Михаил Евгеньевич Флёнов - Web-сервер глазами хакера

автоматически блокировать такие запросы. Алгоритмы распознают зловредный трафик и не дают ему достичь реального web-сервера. Если трафик
идет распределенный, то могут блокироваться целые сети и провайдеры. Из личного опыта видел, как крупный провайдер попадал в черный список, и все его пользователи (даже легитимные) какое-то время не могли загрузить защищаемый алгоритмами Prolexic сайт.

Основы безопасности

49

Akamai — не единственная компания на рынке, которая предоставляет подобный
сервис защиты от DDoS-атак.
Для того чтобы ваша DDoS-атака была успешной, нужно знать реальный IP-адрес,
чтобы можно было направлять трафик на сервера в обход защитных средств, и даже это даст успех только в том случае, если реальные сервера принимают трафик с
любого источника.
Я не знаю нынешние реальные IP-адреса web-серверов Wheel of fortune и не могу
проверить, можно ли к ним добраться напрямую. Надеюсь, что у них стоит сетевой
экран, который принимает трафик только от Akamai, то есть уже проверенный на
отсутствие DDoS-атак.

1.8. Меры безопасности
Проблема безопасности не ограничивается только защитой определенных программ. Можно написать самую безопасную программу, но при этом установить на
сервер ОС с настройками по умолчанию. Всем известно, что настройки по умолчанию далеки от идеала, и благодаря этому web-сервер может быть взломан даже при
отсутствии уязвимых сценариев.
Безопасным должен быть не только каждый участок программы, но и каждый программный пакет, установленный на сервере, сама ОС, конфигурация и все используемое оборудование (в основном это касается сетевых устройств).
Защищать необходимо не только определенные программы, но и ОС, СУБД, сетевое оборудование. Каждая составляющая требует отдельной книги по безопасности. А если учесть, что существует несколько разновидностей ОС и к безопасности
каждой из них нужно подходить со своей стороны, то книг нужно написать еще
больше. Поэтому ограничимся только основными особенностями защиты.
Есть такое выражение, что безопасность — это не продукт, а процесс. Нельзя просто купить какой-то продукт и тут же оказаться в безопасности.
Вместо этого к безопасности нужно относиться как к процессу, бесконечному и
постоянно работающему.
Даже если вы являетесь разработчиком и не связаны с администрированием сервера своей компании или просто web-сайта, я настоятельно рекомендую вам познакомиться с безопасностью ОС, которая используется на вашем сервере. Для Linuxсистем я могу посоветовать прочитать мою книгу "Linux глазами хакера".
Может, вы заметили, что я очень часто ссылаюсь именно на ОС Linux? Дело в
том, что эта ОС преобладает в интернете в качестве серверов. Именно поэтому
мы будем больше внимания уделять этим ОС. Да, в корпоративном секторе можно встретить и множество решений на Windows-платформе, но в целом они уступают по популярности решениям на Linux.
Компания Microsoft делает серьезные шаги для завоевания рынка web-решений, и
в последнее время удается что-то сделать и отвоевать часть рынка, так что все

50

Глава 1

может еще измениться. Облачные технологии Azure показывают хорошие результаты с точки зрения роста в популярности.
Там, где тема касается обеих ОС, я буду затрагивать их обе, но больше внимания все
же буду уделять UNIX-системам и Linux в частности, потому что именно Linux вызывает у меня наибольшую симпатию, и мне кажется, что за ним будущее.

1.8.1. Защита web-сервера
Давайте рассмотрим пример защиты MySQL и Apache в операционной системе
Linux. Мы опустим защиту самой ОС, потому что это отдельная и очень большая
тема, да и весь Apache мы трогать не будем, пусть живет. Итак, защита начинается
с установки и предварительного конфигурирования. В случае с MySQL необходимо
выполнить следующие действия:


СУБД устанавливается с настройками по умолчанию, при которых администраторский доступ разрешен пользователю root и нужно убедиться, что у
всех аккаунтов, которым разрешено подключение, есть пароль, который достаточно сложен, чтобы поддаться простому подбору;



необходимо заблокировать анонимный доступ к СУБД. Подключения должны
осуществляться только авторизованными пользователями;



лучше всего запретить удаленное подключение к СУБД. Например, если к MySQL
обращаются только локально расположенные сценарии, то никто не должен иметь
права подключения с удаленной машины (в настройках MySQL есть --">