Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Защищаемся от XML-атак

Лори Маквитти

Обеспечение безопасности Web-служб очень скоро станет вашей первостепенной задачей. Мы протестировали три устройства защиты и остались довольны каждым из них, однако лучшим был назван продукт XS40 XML Security Gateway компании DataPower за его производительность, интегрируемость и гибкость.

По мере того как Web-сервисы распространяются все больше, взломщики начинают присматриваться к ним все пристальнее. На сегодняшний день онлайновая служба Forum Vulcon, публикующая уведомления о найденных уязвимостях XML-приложений, которые используют Web-интерфейс, сообщила о наличии более чем ста таких уязвимостей. Это может показаться сущим пустяком по сравнению с тысячами известных атак на Web-приложения и серверы БД, но опасность таится в том, что успешная XML-атака послужит своего рода отмычкой, открывающей злоумышленнику доступ к целому ряду уязвимостей в приложениях. В сообщениях протокола SOAP (Simple Object Access Protocol) содержатся команды, предназначенные для исполнения на серверной стороне, поэтому атаки на серверы приложений способны инкапсулироваться в XML-контент и передаваться внутри него на целевой сервер, где и наносится удар.

Поскольку формат XML является самоопределяемым, то с точки зрения грамматики и контента его уязвимости весьма разнообразны и труднопредсказуемы. В связи с этим применительно к Web-службам хорошее устройство безопасности должно не только функционировать как обычный МЭ, предоставляя или запрещая сетевой доступ на основе главным образом информа-ции уровня 4 модели OSI, такой, как IP-адреса и номера портов, но и защищать серверы от атак с использованием уязвимостей, присущих технологии XML. Таким образом, помимо фильтрации пакетов, обеспечение безопасности Web-служб требует еще и тщательного анализа содержимого их полезной нагрузки.

Желая получить представление о реакции рынка на данную проблему, мы предложили 11 поставщикам средств безопасности

Web-служб принять участие в тестировании МЭ на базе нашей лаборатории бизнес-приложений в Грин-Бее. Компании DataPower, Reactivity и Sarvega, не раздумывая, согласились на это. Фирма Layer 7 сначала тоже согласилась, но, замешкавшись с отправкой своего продукта, выбыла из числа участников. Компания Check Point Software Technologies сперва решила принять наше предложение, однако потом передумала и отказалась. Фирма Forum Systems не стала участвовать, сославшись на недостаток ресурсов, а компании Digital Evolution и Vordel заявили о том, что не производят МЭ. Компанию Xtradyne в прошлом году купила фирма PrismTech, до сих пор продолжающая позиционировать свой продукт. Компании Oblix и Forum Systems заключили партнерское соглашение, и поскольку последняя отказалась иметь с нами дело, то не было смысла приглашать и Oblix (кстати, позже ее приобрела фирма Oracle). И наконец, компания Actional, слившаяся в прошлом году с фирмой Westbridge, тоже отказалась от те-стирования, посчитав, что наша затея не отвечает ее целям.

Столь малое число участников поначалу несколько смутило нас, но в конце концов мы посчита-ли, что, возможно, компании еще сами для себя не уяснили, что за продукты они производят и как их следует называть. (О нашем взгляде на эту проблему см. “Игра в названия”.)

Хотя большинство обычных МЭ обеспечивают возможность пользовательской аутентификации и авторизации относительно тех или иных служб, но ее используют далеко не всегда; эти продукты, как правило, осуществляют лишь общее управление доступом, и их механизмы обработки пакетов не учитывают содержимое полезной нагрузки. В то же время XML-экраны обязаны делать это с целью оградить корпоративные службы от вторжения нежелательных контента и пользователей. Несмотря на то, что контроль XML-контента, передаваемого по HTTP и даже SOAP, можно осуществлять методом аутентификации, например, с помощью HTTP Basic Auth, более предпочтительно использовать для этого специальные механизмы, например WS-Security 1.0, требующие как аутентификации, так и авторизации для доступа к полезной нагрузке и извлечения удостоверяющих данных.

Тестирование проводилось на базе действующей инфраструктуры Web-служб журнала Network Computing, включающей интерфейсы SOAP для приема и обработки заказов и реализованной на основе ПО IBM WebSphere 6.0. Собрав запросы и ответы по всем операциям, мы пропустили эти данные через эмулятор сервера приложений Spirent WebReflector с целью исключить возможные задержки. Мы ограничились трафиком из расчета 2 тыс. пользователей, работающих одновременно, что вполне соизмеримо с реальной нагрузкой на Web-службы предприятия среднего масштаба. (О типах проведенных нами атак см. “Как тестировались XML-экраны”.)

Базовые принципы оценки

Мы сгруппировали критерии оценки возможностей продуктов по соответствующим категориям. Так, в категорию “Защита” вошли четыре критерия, которые по суммарной значимости, на наш взгляд, составляют половину итоговой оценки.

Целостность сообщений. Мы тестировали устройства на предмет их способности шифровать ценные данные и проверять подписи на входящих запросах. В качестве основных механизмов проверки целостности сообщений для XML/Web-служб выступают XML Encryption и XML-DigitalSignature. По этому же критерию нами оценивалась способность устройств использовать протокол SSL при передаче данных.

Защита от DoS-атак. Мы исследовали способность каждого устройства к самозащите и к защите подконтрольных сервисов от атак, вызывающих отказ в обслуживании и использующих для этого документы больших объемов, ошибки в XML-анализаторах и прочие подобные методы.

Защита контента. Здесь проверялась способность каждого устройства отражать атаки на серверные службы, включая SQL-подстановки и атаки с применением внешних объектов.

Аутентификация и авторизация. К этому критерию мы отнесли поддержку устройствами различных протоколов Web-служб, в частности WS-Security, для удо-стоверения личности пользователя при проведении операций.

Кроме того, принимались во внимание управление операциями, безопасность механизмов администрирования, производительность, точность работы при высоких нагрузках, а также стоимость.

И наконец, мы разузнали у поставщиков все о методах обновления ПО их устройств в случае обнаружения новых уязвимостей.

Защита от атак

Все протестированные продукты в той или иной степени позволяли обезопасить наши XML-службы, но при этом были выявлены различия в их настройках по умолчанию и в уровнях контроля. Так, в устройстве XML Guardian Gateway компании Sarvega по умолчанию конфигурировалось правило двустороннего подтверждения правильности XML-схемы. Благодаря проверке соответствия входящих запросов назначенной схеме данный подход позволяет без дополнительного конфигурирования отражать такие XML-атаки, как использование альтернативных наборов символов и SQL-подстановки в полях, не являющихся строковыми. Продукты компаний DataPower и Reactivity осуществляют аналогичную проверку, но добавлять ее в политику безопасности придется вручную. Естественно, что подтверждение соответствия XML-схеме не гарантирует вам полную безопасность входящего контента, поскольку всегда найдутся схемы, разрушающие этот механизм защиты, который, кстати говоря, более всего уместен для защиты серверных служб от враждебного XML-кода.

Наверное, SQL-подстановки представляют собой наиболее разрушительные атаки в том плане, что взломщик может свободно манипулировать данными. “Из коробки” только продукт XML Guardian компании Sarvega сумел остановить нашу SQL-атаку. С ее помощью мы заведомо “завалили” продукты компаний DataPower и Reactivity, чтобы можно было оценить методологию обновления их ПО в случае обнаружения “неизвестной” уязвимости. Устройство XS40 компании DataPower полностью основано на расширяемом языке стилевых таблиц (Extensible Stylesheet Language —XSL); здесь сигнатуры уязвимостей обновляются посредством загрузки в устройство соответствующих XSL-файлов. Так, после загрузки в XS40 сигнатуры SQL-атаки она больше не проходила. Вопреки ожиданиям присланные нам устройства не оказались “проактивными” в плане обновления контент-фильтров. В отличие от антивирусов, обновляющих свои БД по расписанию, протестированные нами продукты поддерживают лишь обновление вручную в случае обнаружения новых уязвимостей.

С целью улучшения защиты от новых уязвимостей компания Reactivity, как и фирма Sarvega, использует фильтрацию контента в качестве основного механизма. Однако в отличие от компаний DataPower и Sarvega она снабжа-ет каждый новый файл контент-фильтра цифровой подписью, которая проверяется при загрузке на устройство до добавления в систему. Для всех тестируемых продуктов мы написали собственные контент-фильтры с целью расширения функциональных возможностей и улучшения защиты. Так, новый контент-фильтр был написан для устройства компании Reactivity. Он позволял распознавать нашу SQL-атаку “UNION SELECT” посредством сопоставления регулярных выражений. Возобновив тестирование, мы убедились в том, что устройство успешно отразило эту атаку.

Все три протестированных продукта в одинаковой степени поддерживают стандартные шифрование (XML-ENC) и цифровые подписи (XML-DSIG). При конфигурировании устройств нам пришлось добавить в политику безопасности каждого из них правила для шифрования и проверки цифровых подписей; с этим заданием мы легко справились на всех устройствах. Однако в отличие от фирмы Reactivity компании Sarvega и DataPower пошли дальше и ввели ограничения на параметры сообщений и структуру входящих XML-документов, в частности на число и глубину вложенности узлов и количество входящих элементов. Для предотвращения атак, затрагивающих синтаксис, подобный контроль окажется весьма полезным. Лишь продукт XML Security Gateway от компании Reactivity позволил нам ввести ограничения на отправляемые им сообщения нашим серверам, за исключением SOAP-сообщений. Чтобы ограничить размер сообщений, нам пришлось править конфигурационный файл вручную и затем перезапускать службы. В результате изменения затронули все, а не отдельно взятые сообщения, как нам бы того хотелось.

Возводим оборонительную преграду

Поставщики многих продуктов уже отдали предпочтение ПО Eclipse с открытым исходным кодом в качестве базового интерфейса к устройствам и приложениям управления (см. www.eclipse.org/webtools/). Производители XML-экранов тоже обратили на него внимание. Так, компании Sarvega и DataPower включили в свои продукты инструменты управления Eclipse. Мы отдали предпочтение приложению CommandCenter компании Sarvega, которое оказалось намного лучше ее же функционально ограниченной Web-консоли администрирования. Вместе с тем у компании DataPower одинаково эффективны как инструментарий Eclipse, так и Web-консоль, которая совершенствуется с каждым релизом и по функциональности и простоте использования превосходит Web-консоль фирмы Reactivity.

И все же ни один продукт не обеспечивал должного конфигурирования через Web-консоль. Средства управления уровней 2 и 3 в продуктах компаний DataPower и Reactivity мы настраивали через терминальную или SSH-службу, а в продукте от Sarvega — посредством LCD-панели. Чтобы получить подробную информацию о процессах, использовании ЦПУ и памяти, компании DataPower и Sarvega предлагают воспользоваться управляющей консолью, в то время как фирма Reactivity рекомендует лишь окно терминала, из которого посредством протокола SSH приходилось запускать такие Linux-утилиты, как top.

Все три протестированных нами устройства хорошо справились с управлением функциями через консоли администрирования, причем в продуктах от DataPower и Reactivity оказались наиболее удобные и интуитивно понятные в плане навигации интерфейсы. Тестируя продукт от Reactivity, мы без труда справились с конфигурированием обработки сообщений, что подразумевало описание действий над сообщением и их последовательность, тогда как в устройстве от DataPower эта же операция вызывала у нас легкое замешательство. Например, было неясно, что мы конфигурируем в графическом интерфейсе администратора XS40 — запрос или ответ. У устройства компании Sarvega этот же процесс был осложнен иерархической природой ПО Eclipse, являющегося по существу редактором на основе файловой системы.

XPath — основной метод манипулирования XML-файлами — все продукты поддерживали по-разному. Редактор XPath устройства XML Guardian Gateway заработал отлично, но только после установки “заплаты” от компании Sarvega. Прекрасно работал и инструмент от компании DataPower. Он позволял осуществлять такие операции, как шифрование отдельных элементов внутри XML-документа. В продукте фирмы Reactivity процесс генерации XPath оказался чересчур сложным.

Стресс-тестирование

Сформировав политики безопасности, мы начали тестировать устройства на предмет производительности распознавания легитимного и нелегитимного трафика. Продукт XS40 точно работал даже при больших нагрузках, однако при этом заметно увеличивался процент использования ЦПУ, а также время задержки на аутентификацию и фильтрацию контента, которые требовали дополнительных анализа и преобразований. Нас не удивило то, что все три устройства осуществляли шифрование, проверку схем и подписей без дополнительных временных затрат. Однако, когда мы стали производить аутентификацию и фильтрацию контента, задав “черные списки” IP-адресов, устройства компаний DataPower и Reactivity начали работать с задержками. Наиболее “быстрым” в этом плане оказалось устройство от Sarvega — при любой конфигурации вносимая им задержка не превышала 1 мс.

После интенсивного тестирования, в ходе которого все три устройства доказали свою способность отражать атаки, было решено увеличить нагрузку, чтобы выявить лидера. Им стал продукт XS40 компании DataPower, которому удалось обойти продукт XML Guardian Gateway компании Sarvega. Тут сказались и менее интуитивная парадигма управления функциями последнего, и его невозможность блокировать IP-адрес злоумышленника при атаке с использованием словаря, на что он реагировал лишь отключением доступа к учетной записи. Устройство от компании Reactivity проиграло своим соперникам лишь в производительности. Одним словом, мы можем смело рекомендовать вам любой из этих продуктов.

XS40 XML Security Gateway 3.1 компании DataPower

На выбор победителя повлияли производительность продукта, его интегрируемость и гибкость. Устройство XS40 с его архитектурой, опирающейся на XSL, быстро реагировало на любые угрозы с нашей стороны. Оно представляет собой четырехпортовое устройство Gigabit Ethernet высотой 1U с отдельным портом управления и последовательным консольным портом. Компания DataPower реализовала в нем собственную фирменную высокопроизводительную технологию XG3 XML.

Административная Web-консоль от DataPower включает программу-мастер конфигурирования и контрольную панель. Нам понравилась четко сформированная схема управления доменами и ролями, позволяющая контролировать доступ на разных уровнях, основываясь на таких атрибутах, как тип объекта — вплоть до конкретного имени последнего, например “Firewall 1” или “NWC Firewall”. Данный уровень контроля предназначен для управления объектами и подразумевает защиту правил, а не сообщений XML, проходящих через устройство.

Для каждого МЭ XS40 позволял настраивать свою политику безопасности, выделяя отдельные порты. Как и в случае с остальными продуктами, нам также удалось создать сложные наборы правил для каждого МЭ, позволяющие эмулировать политику для отдельно взятой операции или типа документа.

Несмотря на неудачные попытки изменить расположение конечного пункта назначения на нашем сервере в проводнике XML Firewall, мы все же воссоздали наш первый сценарий, который включал в себя осуществление двунаправленной проверки схемы, фильтрование контента и ограниченную аутентификацию. В качестве компенсации предусмотренное компанией DataPower правило перезаписи сделало возможным переименование названий служб. Правда, в этом плане не отстали и компании Sarvega и Reactivity — их методы на этот счет оказались более изысканными. Вышеупомянутый сбой удалось исправить с помощью “заплаты”, предоставленной компанией DataPower. Последующее конфигурирование представляло собой непосредственное изменение существующей политики, включающее добавление проверки подписи для одного запроса, шифрование ответа на другой запрос и аутентификацию с использованием заголовков WS-Security для третьего запроса. Как и все протестированные нами продукты, XS40 был способен шифровать не только весь ответ, но и отдельные элементы XML-документа, а также преобразовывать последние через приложение XSLT.

Добавление в XS40 списков IP ACL не вызвало трудностей, однако их пришлось конфигурировать для каждого МЭ, что было схоже с политикой компании Sarvega. Фирма Reactivity полностью игнорировала эту возможность при создании “черных списков”, но использовала ее для ограничения доступа к SOAP-операциям, а именно: к исполнению некоторых функций или методов на сервере приложений.

XML Guardian Gateway 5.0.2 компании Sarvega

Разрабатывая данный продукт, компания Sarvega сосредоточила свое внимание на обеспечении высокой производительности и защите контента и реализовала возможность управления им почти целиком через интерфейс Eclipse CommandCenter 1.6.

Имея высоту 2U, устройство XML Guardian содержит четыре порта Gigabit Ethernet и поддерживает две возможности конфигурирования — с передней панели или посредством последовательной консоли. У него отсутствует выделенный порт управления; вот здесь-то мы, как говорится, и “наступили на грабли”, пытаясь задействовать протокол SSL, поскольку управление ведется через HTTPS на 443-м порту. В этой ситуации можно было либо назначить интерфейсу управления другой порт, либо поменять порты у служб, что в условиях тестирования оказалось сделать проще. Для конфигурирования защищенного управления через Web компании DataPower и Reactivity предложили альтернативные порты по умолчанию, что добавило их продуктам лишние очки.

У нас просто глаза разбежались от изобилия опций в окне настроек размера сообщений. В отличие от продукта компании Reactivity в продукте от Sarvega очень четко реализован контроль структуры XML. Даже устройство компании Datapower со своими возможностями здесь проигрывает ему. Для каждой операции в XML Guardian можно настроить почти любой параметр XML: размер сообщения, глубина вложенности и размеры элементов, число дочерних элементов. Хотя большинство этих ограничений настраиваются по схеме, они редко используются на практике и их все равно трудно заранее сконфигурировать с целью отражения атак. Все же нам понравилась возможность изменять размер сообщения от операции к операции, поскольку потребность в этом возникает довольно часто.

Отличительными особенностями продукта компании Sarvega являются возможность проверки схемы по умолчанию и отсутствие поддержки языка WSDL. Компания заявила, что намерена ждать выхода спецификации WS-Policy. В то же время продукт от DataPower поддерживает данный язык, по существу являющийся посредником, а продукт от Reactivity позволяет создавать агрегированные WSDL-документы, основываясь на правах пользователей, чего мы желаем и продуктам остальных поставщиков. Хотя в целом внедрение стандартных технологий поощряется нами, но, поскольку результирующий стандарт WSDL все равно будет соответствовать спецификации WS-I Basic Profile, эволюция основанных на ней фирменных технологий нас не очень волнует.

Основное недовольство при тестировании продукта XML Guardian у нас вызвали его постоянные перезапуски при изменении конфигурации. Перезапусками не сопровождались лишь небольшие изменения, в остальных же случаях, по выражению компании Sarvega, приходилось ждать, “некоторое время”. В нашем тестировании оно длилось 2—3 мин, причем в этот период службы были недоступны.

Продукт XML Guardian поразил нас своей производительностью, обойдя по ряду показателей устройство XS40. С ним мы забыли, что такое задержка во время отработки тестовых сценариев, чего не скажешь о его соперниках, у которых по меньшей мерев трех сценариях наблюдались задержки. Возможности системы XESOS 5.0.2 нисколько не уступали аппаратным возможностям продукта XS40. Тестируя XML Guardian на производительность, мы могли наблюдать за использованием процессора через Web-консоль. Самого разного рода статистика отражалась в графическом виде почти в реальном времени. Продукт компании Reactivity позволяет вести стати-стику по журналам, в том числе метрики производительности для клиентов и серверов, в то время устройство от DataPower выдает лишь статистику (с небольшой временной задержкой) по некоторым категориям, например таким, как HTTP-транзакции, использование ЦПУ и памяти.

XML Security Gateway and Manager 2400 Series компании Reactivity

Этот продукт не только обеспечивает наиболее гибкие авторизацию и аутентификацию, но и предоставляет динамическую схему защиты от DoS-атак, а также очень удобную консоль администрирования.

В конфигурацию устройства 2400 Series высотой 1U включены два процессора Xeon с тактовой частотой 3,06 ГГц, две карты сетевого интерфейса Gigabit Ethernet и 2-Гбайт ОЗУ, управляемые ОС Linux. В комплект также входят аппаратные SSL- и XML-акселераторы — nCipher HSM и Tarari RAX.

Лишь компания Reactivity реализовала для всего устройства настройки по умолчанию, которые мы могли легко менять на уровне политик. Подобные настройки сокращают время, затрачиваемое на конфигурирование правил, благодаря чему быстро обеспечивается соблюдение корпоративной политики безопасности. Хотя представители компании DataPower заявили, что такой принцип работы можно реализовать и в ее продукте XS40 на основе доменной модели администрирования, нам не захотелось разбираться с ним и тратить свои время и силы на то, что фирма Reactivity предлагает “прямо из коробки”. Мы не только задавали и изменяли настройки фильтрации контента по умолчанию, но и выбирали тип защиты от SQL-подстановок в зависимости от типа БД. Так, для служб, взаимодействующих с SQL Server 2000, мы задействовали фильтр контента, специально предназначенный для защиты данной СУБД. Для СУБД Oracle компания Reactivity предоставляет собственный фильтр “из коробки”.

Опции авторизации и аутентификации оказались простыми в использовании и наглядно продемонстрировали возможности Web-консоли. Мы сконфигурировали несколько методов авторизации и аутентификации для каждой операции, а также несколько обобщенных методов. Здесь основной нашей заботой стало конфигурирование службы LDAP, требующее колоссальных знаний LDAP-фильтров и регулярных выражений. Нам больше понравилось, как это решено в двух других продуктах: там мы могли извлечь имя пользователя и пароль из заголовка WS-Security для аутентификации на нашем сервере AD 2000. В случае же с устройством от Reactivity сложность конфигурирования LDAP компенсировалась динамичностью и гибкостью, и, имея необходимые знания, мы могли ограничивать доступ, опираясь на любые справочные атрибуты. Однако и здесь присутствует одно “но”: желательно, чтобы взаимодействие с LDAP было реализовано через простую опцию, вместо этого все продукты требуют имя пользователя и пароль для привязки к справочнику.

В тестах на производительность устройство от компании Reactivity работало не хуже своих соперников в плане точности: наши серверы не получили ни одного неправильного или подозрительного запроса, но при этом наблюдалась некоторая задержка. Инженеры компании Reactivity заявили, что их устройство рассчитано на работу в территориально распределенной сети, и наше тестирование, полностью проводимое в гигабитовой среде, не является показательным. Заниженная производительность устройства обусловливалась ограниченным нами до 2 тыс. числом одновременно работающих пользователей. Когда мы сняли это ограничение и вновь провели тестирование, все три устройства стали обрабатывать больше сообщений, в среднем до 1,1—1,3 тыс. в секунду..





  
10 '2005
СОДЕРЖАНИЕ

бизнес

• «Бережливое» производство в Эспоо

инфраструктура

• Самое дорогое в ИБП

• Устранение радиопомех в БЛВС

информационные системы

• Родео с настольными ПК

• Тестируем продукты управления настольными системами

сети связи

• IP-коммуникации: время пришло

• Why MAX?

кабельные системы

• Системы видеонаблюдения на базе UTP-кабеля

• UTP-разъемы для сетей 10-Gigabit Ethernet

• Перспективные решения для ИТ-инфраструктур

защита данных

• Защищаемся от XML-атак

• Как защитить хранящиеся данные

• Храните ваши данные в безопасности

новые продукты

• NAS-серверы компании R-Style Computers; Пылевлагозащищенная кросс-муфта для ВОЛС; Новые ИБП Power-Vision 3F; Консольные серверы от Aten International; Linux-cерверы OpenPower


• Калейдоскоп



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх