Защита от хакеров коммерческого сайта

Райан Рассел, Марк Мерков, Робин Уолшоу,

Тери Бидвел, Майкл Кросс, Оливер Стойдлер, Кевин Цайсе 

Защита от хакеров 

коммерческого сайта

Ryan Russell
Mark S. Merkow
Robin Walshaw
Teri Bidwell
Michael Cross
Oliver Steudler
Kevin Ziese

The Only Way to Stop a Hacker is to 
Think Like One

ТМ

Your E-commerce Site
Your E-commerce Site

Райан Рассел
Марк Мерков
Робин Уолшоу

Тери Бидвел
Майкл Кросс

Оливер Стойдлер 

Кевин Цайсе 

Единственный способ остановить 
хакера – это думать, как он

Москва

Перевод с английского 
Алексея Груздева

коммерческого сайта
коммерческого сайта

Серия «Информационная безопасность»

Рассел Р. и др.
Защита от хакеров коммерческого сайта: Пер. с англ. – М.: Компания АйТи: 
ДМК Пресс: ТЕТРУ.  - 552 с.:  ил. (Серия Информационная безопасность).

ISBN 5-94074-201-7 (ДМК Пресс) – 5-94074-001-6 (ТЕТРУ)

УДК 004.056
ББК 32.973.202

Р24

Р24

ISBN 1-928994-27-X (англ.)
           Copyright © by Syngress Publishing, Inc.

© Перевод на русский язык. Компания АйТи

ISBN 5-94074-201-7 (ДМК Пресс)
           © Оформление. ДМК Пресс

ISBN 5-94074-001-6 (ТЕТРУ)
           © Издание. ТЕТРУ

Безопасность в виртуальном мире Internet – более запутанная вещь, чем безопас
ность в обычном ее понимании. Даже несмотря на то, что программное обеспечение 
постоянно модернизируется, специалисты утверждают: Глобальная сеть день ото дня 
становится все более опасной и непредсказуемой. 

«Единственный способ остановить хакера – это думать, как он» – основная идея 

книги. Вниманию читателей представлены пошаговые инструкции по обеспечению 
безопасности финансовых транзакций и реализации защищенного коммерческого 
сайта, специальные пояснения, а также подробное руководство по проверке сайта на 
ударопрочность.

В книге подробно рассмотрены методы регулирования и оценки защитных мер, 

составления бюджета проекта и контроля расходов на безопасность. Тем, кто собирается защищать уже работающий коммерческий сайт, безусловно, будет интересно 
узнать, как вести себя и каким образом повысить существующий уровень безопасности системы.

Издание представляет интерес для руководителей информационных служб пред
приятий и организаций, разработчиков систем электронной коммерции, специалистов 
вобласти информационной безопасности, а также студентов иаспирантов, обучающихся по соответствующим специальностям.

УДК
004.056

ББК
32.973.202

Original English language edition published by Syngress Publishing, Inc. Copyright © 2000–2002 by 

Syngress Publishing, Inc. All rights reserved.

Все права защищены. Любая часть этой книги не может быть воспроизведена в какой бы то 

ни было форме и какими бы то ни было средствами без письменного разрешения владельца 
авторских прав. 

Материал, изложенный в данной книге, многократно проверен. Но, поскольку вероятность 

технических ошибок все равно остается, издательство не может гарантировать абсолютную точность и правильность приводимых сведений. В связи с этим издательство не несет ответственности 
за возможный ущерб любого вида, связанный с применением содержащихся здесь сведений.

Все торговые знаки, упомянутые в настоящем издании, зарегистрированы. Случайное непра
вильное использование или пропуск торгового знака или названия его законного владельца не 
должно рассматриваться как нарушение прав собственности.

