ТехниЧеский обзор Чем более высокий уровень защиты необходим компании для ее узла Web, тем больше работы приходится на долю администраторов

 

Компании, использующие серверы World-Wide Web, могут предпринять несколько шагов по их защите, начиная от устранения изъянов базовой операционной системы и кончая борьбой со всякими бюрократическими препонами при получении специальных сертификатов, позволяющих шифровать транзакции на базе Web.

 

Объем работы, которую предстоит выполнить администраторам, зависит от уровня защиты, необходимого их узлу Web. Гораздо проще защитить “киоски” в Internet, содержащие общую информацию о компании и открытые для всех просмотрщиков Web, чем онлайновую банковскую базу данных, в которой клиенты могут проверить баланс на своих счетах.

 

После того как изъяны операционной системы устранены, можно предпринять дальнейшие меры по защите, включая авторизацию доступа к информации узла Web. Шифрование данных требует от администраторов еще больше усилий, поскольку процесс установки протокола SSL (Secure Sockets Layer  -  уровень защиты гнезд) на корпоративном сервере Web насквозь бюрократический: требует подачи заявки на идентификаторы защитного шифрования в фирму VeriSign.

 

Принципы защиты узла Web в Internet, открытого для всего мира, применимы и к защите внутренних сетей intranet, несмотря на то что последние открыты лишь для работников самой компании.

 

Начните с нижнего уровня

 

Независимо от того, работает ли узел Web под Unix, Windows NT или Mac OS, если не устранить их изъяны, то даже самые лучшие процедуры аутентификации пользователя на базе сервера Web и ПО шифрования данных будут бесполезны. Необходимо отключить ненужные службы операционной системы, такие, как Telnet, File Transfer Protocol, sendmail и Network File System, а все гостевые пользовательские идентификаторы аннулировать.

 

Давнишние изъяны операционных систем могут доставлять особенно большие неприятности для компаний, узлы Web которых активно рекламируются. В этом случае потенциальным взломщикам не нужно выискивать IP-адреса хост-компьютеров, чтобы попытаться их атаковать.

 

Чтобы ограничить потенциальный вред от взломщиков, узлы Web необходимо помещать в демилитаризованные зоны  -  сегменты ЛВС, отделенные от основной корпоративной ЛВС брандмауэром.

 

Некоторые поставщики серверов Web предлагают функции сервера-представителя, при этом создается виртуальный клон выделенного основного узла Web для использования посетителями. Даже если кто-то “вломится” на узел-представитель, то сможет принести лишь минимальный вред, поскольку все документы в формате HTML (язык разметки гипертекста) постоянно перезагружаются на узел-представитель с основного сервера.

 

Посмотрите, кто там

 

На большинстве серверов Web сравнительно легко организовать аутентификацию пользователей при входе на узел Web по их идентификаторам и паролям. Это может оказаться достаточным для онлайновой газеты, издатели которой просто хотят отследить, кто пользуется каким-то определенным разделом. Однако доступность незашифрованных данных (в формате “простого текста”) для любой сетевой “ищейки” делает это решение неудовлетворительным, если компании необходима более подробная информация о пользователях, например номера их карт социальной защиты.

 

Защита узла Web работает по тем же принципам, которые используются при защите сетевых файловых систем. ПО сервера Web содержит базу данных о пользователях, с ее помощью администраторы могут присваивать им права доступа к HTML-файлам или связанным с ними документам.

 

Например, если администратор пометит файл PRICELIST.HTML как доступный только членам отдела продаж данной компании, то каждый раз, когда просмотрщик Web будет посылать запрос на доступ к последнему списку цен компании, сервер попросит инициатора запроса ввести пользовательский идентификатор и пароль.

 

Сложность процесса присвоения прав доступа к HTML-файлам различается у разных HTTP-серверов (HTTP  -  протокол передачи гипертекста). Например, серверы корпорации Netscape Communications требуют, чтобы база данных о пользователях хранилась на сервере отдельно от баз данных операционной системы. Даже если группа сотрудников отдела продаж в сети уже есть, ее придется заново создать для сервера Netscape. (Правда, на Unix-версиях серверов Netscape с некоторыми усилиями можно “сфабриковать” связи с базой данных с помощью добавочных функций и сценариев Perl.) С другой стороны, Internet Information Server корпорации Microsoft полагается на ту же систему защиты доменов, что используется в операционной системе Windows NT.

 

По умолчанию большинство серверных пакетов для узлов Web передают полученную от пользователей информацию в форме незащищенного простого текста. При этом из сети можно подсмотреть любые данные, вводимые через HTML-формы и всплывающие диалоговые окна (включая пользовательские идентификаторы и пароли).

 

Зашифруйте сигналы

 

SSL стал стандартом де-факто для шифрования данных в протоколе HTTP (хотя в особо требовательной области онлайновых финансовых операций разрабатываются другие решения), но его реализация  -  это, вероятно, самая сложная задача, которую администратор должен решить при организации защиты.

 

Покупка сервера Web с поддержкой SSL  -  это лишь первый шаг. Прежде чем администраторы смогут думать о работе через SSL, им нужно получить сертификат на шифрование в фирме VeriSign (этот отпрыск фирмы RSA является единственным источником таких сертификатов), даже если они собираются использовать SSL лишь в своей внутренней сети.

 

VeriSign содержит список уникальных шифровочных кодов для всех существующих узлов Web, работающих в режиме SSL. Чтобы получить сертификат на шифрование SSL для своей фирмы, администратору узла Web нужно послать в VeriSign обширный набор бумаг, включая официальные документы, свидетельствующие о том, что данная компания действительно существует. Необходимо также сгенерировать файл, содержащий частный ключ, с помощью ПО сервера Web.

 

Commerce Server корпорации Netscape имеет простой HTML-интерфейс, запрашивающий информацию о домене и другие данные для генерации ключа. Пользователям Internet Information Server корпорации Microsoft придется довольствоваться командной строкой и запустить программу KEYGEN.EXE. Полученный ключ нужно послать в VeriSign по электронной почте.

 

Обработка запроса на сертификат SSL в фирме VeriSign может занять месяц или даже больше. Сертификаты не бесплатные, один сертификат стоит около $300; цена варьируется в зависимости от количества запрашиваемых сертификатов.

 

Когда официальный сертификат наконец получен, администраторам нужно запустить на сервере Web простую утилиту для включения механизма SSL. С этого момента все операции с данными будут зашифрованы.

 

Майкл Суркан

 

КАК ПОЛУЧИТЬ СЕРТИФИКАТ SSL

 

       Купите сервер Web с поддержкой SSL.

 

       Сгенерируйте уникальное имя узла на сервере Web. Включите в него название компании, электронный адрес и номер телефона.

 

       Пошлите письмо в фирму VeriSign с запросом на сертификат шифрования SSLi. Необходимо указать:

 

      - Название компании, телефон, фамилию администратора узла Web

 

      - Представить документы, подтверждающие существование компании (например, копии бумаг об образовании корпорации)

 

      - Информацию о форме оплаты ежегодного взноса.

 

       С помощью инструментов сервера Web сгенерируйте файлы KEY и REQUEST; пошлите их в VeriSign по электронной почте.

 

       Дождитесь окончания обработки запроса в VeriSign (обычно это занимает от двух недель до двух месяцев).

 

       Получив сертификат с цифровым идентификатором, установите его на сервере Web и включите механизм SSL.

 

      * Более подробная информация о том, что должно быть в запросе, содержится на узле Web фирмы VeriSign по адресу: http://www.verisign.com.