Учетные записи пользователей.

Для предотвращения доступа к узлу IIS контролируются учетные записи пользователей. W2000

2. К методам защиты также относится регистрация по имени и паролю по схеме аутентификации W2000 и применение формуляра «Гость из Интернета».

3. УстановкаNTFS, Kerberos.

4.Права доступа (анонимный, ....).

5.Уменьшение числа протоколов (это усиливает защиту) и отключение службы Server, чтобы пользователи не могли просматривать разделяемые ресурсы.

Это усложнит поиск слабых мест в системе.

6.Удаление лишних компонентов и служб.

Не следует устанавливать ненужные компоненты.

На сайте не устанавливать на запись (write), а только исполнение.

Отключить ненужные расширения ISAPI.

Чтобы злоумышленники не смогли просматривать разделяемые ресурсы IIS, отключить службу Server.

Отключение этой службы затруднит злоумышленникам поиск слабых мест в вашей системе.

7.Контроль доступа по IP-адресу.

Существует дополнительная возможность контроля доступа к серверу IIS - разрешение или запрещение доступа с конкретных IP-адресов.

Например, можно запретить доступ к своему серверу с определенного IP-адреса.

Точно так же можно сделать сервер недоступным для целых сетей.

С другой стороны, можно разрешить доступ к серверу только определенным узлам;

Применение шифрования.

Необходимость в такой защите вызвана тем, что при пересылке пакетов по сети не исключен перехват кадров.

Большинство схем шифрования работает внутри прикладного и транспортного уровня модели OSI.

Некоторые схемы могут работать и на более низких уровнях.

Аутентификация в IIS

Аутентификация – это установление того, что некто является именно им.

Любое Web приложение, доступно ли оно из Интернет или нет, поддерживает

3 типа доступа:

1. Анонимный.

2. Идентифицированный.

3. Аутентифицированный.

В стандартной поставке IIS поддерживает:

Анонимный доступ.

Базовую аутентификацию.

Дайджест аутентификацию.

Интегрированную аутентификацию ( NTLM, Kerberos ).

Есть варианты:

1.Анонимная, базовая, аналитическая, интегрированная, аутентификация при помощи Net Passport.

Basic, Integrated, SSL и клиентские сертификаты – по протоколу HTTPS, Basic по протоколу HTTPS.

В аналитической аутентификации пароли не передаются открыто, как в

базовой.

Анонимный доступ

Позволяет пользователю доступ к WEB – сайту и FTP – сайтам без предъявления имени и пароля.

В этом случае IIS использует учетные записи Guest.

Она создается при установке IIS.

Фактически это доступ без идентификации и аутентификации и без запроса учетных данных.

Однако так как W2000 предполагает обязательную аутентификацию всех пользователей, то при установке IIS создаются учетные записи.

В учетные записи анонимного пользователя может быть введен пароль.

Для анонимного доступа к Web серверу имя компьютера IUSR.

Базовая аутентификация

Это простой протокол аутентификации с применением пароля, который передается по сети открытым текстом.

Вся информация передается открыто.

Пользователь вводит имя и пароль.

Браузер кодирует (64разрядный) пароль и передает его на сервер.

IIS – сервер проверяет имя и пароль и дает доступ к ресурсу.

Фактически используется простой алгоритм Base 64 , который легко расшифровывается.

При базовой аутентификации используются учетные записи из Active directory.

Могут использоваться списки контроля доступа.

Эта аутентификация позволяет использовать прокси - сервер и брандмауэр.

Практически базовая аутентификация не содержит средств защиты.

Однако, если при этом используется SSL/TLS, то данные могут быть зашифрованы.

А если используется Active directory, то можно делегировать учетные записи пользователей (с помощью Kerberos ) при локальной или сетевой регистрации.

Не рекомендуется применять базовую схему, так как имя и пароль передается по сети открытым способом.

                                                  Дайджест аутентификация

Дайджест – это ХЭШ функция (м.б. типа циклических кодов или отпечатков пальцев ).

Это относительно новый протокол.

Дайджест аутентификация использует хэширование учетных данных, паролей и пересылаемых данных (может быть 128, 160 битное ).

По умолчанию используется алгоритм хэширования MD5 (message digest ).

Позволяет работать с прокси- сервером и брандмауэром ( тоже фильтром ).

Пароль в дайджест аутентификации должен храниться в открытом виде, так как другие приложения требуют его открытости, а не ХЭШ.

                                            Интегрированная аутентификация

В IIS используется NTLM ( net lan manager ).

Это был стандартный протокол аутентификации до появления W2000.

В W2000 появился Kerberos, который можно применять и в IIS v5.

                                   Аутентификация на основе сертификации

Система сертификации

Кроме Kerberos, в W2000 для подтверждения достоверности пользователя, конфиденциальности и целостности данных есть поддержка цифровых сертификатов, получивших широкое распространение в Интернет.

В последнее время они получили широкое распространение и в корпоративных сетях.

В W2000 реализована система сертификации на основе стандарта Х.509 (public key infrastructure – инфраструктура - составная часть – систем с открытыми ключами).

Цифровые сертификаты или просто сертификаты - это специальный электронный пакет данных, содержимое которого позволяет однозначно идентифицировать пользователя (участника соединений) и шифровать данные.

Он устанавливает и гарантирует соответствие между открытым ключом и его владельцем.

Основу системы сертификации составляют два компонента:

Цифровые сертификаты.

2. Уполномоченные сертификации.

Сертификаты выдаются специальными уполномоченными организациями - центрами сертификации CA (Certificate Authority).

Сертификат является средством аутентификации пользователя при его обращении к сетевым ресурсам Интернет или корпоративной сети.

Сама процедура получения сертификата включает этап аутентификации пользователя сертифицирующей организацией.

Для получения сертификата клиент должен сообщить сертифицирующей организации свой открытый ключ и те или иные сведения, удостоверяющие его личность.

Все эти данные клиент может отправить по электронной почте или принести на гибком диске лично.

Если некоторому абоненту поступает открытый ключ в составесертификата, то он может быть уверен, что этот открытый ключ гарантированно принадлежит отправителю, адрес и другие сведения о котором содержатся в этом сертификате.

При использовании сертификатов отпадает необходимость хранить на серверах корпораций списки пользователей с их паролями.

Вместо этого достаточно иметь на сервере список имен и открытых ключей сертифицирующих организаций.

Основным назначением цифровых сертификатов является:

1. Аутентификация и авторизация пользователей, включая аутентификацию субъектов соединений протокола IPsec.

2. Обеспечения конфиденциальности передаваемой информации.

Применение сертификатов позволяет гарантировать конфиденциальность передаваемой информации в открытых сетях за счет ее шифрования.

В составе пакета сертификатаесть средства, при помощи которых кодируются данные, в достоверности (целостности) и подлинности которых необходимо убедиться.

При этом ключ, используемый для шифрования, может быть также зашифрован и передан вместе с сообщением.

Дата добавления: 2018-08-06; просмотров: 238; Мы поможем в написании вашей работы!
Поделиться с друзьями:

⇐ Предыдущая 18 19 20 21 22 23 242526 27 Следующая ⇒

Мы поможем в написании ваших работ!