Вимоги до міжмережевих екранів веб застосунків
Вантажиться...
Дата
2020
Науковий керівник
Назва журналу
Номер ISSN
Назва тому
Видавець
Institute of Special Communication and Information Protection of National Technical University of Ukraine “Igor Sikorsky Kyiv Polytechnic Institute”
Анотація
Проаналізовано вітчизняні та іноземні нормативні документи, які стосуються захисту веб застосунків. Встановлено, що при розробленні комплексної системи захисту інформації повинні враховуватися вимоги до окремих її засобів захисту. Найефективнішим з елементів комплексу засобів захисту для автоматизованих систем класу 2 та 3, на яких функціонують веб сервери є міжмережевий екран веб застосунків, вимоги до якого у відкритих джерелах відсутні. Тому розроблення таких вимог є актуальною та нагальною проблемою, вирішення якої дозволить спростити розроблення комплексної системи захисту інформації. Виходячи з актуальності результатами роботи є сформовані вимоги до міжмережевих екранів веб застосунків. Одними з небагатьох відкритих джерел, які дозволяють реалізувати такий компонент комплексної системи захисту інформації як міжмережевий екран веб застосунків є перелік правил від корпорації MITRE та відкритого проекту забезпечення безпеки веб застосунків OWASP. Проте ці правила не реалізують розроблених вимог, тому додатково запропоновано та впроваджено правила фільтрації до міжмережевих екранів веб застосунків, які їм відповідають. Сформовано методику їхньої перевірки на відповідність встановленим вимогам. На основі таких утиліт як Metasploit FW, nikto, dirb, wafninja розроблено програмний застосунок, що реалізує зазначену методику. Він має безпосередній зв’язок з базою даних CVE, що дозволяє виявляти й перевіряти актуальні вразливості. Як компонент захисту використано OWASP ModSecurity, вихідний код якого знаходиться на офіційних репозиторіях й функціонує на базі веб сервера nginx. Можливості ModSecurity розширено розробленим динамічним конектором, що дозволяє використовувати міжмережевий екран веб застосунків як окремий засіб захисту інформації. В розробленому засобі захисту реалізовано визначені правила фільтрації. Цим задовольняються такі вимоги до комплексу засобів захисту в комплексній системі захисту інформації як безперервний захист комп’ютерних систем та модульна структура.
Опис
Ключові слова
web applications, firewall, requirement, comprehensive information security system, security suite, OWASP ModSecurity, веб застосунок, міжмережевий екран, вимога, комплексна система захисту інформації, комплекс засобів захисту
Бібліографічний опис
Жилін, А. BKW-атака на шифросистеми NTRUCIPHER та NTRUCIPHER+ / Жилін Артем Вікторович, Парфенюк Дмитро Миколайович, Мітін Сергій Вячеславович // Information Technology and Security. – 2020. – Vol. 8, Iss. 2 (15). – Pp. 177–190. – Bibliogr.: 20 ref.