Веб-серверді қорғаудың заманауи технологиялары | Статья в журнале «Молодой ученый»

Отправьте статью сегодня! Журнал выйдет 30 ноября, печатный экземпляр отправим 4 декабря.

Опубликовать статью в журнале

Автор:

Рубрика: Молодой ученый Қазақстан

Опубликовано в Молодой учёный №41 (383) октябрь 2021 г.

Дата публикации: 08.10.2021

Статья просмотрена: 200 раз

Библиографическое описание:

Олегов, Данияр Айдарулы. Веб-серверді қорғаудың заманауи технологиялары / Данияр Айдарулы Олегов. — Текст : непосредственный // Молодой ученый. — 2021. — № 41 (383). — С. 312-314. — URL: https://moluch.ru/archive/383/84476/ (дата обращения: 16.11.2024).



Ақпараттық дәуірдің басталуымен веб-сайттар, веб-қосымшалар адамдардың өмірі мен жұмысының ажырамас бөлігі болды. Олар әртүрлі мақсаттарда, коммерциялық, басқарушылық, ақпараттық, өндірістік, әртүрлі құрал-жабдықтарды конфигурациялау және олардың жағдайын бақылау үшін қолданыла бастады.

Веб-сервер мен қосымшалар серверін қорғаудың мақсаты, оларға рұқсатсыз кірудің алдын-алу болып табылады. Ол үшін серверлердегі ақпаратқа қол жеткізу құқығын шектеу жүзеге асырылады. Трафикті қорғауды қамтамасыз ету үшін ақпаратты шифрлау және оны қорғалған байланыс арналары арқылы беру әдістері қолданылады.

Кілт сөздер: NGFW, VPN, SSH, PKI, DPI, WAF.

С наступлением информационной эпохи веб-сайты, веб-приложения стали неотъемлемой частью жизни и работы людей. Они стали использоваться для различных целей, коммерческих, управленческих, информационных, производственных, конфигураций различного оборудования и контроля за их состоянием.

Целью защиты веб-сервера и сервера приложений является предотвращение несанкционированного доступа к ним. Для этого осуществляется ограничение прав доступа к информации на серверах. Для обеспечения защиты трафика используются методы шифрования информации и ее передачи по защищенным каналам связи.

Ключевые слова: NGFW, VPN, SSH, PKI, DPI, WAF.

Web application firewall

Веб-сервердің қауіпсіздігін қамтамасыз ету үшін Web application firewall (қысқаша WAF) пайдаланылады. Бұл OSI моделінің қолданбалы деңгейінде жұмыс істейтін мониторлар мен сүзгілер кешені. WAF нақты уақыт режимінде кіріс және шығыс трафикті талдау және қабылдамау немесе рұқсат беру туралы шешім қабылдау үшін веб-серверге орнатылады. Ол өз қызметтері арқылы веб-қосымшаларды жан-жақты қорғауды қамтамасыз етеді [1]. Бұл қызметтер:

– Зиян келтіруші көздерден;

– DoS шабуылдарынан;

– SQL injection сияқты күрделі қауіптерден;

– XSS-тен;

– буфердің толып кетуінен;

– файлдарды қосудан;

– cookie файлдарын улану және тағы басқаларынан;

– беделді тексеру(IP reputation) арқылы IP мекенжайларынан;

– боттардан қорғайды;

Жаңашылдық ретінде NGFW құрамында антивирустық қызметтер бар. Бұрын белгілі емес зиянды бағдарламаларды анықтауға және динамикалық талдауға арналған Sandbox қызметтері бар. Зиянкестер желідегі әртүрлі көздерден миллиондаған бұзылған пайдаланушылардың тіркелу жазба деректеріне оңай қол жеткізе алады. Осы тіркелу жазба деректерін қарапайым ботнеттермен үйлестіре отырып, олар веб-сайттағы пайдаланушы аты мен құпия сөз комбинацияларының жарамдылығын тексеретін шабуылдар жасай алады. Егер тіркелу жазба деректері әлі де белсенді болса, шабуылдаушы әртүрлі зиянды әрекеттерді, соның ішінде жеке және төлем ақпаратын ұрлауды жүзеге асыра алады. Мұндай жағдай үшін арналған тіркелу жазба деректерін қорғау қызметі бар. Ол ұрланған тіркелу жазба деректерінің үнемі жаңартылып отыратын ағынымен бұзылған тіркелу жазба деректерін пайдаланып кіру әрекеттерін анықтайды [2].

