voliuf.narod.ru | друзья | |||
Оплаченная реклама |
Бесплатные учебники по темам |
Партнерская программа |
||
____________________________ |
Интернет-технологии Безопасность IIS 1.Угрозы безопасности в интернете Веб-сайт – это лицо вашей организации. Для клиентов компании веб-сайт является местом, где они получают информацию о торговой марке и производимой продукции. Веб-сайт – это инструмент маркетинга, повышения объема продаж и обеспечения поддержки, используемый для связи с клиентами. На сайте организации сотрудники знакомятся с новостями и получают различную информацию, например, обучающие материалы. Партнеры используют его для сбора необходимой информации. Другими словами, сайт представляет собой хранилище данных, от которых зависит успешная работа с клиентами, сотрудничество с работниками компании и сторонними организациями. По этой причине очень важно обеспечить его безопасность, причем не только веб-страниц, а и всего того, с чем он непосредственно связан. Вся информация, распространяемая и получаемая с помощью сайта, должна быть защищена. 2.Удаление, повреждение и отказ в доступе к данным В лекции 1 приведен обзор угроз безопасности для веб-сайтов Microsoft IIS. Слабо защищенные сайты и системы потенциально подвержены большому количеству атак, как изнутри сети, так и извне – через интернет. Присущие хорошему хакеру основательность, умение программировать, знание информационных технологий и опыт делают его опасным для организации, которая не предприняла мер по защите веб-сайта. При помощи специальных средств даже хакер-любитель сможет добиться успешного результата, используя уязвимые места системы. 3.Подготовка и укрепление веб-сервера Установка сервера Microsoft IIS осуществляется довольно легко за счет применения программы автоматической установки Microsoft. Однако не следует ошибочно полагать, что сервер сразу после установки готов к выполнению своих функций. Необходимо выполнить ряд работ по обеспечению безопасности сервера, перед тем как запускать его. Данная лекция рассказывает об процедурах установки и настройки сервера, с помощью которых можно устранить проблемы, связанные с безопасностью. Даже если сервер уже установлен, выполните нужные действия для корректировки его конфигурации. 4.Учетные записи, аутентификация и политика безопасности После укрепления сервера (см. лекцию 3) сразу же настройте учетные записи пользователей и администратора, а также параметры безопасности Windows 2000 и IIS для них. Следует немедленно отключить ненужные учетные записи по умолчанию. Придется проверить и/или изменить десятки параметров для повышения защищенности веб-сервера. Специалисты в области безопасности считают эти процедуры неотделимыми от процессов укрепления системы. Они настолько важны, что для их описания пришлось выделить целую лекцию. 5.Аудит и журналы безопасности После укрепления системы и настройки безопасности веб-сайта Microsoft IIS необходимо отслеживать попытки нарушения защиты сайта и определять признаки атак или вторжений на сервер. 6.Особенности процесса разработки Разработка представляет собой этап, на котором воплощаются в жизнь все ваши планы и подготовительные мероприятия. После подключения сайта к сети он становится доступным извне и подвергается различным угрозам, поэтому нужно обеспечить все возможные меры безопасности. 7.Жизненный цикл управления безопасностью От знаний о методах взлома и способах устранения угроз безопасности веб-сайта IIS зависит его надежная работа. При этом следует обращать внимание буквально на все, чтобы не упустить какую-нибудь важную деталь. Постоянная бдительность поможет обнаруживать инциденты, связанные с нарушением безопасности, и предпринимать соответствующие меры. 8.Применение шифрования Шифрование применяется для защиты конфиденциальности данных. Шифрование является основным компонентом безопасности большинства операционных систем и программ. 9.Сторонние средства обеспечения безопасности До сих пор мы рассматривали конфигурацию безопасности, касающуюся исключительно IIS, но, к сожалению, этого недостаточно для обеспечения высокого уровня защиты веб-сервера. Для снижения риска успешного проведения атаки применяются сторонние средства, устанавливающие приемлемый уровень общей защиты веб-сервера IIS и сети. Некоторые средства используются для любого веб-сервера, некоторые – только для больших корпоративных веб-серверов. Многие продукты содержат несколько компонентов в одном пакете программ для комплексного обеспечения безопасности. Это означает, что у них имеется один общий интерфейс и единая справочная система. Для небольших организаций с незначительными ресурсами информационных технологий это приемлемое решение, но более крупным требуется объединение самых подходящих средств для достижения нужного уровня безопасности. 