Учетные записи пользователей.
Для предотвращения доступа к узлу IIS контролируются учетные записи пользователей. W2000
2. К методам защиты также относится регистрация по имени и паролю по схеме аутентификации W2000 и применение формуляра «Гость из Интернета».
3. УстановкаNTFS, Kerberos.
4.Права доступа (анонимный, ....).
5.Уменьшение числа протоколов (это усиливает защиту) и отключение службы Server, чтобы пользователи не могли просматривать разделяемые ресурсы.
Это усложнит поиск слабых мест в системе.
6.Удаление лишних компонентов и служб.
Не следует устанавливать ненужные компоненты.
На сайте не устанавливать на запись (write), а только исполнение.
Отключить ненужные расширения ISAPI.
Чтобы злоумышленники не смогли просматривать разделяемые ресурсы IIS, отключить службу Server.
Отключение этой службы затруднит злоумышленникам поиск слабых мест в вашей системе.
7.Контроль доступа по IP-адресу.
Существует дополнительная возможность контроля доступа к серверу IIS - разрешение или запрещение доступа с конкретных IP-адресов.
Например, можно запретить доступ к своему серверу с определенного IP-адреса.
Точно так же можно сделать сервер недоступным для целых сетей.
С другой стороны, можно разрешить доступ к серверу только определенным узлам;
Применение шифрования.
Необходимость в такой защите вызвана тем, что при пересылке пакетов по сети не исключен перехват кадров.
Большинство схем шифрования работает внутри прикладного и транспортного уровня модели OSI.
|
|
Некоторые схемы могут работать и на более низких уровнях.
Аутентификация в IIS
Аутентификация – это установление того, что некто является именно им.
Любое Web приложение, доступно ли оно из Интернет или нет, поддерживает
3 типа доступа:
1. Анонимный.
2. Идентифицированный.
3. Аутентифицированный.
В стандартной поставке IIS поддерживает:
Анонимный доступ.
Базовую аутентификацию.
Дайджест аутентификацию.
Интегрированную аутентификацию ( NTLM, Kerberos ).
Есть варианты:
1.Анонимная, базовая, аналитическая, интегрированная, аутентификация при помощи Net Passport.
Basic, Integrated, SSL и клиентские сертификаты – по протоколу HTTPS, Basic по протоколу HTTPS.
В аналитической аутентификации пароли не передаются открыто, как в
базовой.
Анонимный доступ
Позволяет пользователю доступ к WEB – сайту и FTP – сайтам без предъявления имени и пароля.
В этом случае IIS использует учетные записи Guest.
Она создается при установке IIS.
Фактически это доступ без идентификации и аутентификации и без запроса учетных данных.
Однако так как W2000 предполагает обязательную аутентификацию всех пользователей, то при установке IIS создаются учетные записи.
|
|
В учетные записи анонимного пользователя может быть введен пароль.
Для анонимного доступа к Web серверу имя компьютера IUSR.
Базовая аутентификация
Это простой протокол аутентификации с применением пароля, который передается по сети открытым текстом.
Вся информация передается открыто.
Пользователь вводит имя и пароль.
Браузер кодирует (64разрядный) пароль и передает его на сервер.
IIS – сервер проверяет имя и пароль и дает доступ к ресурсу.
Фактически используется простой алгоритм Base 64 , который легко расшифровывается.
При базовой аутентификации используются учетные записи из Active directory.
Могут использоваться списки контроля доступа.
Эта аутентификация позволяет использовать прокси - сервер и брандмауэр.
Практически базовая аутентификация не содержит средств защиты.
Однако, если при этом используется SSL/TLS, то данные могут быть зашифрованы.
А если используется Active directory, то можно делегировать учетные записи пользователей (с помощью Kerberos ) при локальной или сетевой регистрации.
Не рекомендуется применять базовую схему, так как имя и пароль передается по сети открытым способом.
|
|
Дайджест аутентификация
Дайджест – это ХЭШ функция (м.б. типа циклических кодов или отпечатков пальцев ).
Это относительно новый протокол.
Дайджест аутентификация использует хэширование учетных данных, паролей и пересылаемых данных (может быть 128, 160 битное ).
По умолчанию используется алгоритм хэширования MD5 (message digest ).
Позволяет работать с прокси- сервером и брандмауэром ( тоже фильтром ).
Пароль в дайджест аутентификации должен храниться в открытом виде, так как другие приложения требуют его открытости, а не ХЭШ.
Интегрированная аутентификация
В IIS используется NTLM ( net lan manager ).
Это был стандартный протокол аутентификации до появления W2000.
В W2000 появился Kerberos, который можно применять и в IIS v5.
Аутентификация на основе сертификации
Система сертификации
Кроме Kerberos, в W2000 для подтверждения достоверности пользователя, конфиденциальности и целостности данных есть поддержка цифровых сертификатов, получивших широкое распространение в Интернет.
|
|
В последнее время они получили широкое распространение и в корпоративных сетях.
В W2000 реализована система сертификации на основе стандарта Х.509 (public key infrastructure – инфраструктура - составная часть – систем с открытыми ключами).
Цифровые сертификаты или просто сертификаты - это специальный электронный пакет данных, содержимое которого позволяет однозначно идентифицировать пользователя (участника соединений) и шифровать данные.
Он устанавливает и гарантирует соответствие между открытым ключом и его владельцем.
Основу системы сертификации составляют два компонента:
Цифровые сертификаты.
2. Уполномоченные сертификации.
Сертификаты выдаются специальными уполномоченными организациями - центрами сертификации CA (Certificate Authority).
Сертификат является средством аутентификации пользователя при его обращении к сетевым ресурсам Интернет или корпоративной сети.
Сама процедура получения сертификата включает этап аутентификации пользователя сертифицирующей организацией.
Для получения сертификата клиент должен сообщить сертифицирующей организации свой открытый ключ и те или иные сведения, удостоверяющие его личность.
Все эти данные клиент может отправить по электронной почте или принести на гибком диске лично.
Если некоторому абоненту поступает открытый ключ в составесертификата, то он может быть уверен, что этот открытый ключ гарантированно принадлежит отправителю, адрес и другие сведения о котором содержатся в этом сертификате.
При использовании сертификатов отпадает необходимость хранить на серверах корпораций списки пользователей с их паролями.
Вместо этого достаточно иметь на сервере список имен и открытых ключей сертифицирующих организаций.
Основным назначением цифровых сертификатов является:
1. Аутентификация и авторизация пользователей, включая аутентификацию субъектов соединений протокола IPsec.
2. Обеспечения конфиденциальности передаваемой информации.
Применение сертификатов позволяет гарантировать конфиденциальность передаваемой информации в открытых сетях за счет ее шифрования.
В составе пакета сертификатаесть средства, при помощи которых кодируются данные, в достоверности (целостности) и подлинности которых необходимо убедиться.
При этом ключ, используемый для шифрования, может быть также зашифрован и передан вместе с сообщением.
Дата добавления: 2018-08-06; просмотров: 238; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!