Компоненты IIS устанавливаются при инсталляции IIS, или позднее, с помощью мастера установки и удаления программ, имеющегося в панели управления Windows. Отметьте компонент Internet Information Services, нажмите на кнопку Details (Детали) и выберите любые дополнительные службы IIS, которые необходимо установить (см. рисунок ниже).

Совет. При установке сервера IIS инсталлируйте только те компоненты, которые обеспечивают работу нужных служб.

Каждая устанавливаемая служба представляет собой потенциальную точку входа на сервер, так как она обрабатывает запросы клиентов. Чем больше служб работает на сервере, тем больше точек входа доступно для реализации атак. Назначение веб-сайта и соответствующая ему политика безопасности определяют, какие дополнительные службы должны быть установлены и включены. Не следует устанавливать или включать ненужные службы. Сетевая политика доступа к службам определяет, какие службы IIS и при каких обстоятельствах разрешены и запрещены. В лекции 3 рассказывалось о минимальном наборе служб, необходимом для работы IIS. Единственными необходимыми службами IIS являются службы World Wide Web (WWW) Publishing Service и IIS Admin Service.

Все разделы, используемые IIS-службами, должны иметь файловую систему NTFS для контроля доступа и использования защиты NTFS. Располагайте содержимое каждой поддерживаемой службы (WWW или FTP) в отдельном разделе либо, что предпочтительнее, на отдельном томе. Убедитесь, что сервер имеет ресурсы, необходимые для поддержки дополнительных служб с использованием настроек безопасности, так как их работа отрицательно скажется на общей производительности системы. Далее вы увидите, что некоторые конфигурации безопасности используют значительную долю ресурсов. Давайте начнем со службы протокола FTP (протокол передачи файлов).

Служба FTP – протокол передачи файлов

FTP представляет самый простой способ обмена файлами между удаленными компьютерами и используется для загрузки или отгрузки файлов на другой компьютер. Это стандартный протокол интернета, оптимизированный для передачи данных через сети TCP/IP. Для надежной передачи данных FTP устанавливает соединение клиент/сервер с использованием двух портов TCP на компьютере-клиенте и сервере. Первый порт называется FTР Control и обеспечивает начало сеанса и контроль ошибок; второй порт называется FTP Data и обеспечивает непосредственную передачу данных между клиентом и сервером. Служба FTP использует хорошо известный порт 21 для операций контроля и порт 20 для передачи данных. Клиентские порты TCP присваиваются динамически при создании сеанса.

"Хорошо известные" номера портов зарезервированы организацией ICANN (Internet Corporation for Assigned Names and Numbers) для использования конечными точками приложения, которые устанавливают связь через протоколы TCP или UDP. Каждый тип приложения имеет свой собственный и, следовательно, "хорошо известный" номер порта. Когда приложение на одном клиенте устанавливает соединение с другим клиентом, оно указывает на конкретное приложение посредством номера порта. Известные порты лежат в диапазоне от 0 до 1023, зарегистрированные порты – с 1024 по 49 151, а оставшиеся порты, вплоть до 65 535, используются в качестве динамических или частных портов. Вы можете сменить номер порта, используемый любой службой IIS, включая SMTP и NNTP. Это делается из соображений безопасности в небольшой частной сети; однако большинство хакеров используют сканеры портов для нахождения открытых портов.

Служба FTP позволяет пользователям загружать с сайта файлы, например, руководства по использованию товаров, сотрудникам отдела продаж работать с заказами или отчетами, находясь в отъезде или в пути. Однако за эти возможности можно заплатить немалую цену. Протокол FTP осуществляет передачу всех данных, включая имена пользователей и пароли, через сеть в открытом виде, что открывает доступ к локальной файловой системе любому пользователю в сети, если не обеспечена должная защита (право на локальный вход требуется каждому пользователю, подключающемуся к FTP-серверу).

Совет. При смене значения контрольного порта FTP вы скроете свой сервер от большинства клиентов FTP в интернете. В этом случае сообщите новый номер порта только тем пользователям, которым предоставляется доступ к FTP-службе, например: ftp://www.ваш_сервер.com:1025.

Обеспечение безопасности сайта

FTP-серверы управляются и настраиваются (как и IIS) с помощью программы Internet Services Manager (ISM), осуществляющей контроль над отдельными FTP-сайтами. Службой FTP можно управлять с помощью консоли Services Management Console или команды Net (см. раздел "Запуск и остановка служб").

Параметры FTP-сайта можно настраивать на трех уровнях: главном, уровне сайта и уровне виртуального каталога. Параметры на главном уровне и уровне сайта наследуются всеми новыми FTP-сайтами. Откройте список Master Properties (Главные свойства) (см. рис. 10.1), щелкнув правой кнопкой мыши на узле веб-сервера в диспетчере Internet Services Manager.

Отдельные параметры, настроенные на уровне конкретного сайта и виртуального каталога, будут игнорировать родительские параметры. Можно создать на сервере несколько FTP-сайтов, чтобы FTP-сервер не выглядел единственным сервером.

Ограничение полосы пропускания, настраиваемое в окне Internet Server Properties (Свойства сервера интернета), применяется ко всем службам интернета, работающим на сервере IIS; однако, в отличие от веб-сайтов, невозможно управлять этим ограничением для отдельного FTP-сайта. Если сервер IIS использует то же интернет-подключение, что и внутренние пользователи, примените параметр Maximum Network Use (Максимальное использование сети), чтобы запретить использование интернет-соединения службами FTP и Web в случаях повышенной активности или атаки на отказ в обслуживании. Выберите параметр Enable Bandwidth Throttling (Включить ограничение полосы пропускания) и введите максимальное число килобайт в секунду, доступное серверу IIS (см. рис. 10.1).

Мы рассмотрим каждый из параметров службы, влияющий на уровень защищенности сервера. Среди этих параметров выделяются параметры производительности, предотвращающие атаки на отказ в обслуживании. Для корректной настройки всех создаваемых FTP-сайтов необходимо сконфигурировать главные свойства FTP сервера интернета. Щелкните правой кнопкой мыши на объекте в диспетчере ISM и в появившемся меню выберите Properties (Свойства). После этого в ниспадающем списке Master Properties (Главные свойства) выберите FTP Service (Служба FTP) и нажмите на кнопку Edit (Изменить), чтобы открыть окно FTP Service Master Properties (Главные свойства службы FTP) (см. рис. 10.2).

Ограничение подключений

Если служба FTP предназначена для нескольких отдельных клиентов или сотрудников, на сервере не нужна поддержка множества единовременных подключений, так как это упрощает хакерам реализацию атаки на отказ в обслуживании. На вкладке FTP Site (FTP-узел) в области Connection (Подключение) в поле Limited To (Ограничено) введите соответствующий предел согласно назначению сервера. После этого на вкладке Message (Сообщение) включите отображение сообщения пользователям, пытающимся подключиться к серверу после достижения максимально допустимого числа подключений. В поле Connection Timeout (Время простоя соединения) введите время (в секундах), по истечении которого сервер отключит неактивных пользователей. Такая настройка параметров обеспечит закрытие всех подключений, если это не сделает протокол FTP.

Ведение журнала FTP-активности

В соответствии с политикой аудита безопасности необходимо осуществлять запись FTP-активности, поэтому отметьте опцию Enable Logging (Вести журнал). Для включения записи активности пользователей отметьте опцию Log Visits (Записывать в журнал посещения) на вкладке Home Directory (Домашний каталог) для каждого сайта FTP. Система обнаружения вторжений поддерживает мониторинг журналов, однако следует выяснить формат этих журналов. Параметры и настройки журнала должны быть такими же, как и для службы WWW.

Отключение пользователей

В окне Properties (Свойства) FTP-сайта выясните, какие пользователи в данный момент подключены к сайту, нажав на кнопку Current Sessions (Текущие сеансы), как показано на рисунке. Анонимные пользователи отображаются с использованием вопросительных знаков.

Для быстрого отключения определенного пользователя (например, возникло подозрение, что он использует сервер не по назначению) выделите его (или их) и нажмите на кнопку Disconnect (Отключить) или отключите всех пользователей, нажав на кнопку Disconnect All (Отключить всех).

Совет. Используйте Internet Services Manager (Диспетчер служб интернета) для управления отдельными FTP-сайтами. Например, если на сервере находятся два FTP-сайта, можно остановить службу FTP на одном сайте, но оставить второй сайт работающим. Суть этого действия заключается в том, что служба FTP продолжает выполняться, а остановленный FTP-сайт переводится в автономный режим.

Учетные записи безопасности

Для получения доступа к FTP-серверу пользователи должны осуществлять вход в систему. На вкладке Security Accounts имеются средства управления, позволяющие определить, кто имеет доступ к FTP-серверу, и кто является его администратором. Для предоставления общего доступа из интернета к файлам FTP-сервера выберите опцию Allow Anonymous Connection (Разрешить анонимное подключение) и укажите учетную запись, которая будет использоваться для анонимного доступа. На рисунке 10.3 показано, что учетной записью по умолчанию является IUSR_имя-компьютера. Эта же учетная запись используется для анонимного доступа из интернета к IIS-серверу.

(Если служба FTP настроена на разрешение анонимного доступа, клиенты смогут входить в систему под именем "anonymous". Как правило, анонимные пользователи FTP вводят в качестве пароля свой адрес электронной почты. Internet Explorer осуществляет автоматический анонимный вход на любой FTP-сервер, разрешающий анонимное подключение.)

Если используется одна и та же учетная запись для обеих служб, то любая "брешь" в службе FTP подвергает опасности и сервер IIS. Если только серверам FTP и IIS не требуется доступ к одним и тем же папкам (что не рекомендуется), создайте новую учетную запись для анонимных пользователей FTP. Используя раздельные учетные записи, разрешения NTFS смогут контролировать права доступа, и возникающие проблемы будут относиться только к FTP-папкам. Выбор опции Allow Only Anonymous Connections (Разрешить только анонимные подключения) позволит пользователям выполнять только анонимный вход. Это запретит использование имен и паролей через небезопасное FTP-подключение и предотвратит попытки хакеров получить доступ через учетную запись администратора. При выключении опции Allow Anonymous Connections при каждом запросе пользователя будет появляться диалоговое окно аутентификации для ввода имени и пароля.

Важно. Опция Allow Only Anonymous Connections не предотвратит попытки неосведомленных сотрудников использовать свои имена пользователей и пароли для входа на FTP-сервер. Убедитесь, что сотрудники компании знают о правилах входа на FTP-сервер и не будут подвергать свои пароли опасности перехвата.

Наделите отдельных пользователей или группы пользователей привилегиями операторов на общем уровне и уровне отдельных сайтов, добавив их в список операторов FTP-сайта. Операторы FTP-сайта представляют собой специальную группу, имеющую ограниченные полномочия администрирования на отдельных FTP-сайтах. Операторы администрируют параметры, влияющие только на подконтрольные им сайты. У них нет доступа к параметрам IIS, настройкам компьютера или к настройкам сети. Например, можно присвоить одному сотруднику из каждого отдела компании права оператора FTP-сайта соответствующего отдела организации. Оператор устанавливает разрешения на доступ к FTP-сайту, ведет журнал и настраивает сообщения, однако не может изменять настройки идентификации FTP-сайтов и анонимные имя пользователя и пароль, создавать виртуальные каталоги или изменять их пути. Учетные записи операторов не обязательно входят в группу администраторов Windows. Операторы сайтов могут относиться и к другим службам IIS, таким как WWW, NNTP и SMTP.

Важно. Если анонимные подключения не используются, следует усилить пароли посредством изменения политики безопасности Windows.

Сообщения

FTP-службы IIS позволяют отображать приветственное сообщение, настраиваемое на вкладке Messages (Сообщения), показанной на рисунке ниже. Используйте это сообщение для предупреждения об условиях и правилах, с которыми пользователи должны согласиться, прежде чем приступить к работе с сайтом. Например, текст сообщения может быть таким: "Это частная компьютерная система, предназначенная только для авторизованного использования. Несанкционированное использование ресурса влечет за собой уголовную ответственность. Доказательства незаконного использования, фиксируемые посредством мониторинга, могут быть использованы в судебных процессах по факту административного, уголовного нарушения или иного преступления. Использование данной системы подразумевает ваше согласие с условиями мониторинга в указанных целях". В сообщении укажите текст, подходящий для конкретного сайта (посоветуйтесь с квалифицированным специалистом).

Домашний каталог

До сих пор вы настраивали число пользователей, имеющих право на доступ к сайту, способ их аутентификации и создавали сообщение, отображаемое при входе. Теперь нужно определить, какие действия пользователи могут выполнять после установки соединения с сервером. Определите используемый FTP-сайтом каталог или виртуальный каталог на вкладке Home Directory (Домашний каталог) (см. рис.10.4). Никогда не используйте общее сетевое расположение, так как оно управляется посредством привилегий доступа учетной записи общего расположения. Это сделает настройку безопасного доступа к нему более сложной, чем управление, что не соответствует уровню риска. Если позволяет бюджет, установите FTP-сервер на другом сервере, нежели основной сервер IIS. В противном случае расположите корневые папки на другом томе. Это не только изолирует FTP-службу, но и упростит управление дисковыми квотами в Windows 2000 и разрешением на запись.

После выбора расположения каталога включите для него разрешение Read (Чтение) или Write (Запись). Если предоставить доступ к FTP-сайту для чтения, пользователь увидит физические каталоги и файлы, имеющиеся в домашнем каталоге, а также все созданные виртуальные каталоги, и сможет считывать и загружать любые файлы. Разрешение на запись позволит пользователям отгружать файлы на FTP-сайт. Если необходимо предоставить разрешение Write (Запись) для каталога, то присвойте это разрешение отдельному виртуальному каталогу, не имеющему разрешение на чтение. Это делается по той причине, что предоставление анонимным пользователям права на чтение и запись в один и тот же каталог создает так называемый warez-сайт. Хакеры используют такие сайты для отгрузки пиратского программного обеспечения или музыкальных файлов, что обеспечит вам серьезные проблемы, связанные с авторскими правами. Разрешение Read (Чтение) для отгруженных файлов присваивайте только внутренним пользователям с соответствующими правами.

Сценарии аутентификации

Изучите следующие сценарии аутентификации перед разрешением или запретом анонимного подключения к FTP-сайту.

Все пользователи осуществляют доступ к FTP-сайту из интернета. Следует разрешить только анонимные подключения, что запретит использование реальных имен пользователей и паролей посредством отправки их в открытом виде через интернет.

Все пользователи осуществляют доступ к FTP-сайту через локальную сеть. Необходимо, чтобы каждый пользователь входил в систему под своей учетной записью, и использовать функции безопасности NTFS для управления разрешениями на доступ. Если нет уверенности в том, что сеть является доверенной (что реально для сети небольшого размера), то используйте только анонимные подключения для запрета передачи паролей в открытом виде.

Пользователи доверенной сети по умолчанию входят в собственный подкаталог FTP. Отключите опцию Allow Anonymous Connections (Разрешить анонимные подключения) и создайте учетную запись Windows для каждого из пользователей. Присвойте учетным записям Administrators (Администраторы) и System (Система) право Full Control (Полный доступ) и удалите группу Everyone (Все пользователи). Создайте подпапку для каждого пользователя, наследующую параметры безопасности корневой папки, добавьте пользователя, использующего папку, и присвойте ему право Full Control (Полный доступ).

Пользователи осуществляют доступ к FTP-сайту как из интернета, так и из локальной сети. Из-за ограничений протокола FTP следует разрешать только анонимные подключения, чтобы локальные пользователи не передавали свои пароли в открытом виде.

