Apache_Zabezpieczenia_aplikacji_i_serwerow_WWW_apazab.pdf
(
727 KB
)
Pobierz
IDZ DO
PRZYK£ADOW
Y ROZDZIA£
Apache. Zabezpieczenia
aplikacji i serwerów WWW
SPIS TREœCI
KATALOG KSI¥¯EK
Autor: Ryan C. Barnett
T³umaczenie: Marek Pa³czyñsk
ISBN: 83-246-0505-3
Tytu³ orygina³u:
Preventing Web Attacks with Apache
Format: B5, stron: 544
KATALOG ONLINE
ZAMÓW DRUKOWANY KATALOG
TWÓJ KOSZYK
DODAJ DO KOSZYKA
Internet to nie tylko niezmierzone Ÿród³o informacji. To tak¿e zagro¿enie dla serwerów
WWW, aplikacji internetowych i baz danych, które codziennie s¹ atakowane przez
komputerowych przestêpców, korzystaj¹cych z dziesi¹tek technik. Publikowane
regularnie raporty o cyberprzestêpczoœci s¹ zatrwa¿aj¹ce. Liczba ataków na serwery
internetowe wzrasta corocznie œrednio o 30%. Wœród atakowanych serwerów
przewa¿aj¹ te, na których utrzymywane s¹ witryny WWW i aplikacje. Wed³ug raportu
firmy Symantec, „aplikacje WWW s¹ popularnymi celami ataków z uwagi na ich
rozpowszechnienie i fakt, ¿e pozwalaj¹ w³amywaczom na pominiêcie tradycyjnych
mechanizmów zabezpieczaj¹cych, takich jak firewalle”. W tym samym raporcie mo¿na
równie¿ przeczytaæ, ¿e prawie 50% luk w zabezpieczeniach serwerów wi¹¿e siê w³aœnie
z aplikacjami WWW.
W ksi¹¿ce „Apache. Zabezpieczenia aplikacji i serwerów WWW” znajdziesz informacje
o tym, w jaki sposób uchroniæ przed atakami hakerów aplikacje i witryny WWW
kontrolowane przez najpopularniejszy obecnie serwer WWW — Apache. Przeczytasz
o tym, jak poprawnie zainstalowaæ i skonfigurowaæ Apache’a i w jaki sposób uruchomiæ
w nim modu³y zabezpieczeñ. Poznasz techniki ataków hakerskich i dowiesz siê, jak im
zapobiegaæ. Znajdziesz sposoby testowania zabezpieczeñ swojego serwera za pomoc¹
odpowiednich narzêdzi. Nauczysz siê tak¿e wykrywaæ próby ataków i reagowaæ na nie
odpowiednio wczeœnie.
Czynniki wp³ywaj¹ce na bezpieczeñstwo sieci
Instalacja serwera Apache
Plik httpd.conf — konfiguracja Apache’a
Instalowanie i konfigurowanie modu³ów zabezpieczeñ
Klasyfikacja zagro¿eñ sieciowych WASC
Metody zabezpieczania aplikacji sieciowych
Ochrona przed atakami
Tworzenie serwerów-pu³apek
Dziêki tej ksi¹¿ce ka¿dy administrator bêdzie móg³ spokojnie spaæ
CENNIK I INFORMACJE
ZAMÓW INFORMACJE
ONOWOœCIACH
ZAMÓW CENNIK
CZYTELNIA
FRAGMENTY KSI¥¯EK ONLINE
Wydawnictwo Helion
ul. Koœciuszki 1c
44-100 Gliwice
tel. 032 230 98 63
e-mail: helion@helion.pl
O autorze ...................................................................................... 13
Przedmowa ................................................................................... 15
Wprowadzenie ............................................................................... 17
Rozdział 1. Czynniki wpływające na obniżenie bezpieczeństwa sieci ................. 29
Typowy poranek ............................................................................................................. 29
Dlaczego bezpieczeństwo sieciowe jest istotne? ............................................................ 31
Czynniki wpływające na obniżenie bezpieczeństwa sieci .............................................. 32
Zarządzanie i procedury ................................................................................................. 32
Zarządzanie i nieprzekraczalne terminy ................................................................... 32
Sprzedaż załadowanego pistoletu ............................................................................. 33
Dwuminutowa zmiana .............................................................................................. 34
Środowisko projektowe a środowisko pracy ............................................................ 34
Zdarzeniowa koncepcja utrzymania bezpieczeństwa sieci ...................................... 35
Błędy techniczne w zabezpieczeniach sieciowych ......................................................... 36
Mamy serwer w strefie zdemilitaryzowanej ............................................................ 36
Mamy firewalla ........................................................................................................ 37
Mamy sieciowy system wykrywania włamań .......................................................... 38
Mamy jednostkowy system wykrywania włamań ................................................... 39
Wykorzystujemy protokół SSL ................................................................................ 39
Podsumowanie ................................................................................................................ 40
Rozdział 2. Raporty CIS dotyczące serwera Apache ......................................... 41
Raporty CIS dotyczące serwera Apache dla systemu Unix
— zagadnienia związane z systemem operacyjnym .................................................... 41
Zabezpieczenie usług innych niż HTTP ................................................................... 41
Przykład ataku na usługę — wykorzystanie serwera FTP (7350wu) ....................... 46
Wpływ błędów w usługach na bezpieczeństwo serwera Apache ............................ 49
Uaktualnienia dostawców systemów operacyjnych ................................................. 49
Dostosowanie stosu IP ............................................................................................. 50
Odmowa obsługi ...................................................................................................... 51
Grupy i konta użytkowników sieciowych ................................................................ 53
Zablokowanie konta serwera WWW ....................................................................... 56
Wprowadzenie limitów dyskowych ......................................................................... 57
Dostęp do poleceń systemowych ............................................................................. 59
Zmiana właściciela i praw dostępu do poleceń systemu .......................................... 64
6
Apache. Zabezpieczenia aplikacji i serwerów www
Tradycyjny mechanizm chroot ................................................................................. 65
Wady mechanizmu chroot ........................................................................................ 65
Moduł chroot mod_security ..................................................................................... 66
Konfiguracja mechanizmu chroot ............................................................................ 66
Podsumowanie ................................................................................................................ 73
Rozdział 3. Instalacja serwera Apache ............................................................. 75
Wybór wersji .................................................................................................................. 75
Pakiety binarne czy kod źródłowy? ................................................................................ 76
Pobranie kodu źródłowego ............................................................................................. 78
Czy potrzebna jest weryfikacja MD5 i PGP? ........................................................... 78
Rozpakowanie archiwum ............................................................................................... 84
Nakładki ................................................................................................................... 85
Śledzenie komunikatów o błędach i nakładkach ...................................................... 86
Które moduły uwzględnić? ...................................................................................... 89
Podsumowanie ................................................................................................................ 98
Rozdział 4. Konfiguracja — plik httpd.conf ...................................................... 99
Ustawienia uwzględnione w raporcie CIS .................................................................... 102
Plik httpd.conf .............................................................................................................. 102
Wyłączenie niepotrzebnych modułów .......................................................................... 103
Dyrektywy .................................................................................................................... 104
Dyrektywy związane z serwerem ................................................................................. 105
Moduły pracy wieloprocesorowej (MPM) ............................................................. 105
Dyrektywa Listen ................................................................................................... 105
Dyrektywa ServerName ......................................................................................... 106
Dyrektywa ServerRoot ........................................................................................... 106
Dyrektywa DocumentRoot ..................................................................................... 106
Dyrektywa HostnameLookups ............................................................................... 106
Dyrektywy związane z kontami użytkowników ........................................................... 108
Dyrektywa User ...................................................................................................... 108
Dyrektywa Group ................................................................................................... 109
Dyrektywa ServerAdmin ........................................................................................ 109
Dyrektywy związane z ochroną przed atakami DoS .................................................... 109
Test domyślnej konfiguracji ................................................................................... 110
Dyrektywa Timeout ................................................................................................ 111
Dyrektywa KeepAlive ............................................................................................ 112
Dyrektywa KeepAliveTimeout .............................................................................. 112
Dyrektywa MaxKeepAliveRequests ...................................................................... 112
Dyrektywa StartServers .......................................................................................... 113
Dyrektywy MinSpareServers i MaxSpareServers .................................................. 113
Dyrektywa ListenBacklog ...................................................................................... 113
Dyrektywy MaxClients i ServerLimit .................................................................... 114
Test serwera po zamianie konfiguracji ................................................................... 114
Zapowiedź .............................................................................................................. 115
Dyrektywy utajniające oprogramowanie ...................................................................... 116
Dyrektywa ServerTokens ....................................................................................... 116
Dyrektywa ServerSignature ................................................................................... 117
Dyrektywa ErrorDocument .................................................................................... 117
Dyrektywy katalogów ................................................................................................... 121
Parametr All ........................................................................................................... 121
Parametr ExecCGI .................................................................................................. 121
Parametry FollowSymLinks i SymLinksIfOwnerMatch ....................................... 121
Parametry Includes i IncludesNoExec ................................................................... 122
Spis treści
7
Parametr Indexes .................................................................................................... 122
Dyrektywa AllowOverride ..................................................................................... 123
Parametr Multiviews .............................................................................................. 123
