатур. Её можно увидеть на рисунке 10.

Рисунок 10 - Окно защиты от DOS атаки

Сигнатуры берутся из встроенной базы данных. Существует возможность строить свои правила на основе необходимых критериев. База данных сигнатур периодически обновляется. Загрузить обновления на устройство можно с помощью меню "APSolute OS > Security Updates". К сожалению, я не нашел, где можно получить более подробную информацию о каждой сигнатуре.

Есть возможность организовать защиту от сканирования портов:

GW - для обнаружения попыток сканирования;

Carrier - обнаружение масштабных угроз сканирования от сетевых червей;

Internal - предотвращение распространения сетевых червей внутри корпоративных сетей. Параметры сканера можно увидеть на рисунке 11.

Рисунок 11 - Настройки сканера по выявлению угроз

В параметре "Trusted Ports" можно указать список портов, по которым разрешено сканирование. Горизонтальное сканирование представляет собой экспоненциальный рост зараженных машин во время эпидемии вируса. Каждый вирус на зараженной маши+не генерирует произвольный список ip-адресов, сканирует их и в случае нахождения уязвимости заражает своей копией. Новый вирус проделывает те же самые операции. Вертикальное сканирование производится при сканировании одного или нескольких хостов на предмет открытых портов и запущенных служб. Дополнительные настройки механизмов обнаружения сканирований находятся на вкладке "Security Settings" в меню настройки DefensePro.

Механизм Beherival DOS. Данный механизм позволяет адаптивно анализировать проходящий трафик. В случае появления в сети аномальной активности, создается снимок трафика и выявляется легитимность проходящих пакетов. Решение о блокировке или пропуске трафика принимается в течении 10-18 секунд. Данный вид защиты необходимо отдельно лицензировать. Для правильной настройки Behavioral DOS параметров, необходимо указать правильные параметры для пропускной способности канала и необходимых квотах.

Мониторинг. Грош - цена любому сетевому устройству, если у него нет возможностей мониторинга, сбора статистики и вывода отчетов. У DefensePro - есть все, причем даже есть возможность мониторинга трафика и активных атак в реально режиме времени. Это окно можно увидеть на рисунке 12.

Рисунок 12 - Окно мониторинга

По правой кнопке можно получить дополнительную информацию об атаке, можно посмотреть правило, которое выявило атаку, можно экспортировать пакеты в формат PCAP для дальнейшего анализа.

Делись добром ;)