June 23rd, 2012 
admin
Внутренний web-сервер используется для публикации внутрикорпоративных новостей, документов, регламентов и приказов. Требования по доступности информации, хранящейся на web-сервере, низкие, простой в течение одного дня допустим. Требования по конфиден- циальности средние, получение информации, хранящейся на сервере, конкурентами может привести к финансовым потерям. Требования по целостности высокие, искажение инфор- мации, хранящейся на сервере, может привести к дезорганизации деятельности многих подразделений и к нарушению нормальной работы предприятия в целом.
В качестве web-сервера используется сервер Apache 1.3.33, установленный на сервере под управлением ОС Debian GNU Linux. Сервер используется для предъявления только статических web-страниц. Доступ к web-серверу разрешен всем пользователям локальной сети. Доступ из внешних сетей запрещен периметровым межсетевым экраном. Дополни- тельные средства защиты web-сервера (аутентификация, SSL, TLS, защита от DoS-атак) не предусмотрены. Резервирование данных не выполняется. Системные журналы и журналы регистрации хранятся непосредственно на сервере.
Примечание
Данная информация может быть получена от системного администратора, а также путем подключения к web-серверу.
Выявленные риски и рекомендации по их обработке
Сервер поддерживает HTTP-методы GET, HEAD, OPTIONS, TRACE.
Примечание
Информация получена сканером nikto.
Метод OPTION может использоваться для получения списка поддерживаемых HTTP-
методов, рекомендуется его отключить.
Метод TRACE используется только для целей отладки, его необходимо отключить, так как существуют техники атак на web-сервер, использующие этот метод.
Существует возможность просмотра каталогов /icons и /doc. Рекомендуется закрыть этот доступ.
Существует возможность просмотра системной информации сервера (например, с по- мощью следующего запроса web-обозревателя http://192.168.10.3/server-status). Данная функция должна быть отключена, если она не используется. Если она используется, то дос- туп к этой информации должен предоставляться только определенному набору узлов.
Примечание
Информация обнаружена сканером nikto и дополнительно должна быть проверена вруч-
ную.
Протоколы SSL и TLS не используются. В силу высоких требований по доступности рекомендуется внедрение протоколов SSL или TLS для обеспечения целостности данных, получаемых с web-сервера. Для этого можно использовать модуль mod_SSL web-сервера Apache.
К серверу разрешен неавторизованный доступ. Рекомендуется запретить неавторизо- ванный доступ к серверу, так как его функциональное назначение предполагает, что доступ должны получать только сотрудники предприятия. Для прозрачности доступа рекоменду- ется использовать технологии единой регистрации в рамках всей информационной инфра- структуры.
Системные журналы и журналы регистрации хранятся непосредственно на сервере. Ре- комендуется использовать централизованное (в рамках всей информационной инфраструк- туры) хранилище системных журналов и журналов регистрации. Это позволит упростить к ним доступ и защитит от модификации. Данные журналов должны анализироваться на ре- гулярной основе.
Web-сервер использует настройки безопасности по умолчанию. Для повышения уровня безопасности web-сервера рекомендуется установить модуль mod-security, осуществляю- щий обнаружение и предотвращение вторжений на web-сервер. В частности, из арсенала средств защиты модуля mod-security необходимо использовать функцию chroot (выполне- ние сервера в изолированном файловом пространстве) и маскировку баннера сервера.
Рекомендуется отключить все неиспользуемые функции и модули web-сервера, такие как поддержка CGI и др.
Примечание
Поскольку аудитор находился в рамках модели «серого ящика» (в частности, не было воз-
можности провести анализ конфигурации сервера), он не мог точно определить, какие функции отключены, а какие — нет. Поэтому приводимая рекомендация носит общий ха- рактер.
ВЫПОЛНИТЬ!
24. С помощью утилиты netcat (или telnet) подключитесь к web-серверу, функционирующему на узле «Сервер». Определите версию web-сервера и запросите корневую страницу.
25. Последовательно выполните сканирование web-сервера с помощью утилит
Cgichk и Nikto.
26. Дополните табл. 8.3. Сделайте вывод о возможности анализа защищенно-
сти web-сервера различными методами. Напишите тезисы «Аналитическо- го отчета», описывающие ПИБ, выявленные риски и рекомендации для этого сервера, в предположении, что данный сервер является web- сервером, содержащим информацию о компании, её структуре, новостях и о профиле деятельности.
27. Сформируйте итоговый отчет о проведении тестирования. Укажите пере-
чень первоочередных мероприятий для устранения найденных уязвимо-
стей.
Источник: Андрончик А. Н., Богданов В. В., Домуховский Н. А., Коллеров А. С., Синадский Н. И., Хорьков Д. А., Щербаков М. Ю., Защита информации в компьютерных сетях. Практический курс
Опубликовано в рубрике