Вимоги до міжмережевих екранів веб застосунків

dc.contributor.authorЖилін, Артем Вікторович
dc.contributor.authorПарфенюк, Дмитро Миколайович
dc.contributor.authorМітін, Сергій Вячеславович
dc.date.accessioned2023-04-07T10:17:13Z
dc.date.available2023-04-07T10:17:13Z
dc.date.issued2020
dc.description.abstractПроаналізовано вітчизняні та іноземні нормативні документи, які стосуються захисту веб застосунків. Встановлено, що при розробленні комплексної системи захисту інформації повинні враховуватися вимоги до окремих її засобів захисту. Найефективнішим з елементів комплексу засобів захисту для автоматизованих систем класу 2 та 3, на яких функціонують веб сервери є міжмережевий екран веб застосунків, вимоги до якого у відкритих джерелах відсутні. Тому розроблення таких вимог є актуальною та нагальною проблемою, вирішення якої дозволить спростити розроблення комплексної системи захисту інформації. Виходячи з актуальності результатами роботи є сформовані вимоги до міжмережевих екранів веб застосунків. Одними з небагатьох відкритих джерел, які дозволяють реалізувати такий компонент комплексної системи захисту інформації як міжмережевий екран веб застосунків є перелік правил від корпорації MITRE та відкритого проекту забезпечення безпеки веб застосунків OWASP. Проте ці правила не реалізують розроблених вимог, тому додатково запропоновано та впроваджено правила фільтрації до міжмережевих екранів веб застосунків, які їм відповідають. Сформовано методику їхньої перевірки на відповідність встановленим вимогам. На основі таких утиліт як Metasploit FW, nikto, dirb, wafninja розроблено програмний застосунок, що реалізує зазначену методику. Він має безпосередній зв’язок з базою даних CVE, що дозволяє виявляти й перевіряти актуальні вразливості. Як компонент захисту використано OWASP ModSecurity, вихідний код якого знаходиться на офіційних репозиторіях й функціонує на базі веб сервера nginx. Можливості ModSecurity розширено розробленим динамічним конектором, що дозволяє використовувати міжмережевий екран веб застосунків як окремий засіб захисту інформації. В розробленому засобі захисту реалізовано визначені правила фільтрації. Цим задовольняються такі вимоги до комплексу засобів захисту в комплексній системі захисту інформації як безперервний захист комп’ютерних систем та модульна структура.uk
dc.description.abstractotherDomestic and foreign regulations related to the protection of web applications are analyzed. It is established that the requirements for its individual means of protection should be taken into account when developing a comprehensive information protection system. The most effective of the elements of the complex of means of protection for automated systems of class 2 and 3, on which web servers operate is the firewall of web applications, which is not required in open sources. Therefore, the development of such requirements is an urgent and urgent problem, the solution of which will simplify the development of a comprehensive information security system. Based on the relevance of the results of the work are the requirements for firewalls of web applications.One of the few open sources that allows you to implement such a component of a comprehensive information security system as the firewall of web applications is a list of rules from MITRE and the open project to ensure the security of web applications OWASP. However, these rules do not implement the developed requirements, so in addition, proposed and implemented rules for filtering the firewalls of web applications that meet them. The technique of their check on conformity to the established requirements is formed. Based on such utilities as Metasploit FW, nikto, dirb, wafninja, a software application has been developed that implements this technique. It has a direct link to the CVE database, which allows you to detect and check for current vulnerabilities.OWASP ModSecurity is used as a security component, the source code of which is located on official repositories and operates on the basis of the nginx web server. The capabilities of ModSecurity are enhanced by a developed dynamic connector that allows you to use the firewall of web applications as a separate means of protecting information. Certain filtering rules are implemented in the developed protection tool. This satisfies the requirements for a set of security features in a comprehensive informationsecurity system such as continuous protection of computer systems and a modular structure.uk
dc.format.pagerangePp. 177-190uk
dc.identifier.citationЖилін, А. BKW-атака на шифросистеми NTRUCIPHER та NTRUCIPHER+ / Жилін Артем Вікторович, Парфенюк Дмитро Миколайович, Мітін Сергій Вячеславович // Information Technology and Security. – 2020. – Vol. 8, Iss. 2 (15). – Pp. 177–190. – Bibliogr.: 20 ref.uk
dc.identifier.doihttps://orcid.org/0000-0002-4936-2569
dc.identifier.issn2411-1031
dc.identifier.orcid0000-0002-4959-612Xuk
dc.identifier.orcid0000-0002-9255-9340uk
dc.identifier.orcid0000-0002-4936-2569uk
dc.identifier.urihttps://ela.kpi.ua/handle/123456789/54376
dc.language.isoukuk
dc.publisherInstitute of Special Communication and Information Protection of National Technical University of Ukraine “Igor Sikorsky Kyiv Polytechnic Institute”uk
dc.publisher.placeKyivuk
dc.relation.ispartofInformation Technology and Security : Ukrainian research papers collection, 2020, Vol. 8, Iss. 2 (15)uk
dc.rights.urihttps://creativecommons.org/licenses/by/4.0/
dc.subjectweb applicationsuk
dc.subjectfirewalluk
dc.subjectrequirementuk
dc.subjectcomprehensive information security systemuk
dc.subjectsecurity suiteuk
dc.subjectOWASP ModSecurityuk
dc.subjectвеб застосунокuk
dc.subjectміжмережевий екранuk
dc.subjectвимогаuk
dc.subjectкомплексна система захисту інформаціїuk
dc.subjectкомплекс засобів захистуuk
dc.subject.udc004.056.53uk
dc.titleВимоги до міжмережевих екранів веб застосунківuk
dc.title.alternativeRequirements for web applications firewallsuk
dc.typeArticleuk

Файли

Контейнер файлів
Зараз показуємо 1 - 1 з 1
Вантажиться...
Ескіз
Назва:
222603-533180-1-10-20210601.pdf
Розмір:
1.08 MB
Формат:
Adobe Portable Document Format
Опис:
Ліцензійна угода
Зараз показуємо 1 - 1 з 1
Ескіз недоступний
Назва:
license.txt
Розмір:
9.1 KB
Формат:
Item-specific license agreed upon to submission
Опис: