EN
Úvod > Technologie Kernun > Kernun Web Access
Kernun Web Access
Chraňte svůj webový server, dokud je čas. Kromě detekce útoků se vyplácí včasná prevence proti nim. Implementujte politiku bezpečného a autentizovaného přístupu na váš web pomocí Kernun Web Access.
Kernun Web Access je bezpečnostní appliance určená pro ochranu webových serverů. Stojí před serverem a zachycuje útoky hackerů dříve, než dosáhnou samotného serveru. Přidává navíc možnosti vizualizace návštěvnosti webu a volitelně modul pro load balancing – rozklad zátěže.
Ochrana proti DoS útokům
Kromě porovnávání komunikace se sadou vzorků známých útoků a její normalizace jsou k dispozici i nástroje na základní obranu proti útokům typu Denial-of-Service (DoS). Útočník se snaží zahltit server obrovským množstvím požadavků, které jsou samostatně zcela legitimní. Kernun Web Access uplatňuje sofistikovaný algoritmus pro řízení počtu spojení a jejich nárůstu od jednotlivých klientů, a brání tím některým druhům DoS útoků.
Podrobné záznamy
Kromě bezpečnostní funkce je zajímavou vlastností Kernun Web Access to, že velmi pečlivě zaznamenává veškerou komunikaci mezi klienty a serverem. Ve spojení s produktem Kernun Reporter dostává správce serveru velmi přehledné informace o návštěvnosti serveru, charakteristice a rozložení jeho návštěvníků a další statistické výstupy. Rozhraní technologie Kernun Reporter slouží i pro detailní analýzu a data mining.
Proč je Kernun Web Access výhodný?
- Bezpečné připojení webu k Internetu
- Detekce útoků a prevence proti nim
- Bezpečnostní politika autentizovaného přístupu na webové stránky
- Prostředky silné kryptografie
- Kontrola webového provozu
Autentizace a certifikáty
Kernun Web Access slouží k ochraně webového serveru před útoky vedenými prostřednictvím protokolu HTTP, určeného pro přenos webových stránek a aplikací. Technologie na jedné straně detekuje pokusy o známé útoky typu SQL injection, PHP injection a dalších druhů, na druhé straně normalizuje komunikaci mezi prohlížečem a serverem a filtruje nestandardní či nekorektní dotazy.
Webové servery, které nepodporují šifrování protokolem TLS, je možné také ochránit pomocí Kernun Web Access. Webový server samotný sice nadále odpovídá nešifrovaně, ale technologie Kernun Web Access přidává ke komunikaci šifrovanou bezpečnostní obálku. Pomocí Kernun Web Access lze implementovat politiku autentizovaného přístupu na webové stránky chráněného serveru omezeným skupinám uživatelů (autentizace certifikátem X.509, autentizačním předmětem nebo obyčejným heslem).
Standardní součásti
Aplikační proxy
K analýze přenášených dat a interpretaci jejich obsahu je použito velké množství aplikačních proxy. Nelze je zaměňovat např. s http-cache proxy, které slouží pouze jako vyrovnávací paměť, nikoliv jako bezpečnostní opatření. Aplikační proxy poskytuje vyšší úroveň zabezpečení než pouhá stavová kontrola IP datagramů, protože znemožňuje přímou komunikaci mezi komunikujícími stranami. Funguje jako prostředník – sestavuje nové a zaručené korektní spojení ve směru ke klientovi i serveru. Proxy „rozumí“ aplikačnímu protokolu a pokud ne, takové spojení nepropustí.
Stavová paketová inspekce
Pro řízení spojení lze použít prostředky stavové inspekce. Moderní a velmi pokročilý paketový filtr s možnostmi detekce vzdáleného operačního systému, řízení šířky pásma a ochrany proti DoS útokům poskytuje vysokou bezpečnost i propustnost. Mimo jiného nabízí i obousměrný překlad adres, normalizaci síťového provozu a logování komunikace.
VPN server
Ve většině organizací jsou virtuální privátní sítě nevyhnutelnou nutností. Ať už to jsou cestující uživatelé, kteří se potřebují dostat ke svému systému, nebo partneři, kteří potřebují přístup k obchodním aplikacím, všichni vyžadují nějaký způsob transparentního a bezpečného kanálu.
Kernun je velmi flexibilní v možnostech nastavení VPN. Podporované protokoly jsou IPsec/IKE, PPTP, L2TP a OpenVPN; poslední jmenovaný je vhodný jak pro připojení klienta k síti (point-to-multipoint), tak pro propojování sítí (point-to-point); možnosti jeho vlastností přesahují možnosti ostatních protokolů a přitom zůstává jednoduchý a otevřený. Typické nasazení zahrnuje využití X.509 certifikátů a moderní šifrovací metody pro zajištění autenticity, integrity a soukromí.
IPS/IDS
IPS/IDS modul kontroluje přenášená data a hledá v nich vzorky známých útoků. Databáze vzorků je v pravidelných intervalech aktualizována a doplňována o nejnovější typy útoků. V režimu IDS jsou útoky zaznamenány a je spuštěn alarm, zatímco v režimu IPS je komunikace s útočníkem ihned zablokována.
Volitelná rozšíření
Antivirus
Proxy určené pro přenos souborů – http-, ftp-, smtp-, pop3-, imap4-proxy – umožňují provádět antivirovou kontrolu přenášených dat. Podle nastavení je možné vyloučit z kontroly některé typy dokumentů (např. html či gif soubory) a podle výsledku antivirového programu zvolit specifický typ reakce jako skartování dokumentu, uschování do karantény, nahrazení nakaženého dokumentu jiným dokumentem. Kernun Net Access podporuje několik antivirových systémů a standardně je dodáván s antivirem Dr.Web.
High Availability Option
Rozšíření poskytuje záruku dostupnosti služeb tím, že produkt sestává ze dvou nebo více vzájemně se zálohujících hardwarových zařízení, tzv. hot stand-by cluster. Podporuje připojení k více internetovým providerům a rozložení zátěže linky mezi ně.
Svěřená správa
Umožňuje zákazníkovi plně se spolehnout na kvalifikovaný a garantovaný servis údržby softwaru (instalace oprav a nových verzí) a konfiguračních úprav. Sofistikovaná technologie Kernun eliminuje problém lidských zdrojů, tj. absenci informatika s odbornou znalostí bezpečnostní problematiky.
Svěřená správa zahrnuje:
- instalace oprav a nových verzí,
- provádění konfiguračních změn a jejich audit,
- konzultační služby týkající se problematiky zařízení ve svěřené správě a jeho nejbližšího okolí,
- monitorování dostupnosti zařízení, dostupnosti služeb, kondice zařízení, kapacity volných zdrojů systému,
- horkou linku
Typické nasazení
Kernun Web Access je umístěn v hostingovém centru, kde samotný webový server není přímo připojen k Internetu, ale s okolním světem komunikuje prostřednictvím zařízení Kernun Web Access. Toto zařízení kontroluje webový provoz, umožňuje administrátorovi přihlašování na webový server servisním kanálem (např. vzdálenou plochou nebo přes SSH) a zabezpečuje spojení pro plnění webových stránek apod.