Вимоги до міжмережевих екранів веб застосунків
dc.contributor.author | Жилін, Артем Вікторович | |
dc.contributor.author | Парфенюк, Дмитро Миколайович | |
dc.contributor.author | Мітін, Сергій Вячеславович | |
dc.date.accessioned | 2023-04-07T10:17:13Z | |
dc.date.available | 2023-04-07T10:17:13Z | |
dc.date.issued | 2020 | |
dc.description.abstract | Проаналізовано вітчизняні та іноземні нормативні документи, які стосуються захисту веб застосунків. Встановлено, що при розробленні комплексної системи захисту інформації повинні враховуватися вимоги до окремих її засобів захисту. Найефективнішим з елементів комплексу засобів захисту для автоматизованих систем класу 2 та 3, на яких функціонують веб сервери є міжмережевий екран веб застосунків, вимоги до якого у відкритих джерелах відсутні. Тому розроблення таких вимог є актуальною та нагальною проблемою, вирішення якої дозволить спростити розроблення комплексної системи захисту інформації. Виходячи з актуальності результатами роботи є сформовані вимоги до міжмережевих екранів веб застосунків. Одними з небагатьох відкритих джерел, які дозволяють реалізувати такий компонент комплексної системи захисту інформації як міжмережевий екран веб застосунків є перелік правил від корпорації MITRE та відкритого проекту забезпечення безпеки веб застосунків OWASP. Проте ці правила не реалізують розроблених вимог, тому додатково запропоновано та впроваджено правила фільтрації до міжмережевих екранів веб застосунків, які їм відповідають. Сформовано методику їхньої перевірки на відповідність встановленим вимогам. На основі таких утиліт як Metasploit FW, nikto, dirb, wafninja розроблено програмний застосунок, що реалізує зазначену методику. Він має безпосередній зв’язок з базою даних CVE, що дозволяє виявляти й перевіряти актуальні вразливості. Як компонент захисту використано OWASP ModSecurity, вихідний код якого знаходиться на офіційних репозиторіях й функціонує на базі веб сервера nginx. Можливості ModSecurity розширено розробленим динамічним конектором, що дозволяє використовувати міжмережевий екран веб застосунків як окремий засіб захисту інформації. В розробленому засобі захисту реалізовано визначені правила фільтрації. Цим задовольняються такі вимоги до комплексу засобів захисту в комплексній системі захисту інформації як безперервний захист комп’ютерних систем та модульна структура. | uk |
dc.description.abstractother | Domestic and foreign regulations related to the protection of web applications are analyzed. It is established that the requirements for its individual means of protection should be taken into account when developing a comprehensive information protection system. The most effective of the elements of the complex of means of protection for automated systems of class 2 and 3, on which web servers operate is the firewall of web applications, which is not required in open sources. Therefore, the development of such requirements is an urgent and urgent problem, the solution of which will simplify the development of a comprehensive information security system. Based on the relevance of the results of the work are the requirements for firewalls of web applications.One of the few open sources that allows you to implement such a component of a comprehensive information security system as the firewall of web applications is a list of rules from MITRE and the open project to ensure the security of web applications OWASP. However, these rules do not implement the developed requirements, so in addition, proposed and implemented rules for filtering the firewalls of web applications that meet them. The technique of their check on conformity to the established requirements is formed. Based on such utilities as Metasploit FW, nikto, dirb, wafninja, a software application has been developed that implements this technique. It has a direct link to the CVE database, which allows you to detect and check for current vulnerabilities.OWASP ModSecurity is used as a security component, the source code of which is located on official repositories and operates on the basis of the nginx web server. The capabilities of ModSecurity are enhanced by a developed dynamic connector that allows you to use the firewall of web applications as a separate means of protecting information. Certain filtering rules are implemented in the developed protection tool. This satisfies the requirements for a set of security features in a comprehensive informationsecurity system such as continuous protection of computer systems and a modular structure. | uk |
dc.format.pagerange | Pp. 177-190 | uk |
dc.identifier.citation | Жилін, А. BKW-атака на шифросистеми NTRUCIPHER та NTRUCIPHER+ / Жилін Артем Вікторович, Парфенюк Дмитро Миколайович, Мітін Сергій Вячеславович // Information Technology and Security. – 2020. – Vol. 8, Iss. 2 (15). – Pp. 177–190. – Bibliogr.: 20 ref. | uk |
dc.identifier.doi | https://orcid.org/0000-0002-4936-2569 | |
dc.identifier.issn | 2411-1031 | |
dc.identifier.orcid | 0000-0002-4959-612X | uk |
dc.identifier.orcid | 0000-0002-9255-9340 | uk |
dc.identifier.orcid | 0000-0002-4936-2569 | uk |
dc.identifier.uri | https://ela.kpi.ua/handle/123456789/54376 | |
dc.language.iso | uk | uk |
dc.publisher | Institute of Special Communication and Information Protection of National Technical University of Ukraine “Igor Sikorsky Kyiv Polytechnic Institute” | uk |
dc.publisher.place | Kyiv | uk |
dc.relation.ispartof | Information Technology and Security : Ukrainian research papers collection, 2020, Vol. 8, Iss. 2 (15) | uk |
dc.rights.uri | https://creativecommons.org/licenses/by/4.0/ | |
dc.subject | web applications | uk |
dc.subject | firewall | uk |
dc.subject | requirement | uk |
dc.subject | comprehensive information security system | uk |
dc.subject | security suite | uk |
dc.subject | OWASP ModSecurity | uk |
dc.subject | веб застосунок | uk |
dc.subject | міжмережевий екран | uk |
dc.subject | вимога | uk |
dc.subject | комплексна система захисту інформації | uk |
dc.subject | комплекс засобів захисту | uk |
dc.subject.udc | 004.056.53 | uk |
dc.title | Вимоги до міжмережевих екранів веб застосунків | uk |
dc.title.alternative | Requirements for web applications firewalls | uk |
dc.type | Article | uk |
Файли
Контейнер файлів
1 - 1 з 1
Вантажиться...
- Назва:
- 222603-533180-1-10-20210601.pdf
- Розмір:
- 1.08 MB
- Формат:
- Adobe Portable Document Format
- Опис:
Ліцензійна угода
1 - 1 з 1
Ескіз недоступний
- Назва:
- license.txt
- Розмір:
- 9.1 KB
- Формат:
- Item-specific license agreed upon to submission
- Опис: