Следует разработать процедуры для усиления защиты и улучшения выполненных настроек. Необходимо также выполнить один из шагов, соответствующий вашему случаю.

• Убедитесь, что создана резервная копия содержимого и настроек сервера, имеются средства и ресурсы для восстановления системы в случае неполадок.
• Настройте защищенный периметр сети для отделения интернета от интранет-сети. Важную роль в периметровой защите играют маршрутизаторы, сетевые экраны и "демилитаризованные зоны" (DMZ).
• Используйте дополнительные параметры защиты каталога IIS и фильтрацию сетевых пакетов Windows 2000 во внутренней сети, в которой нет брандмауэра, блокирующего и/или ограничивающего доступ на IP-адреса и домены, находящиеся вне сети.

При удаленном управлении сайтом (т.е. он расположен на сервере интернет-провайдера или компании веб-хостинга) он должен быть настроен на безопасное удаленное управление.

В данной лекции обсуждаются меры по обеспечению безопасности управления и функционирования сети. Вы научитесь создавать резервные копии и восстанавливать систему при нарушении безопасности и в непредвиденных ситуациях. Также вы узнаете о фильтрации пакетов, периметровой защите и настройке IIS для работы в различных сетевых архитектурах. Наконец, научитесь безопасно осуществлять удаленное управление.

План восстановления

В политику безопасности нужно включить процедуры по восстановлению сайта. Основой этой стратегии являются регулярно обновляемые резервные копии, а также резервирование данных при каждом обновлении сайта, даже если не подошло время запланированного обновления.

Каждый раз при внесении изменений в конфигурацию сайта следует создавать набор дисков экстренного запуска и восстановления. Диски экстренного восстановления (ERD) возвращают веб-сайт в рабочее состояние после сбоев, вызванных вторжением вируса или вредоносной атакой, выведшей из строя операционную систему. Всегда создавайте резервную копию реестра при создании этих дисков, так как информация о настройках Windows 2000 и IIS хранится именно в реестре. После проведения трудоемкой работы по обеспечению безопасности сайта было бы глупо не сохранить восстанавливаемый набор настроек.

Как же создаются резервные копии содержимого сайта? На общедоступных сайтах используется автоматическое резервирование, например, зеркала дисков или дуплексирование. Использование зеркал дисков заключается в подключении второго диска к контроллеру диска сервера для одновременной записи данных на оба диска. Дуплексирование данных заключается в установке второго контроллера, чтобы у каждого диска был собственный контроллер. Такие системы позволяют создавать полную копию диска сервера, которую можно сразу подключить к работе при выходе из строя основного диска. Но и эти системы не гарантируют полной безопасности и не устраняют необходимость создания копий на съемных носителях вручную, так как и они уязвимы к различным атакам. Например, файловый вирус может легко распространиться на оба диска.

Резервные копии на съемных носителях позволяют физически отделить их от работающей системы, расположить копии в защищенном месте на случай чрезвычайных обстоятельств, таких как пожар, ограбление или стихийное бедствие. Храните резервные копии в удаленном месте, иначе вы решите только половину проблемы!

Экстренное восстановление

В общем случае при повреждении системы используется диск установки Windows 2000. Однако на случай более основательных сбоев нужно создать набор гибких дисков для запуска компьютера и выполнения восстановления, если программа установки системы не распознает на поврежденном диске образ предыдущей системы. Набор гибких дисков состоит из загрузочных установочных дисков и диска экстренного восстановления.

Создание загрузочных дисков установки

Для подготовки гибких дисков используется установочный компакт-диск Windows 2000. Вам понадобятся четыре пустых отформатированных 3,5-дюймовых дискеты объемом 1,44 Мб для установочных дискет и одна дискета для диска экстренного восстановления системы. Пометьте первые четыре дискеты меткой "Установочный диск Windows 2000" с номерами от одного до четырех, а пятую дискету пометьте как "Диск экстренного восстановления Windows 2000".

Для создания установочных дискет Windows 2000 выполните следующее.

1. Вставьте компакт-диск установки Windows 2000 в компьютер и выберите команду Start\Run (Пуск\Выполнить). Появится диалоговое окно Run, показанное на рисунке ниже.

    

   
   
    

    

    
2. Введите команду Z:\bootdisk\makebt32 a: и нажмите на OK (Z: – это обозначение устройства для чтения компакт-дисков, a: – привод гибких дисков).
3. При выполнении команды окно консоли (см. ниже) выдаст инструкцию, согласно которой нужно вставить первый диск. Следуйте инструкциям программы и меняйте диски до тех пор, пока все установочные дискеты не будут готовы.

    

   
   
    

    

    

Теперь у вас имеется набор загрузочных установочных дискет на случай, если система не загрузится с жесткого диска или с компакт-диска. Эти дискеты позволят восстановить Windows 2000, о чем мы расскажем далее.

Подготовка диска экстренного восстановления

Следующим шагом является создание диска экстренного восстановления Windows 2000 (ERD). При возникновении системной ошибки или повреждении сервера этот диск используется для восстановления главных системных файлов с компакт-диска исходной установки Windows 2000 без полной переустановки системы.