Қазіргі заманғы WAF-та машиналық оқыту функциясы бар. Ол автоматты түрде пайдаланушылардың қалыпты мінез-құлқының моделін жасайды және жаңартады, оның көмегімен қосымшалардың қауіпсіз және зиянды трафигін анықтайды.

SSH кілттерін жасау

Ашық және жабық SSH кілттерінің жұбы — бұл криптография арқылы жасалған арнайы кодтар. Олар сенімді пайдаланушыны анықтауға мүмкіндік береді және логиндер мен парольдердің генерациясынан асып түседі.

Бұл технологияда адам факторы, сондай-ақ есептеу технологиялары арқылы парольді қасақана таңдау толығымен алынып тасталады. Теориялық тұрғыдан кілттердің тіркесімін шешуге болады, бірақ бұл өте ауыр және ұзақ процесс, оны ерекше жағдайларда жасауға болады [3].

Жүйелік әкімші SSH кілттерін кез-келген операциялық жүйеде, соның ішінде ашық бастапқы Unix жүйелерінде конфигурациялауға болады.

NGFW(Next Generation Firewall)

Дәстүрлі Firewall веб-серверді ашық порттар мен трафик арқылы рұқсатсыз кіруден қорғайтын бағдарламалық қамтама немесе аппараттық-бағдарламалық қамтама. Қол жеткізу, корпоративтік қауіпсіздік саясатына сәйкес Firewall параметрлерімен реттеледі. Брандмауэр кез-келген ақпараттық қауіпсіздік жүйесі үшін міндетті болып табылады, алдын-ала тексеру нәтижелері мен қосымша қорғау әдістеріне қарамастан. Қазіргі уақытта Firewall-дың жаңа, жетілдірілген түрі бар, бұл — NGFW.

Келесі заман брандмауэрі (NGFW) порт пен протоколды тексеруден және құлыптаудан тыс, бағдарлама деңгейіндегі тексеруді қосып, шабуылдардың алдын алады және ақпараттың берілуін пакеттік тексеру арқылы бақылайды.

NGFW желі, Интернет және Firewall арасындағы барлық байланыстардың жарамды және қауіпсіз болуын қамтамасыз ету үшін статикалық және динамикалық пакеттік фильтрацияны және VPN-ды қолданады [4].

NGFW дәстүрлі Firewall мүмкіндіктерін қамтиды, соның ішінде пакеттік сүзу, желілік адрестерді түрлендіру (NAT) және порт адрестерін түрлендіру (PAT), URL адрестерін құлыптау және виртуалды жеке желілерді құру (VPN). Осы функциялармен қатар NGFW 8 негізгі функцияны қосады:

Бағдарлама деңгейіндегі трафикті басқару. NGFW портқа, протоколға және т. б. қарамастан, қосымшаларды анықтау, рұқсат ету, бұғаттау немесе шектеу мүмкіндігі бар.

Вирустар мен боттардан қорғауға арналған кіріктірілген шешім . NGFW кіріктірілген антивирустық механизмге ие және https трафигін, кез-келген вирус жұққан файлдарды «жылдам» тексеруге қабілетті. Бұл қорғаныс құралдары HTTP, HTTPS, FTP, POP3, SMTP, SMB және т. б. протоколдары үшін қол жетімді, сонымен қатар олар кіріс файлға енген зиянды бағдарламаларды және Интернеттен жүктелген зиянды бағдарламаларды анықтай алады.

SSL және басқа шифрланған трафикті басқару мүмкіндігі: NGFW SSL және HTTPS трафик ағындарын басқара алады. Шифрланған трафикті қорғау үшін NGFW кіріс және шығыс SSL шифрлаудың барлық мүмкіндіктерін қолдайды. Бұл шифрланған желі ағындарындағы қауіптер мен зиянды бағдарламаларды анықтауға және алдын алуға көмектеседі.

Пакеттерді терең тексеру: терең пакеттік инспекция (DPI) — пакеттің құрамын тексеру, сүзу және деректерді жинау технологиясы, яғни пакеттің тақырыбы ғана емес, сонымен қатар пакеттің денесі де талданады. Бұл мүмкіндік бұрмаланған пакеттерді, қателерді, белгілі шабуылдарды және басқа да ауытқуларды анықтау үшін әр пакеттің әртүрлі бөліктерін мұқият зерттеуге мүмкіндік береді. DPI трояндарды, вирустарды, спамдарды, шабуыл әрекеттерін және протокол арқылы қалыпты деректер алмасудың кез-келген бұзылуын тез анықтап, бұғаттай алады.

Identity Awareness: NGFW IA-ны қолдайды, яғни белгілі бір пайдаланушыларға, пайдаланушылар топтарына және пайдаланушылар пайдаланатын компьютерлерге қосымшаларды егжей-тегжейлі бақылау үшін қолданылады. NGFW LDAP / AD, RADIUS, Kerberos және Local Auth сияқты барлық негізгі аутентификация протоколдарын қолдайды. Бұл, ұйымдарға, желіге кіруге және шығуға рұқсат етілген трафик түрлерін ғана емес, сонымен қатар, белгілі бір қолданушыға желіде жіберуге және алуға рұқсат етілген нәрсені басқаруға көмектеседі.

Орталықтандырылған басқару, әкімшілендіру, журналдар мен есептілікті жүргізу . Орталықтандырылған басқару, администарторға, желідегі оқиғалар мен трафик сызбаларын және онымен байланысты тәуекелдерді нақты уақыт режимінде көруге мүмкіндік беретін қауіпсіздікті бақылау тақтасын ұсынады және ең аз күш-жігермен максималды тиімділікті қамтамасыз ету үшін күнделікті тапсырмаларды автоматтандыруға мүмкіндік береді.

State-full Inspection . NGFw трафикті тек 4 деңгейге дейін бақылайтын дәстүрлі брандмауэрлерден айырмашылығы, OSI моделінің 7 деңгейіне дейінгі байланыстарын талдайды және басқарады. Бұл айырмашылық әлдеқайда көп бақылауды қамтамасыз етеді және ұйымдарға өте егжей-тегжейлі қауіпсіздік саясатын жүргізуге мүмкіндік береді.

IDS немесе IPS басып кіруді болдырмау жүйесі . NGFW құрамындағы IPS жүйесі жасырын қауіптерді анықтауға және оларды тез бұғаттауға мүмкіндік береді.

VPN және жеке желі

VPN және жеке желі — бұл виртуалды жеке желіні және серверлер мен пайдаланушылар арасында қауіпсіз байланысы бар жеке желіні құру технологиясы. VPN және жеке желі компанияның қажеттіліктеріне сәйкес келеді. Жеке желінің болуы туралы тек оның пайдаланушылары біледі. Бұл сыртқы қауіптерді азайтуға мүмкіндік береді [5].

Сурет 1. VPN және жеке желі

PKI — және SSL / TLS-шифрлау

Бұл пайдаланушының сәйкестендіру сертификаттарын құру және SSL/TLS криптографиялық протоколы арқылы шифрланған ақпаратты беру үшін ашық кілт инфрақұрылымын (PKI) құру.

Сурет 2. SSH қызметі

Ол үшін қол жеткізу құқығын тексеру үшін сертификаттау және сертификаттарды басқару орталығы құрылады [6].

Әдебиет:

  1. А. Razzaq, A. Hur, S. Shahbaz, M. Masood and H. F. Ahmad, «Critical analysis on web application firewall solutions», 2013 IEEE Eleventh International Symposium on Autonomous Decentralized Systems (ISADS), 2013, pp. 1–6, doi: 10.1109/ISADS.2013.6513431.
  2. V. Clincy and H. Shahriar, «Web Application Firewall: Network Security Models and Configuration», 2018 IEEE 42nd Annual Computer Software and Applications Conference (COMPSAC), 2018, pp. 835–836, doi: 10.1109/COMPSAC.2018.00144.
  3. T. Ylonen, «SSH Key Management Challenges and Requirements», 2019 10th IFIP International Conference on New Technologies, Mobility and Security (NTMS), 2019, pp. 1–5, doi: 10.1109/NTMS.2019.8763773.
  4. Arefin M. T., Uddin M. R., Evan N. A., Alam M. R. (2021) Enterprise Network: Security Enhancement and Policy Management Using Next-Generation Firewall (NGFW). In: Pandian A., Fernando X., Islam S. M. S. (eds) Computer Networks, Big Data and IoT. Lecture Notes on Data Engineering and Communications Technologies, vol 66. Springer, Singapore. https://doi.org/10.1007/978–981–16–0965–7_59
  5. Alkassar A., Scheibel M., Stübel M., Sadeghi AR., Winandy M. (2006) Security Architecture for Device Encryption and VPN. In: ISSE 2006 — Securing Electronic Busines Processes. Vieweg. https://doi.org/10.1007/978–3–8348–9195–2_7
  6. Joshua, Davies Implementing SSL / TLS Using Cryptography and PKI / Davies Joshua. — Indianapolis: Wiley Publishing, 2011. — 704 c.
Основные термины (генерируются автоматически): NGFW, VPN, SSH, SSL, PKI, DPI, WAF, HTTPS, IEEE, IPS.


Ключевые слова

VPN, WAF, NGFW, SSH, PKI, DPI

Похожие статьи

Қазақстан тарихын қашықтықтан оқыту бойынша е-ресурстар

Мақалада Қазақстан тарихын қашықтықтан оқыту бойынша Е — ресурстарды дамытуға қойылатын талаптар баяндалған, бұл оқушылардың білімін жақсартуға ықпал етеді. Әлемдік қоғам жаңа өркениеттік кезеңге көшуде, ол қоғамдық өмірдің барлық салаларында ақпарат...

Мұнай резервуарларын толтыруды автоматтандыру үрдісін анық емес логикалық алгоритмдерде құру

Мұнай өнеркәсібі жалпы, Қазақстан Республикасының маңызды салаларының бірі және мемлекетіміздің бүкіл экономикасының дамуына әсер етеді. Мұнай резервуарларын автоматтандырудың негізгі мақсаты — мұнай өнімдерін қабылдау, сақтау, тарату, өлшеу және есе...

Заттар интернетінің өнеркәсіптік өсуі мен дамуы және олардың мәселелері

Қазіргі уақытта барлық байқалған байланыс түрлері адам-адамға немесе адам-құрылғы схемасына негізделеді. Заттар Интернеті (IoT) бізге машинадан машинаға (M2M) байланысы бар үлкен Интернет болашағын ұсынады. Бұл барлық коммуникацияларды жалпы инфрақұр...

Жоғары оқу орындарына басқару еркіндігін беру

Бұл мақалада персоналды басқарудың педагогикалық жағдайларын талдау, білім беру мекемесінің жұмыс істеу ерекшелігі, және жүзеге асырылатын оқытушылық функциялар қарастырылған. Зерттеудің негізгі мазмұны еліміздің жоғары оқу орындарына білім берудің б...

Тұрақты даму мақсаттарының өңірлік деңгейде жүзеге асырылуын жетілдіру мәселелері

Мақалада Қазақстан Республикасындағы Тұрақты даму мақсаттарының іске асырылу барысы және мақсаттарды өңірлік деңгейде оқшаулау, жергілікті институционалдық механизмдер, тұрақты даму мақсаттарының индикаторлары қарастырылады. Жаһандық мақсаттарды іске...

Аграрлық секторда кіші бизнесті цифрландырудың басты бағыттары

Өңірлердің даму параметрлерін, олардың бәсекеге қабілеттілігін бағалау кезінде аумақтың айтарлықтай мүмкіндіктері бар салалар, қызмет түрлері анықталатынын, аграрлық саладағы халықаралық ынтымақтастықты жоспарланған кеңейтуді іске асырудың нақты мақс...

Цифрлық білім беру ресурстарын білім беру үдерісінде қолдану

Бұл мақалада білім беру үдерісінде цифрлық білім беру ресурстарын қолданудағы маңызы, әдістемелік ерекшеліктердің сипаттамасы, электронды оқыту жүйесі жобасы аясында жасалған ЦБР мазмұны мен құрылымын талдау қарастырлған. Сонымен қатар, ЦБР-ге қойыла...

Информатика пәні бойынша мобильді қосымша жасау және пайдаланудың әдістемелік ерекшеліктері

Мақалада информатика пәнін оқытуда мобильді қосымшаларды жасау және пайдаланудың ерекшеліктері қарастырылады. Мобильді қосымшалармен оқыту арқылы мектеп оқушыларының білім алуға қызығушылығын арттыру және мобильді құрылғылардың мүмкіндігін білім алуд...

Шеттілдік білім беруде академиялық жазылым құзыретін қалыптастырудағы ақпараттық коммуникациялық технологиялардың мағынасы мен мазмұны

Мақала шеттілдік білім беруде студенттердің академиялық жазылым құзыретін қалыптастыру мәселесіне бағытталған. Білім алушылардың академиялық жазылым кезінде қиындыққа тап болуы бұл жанрдың өзіндік стилінің ерекшеліктерін, академиялық стильге жататын ...

Оқушылардың этикалық мінез құлқының ерекшеліктері

Бұл мақалада оқушылардың талапқа сай болуы, мінез құлықтың ерекшеліктері, мінез құлықтың этикалық бағыты қарастырылды. Этикалық мінез құлықтың қалыптасу барысы мен орындалу әрекеттері тұрғысынан зерттеу жүргізілді. Этикалық мінез құлықтың оқушы бойын...

