Защита от хакеров коммерческого сайта
Покупка
Тематика:
Информатика. Вычислительная техника
Издательство:
ДМК Пресс
Авторы:
Рассел Райан, Мерков Марк, Уолшоу Робин, Бидвел Тери, Кросс Майкл, Стойдлер Оливер, Цайсе Кевин
Год издания: 2009
Кол-во страниц: 552
Дополнительно
Вид издания:
Практическое пособие
Уровень образования:
ВО - Бакалавриат
ISBN: 5-94074-201-7
Артикул: 616098.02.99
Доступ онлайн
В корзину
Безопасность в виртуальном мире Internet - более запутанная вещь, чем безопасность в обычном ее понимании. Даже несмотря на то, что программное обеспечение постоянно модернизируется, специалисты утверждают: Глобальная сеть день ото дня становится все более опасной и непредсказуемой. «Единственный способ остановить хакера - это думать, как он» - основная идея книги. Вниманию читателей представлены пошаговые инструкции по обеспечению безопасности финансовых транзакций и реализации защищенного коммерческого сайта, специальные пояснения, а также подробное руководство по проверке сайта на ударопрочность. В книге подробно рассмотрены методы регулирования и оценки защитных мер, составления бюджета проекта и контроля расходов на безопасность. Тем, кто собирается защищать уже работающий коммерческий сайт, безусловно, будет интересно узнать, как вести себя и каким образом повысить существующий уровень безопасности системы. Издание представляет интерес для руководителей информационных служб предприятий и организаций, разработчиков систем электронной коммерции, специалистов в области информационной безопасности, а также студентов и аспирантов, обучающихся по соответствующим специальностям.
Тематика:
ББК:
УДК:
ОКСО:
- ВО - Бакалавриат
- 09.03.01: Информатика и вычислительная техника
- 09.03.02: Информационные системы и технологии
- 09.03.03: Прикладная информатика
- 10.03.01: Информационная безопасность
- ВО - Специалитет
- 10.05.01: Компьютерная безопасность
ГРНТИ:
Скопировать запись
Фрагмент текстового слоя документа размещен для индексирующих роботов.
Для полноценной работы с документом, пожалуйста, перейдите в
ридер.
Райан Рассел, Марк Мерков, Робин Уолшоу, Тери Бидвел, Майкл Кросс, Оливер Стойдлер, Кевин Цайсе Защита от хакеров коммерческого сайта
Ryan Russell Mark S. Merkow Robin Walshaw Teri Bidwell Michael Cross Oliver Steudler Kevin Ziese The Only Way to Stop a Hacker is to Think Like One ТМ Your E-commerce Site Your E-commerce Site
Райан Рассел Марк Мерков Робин Уолшоу Тери Бидвел Майкл Кросс Оливер Стойдлер Кевин Цайсе Единственный способ остановить хакера – это думать, как он Москва Перевод с английского Алексея Груздева коммерческого сайта коммерческого сайта Серия «Информационная безопасность»
Рассел Р. и др. Защита от хакеров коммерческого сайта: Пер. с англ. – М.: Компания АйТи: ДМК Пресс: ТЕТРУ. - 552 с.: ил. (Серия Информационная безопасность). ISBN 5-94074-201-7 (ДМК Пресс) – 5-94074-001-6 (ТЕТРУ) УДК 004.056 ББК 32.973.202 Р24 Р24 ISBN 1-928994-27-X (англ.) Copyright © by Syngress Publishing, Inc. © Перевод на русский язык. Компания АйТи ISBN 5-94074-201-7 (ДМК Пресс) © Оформление. ДМК Пресс ISBN 5-94074-001-6 (ТЕТРУ) © Издание. ТЕТРУ Безопасность в виртуальном мире Internet – более запутанная вещь, чем безопас- ность в обычном ее понимании. Даже несмотря на то, что программное обеспечение постоянно модернизируется, специалисты утверждают: Глобальная сеть день ото дня становится все более опасной и непредсказуемой. «Единственный способ остановить хакера – это думать, как он» – основная идея книги. Вниманию читателей представлены пошаговые инструкции по обеспечению безопасности финансовых транзакций и реализации защищенного коммерческого сайта, специальные пояснения, а также подробное руководство по проверке сайта на ударопрочность. В книге подробно рассмотрены методы регулирования и оценки защитных мер, составления бюджета проекта и контроля расходов на безопасность. Тем, кто соби- рается защищать уже работающий коммерческий сайт, безусловно, будет интересно узнать, как вести себя и каким образом повысить существующий уровень безопас- ности системы. Издание представляет интерес для руководителей информационных служб