При помощи ERD можно выполнить следующие действия по восстановлению.

• Проверка и восстановление загрузочного сектора. Проверяется связь загрузочного сектора системного раздела диска с файлом загрузки операционной системы NTLDR и его повреждение (или изменение).
• Проверка и восстановление среды загрузки. Если необходимые для загрузки файлы отсутствуют или повреждены, то они переписываются с установочного компакт-диска Windows 2000.
• Проверка системных файлов Windows 2000 и замена отсутствующих или поврежденных файлов. На загрузочном системном диске Windows 2000 сравниваются системные файлы с файлами установочного компакт-диска, проверяется наличие всех файлов и отсутствие повреждений. Любой файл, не прошедший данный тест, заменяется.

Совет. При начальной установке Windows 2000 и IIS в загрузочном системном разделе создается папка с именем %systemroot%\Repair, в которую записывается информация о настройках системы. Не следует изменять или удалять данную папку. Исключением из правила является процесс укрепления системы (см. лекцию 3), а именно, удаление файла Security Accounts Manager (Диспетчер безопасности учетных записей). Эта мера сводит к минимуму угрозу атак, направленных на файлы с паролями. Но данное действие делает невозможным восстановление паролей и учетных записей пользователей при восстановлении системы. Восстановить учетные записи и пароли можно с помощью восстановления файла SAM, сохраненного во время последнего полного резервирования системы.

Содержимое диска экстренного восстановления

В программе резервного копирования Windows 2000 есть мастер для создания диска экстренного восстановления ERD. ERD создается посредством копирования отдельных файлов из папки Windows 2000 %systemroot%\Repair на гибкий диск (см. табл. 6.1).

ERD не восстанавливает пользовательские данные или программы. Он просто хранит список файлов, установленных в системе, в файле Setup.log. Это текстовый файл, в котором записаны сведения о компонентах Windows 2000 и их расположении, установленных на сервере. Содержимое файла Setup.log можно просмотреть в любом текстовом редакторе. На рисунке 6.1 показан пример файла Setup.log.

Каждая строка журнала содержит подробную информацию о файлах и каталогах системной папки сервера (папка в загрузочном разделе, содержащая исполняемые файлы, шрифты драйверов и другие файлы). В конце строки записывается CRC (контрольная сумма файла) в двоичном виде. Она вычисляется программой резервирования/восстановления и показывает размер файла. При использовании диска экстренного восстановления ERD с помощью CRC определяется, был ли текущий системный файл изменен (удален, поврежден и т.д.). В этом случае программа восстановления заменит исходный файл новым.

Диск ERD не содержит копии файлов реестра. Тем не менее, при создании диска можно зарезервировать файлы из каталога %systemroot%\Repair. Используйте эту возможность! При повреждении реестра файлы из этой папки помогут восстановить его без выполнения полного восстановления системы.

Создание диска экстренного восстановления

Для создания диска экстренного восстановления используется программа резервного копирования Windows 2000. Приготовьте отформатированный гибкий диск, так как эта программа не сможет выполнить форматирование, и выполните следующие шаги.

1. Выберите команду Start\Accessories\System Tools\Backup (Пуск\ Программы\Служебные программы\Архивация данных). Откроется окно, показанное на рисунке ниже.

    

   
   
    

    

    
2. Нажмите на кнопку Emergency Repair Disk (Диск экстренного восстановления). Появится диалоговое окно Emergency Repair Diskette, показанное на рисунке. На данном этапе создайте резервную копию реестра посредством выбора опции Also Backup The Registry (Архивировать реестр). Резервная копия реестра используется при восстановлении системы в случае повреждения реестра.

    

   
   
    

    

    

   Важно. Резервная копия реестра будет создана в папке RegBack в каталоге %systemroot%/Repair съемного тома операционной системы. Расположение резервной копии реестра на том же диске, что и исходный реестр, сохраняет угрозу повреждения реестра. Копия реестра, созданная посредством ERD, может оказаться полезной, но все-таки лучше физически отделить ее от сервера.

3. Нажмите на OK, и диск будет подготовлен. После окончания процедуры появится диалоговое окно, предписывающее пометить диск названием и текущей датой.

Процедура создания дисков закончена. Следует повторно создавать диски установки и экстренного восстановления при каждом обновлении драйвера, версии, установке нового сервис-пакета или при другом значимом изменении в конфигурации.

Создание резервной копии реестра и информации о состоянии системы

Диск ERD не является альтернативой правильной процедуре резервирования данных. Как говорилось выше, следует также выполнять резервное копирование при внесении серьезных изменений в конфигурацию сервера, даже если время регулярного резервирования данных еще не пришло. Несмотря на то, что полное описание процесса резервирования Windows 2000/IIS выходит за рамки данной книги, некоторые моменты, связанные с этой процедурой, необходимо иметь в виду.

Совет. Инструкции по выполнению резервного копирования и восстановления подробно описаны в документации Microsoft и в справочной литературе на сайте www.microsoft.com/technet.

ПРОБЛЕМА. О восстановлении и устранении неполадок

Надеемся, что вам никогда не понадобятся диски экстренной загрузки и экстренного восстановления. Но если все-таки придется восстанавливать поврежденную систему, имейте в виду одно обстоятельство. При запуске программы установки Microsoft для восстановления системы в окне Setup (Установка) предлагаются два варианта восстановления. Это окно содержит следующую информацию:

При выборе второго варианта установки Windows 2000 (процесса экстренного восстановления) будет восстановлена копия исходного реестра, созданная при инсталляции сайта, а не копия из папки %systemroot%\ Repair\RegBack, полученная при создании диска экстренного восстановления. В этом случае все настройки, выполненные в процессе работы с первыми пятью лекциями этой книги, будут утеряны! Используйте консоль восстановления для копирования резервных файлов реестра, содержащих изменения конфигурации, в папку %systemroot%\System32\ Config.

Если изменялась только конфигурация сайта, то не нужно выполнять полное восстановление сервера. Используйте программу восстановления Windows 2000, позволяющую резервировать только состояние системы. При выборе опции резервирования состояния системы осуществляется резервное копирование следующей информации.

• Реестр сервера (данные конфигурации).
• Файлы загрузки (необходимы для запуска компьютера).
• Файлы операционной системы (необходимы для запуска операционной системы).
• База данных регистрации классов COM+ (информация, используемая службами компонентов и приложениями COM+).

Процедура резервирования состояния системы Windows 2000/IIS выполняется следующим образом.

1. Выберите команду Start\Accessories\System Tools\Backup (Пуск\ Программы\Служебные\Архивация данных). Затем щелкните на значке Backup Wizard (Мастер восстановления) вверху окна.
2. При работе с мастером появится окно (см. рисунок) для выбора данных, необходимых для резервирования. Выберите опцию Only Back Up The System State Data (Только данные о состоянии системы). После этого нажмите на Next (Далее).

    

   
   
    

    

    
3. Выберите устройство и место расположения резервной копии в окне, показанном ниже. Рекомендуется сохранять резервную копию на съемном носителе, чтобы хранить ее в другом месте, не на этом компьютере. Присвойте файлу имя и нажмите на кнопку Next (Далее).

    

   
   
    

    

    
4. Нажмите на кнопку Finish (Готово), и процесс создания резервной копии начнется.

Можете перед началом резервирования указать дополнительные параметры, например, резервирование только внесенных изменений. Этот параметр используется, если резервная копия состояния системы представляет файл очень большого размера. На следующем рисунке показан отчет о проведении резервирования состояния системы. Файл резервной копии имеет размер около 250 Мб, а процедура резервирования данных с удаленного диска через сеть заняла менее двух минут.

Безопасность резервного копирования

Необходимо соответствующим образом настроить политику безопасности, если вы планируете поручать резервирование другим пользователям, поскольку они имеют доступ ко всем файлам на сервере.

Элементы управления архивацией данных

Ниже показаны некоторые ограничения для операторов резервного копирования.

• Привилегии по резервному копированию не должны присваиваться учетным записям обычных пользователей. Резервирование выполняется администраторами или группами пользователей со специальными полномочиями. В Windows 2000 есть для этого группа Backup Operators (Операторы резервного копирования). Помните, в лекции 5 шла речь о параметре Enable Auditing For Backups (Включить аудит резервного копирования) для группы Backup Operators? Очень важно использовать эту группу при передаче полномочий другим лицам.
• Члены группы Backup Operators должны иметь специальные учетные записи для входа в систему. Ни один пользователь не должен иметь привилегии резервного копирования помимо прав обычной учетной записи. Операторам резервного копирования даются новые учетные записи с полномочиями резервирования, даже если в результате у них окажется на сервере две учетные записи.
• Рекомендуется устанавливать ограничения на учетную запись операторов резервного копирования, например, принудительный вход пользователя с определенной системы и выполнение резервирования только в определенные часы.

Угроза, создаваемая передачей полномочий резервирования, заключается в том, что пользователи с правами на резервирование могут восстановить архивируемые файлы на другой системе (несмотря на то, что они не могут напрямую считывать архивируемые файлы). Меры предосторожности предназначены для контроля над процессом резервирования. Используйте аудит группы Backup Operators и создание контрольного журнала. Ограничения на расположение позволят применить для повышения безопасности системы регистрацию и проверку носителей.

Настройка контроля доступа к резервированию и установка ограничений

Создать учетные записи операторов резервного копирования достаточно просто. Если веб-сервер является отдельным сервером, то для локального создания учетных записей используется консоль MMC Computer Management (Управление компьютером). Если сервер находится в домене Windows интранет-сети, используется средство Active Directory Users and Computers (Пользователи и компьютеры Active Directory).

Ниже приведены шаги соответствующей процедуры.

1. Выберите нужное средство MMC в меню Start (Пуск) или в папке Administrative Tools (Администрирование) в панели управления. Отобразится консоль, имеющая следующий вид.

    

   
   
    

    

    
2. Откройте записи в дереве и найдите папку Users (Пользователи) в папке Local Users and Groups (Локальные пользователи и группы). Щелкните правой кнопкой на папке Users и выберите в появившемся меню New User (Новый пользователь), чтобы открыть диалоговое окно New User, показанное ниже.

    

   
   
    

    

    
3. Введите новое имя пользователя учетной записи, описание и пароль (согласно локальной или групповой политики безопасности), после чего нажмите на кнопку Create (Создать). После закрытия окна новая учетная запись пользователя появится в папке Local Users and Groups (Локальные пользователи и группы) консоли MMC.
4. Щелкните правой кнопкой мыши на учетной записи и выберите команду Properties (Свойства), чтобы открыть окно Properties для добавления учетной записи в группу Backup Operators (Операторы резервного копирования). В окне Properties откройте вкладку Member Of (Член группы).
5. Рекомендуется удалить учетную запись из группы Users, так как необходимо отслеживать абсолютно все действия, выполняемые оператором резервного копирования.
6. Нажмите на кнопку Add (Добавить) и выберите группу для добавления учетной записи в список Backup Operators (Операторы резервного копирования), показанный на рисунке. Вы увидите, что новая учетная запись теперь является членом группы.

    

   
   
    

    

    

После добавления членов в группу Backup Operators для завершения настройки требуется установить ограничения на расположение. В Windows 2000 это делается с помощью политики "разрешенной рабочей станции входа".

Структура сети и фильтрация пакетов в интранет-сети

В результате работы по физической защите сайта (укрепления сервера, настройки локальной политики безопасности, аутентификации, настройки доступа и аудита действий пользователей) создаются защитные барьеры, предотвращающие несанкционированный доступ к системе. Во внутренней сети еще одним барьером защиты является фильтрация.

Совет. Если вы используете фильтрацию на веб-сервере в интранет-сети и физически расположили сервер в защищенном месте, то фильтрация на сетевом интерфейсе, предназначенном для управления сервером, не нужна. Не используйте фильтрацию, если приняты основательные меры по физической защите.

Возможности фильтрации пакетов в Windows 2000

Windows 2000 содержит возможность фильтрации в стеке протоколов TCP/IP. Используется простой набор правил, блокирующий все порты, кроме указанных (или открывающий доступ ко всем портам, кроме указанных), либо блокирующий (разрешающий) доступ по всему протоколу в целом.

Совет. Возможности Windows 2000 используются как в интернете, так и в интранет-сетях. Тем не менее, если сайт организации подключен к интернету, то сетевые экраны обычно используются для блокировки и фильтрации пакетов. Сетевые экраны имеют большие возможностями по блокировке, используя сложный набор методов для предотвращения проникновения в сеть различных видов трафика интернета. Полезные в интранет-сетях фильтры Windows 2000 не заменят собой хороший сетевой фильтр интернета.

Ниже приведены шаги по применению фильтрации TCP/IP в Windows 2000.

1. Выберите команду Start\Settings\Control Panel (Пуск\Настройка\ Панель управления) либо щелкните правой кнопкой мыши на значке My Network Places (Сетевое окружение) на рабочем столе и откройте панель управления.
2. Щелкните на значке Network And Dialup Connections (Сеть и удаленный доступ), щелкните правой кнопкой мыши на значке Local Area Connection (Подключение по локальной сети) и в появившемся меню выберите команду Properties, чтобы открыть окно Local Area Connection Properties (Свойства подключения по локальной сети), показанное ниже.

    

   
   
    

    

    
3. Отметьте компонент Internet Protocol (TCP/IP) и нажмите на кнопку Properties, чтобы открыть окно Internet Protocol (TCP/IP) Properties (Свойства протокола интернета TCP/IP).
4. Нажмите на кнопку Advanced (Дополнительно) в левом нижнем углу окна Internet Protocol Properties, чтобы открыть окно Advanced TCP/IP Settings (Дополнительные параметры TCP/IP), после чего откройте вкладку Options (Параметры). На рисунке показаны параметры TCP/IP.

    

   
   
    

    

    
5. В списке опций выберите TCP/IP Filtering (Фильтрация TCP/IP) и нажмите на кнопку Properties, чтобы открыть диалоговое окно TCP/IP Filtering (Фильтрация TCP/IP), показанное на рисунке.

    

   
   
    

    

    
6. Используемые правила фильтрации зависят от назначения сайта и от выполняемых на нем приложений. Если веб-сайт содержит только статические веб-страницы, заблокируйте все, за исключением порта TCP 80 для HTTP. Для этого выберите опцию Permit Only (Разрешить только) в столбце TCP, нажмите на кнопку Add (Добавить) и в появившемся диалоговом окно укажите номер порта. При использовании сайтом протокола защищенных сокетов (SSL) необходимо указать порт 443. Перед нажатием на кнопку OK отключите опцию Enable TCP/IP Filtering (all adapters) [Включить фильтрацию TCP/IP (все адаптеры)], если не будете применять это правило к сетевому интерфейсу, используемому для управления сервером.

Важно. Будьте осторожны с правилами! Если вы выберете Permit Only (Разрешить только) и не укажете ни одного номера порта, это будет интерпретировано как запрет по всем портам, и на сайт не сможет попасть ни один пользователь.

Процесс фильтрации аналогичен процессу, выполняемому для протокола UDP. Необходимо знать номер порта, для которого создается правило. Третий столбец в диалоговом окне TCP/IP Filtering (Фильтрация TCP/IP), имеющий заголовок IP Protocol (Протокол IP), используется для фильтрации по определенному протоколу. Необходимо указать протокол по номеру из справочной таблицы, поддерживаемой орагнизацией интернет-стандартов Internet Engineering Task Force (IETF) (см. приложение C). По мере необходимости можете добавлять в список новые протоколы.

Совет. Информация по параметрам IP-протокола имеется на сайте Microsoft Technet (www.Microsoft.com/technet) в разделе "IP Protocol Filtering" или в документе с номером Q309798.

Функция фильтрации IIS

IIS позволяет устанавливать правила фильтрации, запрещающие доступ к сайту с определенных IP-адресов или доменов DNS. Выше шла речь о том, что фильтрация Windows 2000 недостаточно эффективна для использования в интернете. Для этого идеально подходит фильтрация IIS, например, домены и ограничения IP-адресов могут использоваться для запрета доступа к сайту конкурентов вашей организации. Фильтры работают посредством создания общего правила, отказывающего в доступе (или предоставляющего доступ) для доменного имени, определенных сетевых IP-адресов или диапазона IP-адресов с последующим указанием исключений для игнорирования общих фильтров.

Управление этой функцией осуществляется через MMC Internet Services Manager (Диспетчер служб интернета). Фильтр можно применить ко всем сайтам на сервере либо по отдельности к каждому.

ПРОБЛЕМА

Фильтрация широко используется для обеспечения информационной безопасности. Она применяется в Windows 2000, в сетевых экранах, на веб-серверах, в других продуктах. Вы уже использовали эту возможность ранее. Отключая протокол NetBIOS при укреплении сервера (см. лекции 3), вы выполняли фильтрацию пакетов по этому протоколу. В этом случае вы не создавали собственное правило, так как фирма Microsoft предоставила соответствующую опцию.

Не принято использовать метод номеров протоколов фильтрации TCP/IP для отдельного протокола. Тем не менее, он пригодится при создании собственных приложений на сервере Windows 2000 или веб-сайте IIS, использующем специальные протоколы и номера портов. В этих случаях можно блокировать все протоколы, кроме протокола, используемого определенным приложением.

Ниже приведена процедура настройки фильтрации IIS.

1. Откройте консоль MMC Internet Services Manager (Диспетчер служб интернета), выбрав команду Start\Administrative Tools (Пуск\Администрирование). Отобразится консоль Internet Information Services, показанная ниже.

    

   
   
    

    

    
2. Щелкните правой кнопкой мыши на имени сервера, если требуется настроить свойства глобально для всех веб-сайтов, или на отдельном веб-сайте под именем сервера. В появившемся меню выберите команду Properties (Свойства).
   • При установке глобальных свойств для всех веб-сайтов отобразится окно Server Properties (Свойства сервера), показанное на рисунке. Убедитесь, что отмечена опция WWW Service (Служба WWW) в диалоговом окне Master Properties (Главные свойства), после чего нажмите на кнопку Edit (Изменить) для перехода в окно Properties.

      

     
     
      

      

      
   • Если рассматривается каждый сайт по отдельности, то при выборе команды Properties перейдите в следующее окно, содержащее вкладки со свойствами сайта. Откройте вкладку Directory Security (Безопасность директории).

      

     
     
      

      

      
    
3. В области IP Address And Domain Name Restrictions (Ограничения IP-адресов и имен доменов) вкладки Directory Security нажмите на кнопку Edit (Изменить), чтобы открыть следующее диалоговое окно.

    

   
   
    

    

    

Диалоговое окно IP Address and Domain Name Restrictions используется для создания правил доступа. Начните с выбора опции Granted Access (Доступ разрешен) или Denied Access (Доступ запрещен) для установки правил своей политики. Выбор зависит от того, какая цель стоит перед вами. Если требуется открыть полный доступ к сайту, но заблокировать доступ через небольшое число доменов или адресов, выберите опцию Granted Access (Доступ разрешен), а затем создайте список запрещенных сайтов. Если требуется полностью закрыть доступ, но предоставить доступ столь же малой группе, как в предыдущем случае, выберите опцию Denied Access (Доступ запрещен) и создайте небольшой список сайтов, доступ которым разрешен.

Ниже приведена процедура создания правила, блокирующего отдельные IP-адреса или имена доменов.

1. Выберите опцию Granted Access (Доступ разрешен), чтобы создать основу для правила.
2. Определите исключения из правила (т.е. адреса, доступ с которых необходимо блокировать), нажав на кнопку Add (Добавить) для открытия окна Deny Access On (Запретить доступ с), в котором создается перечень адресов или доменов (если таковые есть).

