Zaštita web serveraZaštita web servera

Nataša BabićNataša Babić

• Web server / poslužitelj:Web server / poslužitelj:

prima zahtjeve korisnika te na temelju tog zahtjeva i prethodno prima zahtjeve korisnika te na temelju tog zahtjeva i prethodno definiranih pravila oblikuje web stranicu koju dostavlja korisniku definiranih pravila oblikuje web stranicu koju dostavlja korisniku (njegovom web pregledniku) (njegovom web pregledniku)

• Dva danas najzastupljenija web poslužitelja su Dva danas najzastupljenija web poslužitelja su Apache Apache (49.95%) i (49.95%) i Microsoft Internet Information Server Microsoft Internet Information Server (29.27% ) (29.27% )

(istraživanje kompanije Netcraft,(istraživanje kompanije Netcraft, podaci iz travnja 2009.)podaci iz travnja 2009.)

• Kako su web poslužitelji u većini slučajeva javno izloženi na Internetu, Kako su web poslužitelji u većini slučajeva javno izloženi na Internetu, njihova sigurnost je vrlo bitna za sigurnost cjelokupnog računalnog njihova sigurnost je vrlo bitna za sigurnost cjelokupnog računalnog sustava sustava

• Serveri su česta meta napada zbog vrijednosti podataka i aplikacija Serveri su česta meta napada zbog vrijednosti podataka i aplikacija koje su na njima pohranjene koje su na njima pohranjene

• Sigurnosne prijetnje možemo podijeliti u sljedeće Sigurnosne prijetnje možemo podijeliti u sljedeće kategorije: kategorije:

1.1. neovlašteni pristup podacimaneovlašteni pristup podacima::

a) a) zbog propusta tj. grešaka u softveruzbog propusta tj. grešaka u softveru (operativnog sustava, (operativnog sustava,

platforme web servera, ali najčešće ranjivosti web aplikacija) platforme web servera, ali najčešće ranjivosti web aplikacija)

b) b) presretanje povjerljivih informacijapresretanje povjerljivih informacija, koje se između servera i, koje se između servera i

klijenta prenose neenkriptirane ili loše enkriptirane. klijenta prenose neenkriptirane ili loše enkriptirane.

c) c) prikupljanje povjerljivih informacijaprikupljanje povjerljivih informacija (brojeva kreditnih (brojeva kreditnih

kartica, zaporki za on-line bankarstvo i slično) pomoćukartica, zaporki za on-line bankarstvo i slično) pomoću

malicioznog softvera, virusa i socijalnog inženjeringamalicioznog softvera, virusa i socijalnog inženjeringa

2.2. uskraćivanje uslugauskraćivanje usluga: :

DoS napadiDoS napadi (engl. (engl. Denial of serviceDenial of service) ) Radi se o vrsti napada u kojem se obično namjernim generiranjemRadi se o vrsti napada u kojem se obično namjernim generiranjem

velike količine mrežnog prometa nastoji zagušiti mrežna oprema ivelike količine mrežnog prometa nastoji zagušiti mrežna oprema i

poslužitelji. poslužitelji.

Isti postaju toliko opterećeni da više nisu u stanju procesirati legitimniIsti postaju toliko opterećeni da više nisu u stanju procesirati legitimni

promet. promet.

DDoS napadDDoS napad (engl. (engl. Distributed Denial of ServiceDistributed Denial of Service))Oblik napada uskraćivanjem usluga u kojem su izvori zagušujućegOblik napada uskraćivanjem usluga u kojem su izvori zagušujućeg

mrežnog prometa distribuirani na više mjesta po Internetu, obično jemrežnog prometa distribuirani na više mjesta po Internetu, obično je

riječ o prethodno provaljenim računalima (zombi računala)riječ o prethodno provaljenim računalima (zombi računala)

3.3. uništenje podatakauništenje podataka::

a) a) fizičkofizičko (ljudski faktor, prirodne pojave) (ljudski faktor, prirodne pojave)

b) b) uz pomoć metoda neovlaštenog pristupa podacima uz pomoć metoda neovlaštenog pristupa podacima

od strane malicioznih korisnikaod strane malicioznih korisnika

Sigurnosni mehanizmi zaštiteSigurnosni mehanizmi zaštite

1.1. Model dvostrukih poslužiteljaModel dvostrukih poslužitelja

Radi se o metodi gdje se stavi npr. Apache web poslužitelj ispred Radi se o metodi gdje se stavi npr. Apache web poslužitelj ispred farmefarme

IIS poslužitelja. IIS poslužitelja.

U prilog ovom načinu zaštite ide postojanje dvije razine zaštite, dokU prilog ovom načinu zaštite ide postojanje dvije razine zaštite, dok

glavni nedostatak predstavlja problem administracije dva različitaglavni nedostatak predstavlja problem administracije dva različita

poslužitelja.poslužitelja.

2.2. Vatrozid (firewall) i proxy poslužiteljVatrozid (firewall) i proxy poslužitelj

Kada se govori o Kada se govori o firewallufirewallu za web poslužitelje osnovna za web poslužitelje osnovna

podešavanja su:podešavanja su:

- ograničiti promet samo na portove na kojima osluškuje - ograničiti promet samo na portove na kojima osluškuje web poslužitelj (tipično 80 i 443)web poslužitelj (tipično 80 i 443)

- zabraniti izlazni promet na sistemskim portovima (portovi - zabraniti izlazni promet na sistemskim portovima (portovi od 0 i 1024).od 0 i 1024).

Metodom Metodom proxy poslužiteljaproxy poslužitelja od udaljenog se korisnika od udaljenog se korisnika

"skriva" stvarna adresa poslužitelja na način da se sav"skriva" stvarna adresa poslužitelja na način da se sav

promet odvija preko trećeg poslužitelja – proxy-a.promet odvija preko trećeg poslužitelja – proxy-a.

Napadaču je onemogućen izravan napad na poslužitelj.Napadaču je onemogućen izravan napad na poslužitelj.

3.3. Zaštita web aplikacijaZaštita web aplikacija

Web aplikacija Web aplikacija podrazumijeva svu programsku podršku namijenjenu ipodrazumijeva svu programsku podršku namijenjenu i

prilagođenu izvođenju na Web poslužiteljima, pri čemu se komunikacijaprilagođenu izvođenju na Web poslužiteljima, pri čemu se komunikacija

s klijentom odvija putem HTTP/HTTPS protokola s klijentom odvija putem HTTP/HTTPS protokola

Ispitivanja su pokazala da je Ispitivanja su pokazala da je gotovo polovina ranjivosti web serveragotovo polovina ranjivosti web servera

izravna posljedica pogrešno oblikovane web aplikacijeizravna posljedica pogrešno oblikovane web aplikacije, te da je, te da je

oko 92% Web aplikacija ranjivo na neki od poznatih napada.oko 92% Web aplikacija ranjivo na neki od poznatih napada.

Iako neki od problema proizlaze iz samih karakteristika iIako neki od problema proizlaze iz samih karakteristika i

nedostataka HTTP protokola, većina problema javlja senedostataka HTTP protokola, većina problema javlja se

kao kao posljedica površnog razvoja programskog koda. posljedica površnog razvoja programskog koda.

Sigurnosni propusti unutar Web aplikacija:Sigurnosni propusti unutar Web aplikacija:

1)1) tehnički propusti:tehnički propusti: ranjivosti sadržane u programskom ranjivosti sadržane u programskom kodu Web poslužitelja i samih Web aplikacija, te kodu Web poslužitelja i samih Web aplikacija, te pogreške načinjene prilikom njihove konfiguracije.pogreške načinjene prilikom njihove konfiguracije.

2)2) logički propusti:logički propusti: nastaju uslijed loše programiranih nastaju uslijed loše programiranih Web aplikacija i neovlaštenom korisniku omogućuju Web aplikacija i neovlaštenom korisniku omogućuju radnje kao što su izmjena prikazanog Web sadržaja, radnje kao što su izmjena prikazanog Web sadržaja, promjena razine ovlasti korisničkih računa, kreiranje promjena razine ovlasti korisničkih računa, kreiranje lažnih korisničkih računa ili lažno predstavljanje lažnih korisničkih računa ili lažno predstavljanje korisnika te izvođenje neovlaštenih transakcija. korisnika te izvođenje neovlaštenih transakcija.

Moguća je i sljedeća kategorizacija:Moguća je i sljedeća kategorizacija:

1)1) Napadi vezani uz autentifikacijuNapadi vezani uz autentifikaciju napadi korištenjem sile (engl. napadi korištenjem sile (engl. Brute forceBrute force) ) napadi koji su posljedica nedovoljne razine autentifikacijenapadi koji su posljedica nedovoljne razine autentifikacije napadi koji su posljedica nedovoljne zaštite korisnikove lozinke. napadi koji su posljedica nedovoljne zaštite korisnikove lozinke.

2) 2) Napadi vezani uz autorizacijuNapadi vezani uz autorizaciju napadi vezani uz nagađanje vjerodajnog identifikacijskog broja napadi vezani uz nagađanje vjerodajnog identifikacijskog broja nedovoljna autorizacija nedovoljna autorizacija nedovoljna kontrola trajanja usluge (englnedovoljna kontrola trajanja usluge (engl. Session expiration). Session expiration) fiksacija usluge (englfiksacija usluge (engl. Session fixation. Session fixation) )

3) 3) Napadi na klijentsku stranuNapadi na klijentsku stranu ubacivanje nepostojećeg sadržaja (englubacivanje nepostojećeg sadržaja (engl. Content spoofing. Content spoofing) ) izvršavanje napadačkog koda (englizvršavanje napadačkog koda (engl. . Cross-site scriptingCross-site scripting) u ) u

korisničkom Web pregledniku korisničkom Web pregledniku

4) 4) Napadi vezani uz izvršavanje naredbiNapadi vezani uz izvršavanje naredbi Buffer overflow Buffer overflow napadinapadi SQL injection SQL injection