пред- приятий и организаций, разработчиков систем электронной коммерции, специалистов в области информационной безопасности, а также студентов и аспирантов, обучаю- щихся по соответствующим специальностям. УДК 004.056 ББК 32.973.202 Original English language edition published by Syngress Publishing, Inc. Copyright © 2000–2002 by Syngress Publishing, Inc. All rights reserved. Все права защищены. Любая часть этой книги не может быть воспроизведена в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельца авторских прав. Материал, изложенный в данной книге, многократно проверен. Но, поскольку вероятность технических ошибок все равно остается, издательство не может гарантировать абсолютную точность и правильность приводимых сведений. В связи с этим издательство не несет ответственности за возможный ущерб любого вида, связанный с применением содержащихся здесь сведений. Все торговые знаки, упомянутые в настоящем издании, зарегистрированы. Случайное неправильное использование или пропуск торгового знака или названия его законного владельца не должно рассматриваться как нарушение прав собственности.
Содержание Предисловие 19 Глава 1. Электронная коммерция и принципы информационной безопасности 21 Введение 22 Безопасность как фундамент системы 23 Конфиденциальность 23 Целостность 24 Доступность 24 Безопасность – не просто звучное слово 26 Цели безопасности в системах электронной коммерции 28 Разрабатывая систему, думайте о безопасности 29 Обеспечение безопасности на стадии разработки системы 31 Воплощение решений безопасности 33 Управление информационными системами в защищенном режиме 34 Защита систем, находящихся в эксплуатации 38 Все начинается с риска 39 Внесение изменений в систему 41 Регулирование расходов на безопасность 44 Метод эталона 45 Метод оказания давления 49 Ограничивающие свойства защиты 52 Способствующие свойства защиты 53 Резюме 55 Понятие целей безопасности в контексте коммерческой деятельности Защита конфиденциальной информации клиента в момент совершения покупки. Защита клиентской информации во время хранения и обработки. Обеспечение безопасности покупателей, поставщиков и персонала организации. Предотвращение мошенничества, организационная защита от злоупотреблений и излишних расходов. Защита информационных активов от несанкционированного доступа и раскрытия третьим лицам. Сохранение целостности информационных активов предприятия. Обеспечение доступности систем и процессов, необ- ходимых в работе с клиен- тами и партнерами.
Защита от хакеров коммерческого сайта Конспекты 56 Часто задаваемые вопросы 59 Глава 2. Распределенная атака «отказ в обслуживании». Цели, средства нападения и методы защиты 1 Введение 62 Что такое распределенная атака 63 Все начинается с DoS 63 Анатомия распределенной атаки «отказ в обслуживании» 73 Атаки февраля 2000 года 76 DDoS и сайты электронной коммерции 79 Проблемы роста 80 Проблемы СМИ 80 Хакер и мотивы, приводящие к взлому коммер- ческих систем 81 Этика взлома или путаница в терминологии? 81 Хактивизм 83 Пятнадцать минут славы 83 Нет ничего страшнее униженного хакера 84 Деньги 84 Злой умысел 85 Средства осуществления DDoS-атаки 85 Trinoo 86 Портативный монстр TFN2K 88 Stacheldraht 90 Другие разновидности DDoS-систем 95 Защита сайта от распределенного нападения 95 Основные методы защиты 97 Резюме 111 Конспекты 112 Часто задаваемые вопросы 117 Разделы «Безопасный совет» содержат дополнительные данные о способах снижения информационных рисков Безопасный совет: Управление конфигурациями Изменение конфигурации ключевых устройств, таких как маршрутизатор или сервер, может кардинальным обра- зом отразиться на степени, в которой ваш сайт подвер- жен угрозе DoS-нападения. Таблицы маршрутизации, реестры, конфигурационные базы данных и conf-файлы – вот неполный список рычагов изменения параметров сис- темы и ее окружения. Стоит ли говорить о том, что все устройства, подключающиеся к Internet, должны тщатель- ным образом контролиро- ваться на предмет изменения их параметров. Кроме того, администратор всегда должен иметь под рукой резервные копии безопасных и прове- ренных на практике конфи- гураций.
Содержание Глава 3. Разработка защищенного Web-сайта 119 Введение 120 Выбор Web-сервера 120 Web-сервер или Web-сервис 121 Поддерживаемые платформы и цены 122 Сравнение защитных свойств Web-серверов 124 Основы разработки защищенного сайта 136 Создание плана безопасности 136 Внедрение слоя безопасности, закрывающего Web-сервер 139 Apache или Internet Information Services 141 Установка сервера 143 Повышение надежности сервера 156 Укрепление всей системы 158 Вскрытие и аудит паролей 160 Проблемы разработки, связанные с HTML 163 Введение в Java, JavaScript и ActiveX 167 Проблемы, связанные с применением Java, JavaScript и ActiveX 167 Предупреждение атак с использованием Java, JavaScript и ActiveX 169 Программирование защищенных скриптов 171 Программные подписи: проблема или решение 173 Коротко о программных подписях 174 Аутсорсинг работ по созданию сайта 176 Определение необходимых знаний 177 Достоинства и недостатки аутсорсинга 178 Проверьте выполненную работу перед тем, как ввести сайт в эксплуатацию 180 Резюме 182 Конспекты 182 Часто задаваемые вопросы 186 Ошибки HTML- программирования В HTML-формах могут ис- пользоваться скрытые метки, содержащие название и значение параметра. После заполнения формы эти данные передаются программе-обра- ботчику. К примеру, следую- щая строчка обозначает пара- метр «цена» величиной $100: <input type=hidden name=”cost” value=”100.00”> Хакер, используя простой тек- стовый редактор, может за- менить это значение, скажем, на $1. Это позволит ему купить товар гораздо дешевле.
Защита от хакеров коммерческого сайта Глава 4. Разработка и внедрение политики сетевой безопас- ности 19 Введение 190 Зачем нужна политика безопасности 190 Что такое политика сетевой безопасности 191 Из чего состоит политика безопасности 197 Политика конфиденциальности и приватности 198 Политика целостности информации 206 Политика гарантии качества 207 Политика доступности 210 Можно ли найти в сети готовую политику безопасности? 211 Разные организации – разные политики безопасности 212 Примеры и структура политики безопасности 212 Несколько слов о привлечении специалистов со стороны 213 Использование политики безопасности в реализации технических решений 214 Как ознакомить клиентов с политикой безопасности 216 Получение доверия путем огласки данных 217 Резюме 219 Конспекты 219 Часто задаваемые вопросы 222 Глава 5. Реализация защищенного сайта электронной коммерции 225 Введение 226 Компоненты коммерческого сайта 226 Создание зон безопасности 227 Зоны демилитаризации 229 Дополнительные потребности – новые зоны безопасности 231 Многозональные сети Исследование Возникшая проблема "Каркас" нового правила Отзывы специалистов Определение заинтересованных сторон Пересмотр политики Проведение семинара Окончательный вариант черновой политики Утверждение руководством Публикация Юридическое обоснование Обучение персонала Редакция чернового варианта политики Предлагаемый вариант политики Создание политики сетевой безопасности