Похожие статьи

Қазақстан тарихын қашықтықтан оқыту бойынша е-ресурстар

Мақалада Қазақстан тарихын қашықтықтан оқыту бойынша Е — ресурстарды дамытуға қойылатын талаптар баяндалған, бұл оқушылардың білімін жақсартуға ықпал етеді. Әлемдік қоғам жаңа өркениеттік кезеңге көшуде, ол қоғамдық өмірдің барлық салаларында ақпарат...

Мұнай резервуарларын толтыруды автоматтандыру үрдісін анық емес логикалық алгоритмдерде құру

Мұнай өнеркәсібі жалпы, Қазақстан Республикасының маңызды салаларының бірі және мемлекетіміздің бүкіл экономикасының дамуына әсер етеді. Мұнай резервуарларын автоматтандырудың негізгі мақсаты — мұнай өнімдерін қабылдау, сақтау, тарату, өлшеу және есе...

Заттар интернетінің өнеркәсіптік өсуі мен дамуы және олардың мәселелері

Қазіргі уақытта барлық байқалған байланыс түрлері адам-адамға немесе адам-құрылғы схемасына негізделеді. Заттар Интернеті (IoT) бізге машинадан машинаға (M2M) байланысы бар үлкен Интернет болашағын ұсынады. Бұл барлық коммуникацияларды жалпы инфрақұр...

Жоғары оқу орындарына басқару еркіндігін беру

Бұл мақалада персоналды басқарудың педагогикалық жағдайларын талдау, білім беру мекемесінің жұмыс істеу ерекшелігі, және жүзеге асырылатын оқытушылық функциялар қарастырылған. Зерттеудің негізгі мазмұны еліміздің жоғары оқу орындарына білім берудің б...

Тұрақты даму мақсаттарының өңірлік деңгейде жүзеге асырылуын жетілдіру мәселелері

Мақалада Қазақстан Республикасындағы Тұрақты даму мақсаттарының іске асырылу барысы және мақсаттарды өңірлік деңгейде оқшаулау, жергілікті институционалдық механизмдер, тұрақты даму мақсаттарының индикаторлары қарастырылады. Жаһандық мақсаттарды іске...

Аграрлық секторда кіші бизнесті цифрландырудың басты бағыттары

Өңірлердің даму параметрлерін, олардың бәсекеге қабілеттілігін бағалау кезінде аумақтың айтарлықтай мүмкіндіктері бар салалар, қызмет түрлері анықталатынын, аграрлық саладағы халықаралық ынтымақтастықты жоспарланған кеңейтуді іске асырудың нақты мақс...

Цифрлық білім беру ресурстарын білім беру үдерісінде қолдану

Бұл мақалада білім беру үдерісінде цифрлық білім беру ресурстарын қолданудағы маңызы, әдістемелік ерекшеліктердің сипаттамасы, электронды оқыту жүйесі жобасы аясында жасалған ЦБР мазмұны мен құрылымын талдау қарастырлған. Сонымен қатар, ЦБР-ге қойыла...

Информатика пәні бойынша мобильді қосымша жасау және пайдаланудың әдістемелік ерекшеліктері

Мақалада информатика пәнін оқытуда мобильді қосымшаларды жасау және пайдаланудың ерекшеліктері қарастырылады. Мобильді қосымшалармен оқыту арқылы мектеп оқушыларының білім алуға қызығушылығын арттыру және мобильді құрылғылардың мүмкіндігін білім алуд...

Шеттілдік білім беруде академиялық жазылым құзыретін қалыптастырудағы ақпараттық коммуникациялық технологиялардың мағынасы мен мазмұны

Мақала шеттілдік білім беруде студенттердің академиялық жазылым құзыретін қалыптастыру мәселесіне бағытталған. Білім алушылардың академиялық жазылым кезінде қиындыққа тап болуы бұл жанрдың өзіндік стилінің ерекшеліктерін, академиялық стильге жататын ...

Оқушылардың этикалық мінез құлқының ерекшеліктері

Бұл мақалада оқушылардың талапқа сай болуы, мінез құлықтың ерекшеліктері, мінез құлықтың этикалық бағыты қарастырылды. Этикалық мінез құлықтың қалыптасу барысы мен орындалу әрекеттері тұрғысынан зерттеу жүргізілді. Этикалық мінез құлықтың оқушы бойын...

Задать вопрос