Безопасность OpenEdge-приложений

СЕТЬ

Самый внешний уровень защиты – это сеть. Правильно настраивая сеть, системные и сетевые администраторы могут полностью управлять доступом к серверу, содержащему файлы и менеджера базы данных. Самый простой способ достичь этого – использовать Virtual Local Networks, или VLAN.

Сети VLAN позволяют администратору сети отделить сетевой трафик, предназначенный для сервера от всего другого сетевого трафика. Используя программное обеспечение систем сетевой защиты (firewall), например, Checkpoint, администратор может определить, какие компьютеры из каких других VLAN могут получить доступ к сетевым ресурсам VLAN с сервером базы данных. Например, сеть может быть настроена так, чтобы серверы базы данных находились в VLAN 10.10.10.x; все пользователи, относящиеся к финансам – в VLAN 10.10.20.x; а все сотрудники склада находятся в VLAN 10.10.30.x. С помощью firewall администратор может настроить так, чтобы рабочие станции из VLAN 10.10.20.x имели доступ к VLAN 10.10.10.x, и запретить доступ к рабочим станциям из VLAN 10.10.30.x. Отметьте, что это не исключает несанкционированное использование рабочей станции финансистов из VLAN 10.10.20.x. Если вице-президент по финансам уйдет домой вечером и оставит свою рабочую станцию разблокированной, то любой человек потенциально может получить доступ к финансовым данным всей компании!

Открытые сетевые порты также могут предоставить доступ потенциальному злоумышленнику для взлома базы данных. Обычные попытки подключения через программу _progres обрабатываются и защищены функциями безопасности OpenEdge. И наоборот – нельзя так легко управлять сетевым доступом непосредственно к серверу базы данных или к TCP/IP-порту брокера. Такое взломанное подключение, вероятно, не будет следовать стандартным протоколам установления связи и, таким образом, не обязательно будет разъединено. Нельзя быть полностью уверенным в том, что таким образом из базы данных может быть извлечена полезная информация, но это все еще остается вероятным. Всё, что необходимо, – это хакер с правильными инструментальными средствами и мотивацией попробовать выполнить взлом.

Кроме того, как уже отмечалось ранее, рабочие станции или сервера с полными Progress-лицензиями разработки не должны иметь возможности доступа к промышленным серверам баз данных. Самый простой способ достигнуть этого – снова использовать VLAN-сегрегацию. Если человек выполняет двойную роль (разработка и поддержка), то он может легко получить доступ к промышленным данным через отдельный компьютер или через удаленный рабочий стол (например, программное обеспечение Citrix), установленный на компьютере. Учитывая, что стоимость более-менее адекватной рабочей станции меньше тысячи долларов, то нет аргументов против установки двух рабочих станций для поддержки двух пользовательских ролей.

Решения

• Изолируйте и контролируйте доступ к серверам баз данных через VLAN-сети.
• Не позволяйте доступ к промышленным серверам рабочим станциям и серверам разработчиков.