FTP-сайт позволяет пользователям обмениваться конфиденциальными файлами. Необходимо установить сертификат сервера и предоставить пользователям такую программу, как SecureFX от Van Dyke Software, расположенную по адресу www.vandyke.com/products/securefx/. Программа SecureFX обеспечивает соединение SFTP (Безопасный FTP) посредством шифруемого SSH2-соединения, защищающего весь трафик от сетевого прослушивания. В качестве альтернативы можно использовать сетевые экраны типа Microsoft ISA Server, работающие через протокол IPSec, для шифрования FTP-трафика и аутентификации пользователей посредством входных данных их учетных записей Windows.

Важно. Используйте для FTP-каталогов файловую систему NTFS. Файловая система FAT поддерживает безопасность только на уровне общего расположения.

Разрешения папок и файлов

Настройка разрешений на вкладке FTP Site (FTP-сайт) или Virtual Directory (Виртуальный каталог) не может игнорировать атрибуты безопасности NTFS рассматриваемого каталога или находящихся в нем файлов. Если разрешения NTFS для каталога установлены только на чтение, то даже при наличии доступа на чтение и запись во вкладке Directory (Каталог) пользователь сможет осуществлять доступ только для чтения.

В настоящий момент пользователям предоставлены самые ограниченные права. Следует просто добавить пользователей, которым нужен доступ к каталогу FTP, и присвоить им минимальные разрешения. Пользователи должны обладать привилегией локального входа, а также разрешением Read (Чтение) или Write (Запись). Не предоставляйте им право Access this Computer from the Network (Осуществлять доступ к этому компьютеру из сети), которое позволяет обходить службы Web, FTP или Gopher.

Важно. Предоставление права Access this Computer from the Network позволяет пользователю обходить службы FTP для подключения к серверу. Это обстоятельство не соответствует одному из важных условий безопасности IIS. При входе клиента на сервер доступ пользователя ограничивается домашним каталогом FTP и его подкаталогами. Это хороший метод управления областями, к которым имеет доступ пользователь.

Безопасность каталога

С помощью этой вкладки можно ограничить доступ по IP-адресам пользователей. По умолчанию доступ к FTP-сайту разрешен со всех IP-адресов, но иногда нужно установить доступ только с IP-адресов, лежащих в определенном диапазоне; этими пользователями могут быть, например, клиенты компании или пользователи интранет-сети. Это можно сделать через блокировку доступа со всех компьютеров с последующим указанием доверенных IP-адресов в виде исключений (см. рис. 10.5).

Можно сделать наоборот – разрешить всем компьютерам доступ к сайту, после чего указать отдельные компьютеры, доступ с которых запрещен. Это полезно в случае, если в результате анализа журналов системы выявлены подозрительные действия с определенного IP-адреса и нужно запретить доступ к сайту с соответствующего компьютера. Можно запретить доступ и по имени домена, чтобы конкурентам с сайта rival.com был недоступен ваш FTP-сайт.

Совет. При запрете доступа к FTP-сайту по имени домена служба FTP будет работать медленнее, так как FTP-серверу теперь придется выполнять обратный поиск и определять, является ли IP-адрес компьютера, с которого осуществляется попытка доступа, запрещенным для доступа

FTP повышает общую эффективность интернет-служб, однако следует в обязательном порядке изменить настройки по умолчанию для обеспечения безопасности службы и определить, как и кем она будет использоваться.

Служба NNTP

IIS обеспечивает поддержку протокола NNTP (Network News Transport Protocol) – интернет-стандарта для чтения и публикации статей в группах новостей. Группы новостей представляют собой что-то вроде почтового ящика, доступного каждому пользователю. Статьи публикуются аналогично сообщениям электронной почты, отправляемым в почтовый ящик адресата. Общие группы новостей являются прекрасным способом предоставления общего доступа и обеспечения обмена информацией. Так как группы новостей можно защитить посредством шифрования SSL и разрешений NTFS, они представляют собой идеальный способ связи с определенными группами пользователей, например, с сотрудниками, поставщиками и клиентами, при наличии собственной группы новостей у каждой из групп пользователей. Для управления службой NNTP используется Internet Services Manager (Диспетчер служб интернета), как показано на рисунке.

NNTP следует устанавливать только после настройки безопасности службы IIS. Для SSL-аутентификации клиентов установите сертификат для сервера IIS. При установке NNTP в папке Inetpub создается папка nntpfile, которая содержит вложенные папки и файлы, предназначенные для управления службой NNTP и группами новостей. Как и для FTP, расположите эти корневые папки на другом томе NTFS, чтобы обеспечить контроль доступа и достаточное количество пространства. Активные группы новостей предъявляют высокие требования к дисковому пространству. Для изменения расположения корневых папок откройте объект NNTP в Interent Services Manager (Диспетчер служб интернета) и щелкните на записи Virtual Directories (Виртуальные каталоги). В правой части окна в поле Newsgroup Subtree (Дерево группы новостей) отобразятся каталоги, используемые NNTP (см. рисунок).

Дважды щелкните на каталоге Default (Каталог по умолчанию) для открытия окна Properties (Свойства) (см. рис. 10.6), после чего нажмите на кнопку Contents (Содержимое). Выберите том и каталог для использования службой NNTP. Обратитесь к разделу "Виртуальные каталоги" далее в этой лекции, чтобы узнать, как настроить ограничения на доступ к этим каталогам.

Обеспечение безопасности NNTP-сайта

Для управления службой NNTP через Internet Services Manager необходимо быть членом локальной группы Administrators (Администраторы). Щелкните правой кнопкой на объекте NNTP, чтобы отобразить окно Properties (Свойства), содержащее четыре вкладки (см. рис. 10.7).

Как и для FTP, включите ведение журнала активности NNTP для всех групп новостей на уровне виртуального сервера NNTP и на уровне отдельного виртуального каталога. Все события, генерируемые службой NNTP, заносятся в системный журнал, а в индикаторе производительности Performance Monitor появятся счетчики для службы NNTP.

Контроль доступа

На вкладке Access (Доступ) (см. рис. 10.8) находятся параметры, предназначенные для настройки доступа клиентов к виртуальному серверу NNTP и безопасности передачи данных, включая аутентификацию, шифрование, ограничение чтения или публикации статей, разрешение или запрет загрузки NNTP-серверами групп новостей. Для настройки методов аутентификации, поддерживаемых службой NNTP, нажмите на кнопку Authentication (Аутентификация).

Если группа новостей доступна всем пользователям, то включите опцию Allow Anonymous Connections (Разрешить анонимные подключения). Смените учетную запись IUSR_имя-компьютера, используемую анонимными пользователями, нажав на кнопку Anonymous (Анонимный доступ). Укажите учетную запись, созданную специально для анонимных подключений NNTP. Не включайте опцию Basic Authentication (Базовая аутентификация), так как это разрешит передачу имен пользователей и паролей в открытом виде.

Если у пользователей имеется клиент новостей, например, Microsoft Outlook Express, поддерживающий аутентификацию Windows Security Package (Пакет безопасности Windows), выберите его для обеспечения безопасного входа и аутентификации пользователей групп новостей.

В качестве альтернативы потребуйте SSL-аутентификацию клиентов, чтобы пользователи при входе вводили SSL-зашифрованные имена и пароли. При наличии у пользователей цифровых сертификатов свяжите эти сертификаты с учетными записями Windows, включив поддержку сертификатов клиентов. Это предотвратит обманное получение доступа злоумышленником под видом легального пользователя. Рекомендуется использовать именно этот подход, если статьи групп новостей являются конфиденциальными: ведь файловые разрешения NTFS и аудит применимы к каждому пользователю. На рисунке 10.9 показаны параметры NNTP-сервера, требующие от пользователей предоставления цифрового сертификата, связанного с учетной записью Windows.