10.Безопасность FTP, NNTP и других служб IIS IIS представляет собой полнофункциональный веб-сервер, обеспечивающий широкий спектр полезных служб в дополнение к веб-службам FTP, NNTP и SMTP. Как и служба WWW Publishing Service, компоненты IIS базируются на семействе протоколов TCP/IP и, следовательно, открыты для злоупотребления и использования не по назначению. При включении в работу любой из этих дополнительных служб придется настроить сетевой экран на контроль доступа к необходимым протоколам, портам и адресам. Руководство по применению конкретного сетевого экрана должно содержать инструкции по реализации этого процесса. В данной лекции мы покажем, как обеспечить безопасность компонентов IIS и уменьшить число служб до минимального количества. Нужно ли иметь 10 000 FTP-соединений для своих сотрудников, если в компании работает только 50 человек? 11.Безопасность активного содержимого На данный момент уже установлен сервер IIS, обеспечена его безопасность и теперь вы намерены опубликовать веб-сайт в интрасети или в интернете. Если сайт состоит полностью из статического содержимого (т.е. содержимого, которое изменяется ручным редактированием HTML-страниц или рисунков), то его можно публиковать. Когда посетитель перейдет на веб-страницу, введя ее адрес URL в веб-браузере или щелкнув на гиперссылке, сервер просто отправит файлы, из которых состоит запрашиваемая страница. К сожалению, статическое содержимое часто бывает просроченным или выглядит бедно. 12.Секретность данных в интернете Когда встает вопрос об обеспечении защиты веб-сайта IIS, девизом веб-разработчиков становится: "Мы против них", где под "ними" подразумеваются пользователи, которые пытаются нарушить конфиденциальность, целостность или доступность данных на сайте. На практике же не все данные веб-сервера принадлежат именно его создателю. Посетители сайта вводят или генерируют данные, причем они могут по праву заявить, что предоставляемые данные принадлежат именно им, а не веб-разработчку. Например, данные, которые запрашиваются на сайте непосредственно (информация, необходимая для заполнения формы онлайн-заказа), а также пассивно зафиксированные данные о том, кто посетил сайт, и какие страницы просмотрены посетителями. Пользователи могут присвоить этой информации статус частной, т.е. они имеют право определить, каким образом данные должны использоваться и кем. Веб-разработчик обязан, согласно установленным законам, разрешать пользователям просматривать и изменять принадлежащие им данные, которые сайт собира ет, сохраняет или обрабатывает. В общем случае используются меры безопасности для защиты конфиденциальности любой информации, относящейся к пользователям сайта, но некоторые законодательные документы обязывают обеспечивать безопасность в данном случае. В этой лекции приведен обзор принципов секретности и законов, оказывающих влияние на веб-сайт и его защиту, даны практические рекомендации. Дополнительные материалы Приложение А. Источники информации о безопасности Для обеспечения безопасности важно знать о новых продуктах и технологиях, предлагаемых поставщиками программного обеспечения. При обнаружении нового уязвимого места или вируса, внедрившегося в сеть, обратитесь за помощью на сайты производителей программного обеспечения. Следует помнить, что после атаки одного сайта могут быть атакованы и другие сайты. Производители программного обеспечения призваны работать очень эффективно, чтобы защититься от распределенной атаки на их сервер, предоставив для использования свои самые последние разработки. Приложение В. Глоссарий Приложение С. Справочные таблицы Существуют две наиболее важные и сложные области конфигурации Windows 2000 и IIS: разрешения каталогов и локальная политика безопасности. В книге предложены рекомендации по настройке этих параметров, которые, по нашему мнению, подходят для защиты большей части веб-сайтов. Однако можно провести свое собственное исследование и вывести свои заключения, для чего воспользуйтесь таблицами из Microsoft Windows 2000 Operations Guides по выбору опций и настройке параметров. Приложение D. Методы аутентификации Microsoft IIS IIS содержит несколько параметров аутентификации, которые настраиваются в Internet Services Manager (Диспетчер служб интернета). Это приложение поможет выбрать нужные настройки, а также разобраться в их преимуществах и недостатках. Вкладки с рисунками
|
13 центов(0,13$) за клик, выплаты через WebMoney каждый вторник +10% с рефералов |
||
Мы выкупаем 100% трафа!
$12 за 1000
хостов (РФ),
и до $4
за 1000
хостов (зарубежный траф) +
10% с дохода Ваших рефералов! Выплаты через WebMoney |
||||
~80-100$
за1000 хостов
2.5$ за 1 смс. реф. процент - 10 %Выплаты происходят раз в неделю, в четверг на WebMoney |
||||