Содержание 9 и связанные с ними трудности 233 Межсетевое экранирование 234 Возможности систем межсетевого экранирования 235 Создание набора фильтрующих правил 236 Размещение сетевых компонентов 240 Профилирование систем по критерию риска 240 Определение требований к управлению рисками 241 Создание зон безопасности на основе предъявляемых требований 242 Системы обнаружения вторжения 242 Что такое «обнаружение вторжения» 244 Выбор системы IDS 244 Пример сетевой IDS 249 Пример локальной IDS 250 Управление и контроль 251 Управленческие задачи, решаемые администратором 252 Что должен контролировать администратор 253 Зачем нужны аутсорсинг-партнеры 256 Достоинства и недостатки аутсорсинга 257 Использование мощностей выделенных подстанций 257 Выбор аутсорсинг-партнера 258 Резюме 259 Конспекты 259 Часто задаваемые вопросы 264 Глава . Защита финансовых операций 25 Введение 266 Принцип и системы оплаты через Internet 267 Кредитные, расходные или дебетные карты 267 Процесс оплаты на пункте продажи 269 Особенности обработки расходных карт 270 Обработка и окончательный расчет 271 Глава 5 отвечает на вопросы, которые могут возникнуть при разработке защищенного сайта Вопрос: Как определить нужное количество информа- ции, заносимой в протоколы событий? Ответ: Протоколируйте то, что помогает принимать ре- шения. Если возникают про- блемы с выявлением нужной информации, постарайтесь сократить количество про- токолируемых событий или используйте автоматизиро- ванные средства анализа. Как правило, если вы не имеете четкого представления о поведении систем и поль- зователей, то в протокол за- носится данных меньше, чем того требует безопасность.
Защита от хакеров коммерческого сайта 10 Стадии процесса оплаты через Internet 272 Осторожно, опасная информация! 276 Подходы к решению проблем оплаты через Internet 277 Варианты и выбор способа коммерческой оплаты 278 Провайдеры коммерческого сервера 279 Использование собственных ресурсов 280 Обеспечение надежности процесса оплаты 282 Дополнительные средства управления сервером 285 Управление на прикладном уровне 286 Понятие криптографии 286 Методология 287 Роль ключей в криптосистемах 290 Принципы криптографии 292 Цифровые сертификаты 296 Криптография в электронной коммерции 299 Функции хэширования 299 Блочные шифры 300 Системы, реализующие PPK-криптографию 300 Протокол SSL 301 Протокол защищенных транспортных уровней 302 Система PGP 304 S/MIME 305 Протокол защищенных электронных транзакций 305 Цифровые подписи на языке XML 307 Реализация виртуального POS 309 Программа ICVERIFY 310 Альтернативные системы оплаты 312 Разработки на основе использования смарт-карт 312 Системы proxy-обслуживания 316 Забавные деньги 317 Обзор торговых POS- терминалов Перечислим некоторые воз- можности ICVERIFY: Импортирование транзак- ций из других приложений (электронные таблицы и базы данных). Группировка транзакций для единовременной авто- ризации. Поддержка систем адрес- ной проверки (AVS), роз- ничной AVS, CVV2 и CVC2 для уменьшения угроз, связанных с подде- лками и кражами пласти- ковых карт. Анализ данных и предо- твращение ошибок на этапе импортирования транзакци- онной информации.
Содержание 11 Резюме 319 Конспекты 320 Часто задаваемые вопросы 325 Глава . Взлом собственного сайта 32 Введение 328 Различные виды атак 328 Отказ в обслуживании 328 Утечка информации 330 Получение доступа к файловой системе 331 Дезинформация 332 Получение доступа к служебным файлам 333 Расширение привилегий 334 Планирование риска 335 Определение количества вложенных средств 336 Каким образом хакеры могут угрожать сайту и как обнаружить угрозу 337 Выявление уязвимостей сайта 340 Основы техники проведения аудита 341 Изучение уязвимостей системы 344 Использование средств автоматического сканирования 352 Наем команды аудиторов 357 Резюме 360 Конспекты 361 Часто задаваемые вопросы 365 Глава . Чрезвычайное планирование 3 Введение 368 Что такое чрезвычайное планирование 368 Структура чрезвычайного плана 370 Чрезвычайный план и соответствие стандартам качества 377 Обеспечение резервного копирования и восстановления данных 378 Разделы «Безопасный совет» или «Инструментарий» предоставляют дополнительную информацию Инструментарий: Использование Honeypot для измерения потенциальной угрозы В контексте информационной безопасности «горшком меда» (honeypot) или «ловушкой» принято называть систему, созданную для взлома. Уста- новка такой системы в вашей сети позволит изучить тактику взломщиков и, возможно, узнать несколь- ко новых видов атак. Хоро- шо, если злоумышленник не подозревает, что залез в «горшок с медом». Он должен вести себя естественно, как в случае проникновения в обычную систему без спе- циального мониторинга. В рамках концепции Honeypot такой мониторинг подразу- мевает детальное протоколи- рование всех действий напа- дающего. Причем функцию слежения может выполнять как сам узел-ловушка, так и любая другая машина в сети. Главное, что эффек- тивность «горшка меда» всег- да зависит от количества и качества собранной инфор- мации.
Защита от хакеров коммерческого сайта 12 Необходимость сверки резервной копии с оригиналом 379 Защита резервных копий конфиденциальной информации 383 Планирование действий при отказе оборудования или прекращении обслуживания 388 Проблема отказа ключевого элемента 388 Как защититься от стихийных бедствий 394 «Горячие» сайты: альтернативный путь к спасению 395 Как выбрать «горячий» сайт 395 Тестирование «горячего» сайта 396 Страхование рисков электронной коммерции 397 Страхование профессиональной ответственности 398 Страхование интеллектуальной собственности 399 Защита собственности и доходов 400 Выбор страхования 401 Страхование, которое может и не понадобиться 404 Резюме 406 Конспекты 407 Часто задаваемые вопросы 411 Глава 9. Поддержка больших объемов сетевого трафика 413 Введение 414 Что делать, если популярность сайта превзошла все ожидания 414 Определение загрузки сайта 415 Повышение производительности Web-сервера 424 Управление пропускной способностью 428 Аспекты безопасности в применении распределителей нагрузки Заметьте, что в списке не- достатков были упомянуты проблемы безопасности. На самом деле распределители вряд ли способны увеличить риски, связанные с безопас- ностью системы, тем более что можно расширить функ- циональность этих устройств до функциональности про- стейшего межсетевого экрана. Однако давайте посмотрим, какие именно проблемы мо- гут возникнуть. Нетрудно себе представить, что некоторые распредели- тели уязвимы с точки зрения защиты. Здесь возможны ата- ки на предоставляемый интерфейс управления устройством или на адрес устройства. Как и любая дополнительная подсистема, распределитель предоставляет взломщику возможности для совершения атаки на другие компоненты системы. Если злоумышленник получит административные права доступа к распределителю, он, к примеру, сможет осуществить « виртуальный подлог», перенаправив ваш трафик на другие серверы.
Содержание 13 Заключение договора с провайдером 429 Когда скорости не хватает 432 Растут потребности – увеличиваются скорости 433 Распределение нагрузки 435 Что подразумевается под распределением нагрузки 435 Преимущества и недостатки использования распределителя нагрузки 440 Аспекты безопасности в применении распределителей нагрузки 440 Резюме 443 Конспекты 444 Часто задаваемые вопросы 447 Глава 10. Чрезвычайное реагирование, сетевая криминалистика и закон 449 Введение 450 Зачем нужна политика чрезвычайного реагирования 450 Решайте сами – паниковать или сохранять спокойствие 450 Чего делать не стоит 451 Хорошая политика окупается сторицей 452 Краткое резюме политики чрезвычайного реагирования 457 Создание команды чрезвычайного реагирования 458 Определение рамок преследования 460 Хакеры, переступившие черту 460 Понятие цепи доступа 462 Процесс чрезвычайного реагирования 463 Введение в сетевую криминалистику 464 Отслеживание инцидентов 470 Ресурсы 472 Юридические документы 472 Составление цепи доступа Кто имел доступ к улике? Где находилась улика? Какие меры безопасности применялись в месте хранения улики? Какие доказательства есть на данный момент?
Защита от хакеров коммерческого сайта 14 Резервное копирование/сетевая криминалистика 473 Системы отслеживания инцидентов 474 Разное 474 Резюме 475 Конспекты 476 Часто задаваемые вопросы 479 Приложение А. Методы доставки информации, предлагаемые компанией Cisco 41 Введение 482 Модернизация защиты с использованием Cisco LocalDirector 482 Технология LocalDirector 483 Краткое описание продукта LocalDirector 483 LocalDirector: опции повышения безопасности системы 484 Cisco DistributedDirector и системы географически разрозненных серверов 489 Краткое описание продукта DistributedDirector 490 Механизмы обеспечения безопасности 490 Информационные коммутаторы Cisco 494 Технология информационной коммутации 494 Краткое описание продукта 495 Информационные коммутаторы: опции повышения безопасности системы 496 Резюме 501 Часто задаваемые вопросы 501 Приложение В. Защита от хакеров коммерческого сайта. Конспекты 503 Предметный указатель 541
Благодарности Мы хотели бы выразить признательность всем, кто оказал любезность и помог в написании этой книги. Ричарду Кристофу и Дункану Андерсону из Global Knowledge – за лучшие семинары и за великолепных инструкторов. Ральфу Троупу и Ронде Сант-Джон, а также команде Callisma – за неоценимые знания в разработке, установке и поддержке корпоративных сетей мирового класса. Карену Кроссу, Ларсу Тилфолду, Мигану Гуннингему, Киму Вайли, Гари Кичеру, Биллу Рихтеру, Кевину Воутелу и Брайтону Кларку из Publishers Group West – за высококлассный маркетинговый опыт. Мэри Гинг, Каролине Гирд, Симоне Бил, Каролине Уилер, Виктории Фул- лер, Джонатану Банкелю и Клаусу Бирану из Harcourt International – за поддержку в нелегком деле. В попытке объять необъятное и ничего при этом не забыть. Аннеке Бэйтон, Аннабели Дент и Лори Гайлс из Harcourt Australia – за все то, что они для нас сделали. Дэвиду Бакланду, Венди Вангу, Даниэлю Ло, Марии Ченг, Люси Чонг, Лесли Лим, Одри Ган и Джозефу Чан из Transquest Publishers – за энтузиазм, с которым они вырывали книги из наших рук. Квон Санг Юнь из Acon Publishing – за поддержку. Этану Аткину из Cranbury International – за помощь в продвижении программы Syngress. Джо Писко, Хелене Мойер и всем сотрудникам InterCity Press – за помощь.
Соавторы Райан Рассел (Ryan Russell, CCNA, CCNP), автор бестселлера «Hack Proofing Your Network: Internet Tradecraft» (ISBN 1-928994-15-6), управляет Security- Focus.com, является экспертом по проблемам безопасности и проводил внутреннее расследование для одного из крупнейших производителей ПО. Райан работает в области информационных технологий более 11 лет, шесть из которых он посвятил безопасности. В течение нескольких лет он был активным участником различных форумов по безопасности, таких как BugTraq. Райан – соавтор четырех книг по сетевым технологиям издательства Syngress, бакалавр компьютерных наук. Особую благодарность выражает Карен Мэтью из Энергетического департамента Соединенных Штатов за помощь в подготовке материалов для главы 10. Марк Мерков (Mark S. Merkow, CCP) – с 1975 года профессионал в области информационных систем. Работал в разных отраслях, в течение последних 12 лет – в финансовой службе. Марк магистр Школы бизнеса и Педагогической школы при университете Аризоны, где он специализируется в разработке курсов дистанционного обучения. В настоящее время он консультант по безопасности и сотрудничает с собственными и внештатными Web-дизайнерами и программистами. Марк является соавтором шести книг по компьютерным технологиям: «Breaking through Technical Jargon», «Building SET Applications for Secure Transactions», «Thin clients Clearly Explained», «Virtual Private Networks For Dummies», «A complete Guide to Internet Security», и «The ePrivacy Imperative». Кроме того, он ведет компьютерные колонки в нескольких местных, национальных и международных изданиях, а также в электронном журнале на сайте Internet.com. Робин Уолшоу (Robin Walshaw, MCSE, DPM), автор книги «Mission Critical Windows 2000 Server Administration» (ISBN 1-928994-16-4). Независимый консультант, архитектор информационных систем для больших компаний. Сплав своих технических способностей и делового чутья он использует в создании масштабируемых решений на базе высоких бизнес-технологий. За последние 10 лет его знания понадобились в 30 различных странах. Тери Бидвел (Teri Bidwell, GCIA) вот уже 10 лет вовлечена в сферу Inter- net-безопасности. Она сертифицированный аналитик SANS в вопросах информационного вторжения, инженер и администратор. На профессиональном поприще начинала с защиты UNIX-сетей в университете Колорадо, затем в качестве сетевого инженера компании Cisco и администратора DNS
1 в Sybase, Inc. Сегодня Тери работает аналитиком по безопасности в фирме, расположенной в городе Рестон, штат Виржиния. Она ведущий специалист в вопросах корпоративной стратегии безопасности и консультант-разработчик систем электронной коммерции. Специализируется в разработке политик безопасности, оценке уязвимостей, проведении тестов на проникновение и обнаружение вторжений. Тери получила диплом компьютерных наук в университете Колорадо и состоит в консультационном совете SANS GCIA. Сейчас она живет и работает в городе Боулдер, штат Колорадо. Майкл Кросс (Michael Cross, MCSE, MCP+I, CNA), сетевой администратор, специалист в области Internet-технологий и программист Ниагарского регионального управления полиции. Отвечает за безопасность и администрирование сети, а также является Web-мастером сайта www.nrps.com. Майкл участвовал в расследовании компьютерных и Internet-преступлений. Кроме того, он член IT-команды специалистов, поддерживающих систему для более чем 800 пользователей. Майкл владеет компанией KnightWare, специализирующейся на разнообразных программистских и сетевых задачах. Он работал преподавателем в частных колледжах Онтарио, а на протяжении последних нескольких лет опубликовал более двух десятков книг. Сейчас Майкл обосновался в Сант- Катарин, Онтарио. Оливер Стойдлер (Oliver Steudler, CCNP, CCDP, CSE, CNE), главный инженер компании iFusion Networks (Кейптаун, Южная Африка). Специализируется в области сетевой маршрутизации, коммутации и безопасности. Имеет десятилетний опыт консалтинга, проектирования и разработки сложных сетей. Опубликовал работы, касающиеся TCP/IP, сетей, безопасности и передачи данных, соавтор книги «Managing Cisco Network Security» (ISBN 1-928994-17-2). Кевин Цайсе (Kevin Ziese). Штатный научный работник в компании Cisco. До этой должности был известен как старший научный сотрудник и основатель Wheelgroup Corporation – компании, которую в 1998 году приобрела Cisco. До Wheelgroup Кевин был начальником группы немедленного реаги- рования в информационном центре военно-воздушных сил США. Соавторы