XPATH i LDAP injectionXPATH i LDAP injection

5) 5) Otkrivanje povjerljivih informacijaOtkrivanje povjerljivih informacijaIzlistavanje mapa, rasipanje informacija, otkrivanje prečaca doIzlistavanje mapa, rasipanje informacija, otkrivanje prečaca do

informacija i predviđanje lokacije resursainformacija i predviđanje lokacije resursa

6) 6) Logički napadiLogički napadiZloupotreba funkcionalnosti, napadi temeljeni na uskraćivanju uslugeZloupotreba funkcionalnosti, napadi temeljeni na uskraćivanju usluge

(DoS napadi), napadi uzrokovani automatiziranim procesima i napadi(DoS napadi), napadi uzrokovani automatiziranim procesima i napadi

koji narušavaju kontrolu procesa koji narušavaju kontrolu procesa

Moguća rješenja za unapređenje sigurnosti Moguća rješenja za unapređenje sigurnosti

Web aplikacijaWeb aplikacija : :

1)1) upotreba vatrozidaupotreba vatrozida, i to funkcionalnosti koje , i to funkcionalnosti koje omogućuju omogućuju analizu i filtriranje prometa prema analizu i filtriranje prometa prema sadržaju paketasadržaju paketa (engl. (engl. content filteringcontent filtering). ).

2)2) Tehnologija reverznih poslužiteljaTehnologija reverznih poslužitelja (engl. (engl. reverse reverse proxyproxy), gdje se sva komunikacija između klijenta i ), gdje se sva komunikacija između klijenta i poslužitelja provodi putem proxy poslužitelja na kojem je poslužitelja provodi putem proxy poslužitelja na kojem je moguće implementirati različite sigurnosne kontrole. moguće implementirati različite sigurnosne kontrole.

Osnovni savjeti za administratore web serveraOsnovni savjeti za administratore web servera::

1)1) Primjena sigurnosnih zakrpiPrimjena sigurnosnih zakrpi. .

2)2) Ovlasti nad datotečnim sustavomOvlasti nad datotečnim sustavom

3)3) CGI (CGI (Common Gateway InterfaceCommon Gateway Interface) skripte) skripte

4)4) Zaštita postavki poslužiteljaZaštita postavki poslužitelja

5)5) Praćenje dnevnika (log datoteka)Praćenje dnevnika (log datoteka)

6)6) korištenje dostupnih programa za ispitivanje web korištenje dostupnih programa za ispitivanje web aplikacijaaplikacija i poslužiteljai poslužitelja : : sigurnosno skeiranje Web sigurnosno skeiranje Web poslužitelja i Web aplikacijaposlužitelja i Web aplikacija

Neki od alata za sigurnosno skeniranje:Neki od alata za sigurnosno skeniranje:

NiktoNikto je alat otvorenog koda koji se koristi za provjeru je alat otvorenog koda koji se koristi za provjeru ranjivosti web poslužitelja.ranjivosti web poslužitelja.

ParosParos je besplatni programski paket za ispitivanje je besplatni programski paket za ispitivanje sigurnosti Web aplikacija sigurnosti Web aplikacija

TrustSight Security ScannerTrustSight Security Scanner , , WebScarabWebScarab, , WebInspect, WebInspect, Whisker, Burpsuite, Wikto, Acunetix WVS, WatchFire Whisker, Burpsuite, Wikto, Acunetix WVS, WatchFire AppScan, N-StealthAppScan, N-Stealth......

www.sans.orgwww.sans.org

www.cert.hrwww.cert.hr

http://www.nist.govhttp://www.nist.gov

ZAKLJUČAKZAKLJUČAK

Kao i kod svih programskih rješenja, Kao i kod svih programskih rješenja, pravilno pravilno podešavanje web poslužitelja podešavanje web poslužitelja (podrazumijeva (podrazumijeva planiranje kapaciteta, vršnih opterećenja i konfiguriranje planiranje kapaciteta, vršnih opterećenja i konfiguriranje servera prema vrsti posla kojim ga planiramo opteretiti),servera prema vrsti posla kojim ga planiramo opteretiti), nadgledanje rada sustava, redovito osvježavanje nadgledanje rada sustava, redovito osvježavanje zakrpama i pravilno postavljanje ovlasti pristupazakrpama i pravilno postavljanje ovlasti pristupa (korisnicima treba dati samo nužne ovlasti koje su im (korisnicima treba dati samo nužne ovlasti koje su im potrebe da odrade svoj posao) neophodni su element za potrebe da odrade svoj posao) neophodni su element za siguran i zaštićen web poslužitelj.siguran i zaštićen web poslužitelj.