Новое поколение продуктов для предотвращения атак поможет администраторам, уставшим латать дыры в системах безопасности, надежно защитить сервер Web.

Проблемы безопасности всегда были актуальными для серверов Web. Требование общедоступности сервера Web означает, что он будет открыт и для лиц, преследующих неблаговидные цели. Традиционные средства защиты, такие, как межсетевые экраны, системы выявления вторжений (Intrusion Detection System, IDS) и программы проверки целостности кода, не в состоянии полностью предохранить сервер Web от нежелательных воздействий.

Например, межсетевые экраны с контекстной проверкой не позволят злоумышленникам осуществить несанкционированный доступ в сеть, но они не в силах остановить атаки через порт 80. Системы IDS сообщат о начале вторжения, но вряд ли окажутся способными его прервать. Программы проверки целостности смогут оповестить о нежелательных изменениях в ваших файлах, но лишь после того, как те уже будут испорчены.

Проблему усугубляет то, что в приложениях Web и операционных системах, под управлением которых они работают, постоянно обнаруживаются все новые и новые уязвимые места. Хакеры весьма оперативно используют эти лазейки для воплощения своих дерзких планов. В моду входят комбинированные автоматизированные атаки, предпринимаемые сразу на нескольких фронтах, как, например, это делает «червь» Code Red.

Чтобы противостоять угрозе, разработчикам программного обеспечения приходится создавать «заплаты», чтобы залатать дыры, найденные хакерами. Администраторы в свою очередь должны отслеживать появление таких исправлений, тестировать их и затем устанавливать. В крупной сети бесконечные манипуляции с заплатами на бреши в новом программном обеспечении могут занять у администратора все рабочее время.

Самая излюбленная мишень злоумышленников — компания Microsoft. Ее программный продукт Internet Information Server (IIS) — настоящий кладезь ошибок, дефектов и прочих уязвимых мест, столь милых сердцу истинного хакера. Но Microsoft в этом не одинока. Немало вторжений приходится на долю весьма популярного Web-сервера Apache, различных решений Linux, системы Solaris и других разновидностей UNIX.

В поисках выхода некоторые производители предлагают решения, фактически формирующие новый сегмент рынка средств безопасности, — предотвращение вторжений. Эти компании разными путями стремятся к одной цели: прекратить атаку еще до того, как она успеет нанести урон, в чем бы он ни выражался — в повреждении сайта, внедрении агрессивного кода типа «троянского коня», краже или разрушении данных.

Это чрезвычайно трудная задача, и здравомыслящим администраторам следовало бы скептически относиться к щедрым обещаниям. В сущности, многие маркетинговые заявления напоминают сахарную вату: масса чего-то сладкого при мизерной питательной ценности. Однако пользователи, с которыми мне довелось побеседовать, настолько рады появлению шанса решить больной вопрос, что добиться хоть каких-то критических замечаний оказалось довольно сложно. Наиболее типичная претензия сводилась к ограничению области применения большинства из этих продуктов платформами Microsoft. Пользователи хотели бы как можно быстрее получить решения для систем Linux и UNIX.

В настоящей статье рассматриваются предложения некоторых игроков на рынке средств предотвращения вторжений и анализируются разнообразные методики, которые они используют. Администраторы найдут здесь ряд полезных рекомендаций относительно внедрения таких продуктов в сети.

ЯДРО ДЕРЖИТ ОБОРОНУ
Рисунок 1. Некоторые продукты предотвращения вторжений работают на уровне ядра операционной системы сервера. Руководствуясь заданными администратором правилами, агенты, действующие внутри ядра, отслеживают системные вызовы и либо разрешают их, либо запрещают.

В большинстве современных ОС предусмотрено два режима работы: пользовательский — для выполнения прикладных программ и режим ядра для управления доступом к критически важным системным компонентам: дисководам, сетевым соединениям, памяти и ресурсам процессора. Такое разделение создает защитный барьер, лишая программы пользовательского режима (приложения) возможности неконтролируемого доступа к этим ценным ресурсам (см. Рисунок 1).

Разумеется, приложения не смогут нормально работать без таких ресурсов. Поэтому программы пользовательского режима направляют ядру запросы (системные вызовы). Например, если приложение хочет открыть файл, оно посылает соответствующий системный вызов ядру, которое и выполняет требуемую операцию.