Dyrektywy kontroli dostępu ......................................................................................... 123
Uwierzytelnianie ........................................................................................................... 124
Autoryzacja ................................................................................................................... 125
Dyrektywa Order .................................................................................................... 126
Kontrola dostępu — informacje o kliencie ................................................................... 127
Nazwa komputera lub domeny ............................................................................... 127
Adres IP lub zakres adresów IP .............................................................................. 128
Zmienne środowiskowe żądania ............................................................................ 128
Ochrona katalogu głównego ................................................................................... 128
Zmniejszenie liczby metod HTTP ................................................................................ 129
Ogólne dyrektywy rejestracji zdarzeń .......................................................................... 130
Dyrektywa LogLevel .............................................................................................. 130
Dyrektywa ErrorLog .............................................................................................. 130
Dyrektywa LogFormat ........................................................................................... 131
Dyrektywa CustomLog .......................................................................................... 131
Usunięcie domyślnych i przykładowych plików .......................................................... 132
Pliki kodu źródłowego Apache .............................................................................. 132
Domyślne pliki HTML ........................................................................................... 132
Przykładowe skrypty CGI ...................................................................................... 133
Pliki użytkownika webserv .................................................................................... 134
Zmiana praw dostępu .................................................................................................... 134
Pliki konfiguracyjne serwera .................................................................................. 134
Pliki katalogu dokumentów .................................................................................... 134
Katalog cgi-bin ....................................................................................................... 135
Katalog logs ............................................................................................................ 135
Katalog bin ............................................................................................................. 135
Modyfikacja skryptu apachectl ..................................................................................... 136
Test Nikto po zmianach konfiguracji ........................................................................... 137
Podsumowanie .............................................................................................................. 137
Rozdział 5. Najważniejsze moduły zabezpieczeń ............................................. 139
Protokół SSL ................................................................................................................. 139
Dlaczego należy korzystać z protokołu SSL? ........................................................ 140
Jak działa mechanizm SSL? ................................................................................... 142
Wymagane oprogramowanie .................................................................................. 144
Instalacja oprogramowania SSL ............................................................................. 145
Tworzenie certyfikatów SSL .................................................................................. 146
Sprawdzenie wstępnej konfiguracji ....................................................................... 147
Konfiguracja modułu mod_ssl ............................................................................... 149
Podsumowanie mechanizmu SSL .......................................................................... 155
Moduł mod_rewrite ...................................................................................................... 155
Włączenie modułu mod_rewrite ............................................................................ 156
Podsumowanie modułu mod_rewrite ..................................................................... 158
Moduł mod_log_forensic ............................................................................................. 158
Moduł mod_evasive ..................................................................................................... 159
Do czego służy moduł mod_evasive? .................................................................... 159
Instalacja modułu mod_evasive ............................................................................. 160
Jak działa moduł mod_evasive? ............................................................................. 160
Konfiguracja ........................................................................................................... 161
Podsumowanie modułu mod_evasive .................................................................... 165
8
Apache. Zabezpieczenia aplikacji i serwerów www
Moduł mod_security ..................................................................................................... 165
Instalacja modułu mod_security ............................................................................. 166
Ogólne informacje na temat modułu ...................................................................... 166
