Rambler's Top100 Service

РАЗДЕЛЫ ПОРТАЛА
  Главная страница
Бесплатная документация
Форумы
ГОРЯЧАЯ НОВОСТЬ
 

11 Aug (00:01)
Windows Memory Diagnostic
Бесплатная утилита тестирования памяти

Архив...
ЛАБОРАТОРИЯ
  Место где решаются Ваши проблемы

Сейчас в Лаборатории
Компаний: 1446
Экспертов: 616

Вход
для пользователей
для экспертов

Как работает Лаборатория?
НОВОСТИ КОМПАНИЙ
 

26 May (18:12)
Семинар "Создание эффективных веб-сайтов"


29 Apr (00:08)
Интернет-сайт компании: удобное средство для заработка денег или дополнительные накладные расходы?

15 Apr (00:26)
Три источника, три составные части Intel Centrino

27 Mar (00:10)
Опечатка в публикации ITUnion

24 Mar (00:07)
Новинки промышленной компьютерной техники весны 2003 года

Архив...
СТАТЬИ И ОБЗОРЫ
 

Как работает и что дает теневое копирование
Служба VSS систем Windows Server 2003

Хакерский детектив

Языки PCL и PostScript

Конференция WinHEC 2003

Longhorn и Blackcomb

Архив...
Назад НаверхВниз
Советуют профессионалы! Совет: Знаете ли Вы, что можете управлять доступом к отдельным страницам Вашего сайта, давая его некоторым своим клиентам, с доступом по паролю? Бесплатный сервис USERSER системы управления сайтом Online-Control.net создан именно для этого.

NEWS.ITUNION.RU НазадНаверхВниз

HP WebEnforcer - усилитель защиты Web-сервера

Михаил Кузьмин

Наверное, системным администраторам не нужно еще раз напоминать о необходимости и важности применения "заплаток" против известных общественности и описанных разработчиком программного обеспечения "дыр" в системе защиты. Ведь большая часть атак и вторжений в системы основана на открытой и общедоступной информации. Однако последнее время процесс применения "заплаток" имеет тенденцию к самодостаточности и, кажется, вскоре поглотит все рабочее время администратора системы.

Тришкин кафтан

Действительно, вспомним недавний выпуск долгожданного пакета обновления Service Pack 2 для операционной системы Windows 2000. Никто не спорит с тем, что пакет расширяет и улучшает возможности системы (например, увеличивает уровень шифрования до 128-разрядов). Однако одновременно с публикацией самого пакета обновлений корпорация Microsoft напечатала две статьи о "неполадках", обнаруженных еще до его выпуска. Итак, пакет обновления (по сути, пакет исправления старых ошибок), конечно, устраняет предыдущие огрехи, но вместе с тем создает системному администратору новые проблемы. Статья Q292642 (обе публикации доступны в базе знаний Microsoft Knowledge Base) рассказывает о возможном нарушении параметров настройки фильтра брандмауэра BlackIce Defender версии 2.1.cn и предлагает обратиться за разъяснениями на сайт разработчика этого брандмауэра (компания Network Ice). Вторая статья (Q269676) описывает проблемы с параметрами настройки некоторых утилит безопасности (так Microsoft назвала брандмауэры сторонних компаний) и, в частности, Zone Alarm. Собственно говоря, о SP2 для Windows 2000 мы упомянули только того, чтобы показать логический финал гонки с установкой все новых и новых "заплаток" -- только что опубликованный пакет обновления (а это вам не отдельная "заплатка"), над которым почти полгода напряженно работала компания Microsoft, тут же создает новые проблемы.

Ситуация доведена до состояния абсурда. Добавим в общую картину еще несколько штрихов. По неофициальным данным компания-разработчик знает о 70-80% ошибок и "дырах" в системе защиты еще до выпуска программного продукта. Кроме того, та же корпорация Microsoft постоянно заявляет, что применение "заплаток" не является обязательным и должно выполняться только теми компаниями, которые действительно столкнулись с устраняемой "заплаткой" проблемой. Следовательно, остается бросить все и разбираться с каждой публикацией об одной из сотен очередных "заплаток" или "исправлений". Но может быть есть иной путь?