Для запрета доступа к группе новостей присвойте папкам с соответствующими статьями разрешение Deny (Запрет доступа). По умолчанию эти папки находятся в каталоге Intepub\nntpfile\root\имя_группы_новостей. Убедитесь, что локальной системной учетной записи предоставлен полный доступ ко всем папкам групп новостей, чтобы служба Microsoft NNTP могла осуществлять доступ к своим файлам. Параметры контроля подключения аналогичны вкладке FTP Directory Security (Безопасность каталога FTP), предоставляя (или отказывая) доступ в зависимости от IP-адреса или доменного имени. Эти параметры используются для ограничения доступа пользователей с определенного домена, например, членов доверенной третьей стороны. Вкладка Security (Безопасность) предназначена для добавления учетных записей и групп Windows в список операторов виртуального сервера NNTP по аналогии с FTP-сайтами.

Вкладка Settings (Параметры)

На вкладке Settings (Параметры) можно настраивать максимальный объем новостных статей и рассылок, а также разрешать или запрещать другим серверам использование новостей, расположенных на NNTP-сервере. На рисунке 10.10 показана вкладка Settings с настройками предельного объема статей. Различие между опциями Limit post size (Ограничить размер статьи) и Limit connection size (Ограничить размер подключения) заключается в следующем. Предельным размером статьи является максимальный размер отдельной опубликованной статьи, а предельным размером подключения является полный объем всех статей, которые может опубликовать пользователь в течение одного подключения. Установите пределы, соответствующие типу групп новостей. Если у вас имеются управляемые группы новостей без определенного модератора, укажите домен модератора по умолчанию, чтобы статьи отправлялись на адрес имя_группы_новостей@домен_модератора_по_умолчанию.

Опция Allow News Servers to Pull Articles from This News Server (Разрешить другим сайтам использовать статьи с этого сервера). Удаленные NNTP-серверы могут загружать локальные группы новостей и их статьи, после чего открывать к ним общий доступ.

Данная опция включена, если группы новостей предназначены для общего пользования, и отключена при необходимости контроля статей в группе новостей.

Опция Allow Control Messages (Разрешить контрольные сообщения). Клиенты для чтения новостей и другие серверы NNTP могут отправлять команды для создания и удаления групп новостей на NNTP-сервере либо для отмены ранее опубликованных статей. Отключите эту опцию, чтобы контрольные сообщения, получаемые сервером, только протоколировались, но не обрабатывались. Это позволит контролировать происходящее на сервере NNTP.

Управление группами новостей

NNTP-сайт по умолчанию содержит четыре объекта в панели Scope (Область).

• Newsgroups (Группы новостей). Перечень групп новостей, имеющихся на сервере NNTP.
• Expiration Policies (Политики истечения срока размещения). Перечень политик, управляющих автоматическим удалением статей группы новостей.
• Virtual Directories (Виртуальные каталоги). Перечень виртуальных каталогов, используемых службой NNTP для хранения статей группы новостей.
• Current Sessions (Текущие сеансы). Перечень удаленных клиентов NNTP и серверов, задействованных в отгрузке и загрузке статей.

После создания группы новостей дважды щелкните на ней для настройки параметров. Включение опции Read Only (Только чтение) запрещает всем пользователям, за исключением администратора NNTP или модератора (редактора, обязанностью которого является проверка статей), публиковать статьи в группе новостей. Если необходим жесткий контроль над статьями, публикуемыми в группе новостей (например, при публикации пресс-релизов компании), включите опцию Read Only (Только чтение) или Moderated (Модерируемая). В модерируемой группе новостей пользователи не смогут напрямую публиковать статьи. Статьи отправляются на адрес электронной почты модератора для проверки, и только после этого располагаются в группе новостей (см. рис. 10.11).

Политики истечения срока размещения

Сервер NNTP поддерживает тысячи различных групп новостей, а в популярных группах новостей публикуются сотни статей в день. Если не ограничить число публикуемых статей, то на NNTP-сервере возникнет проблема нехватки пространства на жестком диске; если в этом же разделе находится и операционная система, то сервер может попросту выйти из строя. Это еще одна причина, по которой следует размещать файлы NNTP на отдельном жестком диске. Можно уменьшить занимаемое статьями группы новостей дисковое пространство, применив политику истечения срока размещения, которая автоматически удаляет статьи по достижении ими определенного возраста. Для создания данной политики щелкните правой кнопкой мыши на узле Expiration Policies (Политики истечения срока) и выберите New (Создать), после чего выберите Expiration Policy (Политика истечения срока размещения). Откроется Expiration Policy Wizard (Мастер политики истечения срока размещения), с помощью которого можно создать новую политику.

Виртуальные каталоги

Виртуальный каталог NNTP является альтернативным физическим расположением групп новостей по умолчанию C:\Inetpub\nntpfile\root\имя_группы_новостей. Вы можете использовать общие папки; однако этого нельзя делать при условиях, о которых шла речь при рассмотрении FTP-сервера ранее в этой лекции. Преимущество использования виртуальных каталогов заключается в том, что статьи групп новостей располагаются на нескольких устройствах, что облегчает присвоение разрешений и повышает производительность ввода/вывода. Виртуальный каталог может содержать статьи отдельной группы новостей, а также статьи всей категории группы новостей. Например, с помощью узла Virtual Directories (Виртуальные каталоги) можно создать виртуальный каталог для хранения всех групп новостей, относящихся к внутренним уведомлениям, на одном дисковом накопителе и еще один виртуальный каталог для общих групп новостей – на другом.

Безопасные подключения. На рисунке 10.3 показано окно Properties (Свойства) виртуального каталога, содержащее параметры доступа пользователей, параметры соединения и контроля за содержимым. Для защиты групп новостей от сетевого прослушивания включите использование безопасных соединений, чтобы клиенты в обязательном порядке подключались к службе NNTP через SSL для шифрования исходящих данных. Для выполнения этого действия понадобится сертификат веб-сервера.

Ограничения доступа. При помощи параметра Allow Posting (Разрешить публикацию) можно разрешить или запретить публикацию в группе новостей новых статей, а опция Restrict newsgroup visibility (Ограничить видимость группы новостей) обеспечивает отображение группы новостей только тем пользователям, которые имеют разрешение на доступ к ней. Мы рекомендуем использование этой опции всеми частными группами новостей.

Индексирование новостей. Пользователям групп новостей можно предложить возможность поиска определенного текста в статьях новостей. NNTP использует Microsoft Indexing Services (Службы индексирования Microsoft) для регулярного сканирования статей группы новостей и создания базы данных, в которой осуществляется поиск информации. Однако служба индексирования может отобразить неверную статью с важной информацией, если не настроить должным образом ее работу. Перед включением этой возможности изучите раздел "Сервер индексов Microsoft и служба индексирования содержимого".

NNTP представляет собой одну из наиболее успешных технологий, применяемых в интернете, которая позволяет легко и быстро производить обмен информацией и не представляет угроз безопасности в отличие от службы FTP. Тем не менее, необходимо в обязательном порядке настроить разрешения NTFS, ограничить и обеспечить безопасность любых имеющихся групп новостей, доступ к которым разрешен только определенному кругу пользователей.

Сервер индексов Microsoft и служба индексирования содержимого

По мере увеличения размеров веб-сайта он будет содержать все больше данных, доступных пользователям, и вам понадобится поисковая система для облегчения поиска нужной информации. Сервер индексов Microsoft представляет собой службу, дополняющую Internet Information Server, которая обеспечивает возможность поиска текстовых документов (форматов HTML, MS Word, Excel и PowerPoint) на сервере. Операции сервера индексов выполняются службой индексирования содержимого, функционирующей как служба NT, параметры которой изменяются с помощью консоли Services Management Console (Управление службами). Сервер индексов составляет общий перечень содержимого и свойств документов, находящихся в определенном наборе каталогов (называемом областью), которые коллективно группируются в один каталог. Как упоминалось ранее, сервер индексов может индексировать сообщения NNTP на сервере новостей.

Перед использованием сервера индексов выделите дополнительное дисковое пространство и, если требуется, увеличьте размер оперативной памяти, чтобы обеспечить его корректную работу. Он может занимать до 40 процентов размера Corpus (это весь набор индексированных каталогов и документов). Наверное, вы сейчас скажете: "Здорово, теперь на моем сайте есть даже поисковая система!" К сожалению, сервер индексов стал причиной возникновения некоторых угроз безопасности веб-сайтов IIS из-за ошибок в настройке. Например, запрос поиска в виде формы может передавать до 4 килобайт данных, но если объем запроса будет больше, то работа сервера индексов станет нестабильной. Все отправляемые запросы не должны превышать предельно допустимого значения (см. лекцию 11).

Совет. Если свободное дисковое пространство на диске индексов подходит к концу (остается менее 3 Мб свободного места), фильтрация будет временно остановлена, и в журнале событий появится запись о переполнении диска.

Настройка сервера индексов

Так как сервер индексов позволяет пользователям осуществлять поиск на сайте, необходимо аккуратно следить за тем, какие файлы и папки индексируются сервером; в противном случае пользователи смогут найти и прочитать важную информацию, не предназначенную для общего пользования. Вы можете включить индексирование на уровне сервера, веб-сайта или папки. Параметры уровня сервера применяются к индексируемому содержимому на всех веб-сайтах сервера; параметры уровня сайта применяются ко всему индексируемому содержимому на конкретном сайте; параметры уровня папки применяются ко всему индексируемому содержимому внутри рассматриваемой папки и всех ее подпапок. Управление сервером индексов осуществляется с помощью оснастки MMC Index Server Manager (Диспетчер сервера индексов) или консоли MMC Computer Management (Управление компьютером). Для открытия консоли Computer Management нажмите на Start (Пуск), выберите Settings\Control Panel\Administrative Tools\Computer Management (Настройка\Панель управления\Администрирование\Управление компьютером). В дереве консоли разверните пункт Services and Applications (Службы и приложения), после чего щелкните на Indexing Service (Служба индексирования).

После открытия Indexing Service вы увидите два каталога по умолчанию – System и Web. Каталог System содержит диск C и должен быть удален немедленно. Каталог Web содержит папку inetpub\wwwroot и другие папки, которые нельзя индексировать на защищенном сервере, например, папку iisadmin (см. рисунок).

Следует удалить и этот каталог, после чего создать новый каталог, добавив в него только те папки, в которых пользователи веб-сайта будут осуществлять поиск данных. Это уменьшит риск индексирования и открытия доступа к важным документам или системным паролям, включенным в сценарии.

Важно. Сервер индексов может индексировать и предоставлять доступ к документам в виртуальном каталоге, указывающем на удаленное расположение. Отключите опцию Add Network Share Alias Automatically (Автоматически добавлять псевдоним сетевого расположения) на вкладке Tracking (Отслеживание) окна Index Server Properties (Свойства сервера индексов), чтобы запретить случайное добавление общих сетевых устройств в каталог. Как уже неоднократно говорилось, ни в коем случае не следует использовать удаленные расположения в архитектуре веб-сайта.

Защита файлов сервера индексов при помощи параметров безопасности файлов NTFS

Сервер индексов полностью интегрирован с безопасностью IIS и Windows 2000 Server, поэтому можно контролировать доступ к индексированным документам, позволяя пользователям просматривать только разрешенные документы. Следовательно, для обеспечения общей безопасности системы очень важно расположить сервер индексов в разделе с файловой системой NTFS, как и все папки, предназначенные для индексирования. Ключевыми файлами сервера индексов, требующими контроля, являются следующие файлы.

• Файлы Internet Data Query (.idq). Определяют область поиска и ограничения на поиск, установленные на сервере индексов.
• Сценарии Index Data Administration (.ida). Файлы, аналогичные предыдущему типу; в них хранятся запросы администрирования.
• Шаблон расширения HTML (.htx). Шаблон, устанавливающий формат отображения пользователю результатов посредством преобразования данных запроса в файл HTML.
• Файлы форм запроса (.htm). Форма отправки запроса на поиск.
• Папки каталогов (.wci). Состоят из индексов содержимого и свойств, а также из других файлов, содержащих индексированные данные.

Ограничение доступа к содержимому посредством каталогов

Каталог сервера индексов представляет собой папку с файлами, содержащими данные индексирования. Сервер индексов записывает в каталог генерируемую информацию о содержимом и свойствах. В этом каталоге осуществляется управление разрешением на доступ пользователей к индексированным документам. Каждый раз при отправке пользователем запроса сервер индексов проверяет данные о защищенности файла. В результат запроса включаются только разрешенные документы. Это отличает данную систему от других поисковых машин, которые отображают ссылки на все документы, удовлетворяющие заданным условиям поиска, даже если пользователь не может прочесть сам документ.

Индексирование на сервере индексов Microsoft Index Server основано на виртуальных каталогах, и не существует метода исключения определенных физических каталогов из процесса индексирования.

Параметры файла запроса данных интернета

В файле Internet Data Query строка CiRestriction= представляет собой запрос, который обрабатывается сервером индексов, а строка CiTemplate= указывает файл, предназначенный для приема информации из файла .idq. В этой строке, как правило, указывается файл с расширением .htx. Избегайте изменения параметров строки CiTemplate, так как это может привести к случайной передаче через сеть файлов в каталогах сценариев с разрешением только на выполнение. Например, если файл .idq содержит строки

то клиент может отправить URL, содержащий эту строку в строке запроса

что позволит неавторизованному пользователю прочесть содержимое файла сценария Perl. Для исключения этой возможности рекомендуется переключаться между несколькими файлами .htx посредством использования только базового имени файла и добавления каталога сценариев и расширения имени файла взамен параметра, например:

В файле .idq можно указать файлы, которые не должны отображаться в результатах поиска. Например, если виртуальный корневой каталог /reports указывает на D:\reports, но результаты из D:\reports\ private не должны отображаться в конечном наборе данных, измените параметр CiRestriction в файле .idq следующим образом:

Важно. Сервер индексов будет индексировать подкаталог, не имеющий разрешение Read (Чтение), если он находится внутри каталога, имеющего разрешение Read (Чтение). Во избежание этого замаскируйте непредназначенные для чтения каталоги посредством установки CiRestriction в файле запроса .idq. Например, скрыть папку с именем \_readforbidden можно установкой CiRestriction в файле .idq на значение CiRestriction=(%UserRestriction%)&!#vpath *\readforbidden\*.

Ограничение удаленного администрирования

Некоторые функции управления сервером индексов по умолчанию доступны с удаленного веб-сайта, что представляет угрозу безопасности, так как посторонний пользователь может внести несанкционированные изменения. Если нужен дополнительный контроль над административными операциями, примените контроль разрешений доступа для файлов .ida, .idq и .htx, определяющих метод вывода результатов сервером индексов.

Совет. Все административные операции сервера индексов управляются посредством перечня контроля доступа в ключе системного реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\ ContentIndex.

Проблема

Предположим, создана интрасеть университета с использованием IIS. Все сотрудники имеют доступ в интрасеть, однако осуществлять поиск по сети могут только сотрудники отдела исследований. Так как на всех компьютерах стоит операционная система Windows 2000 с Internet Explorer в качестве браузера по умолчанию, то отключен анонимный доступ, чтобы пользователь автоматически входил на сайт через свою учетную запись домена, т.е. реализована принудительная аутентификация перед отправкой запросов. В начале семестра на работу выходят новые сотрудники, и на сайт добавляется материал об исследованиях, проведенных в прошлом году. Как упростить управление доступом к функции поиска сайта? Чтобы предоставить право доступа к форме поиска только исследовательскому персоналу, создайте группу с именем Research и добавьте в нее всех сотрудников отдела исследований. Далее присвойте группе Research право доступа к форме поиска и ограничьте доступ к файлу .idq или .htx, используемому в запросе, предоставив его только членам Y· данной группы.

На большом веб-сайте возможность поиска будет восприниматься пользователями положительно; тем не менее, для обеспечения безопасности веб-содержимого следует внимательно присваивать разрешения доступа. Не включайте сервер индексов до тех пор, пока полностью не ознакомитесь с процессом выполнения запросов и параметрами, от которых зависит результат поиска. Для получения дополнительной информации об изменении файлов .idq обратитесь к документации сервера индексов. Наконец, следует включить журнал IIS для фиксирования информации о запросах, запрашивающих IP-адрес, и запросах, отправляемых на сервер. Обратите внимания на необычно длинные запросы или на запросы, направленные на конкретные файлы сценариев, – это может указывать на активность хакера.

Служба SMTP (Simple Mail Transport Protocol)

SMTP (простой протокол передачи сообщений электронной почты) представляет собой основной протокол, используемый для передачи сообщений электронной почты через интернет. IIS обеспечивает его поддержку посредством службы SMTP, которая устанавливается в качестве дополнительного компонента. Однако не думайте, что это полнофункциональная почтовая система, как, например, Microsoft Exchange. Служба SMTP не поддерживает протоколы POP3 или IMAP, которые позволяют пользователям хранить сообщения в нескольких частных расположениях. Так как SMTP лишь отправляет электронную почту с одного сервера на другой, ни SMTP, ни IIS не могут обрабатывать входящую почту и помещать ее в почтовые ящики для чтения пользователями. Так зачем же устанавливать службу SMTP, если она не обеспечивает функциональность почтового ящика? Эта служба облегчает приложениям доступ к сервису электронной почты и может пригодиться, если вам понадобится простой почтовый SMTP-сервер.

Важно. Windows 2000 устанавливает SMTP по умолчанию, когда сервер переходит в статус Domain Controller (Контроллер домена), так как SMTP является дополнительным транспортным методом, используемым для передачи информации между контроллерами доменов. Если контроллер домена не настроен непосредственно на использование SMTP, отключите службу SMTP, если она не используется еще где-нибудь.

Если сайт требует наличия SMTP, необходимо выполнить настройку параметров безопасности. Работа SMTP на сервере IIS делает его уязвимым к атакам на отказ в обслуживании, атакам с произвольным кодом, массовым рассылкам, программам прослушивания сети, перехватывающим сообщения при их маршрутизации с одного сервера SMTP на другой. Как и для FTP-сервера, настройте SMTP-сервер для обеспечения минимального количества необходимых служб.

Обеспечение безопасности SMTP-сервера

Управление сервером SMTP осуществляется из консоли ISM Management, поэтому для изменения его параметров нужно быть членом локальной группы Administrators (Администраторы). Чтобы открыть диалоговое окно Properties (Свойства) (см. рис. 10.12), щелкните правой кнопкой мыши на сервере SMTP и в появившемся меню выберите Properties. Необходимо сразу же настроить параметры соединения и включить ведение журнала. Можно использовать такие же настройки журнала, что и для IIS.

Вспомнив, как установлены ограничения на подключение к FTP-серверу, нужно ограничить максимальное число подключений к серверу SMTP, чтобы ни один отдельный домен не смог полностью контролировать входящие и исходящие подключения службы SMTP. Нажмите на кнопку Connection (Подключение) на вкладке General (Общие) и установите число соединений и временные периоды на нужные значения.

Контроль доступа

Вкладка Access (Доступ) позволяет настраивать четыре основных параметра, используемых для предотвращения несанкционированного использования SMTP-сервера и для обеспечения безопасности входящих подключений (см. рис. 10.13).

• Контроль доступа.
• Безопасное соединение.
• Контроль подключения.
• Ограничения ретрансляции.

Аутентификация. Включите обязательную аутентификацию клиентов и серверов перед получением доступа к службам SMTP. Для настройки аутентификации входящих подключений SMTP-службы имеются три параметра: Anonymous (Анонимная), Basic (Базовая) и Windows security services (Службы безопасности Windows). Параметром по умолчанию является Anonymous Access (Анонимный доступ), используемый клиентами интернета и не требующий ввода имени пользователя и пароля. Этот параметр необходим для реализации интернет-сервера, выполняющего функции главного почтового сервера. Базовая аутентификация требует от клиента отправки корректных имени пользователя и пароля, которые проверяются в домене, указанном в поле Default Domain (Домен по умолчанию). Как и в базовой системе аутентификации в IIS, пароль передается в открытом виде, однако здесь можно применить шифрование TLS (Transport Layer Security). TLS требует наличия соответствующего сертификата сервера, так же как и SSL. Параметр Windows Security Package (Пакет безопасности Windows) не требует непосредственной отправки паролей, так как он использует интерфейс Windows 2000 Security Support Provider Interface (SSPI) для выполнения Win2K-аутентификации переданных имен пользователей и паролей (Kerberos или NTLM). Почтовые клиенты типа Microsoft Outlook Express не требуют поддержки данного метода аутентификации.

Безопасное соединение. Можно обеспечить шифрование входящих данных посредством включения обязательного использования TLS при обмене между серверами. Компьютеры клиентов будут использовать TLS для отправки зашифрованных сообщений, которые дешифровываются службой SMTP. Можно повысить надежность соединений посредством использования 128-битного шифрования (по умолчанию используется 40-битное), если серверы, требующие подключения к серверу, также используют 128-битное шифрование.

Контроль подключения. Можно ограничить доступ к SMTP-серверу, указав IP-адрес удаленного компьютера или доменное имя DNS. Данные параметры следует настроить так же, как и службу FTP. Обратитесь к нижеприведенной "Проблеме", чтобы узнать, как с помощью контроля подключения защитить сервер Microsoft Exchange.

Ограничения ретрансляции. Если служба SMTP принимает сообщение для удаленного домена, то она перенаправляет его на указанный конечный домен. SMTP-серверы, принимающие и перенаправляющие сообщения на непроверенные почтовые домены, называются открытыми ретрансляторами почты. Спаммеры (пользователи, занимающиеся нелегальной массовой рассылкой) используют открытые ретрансляторы для отправки тысяч нелегальных сообщений, вызывая перегрузку сервера и получение нежелательной почты. Открытый ретранслятор используется хакерами для реализации атаки на другой сайт через отправку большого количества электронных сообщений. В этом случае все выглядит так, словно нелегальная почта отправлена с сервера с открытой ретрансляцией, поэтому компании, обеспечивающей работу этого сервера, могут быть предъявлены обвинения в рассылке спама или в выполнении атак на отказ в обслуживании. Это приводит к потере репутации и другим нежелательным последствиям, так как многие организации блокируют серверы, от которых исходят нелегальные массовые рассылки. Необходимо настроить SMTP-сервер на контроль и блокировку сторонних почтовых ретрансляторов; в противном случае любой пользователь сможет отправлять сообщения на сервер, который, в свою очередь, осуществит их обработку и доставку. По умолчанию служба SMTP настроена на прием только тех входящих сообщений, которые направлены на локальные домены, расположенные на самом сервере.

Совет. Можно выяснить, настроен ли сервер на ретрансляцию внешних сообщений электронной почты, посетив сайт http://mail-abuse.org/tsi/ar-test.html или загрузив утилиту rlytest с сайта www.unicom.com/sw/#rlytest.

Если возникнет необходимость в перенаправлении сообщений, вызванная особенностями вашего бизнеса, можно указать исключения двумя способами. Первый способ – указание исключений при помощи IP-адресов или доменных имен DNS компьютеров, которым перенаправляются сообщения. Второй способ – указание удаленных доменов, на которые перенаправляется поступающая почта, если соответствующий домен является пунктом назначения того или иного сообщения независимо от исходного IP-адреса или имени домена DNS.

Сообщения

Параметры, указываемые на вкладке Messages (Сообщения), предотвращают нецелевое использование системы как внутренними, так и внешними пользователями; тем не менее, некоторые из этих параметров не являются принудительными.

