Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Обеспечение безопасности Web-приложений

Джефф Форристал

Представьте себе следующую сетевую инфраструктуру: корпоративная локальная сеть подсоединена к Интернет через маршрутизатор, который сбрасывает весь входящий трафик, за исключением трафика HTTP (80-й TCP-порт). Расположенный за маршрутизатором межсетевой экран переадресует HTTP-запросы другому межсетевому экрану, образующему демилитаризованную зону (ДМЗ). Последний осуществляет трансляцию IP-адресов с помощью механизма NAT (Network Address Translation) и отсылает их на Web-сервер назначения. Этому Web-серверу разрешено устанавливать соединения с сервером БД, размещенным за третьим межсетевым экраном. Тот в свою очередь пропускает только трафик БД-приложений, курсирующий между Web-сервером и сервером БД. Таким образом, реализуется, казалось бы, защищенная (хотя и сложная) корпоративная сетевая инфраструктура и отвечающие за ее безопасность администраторы могут спать спокойно по ночам…

Так будет продолжаться до тех пор, пока в темноте одной из таких “безмятежных” ночей вдруг не возникнет злоумышленник, способный добраться до конфиденциальных корпоративных данных через “дыры” в Web-серверных приложениях, написанных незадачливым программистом. Но почему же столь сложная система безопасности не сможет предотвратить это? Ответ прост: такой взломщик наносит удар не на сетевом, а на прикладном уровне. Предположим, что ваш Web-сервер доступен из Интернет, тогда-то к нему и открывается автоматически “зеленый коридор” на уровне приложений (по протоколу HTTP). Далее, если Web-сервер настроен на обмен данными с сервером БД, значит, ему разрешается устанавливать соединения с последним. Таким образом, взломщику нет нужды узнавать пользовательские имена и пароли для доступа к БД, так как вся необходимая информация у Web-сервера уже имеется и он все сделает за него сам, установив нужные соединения.

Достаточно беглого просмотра содержимого какого-нибудь из опубликованных в Интернет архивов выявленных элементов уязвимости (security-vulnerability), чтобы убедиться в обилии неаккуратно запрограммированных CGI-приложений, которыми взломщики могут воспользоваться для проникновения на Web-серверы. БД современных сканеров безопасности насчитывают свыше 200 уязвимых CGI-программ, и всем им присущ один и тот же недостаток: неумело написанный программный код.

Многие программисты просто-напросто не осознают того, что их роль в деле обеспечения сетевой безопасности своей организации не менее важна, чем роль межсетевого экрана. Результатом анализа уже свершившегося сетевого нападения часто становится понимание того, что оно стало возможным не по вине межсетевого экрана, а по вине корпоративного приложения. Ведь экран всего лишь ограничивает доступ к этому приложению извне.

***

Полную версию данной статьи смотрите в 7-м номере журнала за 2000 год.

• Распространенные ошибочные представления
• Осторожно: сookie
• Не передавайте конфиденциальную информацию по сети
• Избегайте передачи данных в SQL-запросах





  
7 '2000
СОДЕРЖАНИЕ

колонка редактора

• Аутсорсинг как средство борьбы с энтропией в сетях

локальные сети

• Эволюция кабельных стандартов

• Компактные специализированные файл-серверы

• Тестируем 11-Мбит/с оборудование для беспроводных ЛВС

услуги сетей связи

• Интегрированные устройства доступа: мощь и интеллект на границе

• IP-телефония "седлает" радиоволну

• Телефонное время и деньги

• Тестирование кабелей для служб xDSL

• Перспективы развития и услуги ГП КС

новые продукты

• Solaris 8 - лучшая платформа для Web-сервераб, Definity переходит на IP-телефонию: просто смени ПО

только на сервере

• Остановите варваров на подступах к сети

• Dell PowerEdge 4400 - мощный сервер для сети отдела предприятия

корпоративные сети

• Реализация агентов SNMP для управления сетями связи

• Этот восхитительный, восхитительный мир IP

• Три сервера SMB

электронная коммерция

• Метаязык на века

• Малый бизнес получает доступ в Интернет

• "Интернетизация" ERP-систем

бизнес

• Высоконадежным системам - "железную" поддержку

• СКС SYSTIMAX - дорога в будущее

защита данных

• Обеспечение безопасности Web-приложений


• КАЛЕЙДОСКОП



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх