Общее описание ПИБ WEB-сервера

Внутренний web-сервер используется для публикации внутрикорпоративных новостей, документов, регламентов и приказов. Требования по доступности информации, хранящейся на web-сервере, низкие, простой в течение одного дня допустим. Требования по конфиден- циальности средние, получение информации, хранящейся на сервере, конкурентами может привести к финансовым потерям. Требования по целостности высокие, искажение инфор- мации, хранящейся на сервере, может привести к дезорганизации деятельности многих подразделений и к нарушению нормальной работы предприятия в целом.

В качестве web-сервера используется сервер  Apache 1.3.33, установленный на сервере под управлением ОС Debian GNU Linux. Сервер используется для предъявления только статических web-страниц. Доступ к web-серверу разрешен всем пользователям локальной сети. Доступ из внешних сетей запрещен периметровым межсетевым экраном. Дополни- тельные средства защиты web-сервера (аутентификация, SSL, TLS, защита от DoS-атак)  не предусмотрены. Резервирование данных не выполняется. Системные журналы и журналы регистрации хранятся непосредственно на сервере.

Примечание

Данная информация может быть получена от системного администратора, а также путем подключения к web-серверу.

Выявленные риски и рекомендации по их обработке

Сервер поддерживает HTTP-методы GET, HEAD, OPTIONS, TRACE.

Примечание

Информация получена сканером nikto.

Метод OPTION может использоваться для получения списка поддерживаемых HTTP-

методов, рекомендуется его отключить.

Метод TRACE используется только для целей отладки, его необходимо отключить, так как существуют техники атак на web-сервер, использующие этот метод.

Существует возможность просмотра каталогов /icons и /doc. Рекомендуется закрыть этот доступ.

Существует возможность просмотра системной информации сервера (например, с по- мощью  следующего  запроса  web-обозревателя  http://192.168.10.3/server-status).  Данная функция должна быть отключена, если она не используется. Если она используется, то дос- туп к этой информации должен предоставляться только определенному набору узлов.

Примечание

Информация обнаружена сканером nikto и дополнительно должна быть проверена вруч-

ную.

Протоколы SSL и TLS не используются. В силу высоких требований по доступности рекомендуется внедрение протоколов SSL или TLS для обеспечения целостности данных, получаемых с web-сервера. Для этого можно использовать модуль  mod_SSL web-сервера Apache.

К серверу разрешен неавторизованный доступ. Рекомендуется запретить неавторизо- ванный доступ к серверу, так как его функциональное назначение предполагает, что доступ должны получать только сотрудники предприятия. Для прозрачности доступа рекоменду- ется использовать технологии единой регистрации в рамках всей информационной инфра- структуры.

Системные журналы и журналы регистрации хранятся непосредственно на сервере. Ре- комендуется использовать централизованное (в рамках всей информационной инфраструк- туры) хранилище системных журналов и журналов регистрации. Это позволит упростить к ним доступ и защитит от модификации. Данные журналов должны анализироваться на ре- гулярной основе.

Web-сервер использует настройки безопасности по умолчанию. Для повышения уровня безопасности web-сервера рекомендуется установить модуль mod-security, осуществляю- щий обнаружение и предотвращение вторжений на web-сервер. В частности, из арсенала средств защиты модуля mod-security необходимо использовать функцию chroot (выполне- ние сервера в изолированном файловом пространстве) и маскировку баннера сервера.

Рекомендуется отключить все неиспользуемые функции и модули web-сервера, такие как поддержка CGI и др.

Примечание

Поскольку аудитор находился в рамках модели «серого ящика» (в частности, не было воз-

можности провести анализ конфигурации сервера), он не мог точно определить, какие функции отключены, а какие — нет. Поэтому приводимая рекомендация носит общий ха- рактер.

ВЫПОЛНИТЬ!

24. С  помощью  утилиты  netcat  (или  telnet)  подключитесь  к  web-серверу, функционирующему на узле «Сервер». Определите версию web-сервера и запросите корневую страницу.

25. Последовательно выполните сканирование web-сервера с помощью утилит

Cgichk и Nikto.

26. Дополните табл. 8.3. Сделайте вывод о возможности анализа защищенно-

сти web-сервера различными методами. Напишите тезисы «Аналитическо- го отчета», описывающие ПИБ, выявленные риски и рекомендации для этого  сервера,  в  предположении,  что  данный  сервер  является  web- сервером, содержащим информацию о компании, её структуре, новостях и о профиле деятельности.

27. Сформируйте итоговый отчет о проведении тестирования. Укажите пере-

чень первоочередных мероприятий для устранения найденных уязвимо-

стей.

Источник: Андрончик А. Н., Богданов В. В., Домуховский Н. А., Коллеров А. С., Синадский Н. И., Хорьков Д. А., Щербаков М. Ю., Защита информации в компьютерных сетях. Практический курс

Похожие посты:

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий