Система защиты веб-портала. Часть 2

Мы с вами, уважаемые читатели, уже начали разговор о комплексной системе защиты веб-портала. И пришли к выводу, что единого инструмента для устранения всех угроз просто-напросто не существует. Поэтому защита должна состоять из целого ряда отдельных подсистем, каждая из которых будет устранять те или иные опасности. В первой части статьи мы уже разобрали несколько инструментов защиты веб-портала. Сегодня же мы поговорим об оставшихся подсистемах. Кроме того, мы подведем итоги и попробуем выяснить, как можно сделать защиту более простой в управлении. итак, вперед.

Криптографическая система

Для начала, уважаемые читатели, давайте вспомним наш уговор: под веб-порталом мы с вами будем понимать сложную распределенную систему, состоящую из различных серверов и удаленных рабочих мест администраторов и пользователей. А теперь обратите внимание на два слова: «распределенная» и «удаленные». Это значит, что компьютеры, входящие в веб-портал, находятся на каком-то расстоянии друг от друга и общаются между собой, используя инфраструктуру глобальной сети интернет. Причем необходимо отметить, что данные передаются в открытом виде. А поэтому существует определенная вероятность того, что злоумышленник сможет перехватить сетевые пакеты и получить доступ ко всей информации.

Единственной защитой от сниффинга является шифрование всей передаваемой через общие каналы связи информации. именно поэтому криптографическая система является обязательной частью большинства серьезных веб-порталов. Чаще всего такая система работает на основе технологии виртуальных частных сетей (Virtual Private Network, VPN). Она может создавать защищенные сетевые соединения, обеспечивая аутентификацию пользователей, шифрование передаваемой информации и контроль ее целостности. Технология VPN позволяет создавать веб-порталы, в которых даже серверы находятся на большом расстоянии друг от друга.

Кстати, стоит отметить, что технические реализации криптографических систем могут очень сильно отличаться друг от друга. Дело в том, что виртуальные частные сети можно организовать с помощью разных протоколов, функционирующих на различных уровнях стека TCP/IP^*. Так, например, на канальном уровне могут использоваться Point-to-Point Tunneling Protocol (PPTP), Layer 2 Forwarding Protocol (L2F) и т. д., на сетевом — Internet Protocol Security (IPSec), Secure Key Interchange Protocol (SKIP), ну а на прикладном — Secure Socket Layer^* (SSL) и Secure HTTP.

Но в любом случае состав криптографической системы защиты веб-портала один. В него входят шлюз VPN, установленный на одном из серверов веб-портала, и клиенты VPN, которые должны работать на компьютерах конечных пользователей (администраторов и людей, которым необходима защищенная связь). Единственное исключение из этого правила делается для виртуальных частных сетей, организованных на прикладном уровне. Дело в том, что в этом случае клиент VPN обычно оказывается встроенным прямо в браузер.

Система обнаружения атак

Еще совсем недавно системы обнаружения атак (Intrusion Detection System, IDS) были самой настоящей экзотикой. Сегодня же они работ