Computerworld.pl
 
  1. Strona główna
  2. Wiadomości
  3. Jak zabezpieczyć serwer HTTPS

Jak zabezpieczyć serwer HTTPS

Serwer związany z usługami internetowymi bardzo często korzysta z szyfrowania danych za pomocą SSL. Ochrona jego bezpieczeństwa jest o wiele trudniejsza niż w środowisku, które nie szyfruje danych.

Maszyna do SSL

W odróżnieniu od typowych serwerów WWW, akceleratory SSL są projektowane głównie pod kątem bezpieczeństwa. Zazwyczaj są certyfikowane, posiadają zasoby do bezpiecznego składowania certyfikatów, w tym także układy tamper-proof, które uniemożliwiają kradzież kluczy prywatnych, nawet w przypadku otwarcia urządzenia i manipulacji podzespołami. Tej zalety nie ma żaden programowy serwer WWW, gdyż klucze są tam przechowywane w pamięci operacyjnej i mogą być skradzione w przypadku przejęcia kontroli nad systemem operacyjnym.

Srwery usługowe od dawna stosują szyfrowanie danych SSL, by zmniejszyć prawdopodobieństwo przechwycenia informacji. O ile standardowe narzędzia, takie jak IPS, chronią system i aplikacje, które przesyłają dane bez szyfrowania, wdrożenie SSL poważnie ogranicza możliwość detekcji i blokowania ataków.

Niektórzy producenci posiadają w swojej ofercie urządzenia IPS, które potrafią deszyfrować ruch SSL. Aby całość poprawnie działała, do IPS wgrywa się klucze serwera, dzięki czemu IPS może deszyfrować w locie połączenia kierowane do serwera i analizować je pod kątem znanych ataków. Operacje kryptograficzne wymagają bardzo dużego nakładu mocy obliczeniowej, dlatego producenci stosują specjalizowane układy scalone ASIC przeznaczone wyłącznie do wykonywania tych obliczeń. Rozwiązania takie od kilku lat posiada w swojej ofercie m.in. firma McAfee, obecnie zakupiona przez Intela.

Wyniesienie SSL poza serwer

O wiele lepszym pomysłem jest oddzielenie procesu szyfrowania danych od serwera, dzięki wykorzystaniu akceleratora SSL. Urządzenie to terminuje ruch SSL pochodzący od klientów, deszyfruje go i przekazuje do serwera WWW w postaci standardowego ruchu HTTP. Dzięki temu, można tuż przed serwerem zainstalować standardowy IPS. Dodatkową zaletą jest odciążenie serwera WWW - obciążenie związane z obsługą szyfrowanego protokołu SSL zostaje przekazane do akceleratora. Ponieważ moduł SSL nie jest już niezbędny w serwerze, wykorzystywane oprogramowanie staje się prostsze, a to oznacza mniejszą podatność na błędy.

Przeniesienie SSL poza serwer WWW uniezależnia bezpieczeństwo od implementacji obsługi SSL w serwerze. Dzięki temu ataki, które wykorzystują luki w bezpieczeństwie modułów szyfrujących w popularnych serwerach WWW (Apache, IIS), nie będą mogły zagrozić serwisowi internetowemu. Jest to bardzo ważna zaleta, gdyż nieaktualny moduł mod_ssl był powodem wielu włamań do serwerów Apache w przeszłości, podobnie atakowano także IIS Microsoftu. Obecnie wykryto bardzo poważny błąd w implementacji SSL stosowanej w Microsoft ASP.NET, umożliwiający przejęcie kluczy SSL (patrz obok).
W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200

Computerworld

Computerworld dostarcza najświeższe informacje, opinie, prognozy i analizy z branży IT w Polsce i na świecie.

Tematy

Serwisy IDG

Znajdź nas:   

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

Zamów reklamę

(+48) 662 287 830
Napisz do nas