Свет в конце туннеля

Простая до неприличия идея о том, что неплохо бы объединить в одном программном пакете средства анализа уровня защиты, инструменты обнаружения вторжения и систему отслеживания исправлений, уже давно разрабатывается компанией Hewlett-Packard. Предыдущая версия пакета HP WebEnforcer (1.2) была предназначена для операционных систем Windows NT, однако версия 2.0 совместима и с Windows 2000. Кстати, до этого существовала еще версия Praesidium WebEnforcer for Windows NT 1.1, так что пакет можно считать вполне зрелым и перешедшим младенческий рубеж первых версий. Компания HP выбрала наиболее тяжелый участок -- Web-службы электронной коммерции как для области бизнес-бизнес (B2B), так и для сферы бизнес-клиент (B2C). Согласитесь, что открытие доступа для всех и каждого из Интернет выдвигает более высокие требования к защите, чем в аналогичных системах локальных сетей, интранет или экстранет.

Основные проблемы безопасности в обеих областях можно сформулировать простым тезисом: "лазейки в системе становятся известными широкой общественности раньше, чем выходит исправление, призванное устранить лазейку". Чтобы устранить задержку по времени и автоматизировать сам процесс "латания" системы защиты, действие пакета WebEnforcer основано на простой модели безопасности, состоящей из четырех последовательных этапов: Анализ уровня защиты, Устранение неполадок, Поддержание уровня безопасности и Обновление. Предпоследний этап делится на три циклические операции: Мониторинг, Обнаружение, Усиление (именно с этой операцией -- enforcing -- связано название всего пакета). О предназначении пакете компания HP заявляет вполне определенно: "сокращение расходов на поддержание уровня защиты за счет автоматического устранения известных уязвимостей".

Анализ защиты конкретной системы

Из всех четырех этапов модели безопасности WebEnforcer наиболее интересен этап Анализа, по крайней мере, как наиболее "интеллектуальный". Сразу заметим, что целью этого этапа является сравнение текущих параметров настройки системы защиты с одним из трех предопределенных профилей: high secure (высокий уровень), medium secure (средний уровень) и compatible (уровень наибольшей совместимости). Разумеется, разрешено создание собственного профиля, но тогда уже нельзя будет говорить о полной автоматизации анализа. Первоначальный анализ безопасности системы выполняется мастером во время установки пакета, а затем можно выбрать режим постоянного или периодического сканирования. В любом случае мы получаем точный список несоответствия между установленным профилем безопасности и параметрами настройки Web-сервера (список доступен в рамках пакета, либо может быть послан на другой компьютер по электронной почте и даже на цифровой пейджер, если оператор связи поддерживает трансляцию почтовых сообщений).

Анализ выполняется с помощью стандартной оснастки Microsoft Management Console (MMC), поэтому результаты анализа из WebEnforcer доступны в любой другой оснастке Microsoft (например, в Internet Service Manager), а также в пакетах ManageX и OpenView компании HP. Для каждой выявленной уязвимости системы защиты предоставляется подробное описание, рекомендации по устранению, а если существует "заплатка", то WebEnforcer просто устанавливает ее в системе, причем заплатка может быть загружена из Интернета.

Усиление защиты

Результаты анализа служат основой для применения "заплаток" или иных "обновлений", список которых постоянно отслеживается через специальную службу SecurityUpdate (служба доступна по годовой подписке в режиме круглосуточного обслуживания). В поставляемой с пакетом базе данных (то есть, без специального обращения к SecurityUpdate) содержаться сведения о 100 рекомендациях по усилению защиты реестра операционной системы и объектов Distributed COM (DCOM), а также более 200 правил для защиты браузера Microsoft Internet Explorer (IE), BackOffice, IIS вместе с локальными и внешними параметрами безопасности NT. Пакет WebEnforcer обнаруживает уязвимости не только в Web-серверах. но и в операционной системе (например, неудачные политики паролей или неправильно установленные параметры удаленного доступа). Кроме анализа выполняется обнаружение вторжений и атак. Здесь нет ничего интересного, ведь используются хорошо известные способы аудита. Однако полученные результаты служат не только для уведомления системного администратора (по электронной почте или на пейджер), но и для автоматического применения "заплатки", если таковая уже разработана Microsoft.

Здесь мы затронули наиболее важное отличие WebEnforcer от обычных брандмауэров -- АВТОМАТИЧЕСКОЕ обновление программного обеспечения Web-сервера при обнаружении вторжений или после публикации очередного исправления. Собственно говоря, в этом и состоит основная цель WebEnforcer. Важно отметить еще одно обстоятельство. Мы не передаем свою систему под полный контроль какого-то программного пакета, пусть даже и от известной компании HP. Все вносимые изменения тщательно фиксируются и могут быть отменены вручную на любую глубину (если, конечно, в этом возникнет необходимость), либо можно вообще отключить режим автокоррекции и самостоятельно вносить только действительно нужные обновления.

Возможности и требования

Пакет WebEnforcer 2.0 предназначен для операционных систем Windows NT/2000 и служит для защиты следующих компонентов производственного Web-сервера: IIS Web Server, Transaction Server, Index Server, Internet Explorer, Data Access Components и WSH (хост сценариев Windows).

Каких-либо повышенных требований к программному обеспечению и оборудования WebEnforcer не выдвигает. Потребуется процессор не хуже 200 МГц, не менее 64 МБ памяти (но лучше 128 МБ или больше) и 10 МБ для файлов программ вместе с 50-100 МБ для базы данных пакета. В Windows NT 4.0 необходима установка Service Pack 5 или последующих пакетов обновления. Сервер IIS должен быть версии 4.0 в Windows NT 4.0 или версии 5.0 в Windows 2000. Компоненты доступа к данным: MDAC 2.1 в Windows NT 4.0 и MDAC 2.5 в Windows 2000. Управляющая консоль: MMC 1.1 в Windows NT 4.0 (ее придется установить дополнительно, поскольку анализ параметров в WebEnforcer реализован в виде оснастки MMC) и MMC 1.2 в Windows 2000.

За и против

На первый взгляд может показаться, что жесткая привязка WebEnforcer к продуктам Microsoft несколько ограничивает возможную область применения, однако HP оценивает количество таких Web-серверов примерно в 1.5 миллиона с ежегодным увеличением на 250% и заявляет, что для компании будет достаточно даже 10% от общего объема рынка.

Кстати, стоит пакет не дешево: около 3500 долларов плюс 800 долларов за годовую поддержку . Однако он и не предназначен для защиты статического рекламного сайта небольшой компании. Речь идет о мощных Web-серверах электронной торговли, где защита как самого сервера, так и хранящихся на нем сведений о клиентах стоит (по крайней мере, должна стоить) любых вложений. Простота и "легкость" использования позволяет применять WebEnforcer даже не слишком опытным сетевым администраторам, поэтому у специалистов может возникнуть некоторое пренебрежительное отношение к пакету. Здесь можно заметить, что ту высокую зарплату, которую получает администратор (опять же, по крайней мере, должен получать) в крупной компании электронной коммерции, наверное, лучше тратить на более серьезные работы, чем отслеживание каждого появившегося изменения, а само это отслеживание передать группе технической поддержки SecurityUpdate. Надо думать, что там работают не менее знающие и квалифицированные люди, чем мы с вами.

Если сравнивать обновление системы администратором вручную и автоматическое обновление в рамках WebEnforcer, то на ум сразу приходит аналогия с антивирусными пакетами. На начальном этапе многие пользователи живо интересовались появлявшимися вирусами, читали их описания, изучали особенности и характеристики, а затем вручную лечили свои компьютеры или предпринимали защитные меры. Однако когда вирусов стало немыслимое количество, то большая пользователей доверилась одной из антивирусных компаний и бездумно (лучше сказать: без дополнительной проверки) начала применять готовые обновления антивирусной базы. Примерно то же самое предполагается для пакета WebEnforcer: вы платите за продукт и за его поддержку, а остальное - отслеживание любых проблем с защитой системы от внешнего вторжения - находится в компетенции разработчиков. Дополнительные сведения о HP WebEnforcer, а также других продуктах для обеспечения безопасности, можно найти на сайтах:
www.hp.com/security/products/webenforcer/
www.hp.ru/security/

Полная лента новостей NEWS.ITUNION.RU

Вы можете подписаться на ежедневную
бесплатную рассылку IT-новостей:




  Site DESIGN by MIRRON (C) 2000-2001 Rambler's TOP100