WEB-технологии

• провести строгую аутентификацию сервера
• провести строгую аутентификацию клиента
• обеспечить шифрование данных, которыми обмениваются клиент и сервер.

Эти меры позволяют успешно противостоять атаке "man in the middle".

Защита на различных уровнях  модели OSI

Наиболее распространенной моделью представления стека  сетевых протоколов является модель OSI. Упрощенная модель OSI представлена на рисунке.

Что такое защита информации на каком-либо уровне модели OSI? Каждый последующий уровень сетевых  пакетов инкапсулирован в предыдущем. То есть данные протокола прикладного  уровня (например, HTTP) находится внутри пакета транспортного уровня (например, TCP), который находится внутри пакета сетевого уровня (например, IP), который находится внутри кадра канального уровня (например, кадра Ethernet).

При защите информации на сетевом уровне шифруется содержимое пакета IP, то есть пакет TCP. В другом варианте защиты на сетевом уровне шифруется целый пакет IP и данный зашифрованный пакет в свою очередь инкапсулируется. Такая дополнительная инкапсуляция позволяет скрыть топологию сетей участников обмена.

Следует отметить, что защита, например, на канальном уровне обеспечивает абсолютно "прозрачное" использование сетевого уровня.

Канальный уровень

Одним из программных  продуктов, реализующих защиту на канальном  уровне, является OpenVPN (www.openvpn.net). Данный продукт позволяет организовать закрытую сеть на базе Интернет. При подключении к такой сети клиент проходит процедуру строгой криптографической аутентификации по цифровому сертификату, что обеспечивает защиту от несанкционированного доступа к ресурсам сети. Кроме того, обеспечивается шифрование сетевого трафика при работе в сети. OpenVPN поддерживает режимы работы "мост" и "маршрутизатор". При работе в режиме "мост" происходит шифрование и инкапсуляция кадров Ethernet. Следует отметить, что если шифрование обеспечивает защиту от доступа к передаваемой информации, то из-за инкапсуляции злоумышленник не сможет выяснить адресата передаваемой информации.

Рассмотрим задачи, которые  возможно решить с помощью OpenVPN в  режиме "мост".

Подключение удаленного сотрудника к корпоративной ЛВС (VPN-шлюз)

Решение данной задачи предполагает использование серверной части OpenVPN в качестве дополнительного шлюза  в ЛВС организации. Сегмент ЛВС, доступный через VPN-шлюз, обычно называют доменом шифрования. Рабочие места и сервера, входящие в домен шифрования, не подключаются к VPN. При подключении к серверу OpenVPN клиент получает прозрачный доступ ко всем машинам, находящимся в домене шифрования. Получат ли подобный доступ к машине клиента машины из домена шифрования, зависит от настроек сервера OpenVPN.

Объединение ЛВС филиалов организации в единую сеть

Другой задачей, которую можно решить с помощью OpenVPN, является объединение ЛВС филиалов организации в единую сеть через Интернет. В этом случае сервера OpenVPN устанавливается в качестве дополнительных шлюзов в свои ЛВС, а затем соединяются между собой.

Объединение сегментов ЛВС  нескольких организаций в единую сеть для ведения совместного  проекта (межкорпоративный портал)

Основной проблемой  при создании межкорпоративного  портала является логическое разделение сети организации на два сегмента, один из которых предоставляет свой ресурс организациям парнерам, а другой закрыт для них. Для решения данной проблемы одна из организаций разворачивает на внешем адресе сервер OpenVPN. На все рабочие места и сервера, участвующие в портале, устанавливается клиент OpenVPN, и эти машины подключаются к серверу.

Подключение к ЛВС удаленных  пользователей с низким уровнем  доверия

Решение данной задачи требуется для сетей, к которым подключаются "внешние" пользователи (например, заказчики или клиенты). Уровень доверия к ним намного ниже, чем к сотрудникам компании, поэтому требуется обеспечение специальных "рубежей" защиты, предотвращающих или ограничивающих доступ последних к особо ценной, конфиденциальной информации.

Создание нескольких логических сетей в одной физической сети

Решение данной задачи требуется, например, когда надо разделить трафик между внутренними  департаментами организации, которые  обращаются к серверам из одного физического сегмента. Особенность данного варианта в том, что VPN строится между узлами, находящимися, как правило, в одном сегменте сети, например, между рабочей станцией и сервером. Этот вариант похож на технологию VLAN, но вместо разделения трафика, используется его шифрование.

Анонимный серфинг

Под серфингом  понимаются любые действия пользователя в Интернет. При этом интернет-провайдеру данного пользователя становятся известны web-сайты, на которые ходил пользователь; адресаты писем пользователя и т.п. Использование OpenVPN в качестве дополнительного "логического" шлюза в интернет, установленного на территории организации, в которой работает пользователь, обеспечивает анонимность серфинга.

Доступ к серверу, не имеющему внешнего адреса (экономия внешних адресов)

Сетевой уровень

OpenVPN в режиме "маршрутизатор" обеспечивает  защиту информации на сетевом  уровне. При этом так же происходит  строгая атуентификация участников  обмена по цифровому сертификату,  но шифруются и инкапсулируются  IP-пакеты, а не кадры Ethernet. Спектр задач, которые можно решить таким способом, в общем, не отличается от спектра задач, решаемых с помощью OpenVPN в режиме "мост". Следует иметь в виду, что режим "маршрутизатор" является более производительным, чем режим "мост", но имеет и свои недостатки. В частности, не поддерживаются:

·  сетевые протоколы, отличные от IP

·  широковещательные запросы.

Сертифицированное решение

В качестве "криптографического ядра" OpenVPN использует библиотеку OpenSSL. Фирмой Криптоком создана сертифицированная в ФСБ версия данной библиотеки – СКЗИ МагПро КриптоПакет. Кроме того, создан коммерческий продукт OpenVPN-ГОСТ. Данный продукт является полным аналогом OpenVPN, но все криптографические операции в нем производятся по алгоритмам ГОСТ 28147, ГОСТ 34.11-94, ГОСТ 34.10-2001 с использованием сертифицированного СКЗИ МагПро КриптоПакет.

Транспортный  уровень

Транспортные  соединения используются для доступа  к конкретному сетевому сервису, например web-сайту, терминальному серверу, почтовому серверу, серверу базы данных и т.п. Логические "концы" соединения называются портами.

Защита соединений на транспортном уровне (TCP-соединений) осуществляется по протоколу SSL/TLS. После установки  транспортного соединения клиент инициирует процедуру "рукопожатия" с сервером. В результате этой процедуры происходит аутентификация сервера и клиента по цифровому сертификату, стороны договариваются об используемых алгоритмах шифрования – шифрсьютах. Шифрсьюты специальным образом "привязываются" к портам защищаемого соединения. Благодаря этому, все данные, попадающие в настроенный таким образом транспортный канал, шифруются отправителем и расшифровываются адресатом.

Для реализации защиты транспортного  соединения приложение, осуществляющее обмен, должно использовать криптографическую  библиотеку, реализующую SSL/TLS.

Часто бывает, что  приложение было написано без защиты, или же используемые им шифрсьюты  не удовлетворяют требованиям к  безопасности. Например, все web-браузеры и web-сервера используют для защиты шифрсьюты, реализованные по импортным алгоритмам, а в РФ ФСБ требует в ряде случаев использовать шифрсьюты, реализованные по ГОСТ.

Для решения указанной  проблемы модуль обеспечения безопасности канала следует отделить от приложения. Существенным плюсом данной схемы является то, что сами приложения не приходится модифицировать.

Именно такую  схему можно реализовать с  помощью продуктов МагПро КриптоТуннель (клиентская часть) и МагПро КриптоСервер (серверная часть).

Использование этих продуктов позволяет обеспечить защиту практически любых прикладных протоколов и приложений, как-то:

·  доступ к web-сайту по HTTP

·  файловый обмен по WebDAV

·  терминальный доступ по RDP (Remote Desktop)

·  электронная почта (SMTP, POP3, IMAP)

·  доступ к базе данных по SQL

·  общие папки по NFS

·  произвольный обмен по TCP-соединению (без динамического открытия портов).

Кроме того, фирмой Криптоком созданы специальные "коробочные" продукты, адаптированные под тип  прикладного протокола. МагПро КриптоПортал спроектирован для защиты HTTP-соединений, а МагПро Защита RDP – для защиты терминального доступа по протоколу RDP.

Сертифицированное решение

Представленные  средства защиты транспортного уровня являются надстройкой над СКЗИ МагПро КриптоПакет, сертифицированным в ФСБ, и, поэтому, удовлетворяют всем требованиям регуляторов безопасности.

 

Лекция5. Понятие гипертекстовых документов и Web-сайтов. Классификации Web-сайтов. Технологии, применяемые при создании сайтов.

 

Планирование Web-сайта

Web-сайт представляет  собой совокупность Web-страниц с  повторяющимся дизайном, объединенных  по смыслу и физически находящихся  на одном Web-сервере. Таким образом, повторяющийся дизайн, общность смысла или концепции и физическое расположение являются основными условиями при создании Web-сайта.

Планирование является важнейшим  этапом в разработке любого сайта, будь то простенькая домашняя страничка или гигантский сайт транснациональной корпорации. Для планирования сайта можно использовать различные специализированные программы (например, Microsoft Visio), но обычно достаточно карандаша и бумаги или какого-нибудь текстового редактора.

Перед началом работы над сайтом прежде всего необходимо определить основные задачи сайта, т.е. решить, для чего и для кого предназначается сайт: создается ли он для решения какой-либо проблемы, должен ли сайт привлекать потенциальных клиентов, рассказывать о чем-либо и т.д. Определившись с назначением сайта, необходимо определить, какая именно информация должна на нем размещаться. Данный этап должен включать также и сбор всей необходимой информации.

Собрав все необходимое, можно задуматься над дизайном и  решить, в каком ключе будет выполнен сайт: будет ли он консервативным, строгим или затейливым. Например, рекламный сайт лучше сделать повеселее, а новостной сайт должен обладать скромным, консервативным оформлением, чтобы не отвлекать от основного содержания. Для проектирования сайта требуется также разработать (и, желательно, нарисовать) логическую структуру сайта: нужно подумать о перемещении между страницами, о взаимодействии ссылок и т.д.

Продумав логическую структуру, необходимо позаботиться и о физической структуре сайта, т.е. определить, как отдельные файлы, составляющие сайт, будут размещены в папках. Как правило, файлы организуются по типу: Web-страницы - в одной папке, графические файлы - в другой, мультимедийные файлы - в третьей и т.д. Названия папок должны отражать их содержимое. Например, файлы Web-страниц должны храниться в каталоге HTML, файлы с графическими изображениями – в каталоге с именем IMAGES или PICS и т.д. Файл главной страницы практически всегда помещают в корневой каталог (так называется папка, в которой помещается сайт).

Основные  составляющие сайта

Домашняя (или  главная) страница является обязательным элементом любого сайта. Именно с  нее начинается знакомство посетителя с сайтом. Она отображается, когда  пользователь набирает адрес сайта без указания имени файла какой-либо конкретной страницы.

Домашняя страница должна давать посетителю достаточно информации о сайте, при этом не перегружая его  излишними сведениями. Обычно она  содержит краткую вводную информацию о сайте, новости и меню навигации, позволяющее пользователям перейти на другие страницы сайта. Иногда на домашней странице помещаются сведения о разработчиках, их контактная информация и сведения об авторских правах.

Новости сайта представляют собой хронологический список всех дополнений и обновлений, сделанных на сайте. Новости могут располагаться на главной странице (в этом случае посетитель сайта сразу видит, что на нем изменилось), но чаще помещаются на отдельной странице. Как правило, выводятся только новости за некоторый период. Устаревшая информация помещается в архив новостей, на который должна вести специальная гиперссылка. Новости можно не предусматривать, если сайт обновляется редко или имеет небольшой объем.

Полезное содержимое сайта (или основной контент) - это та информация, ради которой он был создан. Структурируется она так же, как в книге: отдельные абзацы, посвященные какой-либо теме, объединяются в главы, а главы, в свою очередь, в разделы. Таким образом, посетитель сайта сразу сможет найти нужную информацию, двигаясь от разделов к главам, а от глав к абзацам, пока не найдет то, ради чего сюда пришел.

Организация перемещения  по сайту является одним из наиболее важных аспектов реализации. Необходимо определить наиболее важные места сайта  и задать их в системе навигации.

Существуют другие элементы сайта, которые повторяются на страницах. Большинство сайтов используют логотип  или какие-либо титульные данные, чтобы продемонстрировать право  собственности. Заголовок (в верхней  части страницы) может содержать  логотип и средства навигации.

Полезным дополнением  является поле поиска, позволяющее  пользователям искать на сайте, а  не перемещаться по сайту с помощью  меню и ссылок.

Нижний колонтитул (последняя  область страницы) должен содержать  дополнительную информацию, такую как  сведения о разработчиках, указание на авторские права и ссылки на полезные вспомогательные страницы на сайте, если эта информация не вынесена на отдельную страницу.

Юзабилити и  доступность

Проектируя  сайт, необходимо также учитывать  требования юзабилити и доступности.