На главную страницу AlgoNet В сотрудничестве с ZDNet
АРХИВ СТАТЕЙ 1999-10-12 на главную / новости от 1999-10-12
AlgoNet.ru
поиск

 

Место для Вашей рекламы!

 

Все новости от 12 октября 1999 г.

Атакован и взломан! (часть II)

Загляните под каждый камень
Весь код — даже самые простые скрипты, работающие на веб-сайте, — необходимо тщательно проверить. Администратор должен глубоко изучить каждое приложение, каждый API и каждую часть сетевой инфраструктуры.

Объем всей этой информации резко возрастает с увеличением степени онлайнового присутствия компании. По оценкам PC Week Labs, чтобы обеспечить неприступность каждого сайта, компания должна заниматься его защитой не менее 8 часов в неделю. При 40-часовом рабочем дне (конечно, мы понимаем, как мало общего это имеет с реальной рабочей неделей среднего менеджера ИТ, но нужно же опираться на какие-то цифры) это означает, что по крайней мере один специалист должен уделять веб-защите не менее 20% своего времени. Учитывая, что минимальная зарплата сетевого администратора составляет 65 тыс. $ в год, безопасность стандартного веб-сайта обходится примерно в 1000 $ в месяц. При увеличении числа серверов, программных приложений и подключений к Интернету эта цифра стремительно растет.

Сайт hackpcweek.com научил нас также тому, что некоторые простые меры защиты, такие как хитрые пароли, хороши в теории, но почти неосуществимы на практике. Сайт hackpcweek содержал шесть серверов. Вообразите, насколько сложно было запомнить такие пароли, как [Athl!g. Мы не могли и не должны были хранить список логинов и паролей в своих лаптопах — в случае какой-нибудь неприятности с ними весь наш сайт оказался бы уязвимым.

Испытание показало, что нельзя недооценивать важность хорошего брандмауэра. Мы применяли Raptor компании Axent Technologies и заблокировали каждый порт, за исключением Port 80 для обычного НТТР-трафика. Такая конфигурация почти предельно проста и безопасна. Proxy-брандмауэр требует больше обрабатывающей мощности, чем брандмауэр кумулятивного контроля. Raptor обеспечивает функцию proxy на уровне сети. Мы выбрали этот метод потому, что он ограничивает линию связи с обеих сторон и действует в качестве арбитра. Брандмауэр с кумулятивным контролем, напротив, в основном осуществляет лишь фильтрацию пакетов.

Администраторам необходимо обеспечить свои брандмауэры достаточной вычислительной мощностью. Мы установили Raptor на сервере LPR от Hewlett-Packard с двумя процессорами Pentium II 450 МГц. Это необходимый уровень производительности, так как каждый сеанс должен контролироваться на входе и выходе сервера. Здесь лучше не скупиться.

Открытые двери
Многие компании отдают часть своих веб-разработок на субподряд, что налагает на администраторов дополнительную нагрузку по изучению кода, создаваемого сторонними фирмами. Важную часть договора субподряда должна составлять технология передачи проекта, причем необходимо предусмотреть дополнительное время на освоение нового кода собственным персоналом.

Идея открытого исходного кода придает проблеме безопасности новый поворот. С одной стороны, доступность исходного кода должна сделать его более защищенным благодаря перекрестным проверкам. Но это не всегда так. Часто пробелы в защите появляются не из-за некачественного кода, а в результате выбора специфических конфигураций.

Вывод из всего этого: никогда не теряйте бдительность!

 

← сентябрь 1999 7  8  10  11  12  13  14  15  18 ноябрь 1999 →
Реклама!
 

 

Место для Вашей рекламы!