    

   
   
    

    

    
3. В диалоговом окне Deny Access On (Запретить доступ с) выполните одно из действий.
   • Запретите доступ с одного компьютера локальной подсети или определенного домена, для чего выберите опцию Single computer (Один компьютер) и введите его IP-адрес в поле IP Address и имя домена, если компьютер находится не в вашей локальной подсети. Для указания домена нажмите на кнопку DNS Lookup (Поиск по DNS).
   • Запретите доступ группе компьютеров в той же подсети, для чего выберите опцию Group of computers (Группа компьютеров) и введите идентификатор сети и маску подсети в поля ввода данных в нижней части диалогового окна. Идентификатором является первый IP-адрес в диапазоне блокируемых адресов. Маска подсети обозначает размер диапазона. Это значение варьируется для каждой организации и зависит от типа используемых адресов (Class A, Class B или Class C). Например, если организация использует адреса типа Class C, а нужно заблокировать все адреса с начала вашего диапазона до адреса 128, значением маски подсети будет 255.255.255.128, так как в адресах типа Class C первые три поля обозначают номер сети, а последнее число – номер узла.

     Совет. Осуществите поиск в интернете по строке "TCP/IP Addressing", чтобы получить дополнительную информацию о типах адресов и масках подсети. Хорошим источником информации является сайт http://www.techtutorials.com/tutorials/tcpguide.shtml.

   • Запретите доступ к домену интернета, для чего выберите опцию Domain Name (Доменное имя) и введите имя домена в поле внизу диалогового окна.
    

Повторите процесс добавления для любых других адресов, групп адресов или доменов, фильтрация которых необходима. После создания правил отказа в доступе они отобразятся в списке исключений окна IP Address and Domain Name Restriction (Ограничения на доступ с IP-адресов и доменов).

Совет. Появится сообщение с предупреждением о снижении производительности работы, если указана блокировка для отдельных компьютеров в определенных доменах, так как в этом случае серверу придется выполнять обратный поиск по DNS. Иными словами, сервер будет сопоставлять адрес каждого посетителя с масками подсети доменов в DNS при каждом посещении сайта новым пользователем. Подумайте о том, разумно ли применять фильтрацию при блокировке доступа большого числа компьютеров.

Важно. Фильтрация по IP-адресам работает эффективно только в случае, если системы используют фиксированный IP-адрес. В интранет-подсети, использующей протокол динамической конфигурации узла (DHCP), многие адреса систем не являются постоянными, поэтому фильтрация по адресу проблематична и бесполезна, но в интернете, тем не менее, будет работать фильтрация имен доменов.

Обеспечение безопасности сетевого периметра

Все уровни защиты, установленные до сих пор, созданы на самом сервере, а этого недостаточно для всестороннего обеспечения безопасности. Когда веб-сервер станет общедоступным в интернете, сеть сыграет свою роль в защите веб-сайта и IT-ресурсов.

Внешним уровнем защиты сайта является безопасный сетевой периметр. Если ISP предоставляет возможность размещения сервера, внешние границы сетевого периметра расширятся до объемов услуг хостинга, предоставляемых провайдером. Если предпочтительней разместить сайт в собственной организации, то сетевой периметр будет гораздо уже. В любом случае, с сетевого периметра начинается защита веб-сайта, и нужно убедиться в отсутствии внутри периметра элементов, которые могут навредить сайту или вызвать неполадки в другой системе.

Фильтрация с помощью сетевых экранов и маршрутизаторов

Для защиты сетевого периметра требуются устройства, обеспечивающие безопасность каждой точки доступа в сети. Эти устройства осуществляют блокировку и фильтрацию сетевого трафика, в результате для выполнения через периметр допускаются только действия по определенным адресам или с определенных адресов, а также через определенные порты, как показано на рисунке.

Устройства периметровой защиты называются сетевыми экранами. Сетевые экраны предотвращают сканирование внутренней сети организации, обеспечивают запрет действий по сбору данных о сети, игнорирование массовых потоков пакетов, отправляемых при атаках на отказ в обслуживании, а также запрещают другие действия, используемые хакером для проникновения во внутреннюю сеть. Правила блокировки и фильтрации определяются политикой безопасности организации.

Совет. Выше рассказывалось об использовании сетевых экранов для защиты внутренней сети от атак из интернета. Эти устройства используются и для защиты ресурсов от атак во внутренней сети. Сетевые экраны отделяют и защищают один сегмент сети от другого, независимо от типа сети (общая или частная) и систем, имеющихся в сегментах.

Лучшие сетевые экраны обеспечивают работу служб безопасности, включающих фильтрацию пакетов, сетевую трансляцию адресов (NAT) и проверку корректности пакетов. Фильтрация пакетов в сетевом экране блокирует запросы Internet Control Message Protocol (ICMP). Сетевая трансляция адресов скрывает реальный сетевой адрес веб-сервера. Проверка корректности пакетов заключается в том, что пакеты сетевого трафика проверяются, а пакеты, поступившие из интернета и не являющиеся текущим сетевым сеансом, открытым во внутренней системе, блокируются. При совместном использовании эти функции обеспечивают надежную защиту системы.

Службы сетевого экрана всегда предоставляются в комплекте с сетевым маршрутизатором, соединяющим две сети по обе стороны от него. В зависимости от своей комплексности маршрутизатор настроен на выполнение фильтрации пакетов и трансляции сетевых адресов; он позволяет также блокировать порты и проверять пакеты.

Такая конфигурация увеличивает среднюю производительность сети. На рисунке показана конфигурация сети, работающая именно таким образом.

Безопаснее и проще в данном случае настроить сетевой экран на блокировку всех портов и проверку всех пакетов. После этого можно выборочно открыть порты для работы нужных служб. Чтобы сделать веб-сервер доступным для работы через интернет, достаточно открыть только порты 80 (http-протокол) и 443 (https-SSL протокол).

Использование демилитаризованной зоны сети

К сожалению, если порты открыты через периметр, защищаемый одним сетевым экраном, то безопасность периметра будет слабой. Это все же лучше, чем отсутствие сетевого экрана, но такой способ защиты не является оптимальным. Если поставщик услуг интернета предоставляет такую возможность и при наличии ресурсов, для максимального уровня защиты следует применить конфигурацию сети, называемую демилитаризованной зоной. Демилитаризованная зона (DMZ) позволяет разместить веб-сервер в отдельном сегменте сети вне интранет-сети (см. рисунок).

Аббревиатура DMZ происходит от военного термина "демилитаризованная зона", описывающего нейтральную территорию между двумя враждующими армиями. Примером является зона между Северной и Южной Кореей. Демилитаризованная зона изолирует две страны друг от друга так же, как сетевая DMZ разделяет две сети. Чаще всего демилитаризованная зона применяется между интернетом и внутренней сетью организации. Если хакер успешно преодолеет первый сетевой экран, он сможет атаковать только серверы в демилитаризованной зоне.

Принцип работы DMZ заключается в том, что трафик не может переходить из одной сети в другую без маршрутизации. Располагая веб-сервер в демилитаризованной зоне, вы тем самым размещаете его в другой подсети, поэтому маршрутизатор, граничащий с внутренней сетью, и сетевой экран используются для фильтрации и проверки трафика в процессе маршрутизации. DMZ представляет собой проверенный способ защиты, и при ее использовании желательно разместить в ней и другие службы интернета, например, Simple Mail Transfer Protocol/Post Office Protocol (почтовые протоколы SMTP и POP).

Сетевой экран, расположенный между DMZ и внутренней сетью, должен содержать правила, отличные от правил сетевого экрана, установленного перед демилитаризованной зоной. Этот сетевой экран должен пропускать только вызовы служб, относящихся к внутренним приложениям, и не допускать проникновения произвольного входящего веб-трафика внутрь сети через порт 80. Иными словами, сетевой экран должен пропускать только входящий трафик, поступающий с сервера в DMZ, которому необходимо установить связь с одной из внутренних систем, будь это сеанс браузера на настольном компьютере или приложение, к которому подключен веб-сервер. Например, если веб-серверу нужно извлечь или отобразить данные из базы данных клиентов, он подключается к базе данных с помощью языка SQL, для чего открывает порты TCP на сетевом экране для пропуска запросов и ответов SQL и блокирует все остальные данные. Для Microsoft SQL Server это порт 1433 для исходящего трафика и порты с1024 по 65535 для исходящего (порты индивидуальны для каждого приложения).

Для усиления защищенности сети используются различные типы сетевых экранов по обе стороны от демилитаризованной зоны, каждый из которых имеет свои преимущества и недостатки. Если на подступах к сети расположить сетевые экраны различных типов, то хакер не сможет использовать один и тот же эксплоит для преодоления обеих систем. Ошибка на одном из сетевых экранов, вероятно, отсутствует на другом. Поэтому использование двух сетевых экранов обеспечит еще один уровень безопасности, усложнит взлом системы и повысит вероятность того, что защита устоит перед атаками хакеров.

Безопасность удаленного управления

Если веб-сайт расположен у провайдера или локально в демилитаризованной зоне, отделяющей веб-сайт от интранет-сети, то обеспечен необходимый и хорошо действующий барьер безопасности. Сетевой экран, отделяющий DMZ от интранет-сети, блокирует трафик, представляющий угрозу для внутренних систем. К сожалению, консоль MMC Internet Information Services Manager (Диспетчер IIS) не работает через сетевой экран по умолчанию, поэтому нельзя осуществлять удаленное управление веб-сайтом без изменения сетевой конфигурации. Microsoft объясняет это тем, что IIS Manager изначально создан для обеспечения безопасности, так как обычное TCP-приложение потенциально представляет угрозу статусу секретности информации о сети.

Разумеется, если вы не находитесь рядом с сервером, этот вариант для вас неприемлем, особенно, если сайт расположен у провайдера. Для решения проблемы выберите один из следующих подходов.

• Используйте консоль MMC Internet Information Services Manager (Диспетчер IIS) через виртуальную частную сеть VPN. Используя протокол туннелирования PPTP или протокол безопасного интернета IPSec, встроенного в протокол L2TP, можно организовать виртуальную частную сеть с шифрованием через сетевой экран в удаленное место, где находится веб-сайт.
• Используйте HTMLA через SSL. HTML-версия диспетчера IIS (называется HTML Administration, HTMLA – HTML-администрирование) работает через сеанс шифруемого соединения SSL.
• Используйте службы терминала Windows 2000. Компонент Terminal Services (Службы терминала) позволяет запускать консоль MMC на удаленной рабочей станции с использованием шифрования для администрирования IIS с рабочего стола.

Совет. Мы не рекомендуем использовать веб-интерфейс HTMLA, даже вместе с SSL, так как он работает совсем недавно, и рано судить о степени его безопасности. В качестве альтернативы канала VPN или шифруемого канала используйте службы терминала.

Виртуальные частные сети

Технология виртуальных частных сетей (VPN) обеспечивает безопасные подключения к удаленно управляемому веб-сайту посредством выделения авторизованного шифруемого канала связи между двумя расположениями. С помощью MMC через VPN успешно осуществляется удаленное управление, но его довольно сложно настраивать.

Если сайт расположен у интернет-провайдера, то, скорее всего, последний поддерживает службу VPN, на которую можно подписаться. При отсутствии такой возможности можно самостоятельно настроить свой собственный канал VPN.

При использовании виртуальных частных сетей существуют следующие варианты.

• Применение служб VPN, основанных на Microsoft Windows 2000. Придется выделить сервер в расположении веб-сайта, который станет сервером VPN, чтобы не снижать производительности веб-сайта.
• Использование служб VPN, имеющихся на сетевых экранах (CheckPoint или Raptor) либо на маршрутизаторах фирм Cisco, 3Com и др.
• Использование выделенной программно-аппаратной платформы сервера VPN.

При выборе нужного варианта руководствуйтесь следующими соображениями. При выборе VPN-служб Windows 2000 появится возможность использовать PPTP, но нельзя будет применять IPSec. В остальных случаях вы будете использовать IPSec, что потребует применения цифровых сертификатов и PKI. О шифровании пойдет речь в лекции 8, в которой также имеется обзор PKI. Лекция 9 рассказывает об использовании служб Windows 2000 ISA для каналов VPN и о сторонних продуктах VPN.

Службы терминала Windows 2000

Для установки Terminal Services (Службы терминала) на сервере IIS в режиме удаленного администрирования войдите на сервер в качестве администратора и выполните следующие действия.

1. В панели управления откройте значок Add/Remove Programs (Установка и удаление программ). Отобразится окно, показанное на рисунке.

    

   
   
    

    

    
2. Запустите мастер Add/Remove Windows Components (Установка и удаление компонентов Windows); мастер поможет установить компонент Terminal Services (Службы терминала) (см. рисунок).

    

   
   
    

    

    
3. Отметьте опцию Terminal Services и нажмите на кнопку Next (Далее). Отобразится страница настроек мастера.

    

   
   
    

    

    
4. Выберите опцию Remote Administration Mode (Режим удаленного администрирования) и нажмите на кнопку Next (Далее), чтобы начать установку.

По завершении установки откройте меню Start (Пуск), выберите группу Administrative Tools (Средства администрирования), затем – Terminal Services Configuration (Настройка служб терминала) и дважды щелкните на подключении, для которого необходимо изменить уровень шифрования. В окне Encryption Level (Уровень шифрования) укажите высокий уровень шифрования.

Для установки файлов клиента терминала на удаленную рабочую станцию, с которой вы будете управлять сервером, откройте меню Start (Пуск), выберите группу Administrative Tools (Администрирование) и далее – Terminal Services Client Creator (Создание клиента служб терминала), чтобы создать установочные диски для компьютеров-клиентов Terminal Services.

Совет. Для запуска Terminal Services в режиме удаленного администрирования не нужна лицензия доступа для клиента сервера терминала. В режиме удаленного администрирования по умолчанию допускается максимум два одновременных подключения на сервере терминала.

Сводный перечень подготовительных действий перед началом работы сайта

• Создайте набор средств восстановления перед подключением веб-сервера к интернету:
  • создайте загрузочные диски установки;
  • создайте диск экстренного восстановления;
  • создайте резервные копии реестра и состояния системы.
   
• Выполните полное резервное копирование системы с сохранением копии отдельно от сайта.
• Используйте фильтрацию Windows 2000 для обеспечения дополнительной защиты в сети интранет.
• Убедитесь, что обеспечена безопасность сетевого периметра веб-сервера в интернете:
  • примените демилитаризованные зоны;
  • примените фильтрацию пакетов с помощью сетевых экранов для блокирования внешнего трафика;
  • рассмотрите вопрос об использовании каналов VPN.
   
• Используйте шифруемый сеанс связи для удаленного управления.