Однако, используя некоторые ошибки программирования, хакеры могут манипулировать ядром, что заметно расширяет круг их возможностей. Так, они могут переписать программный код, получить доступ к файлам, недоступным в защищенной среде, инсталлировать «троянских коней» и т. д.

Ряд компаний предлагает продукты, функционирующие в качестве промежуточного звена между операциями, выполняемыми в обоих режимах. Эти продукты отслеживают адресуемые ядру системные вызовы и, в соответствии с политикой, введенной администратором, разрешают либо запрещают то или иное действие.

«Компания Entercept, ранее известная как ClickNet, — пионер в области предотвращения вторжений с использованием ядра», — рассказывает Пит Линдстрем, директор отдела стратегий безопасности компании Hurwitz Group. С 1999 г. Entercept активно пропагандирует методы защиты на базе ядра, и ей удалось привлечь на свою сторону ряд известных производителей. Осенью 2001 г. Cisco Systems выбрала технологию Entercept в качестве основы при создании собственной системы IDS на базе хостов. Кроме того, компания Digex, предоставляющая услуги хостинга Web, выпускает комплект средств безопасности сервера с применением этой же технологии.

Entercept предлагает общую систему защиты серверов, Entercept 2.0, а также пакет, предназначенный специально для серверов Web, под названием Entercept 2.0 Web Server Edition (WSE). Работает WSE следующим образом. Агент Entercept загружается на сервер и размещается между ядром ОС и функциями системных и API-вызовов. Когда при инициировании какого-либо процесса генерируется системный вызов или вызов API, агент перехватывает его и проверяет по базе данных, в которой хранятся известные сигнатуры атак и информация об их общих признаках. Поскольку системные и API-вызовы выполняют вполне определенные функции, агент может определить, соответствует ли процесс требованиям политики, а затем или разрешает запустить его, или уничтожает, оповестив администратора и записав информацию об этом событии в журнал.

В состав WSE входят еще два компонента: модуль HTTP и модуль экранирования Web. Данные компоненты защищают приложения, размещенные на сервере Web. Модуль HTTP просматривает входящий трафик HTTP в поисках симптомов известных атак, наподобие «обхода каталога» или удаленного запуска программ. При этом используется база данных с сигнатурами атак; трафик, не соответствующий этим сигнатурам, отвергается. Модуль HTTP включается в процесс обработки вслед за блоком дешифровки протокола SSL, поэтому нарушитель не сможет замаскировать свой трафик путем шифрования.

Модуль экранирования Web анализирует неизвестные атаки, исходя из того, что обычные операции, совершаемые без злого умысла, отличаются специфическим поведением. Модуль составляет подробные описания нормальных операций, используя шаблоны правил, и останавливает процессы, протекающие нестандартно. Шаблоны правил создаются в результате сканирования модулем экранирования конфигурации сервера Web. Кроме того, он блокирует исполняемые и конфигурационные файлы, а также реестры, так что изменения и удаления разрешается производить только заранее назначенному администратору. Модуль также защищает статические страницы Web, чтобы предотвратить порчу сайта и, наконец, не дает пользователям возможности расширять свои полномочия на сервере, чтобы хакер не мог присвоить себе права администратора.

Работой агентов Entercept WSE управляет общая консоль (она может контролировать до 1 тыс. агентов). Она обеспечивает ведение журналов, включая записи об агентах, которые автоматически отыскивают на консоли новые сигнатуры атак и обновления программного кода. Консоль, в свою очередь, получает эти обновления от Entercept с помощью службы Instant Update. Весь трафик между агентами и консолью и между консолью и службой Instant Update шифруется по протоколу Triple DES.

Агенты WSE могут работать на Web-серверах IIS, Windows NT/2000, Apache и iPlanet. Консоль управления поддерживает системы Windows 2000 и Windows NT. Стоимость Entercept Console от 5000 долларов; агенты WSE стоят 1600 долларов, агенты Entercept 2.0 Standard — 1300 долларов.

Джей Уорд, старший аналитик по сетевой безопасности в банке First Citizens Bank, использует WSE на семи Web-серверах Microsoft, на которых в интерактивном режиме выполняются банковские приложения, обслуживающие 75 тыс. клиентов. Он нуждался в средстве предотвращения вторжений, которое позволило бы его сотрудникам выиграть время для тестирования и установки программных заплат.

Уорд вполне доволен защитой, которую предлагает WSE: «Как только стало известно о появлении «червя» Code Red, мы перевели WSE в режим превентивных действий, после чего насчитали около 2300 попыток проникновения с помощью Code Red, но ни одна из них не оказалась успешной».

Говоря о настройке и управлении, Уорд призвал администраторов соблюдать аккуратность при создании наборов правил. Он, например, забыл вначале ввести правила, разрешающие автоматическое резервное копирование. Когда настало время выполнения этой процедуры, Entercept заблокировал ее, и Уорд был вынужден вернуться к настройке конфигурации и скорректировать свои правила.

Уорд хотел бы иметь возможность выполнять административные задачи из браузера Web на своем настольном ПК. Сейчас ему для этого нужно перейти на консоль, расположенную в серверной комнате. Кроме того, он считает, что заранее определенные шаблоны типовых приложений могли бы ускорить процесс установки.

Недавно созданная компания Okena, выпускающая системы безопасности, внесла свою лепту в дело предотвращения атак. Ее продукт StormWatch также состоит из агентов, размещаемых возле ядра ОС, но среди них, в отличие от Entercept, есть не только агенты для серверов, но и агенты для настольных систем.

StormWatch опирается на механизм правил корреляции вторжений Okena (Intrusion Correlate Rules Engine, INCORE); это витиеватое название попросту означает, что StormWatch разрешает либо запрещает те или иные действия в соответствии с имеющимся набором правил. Агенты StormWatch устанавливаются внутри сервера для охраны файлов, сетевой среды и системных ресурсов. Они не отслеживают сигнатуры атак, а просто перехватывают системные вызовы и сверяют их с базой данных, содержащей известные признаки «хорошего поведения». Если системный вызов пытается запустить процесс, не укладывающийся в рамки таких стандартов, агент его уничтожает.

Администраторы могут создавать собственные правила и использовать готовые шаблоны для конкретных серверов, таких, как Web- или почтовые серверы, а также задавать (для настольной системы) общие правила, составленные по практическим рекомендациям. Настольные агенты особенно уместны на ноутбуках и компьютерах удаленных офисов, так как помогают проводить в жизнь корпоративную политику безопасности в системах, к которым администратор не имеет физического доступа.

Каждый агент StormWatch содержит набор «перехватчиков». Как можно понять из названия, эти компоненты перехватывают и анализируют системные вызовы в поисках недопустимых или злонамеренных действий. Перехватчики определяют, каким приложениям можно разрешить работать с сетью, а какие имеют право на чтение и запись в файлы, каталоги и реестр.

В число агентов StormWatch входят также диспетчер политики и модуль корреляции правил и событий, отвечающий за получение обновлений правил с консоли управления и поддержание актуального состояния их наборов. Агенты StormWatch генерируют журналы событий при каждом срабатывании правила. Кроме того, при нарушении определенных правил предупреждения могут выдаваться в режиме реального времени.

Консоль управления осуществляет централизованный контроль за работой агентов. С ее помощью администраторы формируют и рассылают им наборы правил, а также собирают информацию из журналов и составляют отчеты. StormWatch обеспечивает шифрование и аутентификацию всех сообщений, передаваемых между консолью и агентами. Консолью StormWatch можно управлять в удаленном режиме через браузер Web; для защиты соединения используется протокол SSL. Одна консоль может обслуживать до 2500 агентов. Приобрести StormWatch можно по подписке сроком на три года. Стоимость одного серверного агента составляет 800 долларов, агента настольной системы — 50 долларов, консоли — 2210 долларов.

«StormWatch — это огромный шаг вперед по сравнению с обычными антивирусными средствами», — считает Перри Цакумис, технический директор одного из научно-исследовательских проектов, выполняемых по правительственным контрактам компанией Northrop Grumman IT/Logicon. Цакумис занимался тестированием StormWatch в своей лаборатории и на внутрикорпоративном сервере Web.

«Мы отдали под опеку StormWatch множество разных ресурсов, и все они были успешно защищены, — рассказывает Цакумис. — Это очень надежная платформа безопасности». Он отмечает, что включенные в StormWatch правила для популярных приложений Microsoft значительно облегчили работу с продуктом на начальном этапе. Политика легко настраивается, хотя это чревато ошибками при конфигурации, а стало быть, и появлением уязвимых мест.

По сути, единственным минусом, с точки зрения Цакумиса, было то, что область применения продукта ограничена платформой Windows, и он недостаточно широко доступен. «Благодаря StormWatch стратегия обнаружения атак поднимается на новый уровень. Речь уже идет о предотвращении нарушений. Именно в этом мы нуждались больше всего».

Компания WatchGuard Technologies, известная своими устройствами — межсетевыми экранами с поддержкой VPN из серии Firebox, недавно начала выпускать систему предотвращения вторжений ServerLock, предназначенную для серверов Windows NT/2000, и систему AppLockWeb для Web-серверов IIS.

После установки ServerLock на сервере Web последний начинает работать либо в операционном, либо в административном режиме. В операционном режиме сервер полностью блокирован — вы не можете изменить ни ОС, ни приложения, ни какие-либо другие файлы, т. е. узел огражден от любого рода разрушений и злонамеренных вторжений. В административном режиме изменения вправе вносить только пользователь с особыми полномочиями.

ServerLock защищает файлы (пользовательские, двоичные и системные) и разделы реестра в ядре, добавляя специальный драйвер устройства в начало стека файловой системы NT (NT File System, NTFS). В таких условиях драйвер может перехватывать все запросы на запись в файлы. Используя заранее определенный набор правил, ServerLock разрешает или запрещает каждую конкретную операцию записи. Те же действия производятся с системными вызовами: они будут перехвачены и проверены прежде, чем достигнут ядра. Вызовы, нарушающие правила, отвергаются.

После установки ServerLock к серверу сразу применяется стандартный набор правил, интегрированных на аппаратном уровне и потому всегда активных. ServerLock также просматривает сервер в поисках системных файлов и разделов реестра, имеющих ключевое значение для ОС и приложений, запущенных на компьютере, и блокирует эти компоненты. Наконец, администратор может создавать собственные правила для защиты содержимого узла Web, специальных приложений и других важных файлов.

ServerLock Manager — административная консоль с графическим интерфейсом, работающая в среде Windows NT/2000, — позволяет контролировать до 100 серверов. Компьютер, на котором запущен ServerLock Manager, также находится под защитой агента ServerLock.

Доступ к административной консоли защищен паролем, который должен состоять не менее чем из семи символов — прописных и строчных букв, цифр и специальных знаков, включая знаки пунктуации. Таким образом, риск раскрытия пароля с помощью «словарных» атак сводится к минимуму. ServerLock поддерживает аппаратные ключи от сторонних производителей (например, SecureID от RSA), благодаря чему администраторы могут организовать двухступенчатую аутентификацию.

ServerLock для Windows NT/2000 стоит 1300 долларов в расчете на один сервер. Версия для Solaris — 1700 долларов. Лицензия на диспетчер ServerLock Manager предоставляется на определенное число серверов (всего их может быть до 100 штук). Стоимость лицензии на пять серверов — 5000 долларов.

AppLock/Web — значительно упрощенная версия ServerLock, адресованная небольшим предприятиям. Подобно своему старшему «собрату», AppLock/Web работает в блокирующем или неблокирующем режиме. В первом случае нельзя изменять содержимое узла Web, сценарии CGI-BIN и ряд других файлов. Изменения можно вносить только тогда, когда продукт разблокирован. Функция автообнаружения выполняет автоматическое сканирование в поисках файлов с известными расширениями имен (в список входит более 200 расширений, причем администратор может его дополнить) и обеспечивает для них специальную защиту. AppLock/Web для Microsoft IIS стоит 600 долларов в расчете на сервер.

Артур Брайт, сетевой и системный администратор Бостонского архитектурного центра, участвовал в бета-тестировании AppLock/Web. Сейчас этот продукт установлен в центре на действующем Web-сервере ColdFusion. «Когда Watch Guard предложила нам сотрудничество, мы как раз ломали голову над проблемой обеспечения безопасности компании, — говорит Брайт. — Незадолго до этого мы подверглись атаке, так что идея блокирующего продукта оказалась актуальной».

Брайт положительно оценивает свой опыт использования AppLock/ Web. «С продуктом легко работать, не приходится ни о чем беспокоиться, — объясняет он. — На некоторых компьютерах имели место попытки взлома и вирусного заражения, но благодаря средствам безопасности это никак не отразилось на работе наших служб». Впрочем, Брайт вряд ли будет устанавливать AppLock на своем главном сервере Web, так как содержимое основного узла все время меняется: «Если постоянно то открывать, то закрывать AppLock, это очень быстро всем надоест».

Когда статья была уже почти закончена, корпорация Harris объявила о выпуске своего продукта защиты от вторжений под названием STAT Neutralizer, предназначенного для серверов и рабочих станций Windows NT/2000. Он защищает приложения и ОС от известных и неизвестных атак, блокируя нежелательный код до начала его выполнения. Агенты на базе ядра ведут мониторинг системных процессов в поисках признаков поведения, отклоняющегося от установленных правил. После обнаружения таковых STAT Neutralizer остановит процесс, запишет информацию о нем в журнал или уведомит администратора.

В STAT Neutralizer включен набор стандартных правил, которые можно применять в готовом виде. Приобретя комплект разработчика ПО, с его помощью набор правил можно настраивать самостоятельно. Работой агентов управляет административный сервер на базе Web. Результаты лабораторных испытаний, проведенных в Harris, показывают, что один такой сервер способен обслужить до 55 тыс. агентов. Стоимость комплекта, состоящего из сервера администрирования, пяти серверных и десяти клиентских агентов, составляет 3000 долларов.

Д-р Рэй Вон, профессор информатики в университете шт. Миссисипи, занимается бета-тестированием STAT Neutralizer в своей университетской лаборатории. «Операционная система — это типичное уязвимое место в рабочей среде, — рассказывает Вон. — Neutralizer позволяет ввести правила, в которых прописано, что если кто-то попытается сделать какую-либо глупость, например удалить файлы из системного реестра, Neutralizer помешает этому. Правила составляются, исходя из здравого смысла, и с их помощью удается пресечь большинство поползновений со стороны разного рода «червей» и им подобных».

По словам Вона, на установку продукта уходит около 20 мин, и его работа никак не сказывается на производительности сервера. Он, однако, предупреждает, что если злоумышленнику удастся завладеть полномочиями администратотра, то он сумеет изменить правила и расчистить путь для атаки.

ПРИЛОЖЕНИЯ ПОД ОХРАНОЙ

Некоторые производители придерживаются иных методов реализации защиты от вторжений. Их продукты, так называемые межсетевые экраны прикладного уровня, обеспечивают защиту приложений, работающих под управлением операционных систем серверов Web (см. Рисунок 2).

Рисунок 2. Межсетевой экран прикладного уровня (это может быть отдельное устройство, установленное перед сервером Web, или программный компонент на сервере) предохраняет приложения, запущенные в сетевой среде. Такие экраны не интегрируются в саму операционную систему.

Лидером в этой области является компания Sanctum. Ее продукт App Shield выполняет функции proxy-сервера по отношению к трафику HTTP и HTTPS: он переадресует на сервер все входящие запросы от браузера и передает последнему все страницы HTTP с сервера Web. AppShield не просто отслеживает во входящем трафике HTTP нежелательные пользовательские операции и сигнатуры атак, а обеспечивает целостность страниц Web, пересылаемых с сервера в браузер.

Происходит это так. Если пользователь начинает сеанс работы с приложением, AppShield создает маркер сеанса, однозначно идентифицирующий пользователя и позволяющий следить за ходом сеанса. Когда приложение подготавливает первую страницу Web для отправки браузеру пользователя, AppShield анализирует ее, проверяя такие характеристики, как параметры CGI, значения скрытых полей, содержимое раскрывающихся меню и максимальный ожидаемый размер текстовых полей. Затем AppShield формулирует для этой страницы политику безопасности в реальном масштабе времени на основании внутренней логики приложения.

После того как данные, введенные пользователем для этой страницы, возвращаются на сервер Web, AppShield активизирует ее политику. В результате весь нежелательный ввод, поступающий от пользователя, отклоняется. Например, предположим, что хакер получил доступ к полю расценок в приложении электронной коммерции и превратил товар стоимостью 1000 долларов в 10-центовый продукт. AppShield обнаружит, что поле изменено, и отменит транзакцию.

AppShield регистрирует попытки атак в журнале и может извещать о них администратора. Консоль управления на базе Java предлагает возможности централизованного удаленного контроля и составления отчетов. Консоль доступна для просмотра одновременно нескольким администраторам, но права записи можно предоставить только одному из них.

AppShield устанавливается на любом сервере Web, включая IIS, Apache и Netscape, а также на выделенном компьютере, по внешнюю сторону от серверов Web. Такая автономная версия работает на платформах Windows NT и Solaris/SPARC и совместима с наиболее известными балансировщиками нагрузки. Цены на AppShield начинаются с 15 тыс. долларов (в расчете на сервер).

Один из экспертов в области системной архитектуры из Лос-Анджелеса (он беседовал со мной на условиях анонимности) использует AppShield на сервере Web своей некоммерческой организации. Данный сервер осуществляет прием денежных взносов в интерактивном режиме и подключен к внутренним базам данных. «На счет нашей организации поступает в год примерно 42 млн долларов, поэтому в наших интересах было сделать все возможное для защиты данных и сервера», — пояснил этот специалист.

Его впечатления от AppShield неоднозначные. Уровень безопасности оказался вполне удовлетворительным (им удалось, например, защититься от Code Red), однако создание политики представляло собой утомительное занятие. «Мне кажется, Sanctum недостаточно подробно описала наиболее трудные места, — считает мой собеседник. — Я был вынужден испробовать все формы AppShield и все страницы сбора данных, прежде чем выбрал нужный вариант. Это заняло больше времени, чем я ожидал».

Впрочем, технические проблемы были вполне решаемы благодаря хорошей службе технической поддержки: «Ее сотрудники были всегда доступны и знали свое дело». Кроме того, AppShield предлагает удобные возможности составления отчетов и не снижает производительность узла.

Компания Eeye Digital Security создала себе имя на выявлении уязвимых мест в программном обеспечении Windows. Накопленные знания были грамотно использованы при создании SecureIIS — межсетевого экрана прикладного уровня, предназначенного конкретно для этого Web-сервера Microsoft. SecureIIS устанавливается непосредственно на сервере и работает как программный модуль внутри IIS. Такая конфигурация позволяет SecureIIS изучать весь входящий и исходящий трафик HTTP.

SecureIIS ищет не сигнатуры отдельных атак, а отслеживает целые их классы: например, переполнение буфера, обход каталога и другие подобные процессы, когда те пытаются выполнить запрещенные команды или получить доступ к закрытым ресурсам. Каждый такой класс атак отличается характерным поведением, поэтому SecureIIS умеет обнаруживать признаки нежелательного поведения, причем не только заранее известные, и останавливать атаки прежде, чем они успеют причинить ущерб. SecureIIS может также защитить приложения, разработанные в самой организации.

Трафик SSL дешифруется до того, как попадет в SecureIIS, поэтому хакер не может «спрятаться» за зашифрованным кодом. По утверждению Eeye, при установке SecureIIS быстродействие сервера Web снижается незначительно, не более чем на 1-2%. В настоящее время в SecureIIS отсутствуют возможности удаленного управления, поэтому каждый компьютер приходится контролировать в индивидуальном порядке. Eeye планирует в самое ближайшее время реализовать централизованное ведение журнала и удаленное администрирование. SecureIIS стоит 500 долларов в расчете на один сервер и работает под управлением Windows NT 4.0/2000.

Джон Холл, администратор компании Sausalito Networking, оказывающей услуги в области системной интеграции, установил SecureIIS на трех корпоративных серверах, в том числе на сервере электронной коммерции. Последний регулярно подвергался нападениям хакеров, несмотря на многоуровневую архитектуру безопасности, включающую межсетевой экран, систему IDS и антивирусные программы.

Рассказывает Холл: «Мы разместили SecureIIS на сервере, и это помогло. Никаких помех для операций через Web я не заметил; производительность осталась на прежнем уровне». Продукт прост в установке и эксплуатации, цена вполне разумна. Правда, нехватка средств централизованного управления и ведения журнала все же ощущается: «Если у вас большое число серверов, вы наверняка захотите быть в курсе происходящего на них, не заглядывая на каждый сервер в отдельности».

Тем не менее Холл рекомендует SecureIIS своим клиентам: «Построив узел Web для какой-либо организации, мы можем не беспокоиться о том, что через две недели нам придется возвращаться из-за того, что какой-то негодяй взломал систему».

У КАЖДОГО СВОИ НЕДОСТАТКИ

Средства предотвращения вторжений представляют собой несомненный шаг вперед в деле укрепления безопасности, однако идеальных технологий не бывает. Если вы решили приобрести пакет таких средств, то, когда будете присматриваться к нему, помните о следующем.

Многие из этих продуктов комплектуются стандартными установочными конфигурациями для наиболее распространенных приложений (например, для серверов IIS и SQL), но администраторам все же предстоит потрудиться, создавая наборы правил для приложений сторонней или собственной разработки, что требует особой скрупулезности. Слишком неопределенная база правил даст шанс какому-нибудь хакеру просочиться сквозь преграды, и, наоборот, чрезмерно строгая политика может вообще лишить вас связи с клиентами и партнерами. Необходимо также убедиться, что ваша политика не станет причиной ложных тревог, т. е. не приведет к срабатыванию системы защиты при наступлении допустимых событий.

Вы, безусловно, захотите проверить на практике, как на эти решения безопасности воздействуют устанавливаемые вами заплаты для ОС и приложений. Даже программные продукты компании-производителя могут непредсказуемо реагировать на фрагменты своего собственного кода, не говоря уже о других программах, загружаемых поверх них. (И кстати, не пренебрегайте заплатами. Продукты предотвращения вторжений прикрывают брешь только на время с момента обнаружения уязвимого места до выпуска заплаты, ими не следует подменять исправления ПО.)

Необходимо регулярно обновлять продукты, защитный механизм которых основан на анализе сигнатур. Производитель, скорее всего, будет рассылать эти обновления, поэтому не поленитесь узнать, как часто следует их ожидать. Не забудьте выяснить, какая дополнительная плата взимается за подписку на подобные услуги.

Наконец, немаловажное значение имеет бдительная защита административного доступа к устройствам. Чем больше сотрудников допущено к внесению поправок в наборы правил, тем выше вероятность нарушить общую конфигурацию. И разумеется, самый надежный межсетевой экран прикладного уровня или агент ядра окажется бесполезным, если, воспользовавшись слишком простым паролем, нарушитель сможет проникнуть в систему в обход тщательно возведенной конструкции из правил.

Нынешнее поколение продуктов предотвращения вторжений вселяет большие надежды: они способны прерывать атаки известных и неизвестных видов в режиме реального времени без снижения уровня быстродействия серверов Web или сужения их функционального диапазона. Последовав нашим рекомендациям, вы будете приятно удивлены, наблюдая, как эти надежды успешно воплощаются в жизнь.

Эндрю Конри-Мюррей — редактор Network Magazine по вопросам бизнеса. С ним можно связаться по адресу: amurray@cmp.com.


Рассматриваемые продукты

AppLock/Web ServerLock

. WatchGuard Technologies

http://www.watchguard.com

AppShield

. Sanctum

http://www.sanctuminc.com

Entercept 2.0 Web Server Edition

. Entercept Security Technologies

http://www.entercept.com

SecureIIS

. Eeye Digital Security

http://www.eeye.com

STAT Neutralizer

. Harris Corporation

http://www.harris.com

StormWatch

. Okena

http://www.okena.com


Ресурсы Internet

Дополнительную техническую информацию об упоминаемых в статье продуктах можно получить из документов и материалов на сайтах Web соответствующих производителей.

Если вас интересуют бесплатно распространяемые средства защиты IIS, то Microsoft предлагает загружаемый инструментарий. HFNetChk сканирует серверы IIS, проверяя наличие необходимых заплат. IIS Lockdown удаляет ненужные службы на серверах IIS 4.0 и 5.0. URLScan создает набор правил для отсева потенциально опасного трафика HTTP. Зайдите на сайт http://www.microsoft.com/technet/security и выберите ссылку Tools and Checklists («Средства и контрольные списки»).