Занятие 2. Средства защиты Internet Information Server

(Продолжительность занятия 15 минут)

Кроме средств обеспечения безопасности Windows NT, Internet Information Server предоставляет администратору целый ряд дополнительных способов для защиты узла Интернета. На этом занятии описаны встроенные средства защиты Internet Information Server.

Изучив материал этого занятия, Вы сможете:

• описать средства защиты Internet Information Server;
• применять аутентификацию и контоль доступа для защиты отдельных файлов и папок;
• реализовывать дополнительную защиту Web- узлов, блокировав доступ по именам доменов и IP- адресам.

Средства защиты Internet Information Server предлагают несколько методов контроля за доступом к серверу Интернета, включая схемы парольной аутентификации и запрет (или разрешение) доступа на уровне IP-адреса. Кроме того, у Вас есть право запретить просмотр каталогов, что не позволит пользователям исследовать структуру каталогов Вашего сервера Интернета.

Контроль доступа по имени пользователя

Чтобы контролировать доступ по имени и паролю пользователя, необходимо использовать какой-нибудь метод аутентификации, например SSL, Private Communication Technology (PCT) или Challenge/Response Windows NT.

Аутентификация

Чтобы предотвратить подключение анонимных пользователей к конфиденциальным материалам, требуйте аутентификации пользователей Web-сервера. При этом посетителю придется ввести уникальные имя и пароль действующей учетной записи пользователя Windows NT. Права доступа аутентифицированного пользователя к файлам и каталогам определяются разрешениями NTFS, присвоенными его учетной записи. Web-сервер выполняет аутентификацию пользователей, если:

• запрещен анонимный доступ;
• пользователю отказано в анонимном доступе, так как анонимной учетной записи не присвоено право доступа к выбранному пользователем файлу или ресурсу.

Если выполнено хотя бы одно из этих условий, Web-сервер откажет в анонимном подключении, а затем применит выбранный Вами метод аутентификации для идентификации пользователя.

Основные методы парольной аутентификации

Существует несколько стандартных методов аутентификации, которые позволяют администратору Internet Information Server управлять доступом к серверу и файлам. Среди них анонимный доступ, базовая аутентификация, аутентификация по методу Challenge/Response Windows NT, а также цифровые сертификаты. В дополнение к ним Вы можете разработать собственные методы, написав соответствующий ISAPI-фильтр. Вот краткая характеристика стандартных методов парольной аутентификации:

• анонимный доступ — для него не требуется пароль; для регистрации пользователя используется специальная гостевая учетная запись (обычно IUSR_имя_ компьютера);
• базовая (HTTP) — имя пользователя и пароль передаются от Web-обозревателя серверу в незашифрованном виде;
• Challenge/Response (Windows NT) — Web-обозреватель передает учетные данные серверу, предварительно шифруя их. Пароль никогда не передается по сети в открытом виде. Этот метод значительно безопаснее, чем базовая аутентификация HTTP, но в настоящее время его поддерживает только Internet Explorer 3.0 и более поздние его версии;
• Ftp — имя пользователя и пароль передаются по сети в открытом (незашифрованном) виде;
• нестандартная — аутентификацию удаленного пользователя выполняет ISAPI-фильтр. Дополнительную информацию об ISAPI-фильтрах Вы найдете в главе 4, «Основы архитектуры IIS».

Примечание При использовании базовой аутентификации пароль передается по Интернету или интрасети в открытом виде. Так как пароль не зашифрован, его может легко перехватить любой имеющий доступ к сети, по которой передаются соответствующие пакеты. Поэтому компания Microsoft настоятельно рекомендует использовать только аутентификацию по методу Challenge/Response Windows NT.

Аутентификация с использованием сертификатов

При аутентификации средствами протокола SSL 3.0 сервер проверяет содержимое зашифрованного цифрового сертификата — удостоверения, предъявленного Web- обозревателем пользователя при регистрации. Пользователи получают эти цифровые удостоверения, или клиентские сертификаты, от сторонней организации, которой доверяют обе стороны. Такой документ обычно содержит идентификационную информацию пользователя и организации, выдавшей сертификат. Сертификаты обсуждаются в главе 10, «Цифровые сертификаты».

Контроль доступа к папкам

Если Ваш узел не должен предоставлять доступ ко всей файловой системе любому желающему, сбросьте флажок Directory browsing allowed в окне свойств Home Directory Вашего Web-узла.

Режим просмотра оглавлений каталогов, отключенный по умолчанию, раскрывает пользователям всю структуру файлов сервера. Если файловая структура не обеспечивает защиту конфиденциальных материалов, раскрывая ее, Вы создаете потенциальную возможность для несанкционированного доступа к материалам.

Контроль доступа по IP-адресу

Возможности Internet Information Server позволяют сконфигурировать его так, чтобы разрешать или запрещать доступ к серверу клиентам с определенными IP-адресами. Например, запретив доступ к своему серверу для определенного IP-адреса, Вы можете оградить себя от конкретных пользователей или даже от целых сетей.

В большинстве ситуаций защиты по IP-адресу достаточно. Однако, ограничивая или разрешая доступ различным IP-адресам, помните, что утлый хакер способен перехватывать пакеты и подменять IP-адрес в их заголовке.

Ограничения на доступ по IP-адресам и именам доменов задаются при помощи административных средств Internet Information Server. Когда Вы конфигурируете параметры защиты конкретного Web-узла или папки, они автоматически распространяются на все содержимое — папки и файлы (если параметры защиты для последних не установлены ранее в индивидуальном порядке). Для папок и файлов, параметры защиты которых уже заданы, Вам будет предложено дать разрешение на замену уже установленных параметров. Такой механизм наследования параметров защиты характерен для всех методов обеспечения безопасности Internet Information Server.

Резюме

Использование методов парольной аутентификации — первый шаг установления контроля за доступом к серверу Интернета. Выясните, какой из методов аутентификации больше подходит для Вашей организации. В качестве дополнительной меры защиты ограничьте доступ к узлу по IP-адресам, запрещая или разрешая доступ к Вашему серверу отдельным пользователям или даже целым сетям.