ПО для комплексной защиты коммерческого web-сервиса
 

Имеется некий коммерческий web-сервис, которым пользуются внешние клиенты. Сервис реализован как сайт на базе IIS и неких других программных компонентов. Стоит задача - максимально защитить его как от внешних, так и от внутренних угроз, т.е. обеспечить его комплексную защиту. Был бы признателен за отзывы по использованию систем комплексной защиты с указанием конкретных наименований продуктов (критерии: качество защиты, удобство администрирования, гибкость настроек, масштабирование и т.д.). Например, Deep Security (Trend Micro), RealSecure Server Sensor (IBM), продукты от CheckPoint и т.д.

Как профессионал на данном рынке хочу заметить, что:
- выбор средствазащиты практически не важен, важно "подобрать костюмчик по фигуре";
- идеальных средств нет, поэтому выбор средства или их комплекса зависит от режимов работы самой Автоматизированной системы;
Поэтому без обследования давать рекомендации глупо. Это как лечится без диагностики.
- Главное в средстве это настройки. Настроенные профессионалом встроенные средства Windows гораздо надежнее просто вкряченной супер-пупер хрени;
(кстати сразу хочу сказать, что поддержки по средствам безопасности у вендоров в России тупо нет)

И самое главное: Если сама система сделана говео и не реализует большую часть требований по защите, навесными средствами вы ей не поможете - это зря потраченные деньги.

согласен. Плюс внешний рутер Cisco или софт-вариант на Freebsd/Openbsd. Это закроет доступ для 90% "хацкеров", но и это уже неплохо.
а вот тут я бы сто раз подумал... IIS не имеет безукоризненной репутации, и делать сервисы на его основе - это постоянный мониторинг, патчинг и прочие радости. И вообще, я бы такой сервер не то что в DMZ, вообще отдельным каналом подключил бы.

что вы имели в виду? :lol:.

Это решаемо. Это ошибки, так сказать, реализации индусами. И данные угрозы можно нейтрализовать при помощи реверсивных прокси серверов либо шлюзов доступа типа Checkpoint Connectra.
С другой стороны, о чем обычно не пишут, MS как среда единственная из доступных где поддерживается сквозная усиленная модель аутентификации на сертификатах.
Причем поддерживается давно, уже лет 10.
Развертывание OpenSource сервиса сертфикатов (PKI) корпоративного уровня это особо утонченное садо-мазо :)

оно самое. Но остаются еще рядовые сотрудники, которым ничего не стОит принести конягу на флешке, и по боку вся авторизация. Моё мнение - сервис не должен иметь связи с локальной сетью, либо только через vlan с рабочей машиной администратора. Это ограничит доступ (и как следствие, атаки) с локальных рабочих мест, и даст возможность сосредоточиться только на внешней безопасности. Snort + Unix отсекут еще процентов 60 атакующих ("скрипт-кидди"), а остальных всё равно придется ловить руками. Тут, я думаю, каждый сам выбирает оружие :)

Немного уточню ситуацию. Имеется web-сервис, работающий по ssl, доступ к компу закрыт Циской - оставлен только 443 и 80-порты. От требуемого ПО для защиты требуется, чтобы оно анализировало веб-трафик на предмет зловредов в нем, а также на предмет использования уязвимостей, в т.ч. атаки "нулевого" дня - виртуальный патчинг. Это ПО также должно контролировать целостность файлов приложения и системы (плюс реестр). В нем должна быть возможноть настройки правил для приложений, т.е. что на данном компе могут запускаться и обращаться по сети только явно разрешенные приложения. Плюс подробная журнализация и отображение статистики. Что-то типа такого.

"Кошерная" реализация требует идентичной процедуры входа и проверки для всех пользователей, в том числе и включая ЛВС. Иное дело, что для Инетовский она должна быть дополнительно усилена. Изоляция системы в отдельный сегмент - это азы, тут даже книжек читать не надо, достаточно все руководящие документы по ИТ безопасности пролистать.

Системы типа IDS, IPS хороши в донастроенном варианте, .т. е. когда настройщик знает точно нормальный режим работы системы и может описать аномалии.

Про SQL-инекции и тому подобные угрозы молчу, т. к. приличная система должна ВСЕГДА анализировать вводимые данные на валидность, вне зависимости от того защищенная она или нет.

я из таких знаю только Snort, но он не под винду.
поэтому только 60% "из коробки".
вроде, нет БД у человека :), а если и есть, то он не написал, какая.

Автоматический патчинг в больших системах отключают всегда, по малым опыта нет - не подскажу.
Анализировать уже зашифрованный трафик бесмысленно, нужно его распаковывать на реверсивном прокси, анализировать и запаковывать снова. Для рекомендации средства нужно знать модель работы пользователей: с аутентификацией или анонимная. По анонимной советов не даю ибо бесмысленно.
Фиксировать ситему удобно например Symantec Crytical System Protection (это полноценный HIPS), правда он больше ориентирован на группу серверов, т. к. требует отдельного сервера безопасности, что разумно. Хранить логи на защищаемой системе - глупо. Если ее взломают никто не мешает их потереть.

Это чень хорошо, но не конкретно. Любой HIPS ведет журналы, главное знать насколько обширные они нужны.

ЗА место Symantec Crytical System Protection, можно ставить Cisco Secure Agent, но к сожалению Cisco снимает его с производства.

Вроде, что-то новое обещали, работающее с новыми Advanced Security Appliances (или они настолько "умны", что дополнительный софт не нужен?)

СУБД - MS SQL 2005.
Примеры:
1. Deep Security (Trend Micro),
2. RealSecure Server Sensor (IBM)
С аутентификацией.

Для подобных проектов мы использовали:
- CheckPoint Connectra - средство аутентификации, шифрования, анализа трафика и даже проверки рабочей станции (в некоторых режимах)
- Систему фиксировали Symantec Crytical System Protection (шаблоны под IIS есть)
- Антивирусная защита Symantec EndPoint Protection.

Для серверов приложений еще нужно как-то контент анализировать и фиксировать, но тут нужно знать форму самого сайта:
- динамика
- статика
-скрипты
Java

в зависимости от него нужно выбирать средство. Наверное имеет смысл ориентироваться на рекомендации самой MS в плане защиты вашего контента IIS