Технический редактор и соавтор Брент Гастон (L. Brent Huston) в 1994 получил научную степень прикладных наук по электронике в техническом институте DeVry, штат Огайо. Имеет де- сятилетний опыт работы в сфере информационных технологий, преимущественно в областях аудита безопасности, сетевого мониторинга, сканирования, экранирования, вирусов и хакерских методов. Как президент собственной компании, Microsolved, Inc., участвовал в информационном аудите и консалтинге крупных компаний и разнообразных государственных учреждений. Брент отлично ориентируется в современных приложениях информационной безопасности. Он самостоятельно спроектировал систему обнаружения вторжения. В свое время ему пришлось выявить несколько неизвестных уязвимостей в системах маршрутизации Ascom, а также в ОС Windows NT и Linux. Не так давно Брент принял участие в лабораторных испытаниях устройств сетевого экранирования, которые проводились на территории его компании в Огайо. Тесты были призваны показать достоинства и уязвимости различных экранов. Результаты испытаний Брент передал компаниям-производителям и организовал специальную отраслевую презентацию. Кроме всего прочего, Брент Гасон занят в управлении Office of Independent Oversight and Performance Assurance (город Колумбия, штат Огайо). Он был ответственным за проектирование и создание высокотехнологичной лаборатории аудита информационной безопасности. Опыт создания этой лаборатории впоследствии был заимствован министерством энергетики. Брент имеет следующие сертификаты: Internet Security Systems Certified Engineer, Sidewinder Firewall Certified Administrator, IBM Secure Network Gateway Certified Administrator, Phoenix Firewall Certified Administrator.
Предисловие Настоящее издание было написано в ответ на пожелания читателей нашей предыдущей книги «Hack Proofing Your Network: Internet Tradecraft». Мы получили множество вопросов, касающихся особенностей защиты сайтов электронной коммерции, сайтов, которые особенно подвержены риску нападения со стороны хакеров, и надеемся, что эта книга ответит на все специфические вопросы, не затронутые в предыдущем издании. Если ваша организация вовлечена в электронный бизнес, то эта книга бесценна, потому что обеспечение безопасности становится все более актуальной задачей. А если вы специалист по безопасности, то, скорее всего, это издание вам понадо- бится в качестве руководства при решении проблем, связанных с политикой безопасности или обеспечением защиты электронных транзакций. Практикующие специалисты сталкиваются с двумя видами сетей – кото- рые еще не были взломаны и которые уже подверглись нападению. Наша цель, как авторов этой книги, обеспечить вас всем необходимым для того, чтобы вашу сеть нельзя было отнести ко второму виду. Исходя из такой предпосылки, книга получилась сугубо практической. Более того, мы от- лично понимаем, что «правильные» вещи (вроде исследовательских ла- бораторий) по карману далеко не всем компаниям, поэтому предлагаем прежде всего доступные и вместе с тем эффективные методы обнаружения и предупреждения атак. Благодаря практической направленности в этой книге раскрываются вопросы выравнивания сетевой нагрузки, чрезвычайного планирования и повышения производительности систем. Кроме того, мы постарались из- бежать широко распространенных рекомендаций, в основе которых лежит пресловутый «черный ящик». Эта книга придерживается концепции многих других изданий издательс- тва Syngress: она не только рассказывает о том, как сделать, но и объясняет, почему можно сделать именно так. Такой подход особенно важен в области
Защита от хакеров коммерческого сайта 20 информационной безопасности, где на фоне бурного развития технологий всегда есть выбор между несколькими, иногда противоречащими друг дру- гу, решениями. Способов построить коммерческий сайт не меньше, чем самих коммерческих сайтов. Предугадать универсальную конфигурацию, способную удовлетворить каждого читателя, вообще не представляется воз- можным. Мы лишь даем вам материал, который заставит вас подумать и принять правильное решение. Мы искренне надеемся, что вам понравится эта книга. Читая ее, вы за- метите, что Syngress предлагает задавать вопросы авторам в разделе Ask the Author на сайте www.syngress.com/solutions. Мы с нетерпением ждем отзывов и пожеланий. Райан Рассел (Ryan Russell), CCNA, CCNP
Доступ онлайн
В корзину