Если в прошлом организация обнаруживала факт компрометации через традиционный брандмауэр с фильтрацией пакетов, то рефлекторной реакцией была блокировка доступа из интернета. Например, при обнаружении кода проникновения, который прибыл через порт HTTP 80 или 443, организация могла полностью перекрыть доступ к этому порту — временно или почти постоянно. Но такой подход сильно снижает производительность, т.к. влияет на доступ к SharePoint. Особенно это заметно в современных взаимосвязанных инфраструктурах, которые сильно зависят от обмена информацией и совместного ее использования с внешними поставщиками и клиентами. Традиционные технологии защиты балансируют между безопасностью и производительностью. Например, чем плотнее закрыт брандмауэр, тем меньше функций доступно конечным пользователям.
Непосредственным ответом на необходимость поддержки и увеличения уровня производительности без риска компрометации безопасности были возможности “анализа с учетом состояния” (stateful inspection), встроенные в линейку Forefront Edge, которые могут разумно определять, является ли легальным конкретный веб-трафик. К примеру, продукты линейки Forefront Edge проверяют пакеты, направленные в ТСР-порт 80, и определяют, имеют ли они формат правильного HTTP-запроса. В соответствии с нашей аналогией, линейка Forefront Edge работает еще и как таможенник, который наряду с проверкой паспортов просвечивает рентгеновским сканером багаж каждого человека, пересекающего границу.
При увеличении изощренности атак уровня приложений становится все более необходимым решение защиты, которое не мешает производительности, но снижает риски, существующие в средах, которые полагаются на простые технологии фильтрации пакетов.
Опасность, присущая веб-трафику SharePoint
Цели и назначение интернета довольно противоречивы. С одной стороны, интернет предназначен для доступа к информации в любой момент и из любого места, связывая сис-
теМы по всему миру и обеспечивая возможность свободного обмена такой информацией. С другой стороны, такая прозрачность сопряжена с существенным риском, т.к. она по сути означает, что любая система открыта для доступа с каждого подключенного компьютера со всего мира — дружелюбного или злонамеренного.
Зачастую такой риск компрометации систем или информации, неизбежный из-за открытости интернету, приводит к запрету доступа к информации с помощью брандмауэров. Конечно, это ограничивает возможности и полезность систем свободного обмена информацией, обеспечиваемого веб-трафиком. Многим веб-серверам нужен анонимный доступ для широкой публики, что приводит к дилемме: организации нужно разместить информацию в сети, но не подвергать свои серверы ненужному риску.
К счастью, линейка Forefront Edge предлагает надежные и мощные инструменты для защиты веб-трафика, т.е. оставляет его доступным для дистанционного доступа, но защищает от атак и проникновений. Чтобы понять, как это делается, вначале необходимо разобраться, как веб-трафик используется для проникновений.
Веб- (HTTP-) проникновения
То, что компьютерный мир плохо подготовился к появлению вируса Code Red — это еще мягко сказано. Код проникновения в информационной службе интернета (IIS), которым воспользовался Code Red, был уже известен, и Microsoft выпустила исправление за несколько недель до его появления. Однако в те дни регулярному исправлению и модернизации систем не придавали такого значения, т.к. большинство считало, что лучше подождать, пока в исправлениях будут выловлены все ошибки.
И случилось так, что огромное количество веб-сайтов оказалось полностью не готово к мощному нашествию проникающих кодов из вируса Code Red, который посылал НТТР-эапросы специального формата на веб-серверы, чтобы захватить управление системой. Вот пример URL-адреса для проникновения:
http: //SharePoint.companyabc.com/scripts/..%5с. ./winnt/system32/ cmd.exe?/c+dir+c:\
Этот адрес пытается запустить командную строку на веб-сервере. Специальные манипуляции позволили вирусам наподобие Code Red найти метод захвата веб-серверов и превращения их в боты для атак на другие серверы.
Такие виды веб-атак вытряхнули из сонной задумчивости специалистов по компьютер ной безопасности. Они поняли, что брандмауэры с фильтрацией на уровне пакетов, которая просто открывает или закрывает порт, бесполезны против кодов проникновений, которые упаковывают свой трафик во вполне разрешенные порты наподобие HTTP и HTTPS.
Читать дальше