Opcje i możliwości modułu mod_security ............................................................. 167
Techniki przeciwdziałania maskowaniu ataków .................................................... 168
Specjalne wbudowane procedury sprawdzające .................................................... 169
Reguły filtrowania .................................................................................................. 172
Akcje ...................................................................................................................... 173
Pozostałe funkcje .................................................................................................... 176
Podsumowanie .............................................................................................................. 177
Rozdział 6. Test konfiguracji
— narzędzie CIS Apache Benchmark Scoring Tool .......................... 179
Pobranie, rozpakowanie i uruchomienie aplikacji ........................................................ 180
Rozpakowanie archiwum ....................................................................................... 181
Uruchomienie programu ........................................................................................ 182
Podsumowanie .............................................................................................................. 186
Rozdział 7. Klasyfikacja zagrożeń sieciowych WASC ...................................... 187
Współautorzy dokumentu ............................................................................................. 188
Charakterystyka dokumentu WASC ............................................................................ 188
Cele ......................................................................................................................... 189
Wykorzystanie dokumentacji ................................................................................. 189
Przegląd .................................................................................................................. 189
Tło .......................................................................................................................... 190
Klasy ataków ................................................................................................................ 190
Format podrozdziałów ............................................................................................ 191
Uwierzytelnianie ........................................................................................................... 192
Metoda siłowa ........................................................................................................ 192
Niedostateczne uwierzytelnienie ............................................................................ 196
Niedoskonały mechanizm odzyskiwania haseł ...................................................... 198
Autoryzacja ................................................................................................................... 200
Predykcja danych uwierzytelniających (danych sesji) ........................................... 200
Niedostateczna autoryzacja .................................................................................... 202
Niewłaściwe wygasanie sesji ................................................................................. 204
Ustawienie sesji ...................................................................................................... 205
Ataki na jednostki klienckie ......................................................................................... 209
Podmiana treści ...................................................................................................... 209
Wykonywanie kodu w ramach witryny ................................................................. 211
Wykonywanie poleceń ................................................................................................. 213
Przepełnienie bufora ............................................................................................... 213
Atak z wykorzystaniem ciągu formatującego ........................................................ 218
Wstrzyknięcie danych LDAP ................................................................................. 220
Wykonanie poleceń systemu operacyjnego ........................................................... 222
Wstrzyknięcie instrukcji SQL ................................................................................ 224
Wstrzyknięcie instrukcji SSI .................................................................................. 229
Wstrzyknięcie instrukcji XPath .............................................................................. 230
Ujawnienie informacji .................................................................................................. 231
Indeksowanie katalogu ........................................................................................... 232
Wyciek informacji .................................................................................................. 235
Manipulacja ścieżkami ........................................................................................... 237
Przewidywanie położenia zasobów ........................................................................ 240
Ataki logiczne ............................................................................................................... 241
Zakłócenie funkcjonowania ................................................................................... 241
Odmowa obsługi .................................................................................................... 244
Plik z chomika:
MarekMaly
Inne pliki z tego folderu:
Adobe_Illustrator_CS_CS_PL_Oficjalny_podrecznik_ilcspo.pdf
(621 KB)
Adobe_InDesign_CS3_CS3_PL_Oficjalny_podrecznik_incs3o.pdf
(7648 KB)
Adobe_InDesign_CS5_CS5_PL_Oficjalny_podrecznik_ind5op.pdf
(1957 KB)
Adobe_PageMaker_7_0_Oficjalny_podrecznik_pm7pod.pdf
(2949 KB)
Adobe_Photoshop_7_Wystarczy_jedno_klikniecie_ph7kli.pdf
(1208 KB)
Inne foldery tego chomika:
_A-B
_C-D
_E-F
_G-H
11 PRAW
Zgłoś jeśli
naruszono regulamin