Ограничение размера сообщения и сеанса. Лимит размера сообщения представляет собой предельный размер получаемого SMTP-службой сообщения, этот параметр не является принудительным. При подключении SMTP-клиента или сервера к IIS предел размера сообщения передается удаленному компьютеру через команду Size. Однако IIS принимает и обрабатывает сообщения, большие по размеру, чем полученное предельное значение.

Максимальный сеансовый размер является принудительным значением, и, если удаленная SMTP-система отправляет сообщение большего размера, IIS закрывает соединение и обрывает сообщение в процессе передачи. Будьте внимательны при установке этого параметра, так как удаленная система, скорее всего, повторно отправит сообщение при следующем соединении, что вызовет цикл, повторяющийся до достижения предельного числа повторных попыток.

ПРОБЛЕМА

Вы установили на сервере IIS службы SMTP, чтобы веб-мастер мог добавить на сайт страницы, позволяющие клиентам отправлять информацию о тестируемой ими бета-программе через форму по адресу betasupport@mail.ваша_фирма.com. Доступ к этим страницам осуществляется через SSL-соединение. Предоставив форму для отправки информации, можно получить сведения об операционных системах пользователей перед отправкой данных из формы. Форма создает текстовый файл с соответствующими SMTP-заголовками, и он помещается в папку Mailroot\Pickup. Служба SMTP сканирует эту папку на наличие текстовых файлов и перемещает их в папку Mailroot\Queue, пока они не будут доставлены. Серверы IIS и SMTP расположены в Хьюстоне, однако сообщения отправляются в офис в Далласе, в котором расположена команда технической поддержки. Вы заподозрили, что ваш конкурент установил программы для прослушивания пакетов с целью перехвата электронных сообщений, передаваемых между офисами. Вы настроили серверы SMTP в Хьюстоне и Далласе таким образом, §ѕ чтобы в обязательном порядке проводилась аутентификация Windows NT Challenge/Response (Вопрос/ответ), а также установили ограничения IP-адресов для работы с этими офисами. Так как в данном случае служба SMTP используется только одним приложением, вы также сменили номер порта по умолчанию с 25 на 1700 на обоих серверах SMTP. Однако есть подозрение, что ваш конкурент по-прежнему получает важную информацию, перехватывая электронные сообщения с результатами тестирования.

Несмотря на применение аутентификации, смену номеров портов и ограничения IP-адресов, благодаря чему из процесса взаимодействия с двумя серверами SMTP были исключены остальные SMTP-серверы, ваш конкурент дождется того момента, когда два сервера SMTP успешно аутентифицируют друг друга и установят между собой соединение. Он сможет перехватывать весь трафик между ними, когда они начнут передачу сообщений друг другу. Необходимо затребовать шифрование TLS на каждом из серверов (см. раздел "Безопасность исходящего трафика") и использовать 128-битный ключ, чтобы даже при перехвате пакетов злоумышленник не смог прочесть их содержимое.

Ограничение сообщений и получателей. Несмотря на то, что параметры Limit Number of Messages Per Connection (Ограничить число сообщений за сеанс) и Limit Number of Recipients per Message (Ограничить число получателей сообщения), по всей видимости, предотвращают злоупотребление SMTP-сервером, они лишь контролируют процесс доставки сообщений. Максимальное число получателей одного сообщения не предотвращает отправку SMTP-клиентом сообщения с большим количеством адресатов, чем указываемое значение. Вместо этого служба SMTP отправляет сообщение с максимально разрешенным числом получателей, после чего отправляет копию сообщения с оставшимися получателями, повторяя этот процесс до тех пор, пока все получатели не получат копию сообщения. Если число сообщений в очереди превысит максимально допустимое число сообщений за сеанс, то для повышения производительности устанавливаются дополнительные соединения с конечным SMTP-сервером.

Безопасность исходящего трафика

Для всех подключений к удаленным доменам можно установить шифрование исходящего трафика по умолчанию или настроить отдельные домены на свои собственные параметры шифрования во вкладке Delivery (Доставка). Для шифрования всех исходящих сообщений, направленных на удаленные домены, нажмите на кнопку Outbound Security (Безопасность исходящего трафика) в окне Properties (Свойства) и отметьте опцию TLS Encryption (Шифрование TLS) (см. рисунок). Безопасность исходящего трафика определяет аутентификацию SMTP-сервера на другом SMTP-сервере, а также шифрование исходящих сообщений. Чтобы настроить параметры по умолчанию для отдельного удаленного домена, создайте новый домен в области Domains (Домены). Откройте окно Properties для удаленного домена и нажмите на кнопку Outbound Security (Безопасность внешнего трафика). После этого отметьте опцию TLS Encryption (Шифрование TLS) для настройки параметра; помните, что устанавливаемые здесь параметры применяются только к домену, к которому относится данный объект. Для шифрования входящих сообщений нужно установить сертификат сервера. Отправка зашифрованных сообщений не требует сертификата на локальном сервере.

Операторы

Вкладка Security (Безопасность) позволяет наделить ограниченными полномочиями пользователей и группы на SMTP-сервере, однако эти полномочия не относятся к другим аспектам IIS в отличие от других типов операторов.

Несмотря на то, что SMTP-служба является полезным компонентом с интересными возможностями, она очень далека от полнофункционального почтового сервера. Тем не менее, эта служба принесет немалую пользу, если будет обеспечена ее безопасность и правильная настройка.

ПРОБЛЕМА

Используйте ретрансляцию сообщений IIS SMTP для предотвращения прямого взаимодействия спаммеров с сервером Microsoft Exchange, который установлен во внутренней сети и предназначен для получения электронных сообщений от пользователей домена. Если для общего доступа открыта служба SMTP сервера Exchange, пользователи интернета смогут отправлять сообщения прямо на него. Независимо от ситуации настоятельно не рекомендуется открывать прямой доступ к серверу Exchange. Для этого установите службу ретрансляции IIS SMTP и вместо общего доступа к службе SMTP сервера Exchange откройте доступ к службе IIS SMTP. Теперь, когда почта, направленная на ваш_домен.com, дойдет до внешнего интерфейса сетевого экрана, она будет перенаправлена на ретранслятор SMTP, который, в свою очередь, передаст ее на сервер Exchange. Теперь следует настроить сервер Exchange на отправку исходящих почтовых сообщений SMTP на сервер ретрансляции IIS SMTP, чтобы тот перенаправлял их в интернет. При такой конфигурации службе SMTP сервера Exchange никогда не придется взаимодействовать с сервером SMTP в интернете.

Для безопасности этой конфигурации разрешите серверу IIS SMTP перенаправление сообщений только на ваши собственные домены. При разрешении перенаправления входящей почты на все домены вы столкнетесь с тысячами сообщений спаммеров, которые будут получены, скорее всего, уже через несколько дней (спаммеры не упустят возможности воспользоваться открытым почтовым ретранслятором). Конфигурация по умолчанию позволяет всем аутентифицированным компьютерам осуществлять перенаправление сообщений через сервер, однако требует дополнительных расходов, поэтому лучше разрешить перенаправление по IP-адресам. Для разрешения использования сервером Exchange сервера IIS SMTP в качестве открытого ретранслятора введите IP-адрес сервера Exchange, чтобы включить опцию Only The List Below (Только для следующих адресов). Разрешите службе IIS SMTP играть роль открытого ретранслятора для сервера Exchange, так как ему нужно отправлять почту SMTP на все почтовые домены интернета. Запретите ретрансляцию входящих сообщений, настроив сервер на перенаправление сообщений, адресованных только на собственный домен.