Содержание

Предисловие 
19

Глава 1. Электронная коммерция 
и принципы информационной 
безопасности 
21

Введение 
22

Безопасность как фундамент системы 
23

Конфиденциальность 
23

Целостность 
24

Доступность 
24

Безопасность – не просто звучное слово  
26

Цели безопасности 
в системах электронной коммерции 
28

Разрабатывая систему, 
думайте о безопасности 
29

Обеспечение безопасности 
на стадии разработки системы  
31

Воплощение решений безопасности 
33

Управление информационными системами 
в защищенном режиме 
34

Защита систем, 
находящихся в эксплуатации  
38

Все начинается с риска 
39

Внесение изменений в систему 
41

Регулирование расходов 
на безопасность 
44

Метод эталона 
45

Метод оказания давления 
49

Ограничивающие свойства защиты 
52

Способствующие свойства защиты 
53

Резюме 
55

Понятие целей 
безопасности 
в контексте 
коммерческой 
деятельности

 Защита конфиденциальной 

информации клиента 

 
в момент совершения покупки.

 Защита клиентской инфор
мации во время хранения 
и обработки.

 Обеспечение безопасности 

покупателей, поставщиков 
и персонала организации.

 Предотвращение мошен
ничества, организационная 
защита от злоупотреблений 
и излишних расходов.

 Защита информационных 

активов от несанкционированного доступа и раскрытия третьим лицам.

 Сохранение целостности 

информационных активов 
предприятия.

 Обеспечение доступности 

систем и процессов, необходимых в работе с клиентами и партнерами.

Защита от хакеров коммерческого сайта


Конспекты 
56

Часто задаваемые вопросы 
59

Глава 2. Распределенная атака 
«отказ в обслуживании». 
Цели, средства нападения 
и методы защиты 
1

Введение 
62

Что такое распределенная атака 
63

Все начинается с DoS 
63

Анатомия распределенной атаки 
«отказ в обслуживании» 
73

Атаки февраля 2000 года 
76

DDoS и сайты электронной коммерции 
79

Проблемы роста 
80

Проблемы СМИ 
80

Хакер и мотивы, приводящие к взлому коммерческих систем 
81

Этика взлома или путаница 
в терминологии? 
81

Хактивизм 
83

Пятнадцать минут славы 
83

Нет ничего страшнее униженного хакера 
84

Деньги 
84

Злой умысел 
85

Средства осуществления DDoS-атаки 
85

Trinoo 
86

Портативный монстр TFN2K 
88

Stacheldraht 
90

Другие разновидности DDoS-систем 
95

Защита сайта 
от распределенного нападения 
95

Основные методы защиты 
97

Резюме 
111

Конспекты 
112

Часто задаваемые вопросы 
117

Разделы «Безопасный 
совет» содержат 
дополнительные 
данные о способах 
снижения 
информационных 
рисков

Безопасный 
совет: Управление 
конфигурациями

Изменение конфигурации 
ключевых устройств, таких как 
маршрутизатор или сервер, 
может кардинальным образом отразиться на степени, 
в которой ваш сайт подвержен угрозе DoS-нападения. 
Таблицы маршрутизации, 
реестры, конфигурационные 
базы данных и conf-файлы – 
вот неполный список рычагов 
изменения параметров системы и ее окружения. Стоит 
ли говорить о том, что все 
устройства, подключающиеся 
к Internet, должны тщательным образом контролироваться на предмет изменения 
их параметров. Кроме того, 
администратор всегда должен 
иметь под рукой резервные 
копии безопасных и проверенных на практике конфигураций.

Содержание


Глава 3. Разработка 
защищенного Web-сайта 
119

Введение 
120

Выбор Web-сервера 
120

Web-сервер или Web-сервис 
121

Поддерживаемые платформы и цены 
122

Сравнение защитных свойств Web-серверов 
124

Основы разработки 
защищенного сайта 
136

Создание плана безопасности 
136

Внедрение слоя безопасности, 
закрывающего Web-сервер 
139

Apache или Internet Information Services 
141

Установка сервера 
143

Повышение надежности сервера 
156

Укрепление всей системы 
158

Вскрытие и аудит паролей 
160

Проблемы разработки, связанные с HTML 
163

Введение в Java, JavaScript и ActiveX 
167

Проблемы, связанные с применением Java, 
JavaScript и ActiveX 
167

Предупреждение атак с использованием Java, 
JavaScript и ActiveX 
169

Программирование 
защищенных скриптов 
171

Программные подписи: проблема 
или решение 
173

Коротко о программных подписях 
174

Аутсорсинг работ по созданию сайта 
176

Определение необходимых знаний 
177

Достоинства и недостатки аутсорсинга 
178

Проверьте выполненную работу перед тем, 
как ввести сайт в эксплуатацию 
180

Резюме 
182

Конспекты 
182

Часто задаваемые вопросы 
186

Ошибки HTMLпрограммирования

В HTML-формах могут использоваться скрытые метки, 
содержащие название и 
значение параметра. После 
заполнения формы эти данные 
передаются программе-обработчику. К примеру, следующая строчка обозначает параметр «цена» величиной $100:

<input type=hidden 
name=”cost” 
value=”100.00”>

Хакер, используя простой текстовый редактор, может заменить это значение, скажем, 
на $1. Это позволит ему купить 
товар гораздо дешевле.

Защита от хакеров коммерческого сайта


Глава 4. Разработка 
и внедрение политики сетевой безопасности 
19

Введение 
190

Зачем нужна политика безопасности 
190

Что такое политика сетевой безопасности 
191

Из чего состоит политика безопасности 
197

Политика конфиденциальности 
и приватности 
198

Политика целостности информации 
206

Политика гарантии качества 
207

Политика доступности 
210

Можно ли найти в сети 
готовую политику безопасности? 
211

Разные организации – разные политики безопасности 
212

Примеры и структура 
политики безопасности 
212

Несколько слов о привлечении 
специалистов со стороны 
213

Использование политики безопасности 
в реализации технических решений 
214

Как ознакомить клиентов 
с политикой безопасности 
216

Получение доверия путем огласки данных 
217

Резюме 
219

Конспекты 
219

Часто задаваемые вопросы 
222

Глава 5. Реализация защищенного 
сайта электронной коммерции 
225

Введение 
226

Компоненты коммерческого сайта 
226

Создание зон безопасности 
227

Зоны демилитаризации 
229

Дополнительные потребности – 
новые зоны безопасности 
231

Многозональные сети 

Исследование

Возникшая
проблема

"Каркас"

нового правила
Отзывы

специалистов

Определение

заинтересованных

сторон

Пересмотр
политики
Проведение

семинара

Окончательный

вариант черновой

политики

Утверждение
руководством

Публикация

Юридическое
обоснование

Обучение
персонала

Редакция
чернового
варианта
политики

Предлагаемый

вариант
политики

Создание политики 
сетевой безопасности

Содержание
9

и связанные с ними трудности 
233

Межсетевое экранирование 
234

Возможности систем 
межсетевого экранирования 
235

Создание набора фильтрующих правил 
236

Размещение сетевых компонентов 
240

Профилирование систем по критерию риска 240
Определение требований 
к управлению рисками 
241

Создание зон безопасности на основе предъявляемых требований 
242

Системы обнаружения вторжения 
242

Что такое «обнаружение вторжения» 
244

Выбор системы IDS 
244

Пример сетевой IDS 
249

Пример локальной IDS 
250

Управление и контроль 
251

Управленческие задачи, 
решаемые администратором 
252

Что должен контролировать администратор  253

Зачем нужны аутсорсинг-партнеры 
256

Достоинства и недостатки аутсорсинга 
257

Использование мощностей 
выделенных подстанций 
257

Выбор аутсорсинг-партнера 
258

Резюме 
259

Конспекты 
259

Часто задаваемые вопросы 
264

Глава . Защита 
финансовых операций 
25

Введение 
266

Принцип и системы оплаты 
через Internet 
267

Кредитные, расходные или дебетные карты  
267

Процесс оплаты на пункте продажи  
269

Особенности обработки расходных карт 
270

Обработка и окончательный расчет 
271

Глава 5 отвечает на 
вопросы, которые 
могут возникнуть 
при разработке 
защищенного сайта 

Вопрос: Как определить 
нужное количество информации, заносимой в протоколы 
событий?
Ответ: Протоколируйте то, 
что помогает принимать решения. Если возникают проблемы с выявлением нужной 
информации, постарайтесь 
сократить количество протоколируемых событий или 
используйте автоматизированные средства анализа. Как 
правило, если вы не имеете 
четкого представления 
о поведении систем и пользователей, то в протокол заносится данных меньше, чем 
того требует безопасность.

Защита от хакеров коммерческого сайта
10

Стадии процесса оплаты через Internet 
272

Осторожно, опасная информация! 
276

Подходы к решению проблем оплаты 
через Internet 
277

Варианты и выбор способа 
коммерческой оплаты 
278

Провайдеры коммерческого сервера 
279

Использование собственных ресурсов 
280

Обеспечение надежности 
процесса оплаты 
282

Дополнительные средства 
управления сервером 
285

Управление на прикладном уровне  
286

Понятие криптографии 
286

Методология 
287

Роль ключей в криптосистемах 
290

Принципы криптографии 
292

Цифровые сертификаты 
296

Криптография 
в электронной коммерции 
299

Функции хэширования 
299

Блочные шифры 
300

Системы, реализующие PPK-криптографию 
300

Протокол SSL 
301

Протокол защищенных 
транспортных уровней  
302

Система PGP 
304

S/MIME 
305

Протокол защищенных 
электронных транзакций  
305

Цифровые подписи на языке XML 
307

Реализация виртуального POS 
309

Программа ICVERIFY 
310

Альтернативные системы оплаты 
312

Разработки на основе использования 
смарт-карт 
312

Системы proxy-обслуживания 
316

 Забавные деньги 
317

Обзор торговых POSтерминалов

Перечислим некоторые возможности ICVERIFY:

 Импортирование транзак
ций из других приложений 
(электронные таблицы 
и базы данных).

 Группировка транзакций 

для единовременной авторизации.

 Поддержка систем адрес
ной проверки (AVS), розничной AVS, CVV2 
и CVC2 для уменьшения 
угроз, связанных с подделками и кражами пластиковых карт.

Анализ данных и предотвращение ошибок на этапе 
импортирования транзакционной информации.

Содержание
11

Резюме 
319

Конспекты 
320

Часто задаваемые вопросы 
325

Глава . Взлом собственного сайта 
32

Введение 
328

Различные виды атак 
328

Отказ в обслуживании 
328

Утечка информации 
330

Получение доступа к файловой системе 
331

Дезинформация 
332

Получение доступа к служебным файлам 
333

Расширение привилегий 
334

Планирование риска 
335

Определение количества 
вложенных средств 
336

Каким образом хакеры могут 
угрожать сайту и как обнаружить угрозу  
337

Выявление уязвимостей сайта 
340

Основы техники проведения аудита 
341

Изучение уязвимостей системы 
344

Использование средств 
автоматического сканирования 
352

Наем команды аудиторов 
357

Резюме 
360

Конспекты 
361

Часто задаваемые вопросы 
365

Глава . Чрезвычайное 
планирование 
3

Введение 
368

Что такое чрезвычайное планирование 
368

Структура чрезвычайного плана 
370

Чрезвычайный план и соответствие 
стандартам качества 
377

Обеспечение резервного копирования 
и восстановления данных 
378

Разделы «Безопасный 
совет» или 
«Инструментарий» 
предоставляют 
дополнительную 
информацию

Инструментарий: 
Использование 
Honeypot для измерения 
потенциальной угрозы

В контексте информационной 
безопасности «горшком меда» 
(honeypot) или «ловушкой» 
принято называть систему, 
созданную для взлома. Установка такой системы в вашей 
сети позволит изучить тактику 
взломщиков 
и, возможно, узнать несколько новых видов атак. Хорошо, если злоумышленник 
не подозревает, что залез в 
«горшок с медом». Он должен 
вести себя естественно, как 
в случае проникновения 
в обычную систему без специального мониторинга. В 
рамках концепции Honeypot 
такой мониторинг подразумевает детальное протоколирование всех действий нападающего. Причем функцию 
слежения может выполнять 
как сам узел-ловушка, так и 
любая другая машина 
в сети. Главное, что эффективность «горшка меда» всегда зависит от количества 
и качества собранной информации.

Защита от хакеров коммерческого сайта
12

Необходимость сверки резервной копии 
с оригиналом 
379

Защита резервных копий 
конфиденциальной информации 
383

Планирование действий 
при отказе оборудования 
или прекращении обслуживания 
388

Проблема отказа ключевого элемента 
388

Как защититься 
от стихийных бедствий 
394

«Горячие» сайты: альтернативный путь 
к спасению 
395

Как выбрать «горячий» сайт 
395

Тестирование «горячего» сайта 
396

Страхование рисков 
электронной коммерции 
397

Страхование 
профессиональной ответственности 
398

Страхование 
интеллектуальной собственности 
399

Защита собственности и доходов 
400

Выбор страхования 
401

Страхование, которое может 
и не понадобиться 
404

Резюме 
406

Конспекты 
407

Часто задаваемые вопросы 
411

Глава 9. Поддержка больших 
объемов сетевого трафика 
413

Введение 
414

Что делать, если популярность сайта 
превзошла все ожидания 
414

Определение загрузки сайта 
415

Повышение производительности 
Web-сервера 
424

Управление пропускной способностью 
428

Аспекты безопасности 
в применении 
распределителей 
нагрузки

Заметьте, что в списке недостатков были упомянуты 
проблемы безопасности. На 
самом деле распределители 
вряд ли способны увеличить 
риски, связанные с безопасностью системы, тем более 
что можно расширить функциональность этих устройств 
до функциональности простейшего межсетевого экрана. 
Однако давайте посмотрим, 
какие именно проблемы могут возникнуть.
Нетрудно себе представить, 
что некоторые распределители уязвимы с точки зрения 
защиты. Здесь возможны атаки на предоставляемый интерфейс управления устройством или на адрес устройства. 
Как и любая дополнительная 
подсистема, распределитель 
предоставляет взломщику 
возможности для совершения 
атаки на другие компоненты 
системы. Если злоумышленник получит административные права доступа к распределителю, он, 
к примеру, сможет осуществить «виртуальный подлог», 
перенаправив ваш трафик на 
другие серверы.

Содержание
13

Заключение договора с провайдером 
429

Когда скорости не хватает 
432

Растут потребности – увеличиваются 
скорости 
433

Распределение нагрузки 
435

Что подразумевается 
под распределением нагрузки 
435

Преимущества и недостатки использования распределителя нагрузки 
440

Аспекты безопасности в применении распределителей нагрузки 
440

Резюме 
443

Конспекты 
444

Часто задаваемые вопросы 
447

Глава 10. Чрезвычайное 
реагирование, сетевая 
криминалистика и закон 
449

Введение 
450

Зачем нужна политика 
чрезвычайного реагирования 
450

Решайте сами – паниковать 
или сохранять спокойствие 
450

Чего делать не стоит 
451

Хорошая политика окупается сторицей 
452

Краткое резюме политики 
чрезвычайного реагирования 
457

Создание команды 
чрезвычайного реагирования 
458

Определение рамок преследования 
460

Хакеры, переступившие черту 
460

Понятие цепи доступа 
462

Процесс чрезвычайного реагирования 
463

Введение в сетевую криминалистику 
464

Отслеживание инцидентов 
470

Ресурсы 
472

Юридические документы 
472

Составление цепи 
доступа

 Кто имел доступ к улике?
 Где находилась улика?
 Какие меры безопасности 

применялись в месте хранения улики?

 Какие доказательства есть 

на данный момент?

Защита от хакеров коммерческого сайта
14

Резервное копирование/сетевая 
криминалистика  
473

Системы отслеживания инцидентов 
474

Разное 
474

Резюме 
475

Конспекты 
476

Часто задаваемые вопросы 
479

Приложение А. Методы доставки информации, предлагаемые 
компанией Cisco 
41

Введение 
482

Модернизация защиты 
с использованием Cisco LocalDirector 
482

Технология LocalDirector 
483

Краткое описание продукта LocalDirector 
483

LocalDirector: опции повышения 
безопасности системы 
484

Cisco DistributedDirector и системы географически разрозненных серверов 
489

Краткое описание продукта 
DistributedDirector 
490

Механизмы обеспечения безопасности 
490

Информационные коммутаторы Cisco 
494

Технология информационной коммутации 
494

Краткое описание продукта 
495

Информационные коммутаторы: опции повышения безопасности системы 
496

Резюме 
501

Часто задаваемые вопросы 
501

Приложение В. Защита от хакеров коммерческого сайта. Конспекты 
503

Предметный указатель 
541

Благодарности

Мы хотели бы выразить признательность всем, кто оказал любезность и помог в написании этой книги.

Ричарду Кристофу и Дункану Андерсону из Global Knowledge – за лучшие 

семинары и за великолепных инструкторов.

Ральфу Троупу и Ронде Сант-Джон, а также команде Callisma – за неоце
нимые знания в разработке, установке и поддержке корпоративных сетей 
мирового класса.

Карену Кроссу, Ларсу Тилфолду, Мигану Гуннингему, Киму Вайли, Гари 

Кичеру, Биллу Рихтеру, Кевину Воутелу и Брайтону Кларку из Publishers 
Group West – за высококлассный маркетинговый опыт.

Мэри Гинг, Каролине Гирд, Симоне Бил, Каролине Уилер, Виктории Фул
лер, Джонатану Банкелю и Клаусу Бирану из Harcourt International – за поддержку в нелегком деле. В попытке объять необъятное и ничего при этом 
не забыть.

Аннеке Бэйтон, Аннабели Дент и Лори Гайлс из Harcourt Australia – за все 

то, что они для нас сделали.

Дэвиду Бакланду, Венди Вангу, Даниэлю Ло, Марии Ченг, Люси Чонг, 

Лесли Лим, Одри Ган и Джозефу Чан из Transquest Publishers – за энтузиазм, 
с которым они вырывали книги из наших рук.

Квон Санг Юнь из Acon Publishing – за поддержку.
Этану Аткину из Cranbury International – за помощь в продвижении про
граммы Syngress.

Джо Писко, Хелене Мойер и всем сотрудникам InterCity Press – за по
мощь.

Соавторы

Райан Рассел (Ryan Russell, CCNA, CCNP), автор бестселлера «Hack Proofing 
Your Network: Internet Tradecraft» (ISBN 1-928994-15-6), управляет SecurityFocus.com, является экспертом по проблемам безопасности и проводил внутреннее расследование для одного из крупнейших производителей ПО. Райан 
работает в области информационных технологий более 11 лет, шесть из 
которых он посвятил безопасности. В течение нескольких лет он был 
активным участником различных форумов по безопасности, таких как 
BugTraq. Райан – соавтор четырех книг по сетевым технологиям издательства Syngress, бакалавр компьютерных наук. Особую благодарность выражает 
Карен Мэтью из Энергетического департамента Соединенных Штатов за 
помощь в подготовке материалов для главы 10.

Марк Мерков (Mark S. Merkow, CCP) – с 1975 года профессионал в области 

информационных систем. Работал в разных отраслях, в течение последних 
12 лет – в финансовой службе. Марк магистр Школы бизнеса и Педагогической школы при университете Аризоны, где он специализируется в разработке курсов дистанционного обучения. В настоящее время он консультант по 
безопасности и сотрудничает с собственными и внештатными Web-дизайнерами и программистами. Марк является соавтором шести книг по компьютерным технологиям: «Breaking through Technical Jargon», «Building SET 
Applications for Secure Transactions», «Thin clients Clearly Explained», «Virtual 
Private Networks For Dummies», «A complete Guide to Internet Security», и 
«The ePrivacy Imperative». Кроме того, он ведет компьютерные колонки в 
нескольких местных, национальных и международных изданиях, а также 
в электронном журнале на сайте Internet.com.

Робин Уолшоу (Robin Walshaw, MCSE, DPM), автор книги «Mission Critical 

Windows 2000 Server Administration» (ISBN 1-928994-16-4). Независимый 
консультант, архитектор информационных систем для больших компаний. Сплав своих технических способностей и делового чутья он использует в создании масштабируемых решений на базе высоких бизнес-технологий. За последние 10 лет его знания понадобились в 30 различных странах.

Тери Бидвел (Teri Bidwell, GCIA) вот уже 10 лет вовлечена в сферу Inter
net-безопасности. Она сертифицированный аналитик SANS в вопросах 
информационного вторжения, инженер и администратор. На профессиональном поприще начинала с защиты UNIX-сетей в университете Колорадо, 
затем в качестве сетевого инженера компании Cisco и администратора DNS 

1

в Sybase, Inc. Сегодня Тери работает аналитиком по безопасности в фирме, 
расположенной в городе Рестон, штат Виржиния. Она ведущий специалист 
в вопросах корпоративной стратегии безопасности и консультант-разработчик систем электронной коммерции. Специализируется в разработке 
политик безопасности, оценке уязвимостей, проведении тестов на проникновение и обнаружение вторжений.

Тери получила диплом компьютерных наук в университете Колорадо и со
стоит в консультационном совете SANS GCIA. Сейчас она живет и работает 
в городе Боулдер, штат Колорадо.

Майкл Кросс (Michael Cross, MCSE, MCP+I, CNA), сетевой администра
тор, специалист в области Internet-технологий и программист Ниагарского 
регионального управления полиции. Отвечает за безопасность и администрирование сети, а также является Web-мастером сайта www.nrps.com. Майкл 
участвовал в расследовании компьютерных и Internet-преступлений. Кроме 
того, он член IT-команды специалистов, поддерживающих систему для более 
чем 800 пользователей.

Майкл владеет компанией KnightWare, специализирующейся на разно
образных программистских и сетевых задачах. Он работал преподавателем 
в частных колледжах Онтарио, а на протяжении последних нескольких лет 
опубликовал более двух десятков книг. Сейчас Майкл обосновался в СантКатарин, Онтарио.

Оливер Стойдлер (Oliver Steudler, CCNP, CCDP, CSE, CNE), главный ин
женер компании iFusion Networks (Кейптаун, Южная Африка). Специализируется в области сетевой маршрутизации, коммутации и безопасности. 
Имеет десятилетний опыт консалтинга, проектирования и разработки сложных сетей. Опубликовал работы, касающиеся TCP/IP, сетей, безопасности 
и передачи данных, соавтор книги «Managing Cisco Network Security» (ISBN 
1-928994-17-2).

Кевин Цайсе (Kevin Ziese). Штатный научный работник в компании Cisco. 

До этой должности был известен как старший научный сотрудник и основатель Wheelgroup Corporation – компании, которую в 1998 году приобрела 
Cisco. До Wheelgroup Кевин был начальником группы немедленного реагирования в информационном центре военно-воздушных сил США.

Соавторы

Технический редактор 
и соавтор

Брент Гастон (L. Brent Huston) в 1994 получил научную степень прикладных 
наук по электронике в техническом институте DeVry, штат Огайо. Имеет десятилетний опыт работы в сфере информационных технологий, преимущественно в областях аудита безопасности, сетевого мониторинга, сканирования, экранирования, вирусов и хакерских методов. Как президент 
собственной компании, Microsolved, Inc., участвовал в информационном 
аудите и консалтинге крупных компаний и разнообразных государственных 
учреждений. Брент отлично ориентируется в современных приложениях 
информационной безопасности. Он самостоятельно спроектировал систему обнаружения вторжения. В свое время ему пришлось выявить несколько 
неизвестных уязвимостей в системах маршрутизации Ascom, а также в ОС 
Windows NT и Linux.

Не так давно Брент принял участие в лабораторных испытаниях устройств 

сетевого экранирования, которые проводились на территории его компании 
в Огайо. Тесты были призваны показать достоинства и уязвимости различных экранов. Результаты испытаний Брент передал компаниям-производителям и организовал специальную отраслевую презентацию. Кроме всего 
прочего, Брент Гасон занят в управлении Office of Independent Oversight and 
Performance Assurance (город Колумбия, штат Огайо). Он был ответственным 
за проектирование и создание высокотехнологичной лаборатории аудита 
информационной безопасности. Опыт создания этой лаборатории впоследствии был заимствован министерством энергетики. Брент имеет следующие 
сертификаты: Internet Security Systems Certified Engineer, Sidewinder Firewall 
Certified Administrator, IBM Secure Network Gateway Certified Administrator, 
Phoenix Firewall Certified Administrator.

Предисловие

Настоящее издание было написано в ответ на пожелания читателей нашей 
предыдущей книги «Hack Proofing Your Network: Internet Tradecraft». Мы 
получили множество вопросов, касающихся особенностей защиты сайтов 
электронной коммерции, сайтов, которые особенно подвержены риску нападения со стороны хакеров, и надеемся, что эта книга ответит на все специфические вопросы, не затронутые в предыдущем издании. Если ваша организация вовлечена в электронный бизнес, то эта книга бесценна, потому что 
обеспечение безопасности становится все более актуальной задачей. А если 
вы специалист по безопасности, то, скорее всего, это издание вам понадобится в качестве руководства при решении проблем, связанных с политикой 
безопасности или обеспечением защиты электронных транзакций. 

Практикующие специалисты сталкиваются с двумя видами сетей – кото
рые еще не были взломаны и которые уже подверглись нападению. Наша 
цель, как авторов этой книги, обеспечить вас всем необходимым для того, 
чтобы вашу сеть нельзя было отнести ко второму виду. Исходя из такой 
предпосылки, книга получилась сугубо практической. Более того, мы отлично понимаем, что «правильные» вещи (вроде исследовательских лабораторий) по карману далеко не всем компаниям, поэтому предлагаем 
прежде всего доступные и вместе с тем эффективные методы обнаружения 
и предупреждения атак.

Благодаря практической направленности в этой книге раскрываются 

вопросы выравнивания сетевой нагрузки, чрезвычайного планирования и 
повышения производительности систем. Кроме того, мы постарались избежать широко распространенных рекомендаций, в основе которых лежит 
пресловутый «черный ящик».

Эта книга придерживается концепции многих других изданий издательс
тва Syngress: она не только рассказывает о том, как сделать, но и объясняет, 
почему можно сделать именно так. Такой подход особенно важен в области 

Защита от хакеров коммерческого сайта
20

информационной безопасности, где на фоне бурного развития технологий 
всегда есть выбор между несколькими, иногда противоречащими друг другу, решениями. Способов построить коммерческий сайт не меньше, чем 
самих коммерческих сайтов. Предугадать универсальную конфигурацию, 
способную удовлетворить каждого читателя, вообще не представляется возможным. Мы лишь даем вам материал, который заставит вас подумать и 
принять правильное решение. 

Мы искренне надеемся, что вам понравится эта книга. Читая ее, вы за
метите, что Syngress предлагает задавать вопросы авторам в разделе Ask the 
Author на сайте www.syngress.com/solutions. Мы с нетерпением ждем отзывов 
и пожеланий.

Райан Рассел (Ryan Russell), CCNA, CCNP