Опасность, присущая веб-трафику SharePoint

Цели и назначение интернета довольно противоречивы. С одной стороны, интернет предназначен для доступа к информации в любой момент и из любого места, связывая сис-

_теМы по всему миру и обеспечивая возможность свободного обмена такой информацией. С другой стороны, такая прозрачность сопряжена с существенным риском, т.к. она по сути означает, что любая система открыта для доступа с каждого подключенного компьютера со всего мира — дружелюбного или злонамеренного.

Зачастую такой риск компрометации систем или информации, неизбежный из-за открытости интернету, приводит к запрету доступа к информации с помощью брандмауэров. Конечно, это ограничивает возможности и полезность систем свободного обмена информацией, обеспечиваемого веб-трафиком. Многим веб-серверам нужен анонимный доступ для широкой публики, что приводит к дилемме: организации нужно разместить информацию в сети, но не подвергать свои серверы ненужному риску.

К счастью, линейка Forefront Edge предлагает надежные и мощные инструменты для защиты веб-трафика, т.е. оставляет его доступным для дистанционного доступа, но защищает от атак и проникновений. Чтобы понять, как это делается, вначале необходимо разобраться, как веб-трафик используется для проникновений.

Веб- (HTTP-) проникновения

То, что компьютерный мир плохо подготовился к появлению вируса Code Red — это еще мягко сказано. Код проникновения в информационной службе интернета (IIS), которым воспользовался Code Red, был уже известен, и Microsoft выпустила исправление за несколько недель до его появления. Однако в те дни регулярному исправлению и модернизации систем не придавали такого значения, т.к. большинство считало, что лучше подождать, пока в исправлениях будут выловлены все ошибки.

И случилось так, что огромное количество веб-сайтов оказалось полностью не готово к мощному нашествию проникающих кодов из вируса Code Red, который посылал НТТР-эапросы специального формата на веб-серверы, чтобы захватить управление системой. Вот пример URL-адреса для проникновения:

http: //SharePoint.companyabc.com/scripts/.. %5с. ./winnt/system32/ cmd.exe?/c+dir+c:\

Этот адрес пытается запустить командную строку на веб-сервере. Специальные манипуляции позволили вирусам наподобие Code Red найти метод захвата веб-серверов и превращения их в боты для атак на другие серверы.

Такие виды веб-атак вытряхнули из сонной задумчивости специалистов по компьютер ной безопасности. Они поняли, что брандмауэры с фильтрацией на уровне пакетов, которая просто открывает или закрывает порт, бесполезны против кодов проникновений, которые упаковывают свой трафик во вполне разрешенные порты наподобие HTTP и HTTPS.

К счастью, линейка продуктов Forefront Edge как раз великолепно справляется с фильтрацией и защитой веб-трафика и предлагает множество параметров настройки, которые позволяют администраторам управлять трафиком и защитой веб-сервера.

Защита зашифрованного (SSL) веб-трафика

По мере взросления всемирной сети организации начали понимать, что шифрование HTTP-пакетов, передаваемых между веб-сайтом и клиентом, делает их практически нечитаемыми для всех, кто в принципе может перехватить эти пакеты. Это привело к распространению SSL-шифрования НТТР-трафика.

Конечно, зашифрованные пакеты представляют некоторую проблему с точки зрения их анализа, т.к. теперь невозможно определить, что они собираются сделать. А ведь многие современные HTTP-проникновения можно передать и по каналам, защищенным SSL-шифрованием. Это создает опасную ситуацию для организаций, которым приходится за-

Насть III

щищать трафик от перехвата, но одновременно еше и просматривать трафик и защищать веб-серверы от атак

В этом смысле линейка Forefront Edge уникальна: она предназначена как раз для решения этой проблемы, т.к. содержит возможность выполнения сквозного SSL-переноса. После инсталляции сертификата от внешнего вебсервере SharePoint на сервере Forefront TJAG или Forefront TMG (вместе с копией приватного ключа) сервер может дешифровывать трафик, проверять его на наличие вредоносного кода, а затем повторно шифровать перед отправкой на сервер SharePoint. На рынке пока нет продуктов с подобным сквозным шифрованием пакетов и таким уровнем защиты — только продукты линейки Forefront Edge. Однако прежде чем Forefront UAG или Forefront TMG начнет защищать SSL^гpaфик SharePoint, на сервере SharePoint необходимо разместить сертификат SSL.