В консоли Internet Services Manager (Диспетчер служб интернета) откройте узел Default SMTP Virtual Server (Виртуальный сервер SMTP по умолчанию). Щелкните правой кнопкой на узле Domains (Домены), выберите New\Domain (Создать\Домен). Выберите опцию Remote (Удаленный) и нажмите на кнопку Next (Далее). Введите имя почтового домена и нажмите на кнопку Finish (Готово). Дважды щелкните на новом имени Remote Domain (Удаленный домен). Отметьте опцию Allow Incoming Mail to Be Relayed to This Domain (Разрешить перенаправление входящей почты на этот домен), чтобы входящая почта, направленная на другие домены, игнорировалась ретранслятором SMTP. Далее в области Route domain (Маршрут) выберите Forward All Mail to Smart Host (Перенаправлять всю почту на нужный домен). Введите IP-адрес сервера Exchange в текстовом поле под данной опцией в скобках, например, [192.168.1.254].

Преимуществом использования такой конфигурации является возможность отключения сервера Exchange для настройки без потери входящей почты. Повысить устойчивость к ошибкам можно, установив дополнительные серверы IIS SMTP. Дополнительный почтовый ретранслятор для фильтрации электронной почты позволит исключить нелегальные массовые рассылки на сервер Exchange.

Запуск и остановка служб

Вы можете запускать, останавливать, приостанавливать и возобновлять работу служб FTP, SMTP и NNTP с помощью Internet Services Manager (Диспетчер служб интернета), консоли Services Management (Управление службами), а также из командной строки при помощи сетевых команд, приведенных в табл. 10.1.

Имейте в виду, что между командами Stop и Pause существует различие. Несмотря на то, что обе команды запрещают установку новых подключений, команда Pause не закрывает имеющиеся соединения; это делает команда Stop. Именами программ служб FTP, NNTP и SMTP являются msftpsvc, nntpsvc и smtpsvc соответственно. Таким образом, для остановки службы FTP наберите и выполните в командной строке следующую команду:

Службы Windows Media

Службы Windows Media, по существу, не являются службами IIS, однако потоковая передача данных становится популярной веб-службой, поэтому скажем несколько слов о параметрах безопасности медиа-файлов. Если сайт содержит лишь несколько звуковых файлов, то можно использовать потоковое воспроизведение; однако если вниманию пользователей предлагаются веб-демонстрации или конференции, лучше всего использовать для их доставки сервер Windows Media. Компоненты Windows Media обеспечивают множество недоступных по отдельности дополнительных возможностей посредством потоковой передачи данных с IIS. Сервер Windows Media не только эффективнее веб-сервера использует системные ресурсы (процессорное время и полосу пропускания сети), но также обеспечивает две важные функции безопасности – Windows Media Security (Безопасность Windows Media) и Logging (Ведение журнала).

Безопасность Windows Media

Функции безопасности Windows Media ограничивают доступ к медиа-данным на сервере Windows Media и реализовывают платное содержимое. С помощью последней версии Windows Media Rights Manager SDK (Пакет разработки диспетчера прав) создаются приложения, выполняющие шифрование или пакетирование цифровых медиа-файлов и выпускающие лицензии на них. Пакетный файл Windows Media содержит версию файла, зашифрованную при помощи ключа, чтобы открыть файл смог только тот пользователь, который получил на него лицензию. Лицензия выдается отдельно от пакетного файла Windows Media, поэтому содержимое и лицензию на это содержимое можно получить в разное время. Зашифрованные файлы передаются на компьютер в потоковом режиме или загружаются на компьютер пользователя.

Администрирование и ведение журнала

С помощью средства Windows Media Administrator контролируется управление интерактивным содержимым и файлами, отслеживается общий уровень активности системы в режиме реального времени, создаются журналы, содержащие информацию о клиенте и о событиях сервера для выявления нежелательной активности.

Совет. Служба Media Services является относительно новой технологией, и в настоящее время в ней обнаруживаются все новые и новые пробелы в безопасности; по этой причине следует быть в курсе новостей, освещаемых на сайте www.microsoft.com/windows/windowsmedia.

Windows Media и сетевые экраны

Windows Media, как правило, осуществляет потоковую передачу данных через UDP/IP по целому диапазону портов. Для предотвращения проблем, связанных с открытием столь большого числа портов, можно реализовать потоковую передачу через TCP/IP по одному порту (1755). Если политика безопасности не позволяет открывать порт, не являющийся широко используемым, Windows Media может осуществлять потоковую передачу через HTTP по порту 80.

Следующая конфигурация сетевого экрана позволит пользователям интернета осуществлять доступ к серверу Windows Media, находящемуся под его защитой.

Порт "Выход" является портом, используемым Microsoft Windows Media Player или другими клиентами для связи с сервером.

Службы Simple TCP/IP

Simple TCP/IP Services (Простые службы TCP/IP) являются компонентом сетевых служб; они обеспечивают работу служб Character Generator (Генератор символов), Daytime (Время суток), Discard (Сброс), Echo (Эхо) и Quote of the Day (Квота дня). Этот компонент не нужен для IIS, однако многие администраторы устанавливают его, ошибочно полагая, что его используют службы, работающие с протоколами TCP/IP. Мы настоятельно рекомендуем не устанавливать этот компонент, так как уже выполнялись атаки на отказ в обслуживании, направленные на эти службы в Windows 2000. Допустим, что имеются программы, выполняющие по отношению к системам с работающей службой Echo обманные действия, например, реализацию постоянного отражения сообщений в прямом и обратном направлениях. Для проверки состояния службы Simple TCP/IP Services дважды щелкните на каждом подключении локальной сети, имеющемся в окне Network and Dial-up Connections (Сеть и удаленный доступ), и нажмите на кнопку Properties (Свойства) (см. рис. 10.14). Если в списке Components (Компоненты) содержится (или включен) компонент Simple TCP/IP Services, выберите его и нажмите на кнопку Uninstall (Удалить).

Службы IIS играют значительную роль в успехе сайта, однако следует включать в работу только самые необходимые службы. Каждая служба представляет собой потенциальную точку доступа для хакеров, поэтому компоненты нужно тщательно настроить, постоянно контролировать их работу, обновлять посредством установки специализированных надстроек безопасности.

Сводный перечень рассмотренных процедур

• Определите, какие службы нужны для работы сервера IIS.
• Устанавливайте и включайте только те службы, которые действительно необходимы для работы сайта.
• Не устанавливайте и не включайте необязательные службы.
• Ведите учет устанавливаемых служб в журнале служб с указанием соответствующих примечаний (в качестве примера журнала используйте структуру табл. 10.2).
• Все устройства, используемые IIS-службами, нужно отформатировать под файловую систему NTFS.
• Не используйте настройки служб по умолчанию; настраивайте параметры каждой службы отдельно.
• Создайте новые учетные записи для анонимных пользователей FTP и NNTP.
• Убедитесь, что не создан FTP warez-сайт.
• Используйте безопасное FTP-соединение для защиты FTP-трафика.
• Предусмотрите выпуск цифровых сертификатов пользователей и свяжите их с учетными записями при высокой степени конфиденциальности групп новостей.

  Таблица 10.2. Образец журнала служб

  Служба	Установлена	Включена	Защищена	Примечания
  FTP Publishing
  Служба NNTP
  Служба SMTP
  Индексирование содержимого
  Бюро сертификатов
  Локатор RPC
  Сервер
  Телефония
  Удаленный доступ
  Оповещатель
  Сетевой DDE и DSDM
  Агент мониторинга сети
  Простые службы TCP/IP
  Служба WWW

   
• Если нужен сервер индексов, выполните только его установку. Наложите ограничения на индексируемые папки, разрешив индексирование только несекретных файлов.
• Следите за оповещениями безопасности, относящимися к серверу индексов, так как он имеет уязвимые места.
• Отредактируйте сценарии поиска на сервере (файлы .idq) для поиска только определенных файлов и папок, например, обычных файлов HTML.
• Убедитесь, что SMTP-сервер не является открытым ретранслятором почты, доступным из интернета.
• Используйте ретрансляцию SMTP для защиты сервера Exchange.
• Используйте службы Windows Media для защиты авторских прав содержимого, к которому предоставляется управляемый доступ, при этом следите за появлением новых угроз безопасности.
• Не устанавливайте простые службы TCP/IP.