Scribd Logo
Upload

Welcome to Scribd!

  • Zaštita Web Servera

    Uploaded by

    Dusan Petkovic
    19 views16 pages
    223846967 Zaštita Web Servera

    Original Title

    223846967 Zaštita Web Servera

    Copyright

    © © All Rights Reserved

    Available Formats

    PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document
    223846967 Zaštita Web Servera

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    19 views16 pages

    Zaštita Web Servera

    Uploaded by

    Dusan Petkovic
    223846967 Zaštita Web Servera

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 16

    Zatita web servera

    Nataa Babi
    Web server / posluitelj:
    prima zahtjeve korisnika te na temelju tog zahtjeva i prethodno
    definiranih pravila oblikuje web stranicu koju dostavlja korisniku
    (njegovom web pregledniku)

    Dva danas najzastupljenija web posluitelja su Apache (49.95%) i
    Microsoft Internet Information Server (29.27% )
    (istraivanje kompanije Netcraft, podaci iz travnja 2009.)

    Kako su web posluitelji u veini sluajeva javno izloeni na Internetu,
    njihova sigurnost je vrlo bitna za sigurnost cjelokupnog raunalnog
    sustava

    Serveri su esta meta napada zbog vrijednosti podataka i aplikacija
    koje su na njima pohranjene
    Sigurnosne prijetnje moemo podijeliti u sljedee
    kategorije:

    1. neovlateni pristup podacima:
    a) zbog propusta tj. greaka u softveru (operativnog sustava,
    platforme web servera, ali najee ranjivosti web aplikacija)

    b) presretanje povjerljivih informacija, koje se izmeu servera i
    klijenta prenose neenkriptirane ili loe enkriptirane.

    c) prikupljanje povjerljivih informacija (brojeva kreditnih
    kartica, zaporki za on-line bankarstvo i slino) pomou
    malicioznog softvera, virusa i socijalnog inenjeringa

    2. uskraivanje usluga:

    DoS napadi (engl. Denial of service)
    Radi se o vrsti napada u kojem se obino namjernim generiranjem
    velike koliine mrenog prometa nastoji zaguiti mrena oprema i
    posluitelji.
    Isti postaju toliko optereeni da vie nisu u stanju procesirati legitimni
    promet.

    DDoS napad (engl. Distributed Denial of Service)
    Oblik napada uskraivanjem usluga u kojem su izvori zaguujueg
    mrenog prometa distribuirani na vie mjesta po Internetu, obino je
    rije o prethodno provaljenim raunalima (zombi raunala)
    3. unitenje podataka:

    a) fiziko (ljudski faktor, prirodne pojave)

    b) uz pomo metoda neovlatenog pristupa podacima
    od strane malicioznih korisnika



    Sigurnosni mehanizmi zatite

    1. Model dvostrukih posluitelja

    Radi se o metodi gdje se stavi npr. Apache web posluitelj ispred farme
    IIS posluitelja.
    U prilog ovom nainu zatite ide postojanje dvije razine zatite, dok
    glavni nedostatak predstavlja problem administracije dva razliita
    posluitelja.



    2. Vatrozid (firewall) i proxy posluitelj

    Kada se govori o firewallu za web posluitelje osnovna
    podeavanja su:
    - ograniiti promet samo na portove na kojima oslukuje
    web posluitelj (tipino 80 i 443)
    - zabraniti izlazni promet na sistemskim portovima (portovi
    od 0 i 1024).

    Metodom proxy posluitelja od udaljenog se korisnika
    "skriva" stvarna adresa posluitelja na nain da se sav
    promet odvija preko treeg posluitelja proxy-a.
    Napadau je onemoguen izravan napad na posluitelj.
    3. Zatita web aplikacija

    Web aplikacija podrazumijeva svu programsku podrku namijenjenu i
    prilagoenu izvoenju na Web posluiteljima, pri emu se komunikacija
    s klijentom odvija putem HTTP/HTTPS protokola

    Ispitivanja su pokazala da je gotovo polovina ranjivosti web servera
    izravna posljedica pogreno oblikovane web aplikacije, te da je
    oko 92% Web aplikacija ranjivo na neki od poznatih napada.

    Iako neki od problema proizlaze iz samih karakteristika i
    nedostataka HTTP protokola, veina problema javlja se
    kao posljedica povrnog razvoja programskog koda.
    Sigurnosni propusti unutar Web aplikacija:

    1) tehniki propusti: ranjivosti sadrane u programskom
    kodu Web posluitelja i samih Web aplikacija, te
    pogreke nainjene prilikom njihove konfiguracije.

    2) logiki propusti: nastaju uslijed loe programiranih
    Web aplikacija i neovlatenom korisniku omoguuju
    radnje kao to su izmjena prikazanog Web sadraja,
    promjena razine ovlasti korisnikih rauna, kreiranje
    lanih korisnikih rauna ili lano predstavljanje
    korisnika te izvoenje neovlatenih transakcija.
    Mogua je i sljedea kategorizacija:

    1) Napadi vezani uz autentifikaciju
    napadi koritenjem sile (engl. Brute force)
    napadi koji su posljedica nedovoljne razine autentifikacije
    napadi koji su posljedica nedovoljne zatite korisnikove lozinke.

    2) Napadi vezani uz autorizaciju
    napadi vezani uz nagaanje vjerodajnog identifikacijskog broja
    nedovoljna autorizacija
    nedovoljna kontrola trajanja usluge (engl. Session expiration)
    fiksacija usluge (engl. Session fixation)

    3) Napadi na klijentsku stranu
    ubacivanje nepostojeeg sadraja (engl. Content spoofing)
    izvravanje napadakog koda (engl. Cross-site scripting) u
    korisnikom Web pregledniku

    4) Napadi vezani uz izvravanje naredbi
    Buffer overflow napadi
    SQL injection
    XPATH i LDAP injection

    5) Otkrivanje povjerljivih informacija
    Izlistavanje mapa, rasipanje informacija, otkrivanje preaca do
    informacija i predvianje lokacije resursa

    6) Logiki napadi
    Zloupotreba funkcionalnosti, napadi temeljeni na uskraivanju usluge
    (DoS napadi), napadi uzrokovani automatiziranim procesima i napadi
    koji naruavaju kontrolu procesa
    Mogua rjeenja za unapreenje sigurnosti
    Web aplikacija :

    1) upotreba vatrozida, i to funkcionalnosti koje
    omoguuju analizu i filtriranje prometa prema
    sadraju paketa (engl. content filtering).

    2) Tehnologija reverznih posluitelja (engl. reverse
    proxy), gdje se sva komunikacija izmeu klijenta i
    posluitelja provodi putem proxy posluitelja na kojem
    je mogue implementirati razliite sigurnosne kontrole.
    Osnovni savjeti za administratore web servera:

    1) Primjena sigurnosnih zakrpi.
    2) Ovlasti nad datotenim sustavom
    3) CGI (Common Gateway Interface) skripte
    4) Zatita postavki posluitelja
    5) Praenje dnevnika (log datoteka)
    6) koritenje dostupnih programa za ispitivanje web
    aplikacija i posluitelja : sigurnosno skeiranje Web
    posluitelja i Web aplikacija
    Neki od alata za sigurnosno skeniranje:

    Nikto je alat otvorenog koda koji se koristi za provjeru
    ranjivosti web posluitelja.

    Paros je besplatni programski paket za ispitivanje
    sigurnosti Web aplikacija

    TrustSight Security Scanner , WebScarab, WebInspect,
    Whisker, Burpsuite, Wikto, Acunetix WVS, WatchFire
    AppScan, N-Stealth...
    www.sans.org
    www.cert.hr
    http://www.nist.gov

    ZAKLJUAK

    Kao i kod svih programskih rjeenja, pravilno
    podeavanje web posluitelja (podrazumijeva
    planiranje kapaciteta, vrnih optereenja i konfiguriranje
    servera prema vrsti posla kojim ga planiramo opteretiti),
    nadgledanje rada sustava, redovito osvjeavanje
    zakrpama i pravilno postavljanje ovlasti pristupa
    (korisnicima treba dati samo nune ovlasti koje su im
    potrebe da odrade svoj posao) neophodni su element za
    siguran i zatien web posluitelj.

    You might also like