Вебмайстер
Яндекс для вебмайстрів
Як Яндекс індексує сайти
Сайт на сторінці результатів пошуку
Сервіс «Яндекс.Вебмайстер»
Налаштування індексування
Вміст сайту
Сайт у результатах пошуку
Безпека сайтів
Сервіси Яндекса на вашому сайті

Основи безпеки

Стаття "Забезпечення безпеки веб-сайтів" надана Sophos Plc і SophosLabs.

Грудень 2007 р.

Перший етап проектування, створення або використання безпечного веб-сайту — це забезпечення максимального рівня безпеки сервера, на якому він розміщується.

Веб-сервер формується кількома шарами ПЗ, кожен з яких може бути уражений різноманітними способами атаки, як показано на діаграмі нижче. Пам'ятайте: метою атаки може стати будь-який із блоків.

Основа будь-якого сервера — це операційна система. Забезпечити її безпеку досить просто: достатньо вчасно встановлювати останні оновлення системи безпеки. Це не найважче завдання, оскільки системи Microsoft [1] і велика кількість представників родини Linux дозволяють організаціям встановлювати виправлення автоматично або запускати їх одним кліком миші.

Слід пам'ятати, що хакери також схильні автоматизувати свої атаки, використовуючи шкідливе ПЗ, яке перебирає один сервер за іншим у пошуках сервера, де оновлення не було встановлено. У зв'язку з цим важливо стежити за тим, щоб оновлення встановлювалися своєчасно та належним чином. Будь-який сервер, на якому встановлено застарілі версії оновлень, може бути атакований.

Також слід вчасно оновлювати все програмне забезпечення, яке працює на веб-сервері. Будь-яке ПЗ, що не є необхідним компонентом (наприклад, DNS-сервер або засоби віддаленого адміністрування на зразок VNC чи служб віддалених робочих столів), слід вимкнути або видалити. Якщо засоби віддаленого адміністрування все ж потрібні, стежте за тим, щоб не використовувалися паролі за замовчуванням або паролі, які можна легко вгадати [2]. Це зауваження стосується не лише засобів віддаленого адміністрування, але й облікових записів користувачів, комутаторів і маршрутизаторів.

Ще один важливий момент — це антивірусне ПЗ. Його використання є обов'язковою вимогою для будь-якого веб-сервера незалежно від того, використовується як платформа Windows чи Unix. У поєднанні з гнучким міжмережевим екраном антивірусне ПЗ стає одним з найефективніших способів захисту від загроз безпеці. Коли веб-сервер стає метою атаки, зловмисник без зволікання намагається завантажити інструменти злому або шкідливе ПЗ, щоб встигнути використати вразливість системи безпеки до того, як її буде закрито. За відсутності якісного антивірусного пакета вразливість системи безпеки може довгий час залишатися непоміченою.

У питаннях захисту оптимальним є багаторівневий підхід. На передньому краї — міжмережевий екран і операційна система; антивірус, який стоїть за ними, готовий залатати будь-які діри, що виникають.

Підіб’ємо підсумки:

  • Не встановлюйте непотрібні компоненти. Будь-який компонент несе із собою окрему загрозу; що їх більше, то вищий сумарний ризик.

  • Своєчасно встановлюйте оновлення системи безпеки для операційної системи та програм.

  • Використовуйте антивірус, увімкніть автоматичне встановлення оновлень і регулярно перевіряйте правильність їх встановлення.

Деякі з цих завдань можуть здаватися обтяжливими, але слід пам'ятати про те, що для атаки досить однієї діри в системі безпеки. Потенційні ризики при цьому — крадіжка даних і трафіку, занесення IP-адреси сервера в чорні списки, завдання шкоди репутації та нестабільність веб-сайту організації.

Наступний за важливістю компонент програмного забезпечення — сам HTTP-сервер; найпопулярнішими альтернативами тут є IIS і Apache.

До наступного розділу

Оцініть статтю
Дякуємо за ваш відгук!