Введение
Что же делать? Отключиться от интернета? Закрыть веб-сайт? Конечно же, нет. Ведь в этом случае организация не сможет долго поддерживать надлежащий уровень. Необходимо проанализировать возможные угрозы и принять соответствующие меры, чтобы не быть растоптанными информационными преступниками.
Книга поможет разобраться в современных требованиях, методах, практических решениях и процедурах, необходимых для защиты веб-сайта Microsoft IIS от атак злоумышленников через бреши в системе безопасности. В ней приводятся пошаговые процедуры, поясняющие возможности защиты, предоставляемые компанией Microsoft.
Защита в интернете – это не просто указание нескольких параметров веб-сервера. Здесь требуется планирование, использование, тестирование, отслеживание работы целого набора защитных систем, работающих совместно и дополняющих друг друга. Цель данной книги состоит в том, чтобы рассказать об аспектах безопасности для реализации практичной и жизнеспособной системы защиты сайта. В ней приводится описание возможных угроз, рассказывается о средствах, применяемых профессионалами для противостояния этим угрозам, и действиях, позволяющих сохранять защиту в течение длительного времени.
Книга состоит из трех частей, имеются приложения и ссылки на источники, которыми вы сможете пользоваться по окончании работы с книгой.
Часть I: Уязвимость, риск и предотвращение угроз
В первой части дается общее представление о наиболее распространенных угрозах и действиях взломщиков, приводится классификация атак, реализующих вторжение на сайт. Это базовые знания, необходимые для обсуждения стратегий защиты данных.
В первой части речь идет о настройке и защите сервера, оборудования и программного обеспечения и обеспечении безопасности в сетях интернет и интранет.
В "лекции 1" обсуждаются угрозы и действия, нарушающие защиту веб-сайта как изнутри, так и извне. Вы познакомитесь с миром хакеров и получите представление о методах их работы, инструментах и ресурсах.
"Лекция 2" содержит информацию о том, какой вред могут нанести хакеры, о вредоносных программах – вирусах, червях и "троянских конях". Приведены примеры известных атак на переполнение буфера и отказ в обслуживании, рассказывается о механизмах преодоления защиты и о способах предотвращения вторжения.
В "лекции 3" речь идет об устранении основных "брешей", небезопасных настроек по умолчанию, ошибок конфигурации, а также приводятся сведения о вредоносных кодах и программах. Пошаговые процедуры помогут "заделать бреши" в защите посредством отключения всех служб, кроме жизненно важных, и добавления новых строго в соответствии с требованиями приложений. Узнав о назначении каждой службы, можно понять результаты, к которым приведет изменение конфигурации. Приводятся инструкции по работе с утилитами и контрольными таблицами Microsoft для обеспечения базовой безопасности и рекомендации по повышению ее уровня.
"Лекция 4" рассказывает об ограничениях на физический доступ, о многоуровневом администрировании, безопасности директорий, о правах и разрешениях пользователей сайта. Приведены сведения о настройке учетных записей анонимных пользователей, о механизмах аутентификации в Windows 2000 и в IIS.
В "лекции 5" обсуждаются протоколирование и аудит, позволяющие следить за функционированием сайта и обнаруживать признаки вторжений. Пошаговые инструкции помогут сконфигурировать защищенные файлы протоколов, разобраться в настройках аудита для создания журнала контроля над действиями пользователей на сайте.
Часть II: Администрирование
Во второй части рассказывается о реализации проектов, политик безопасности и процедур, не включенных в часть I. Описываются дополнительные аспекты настройки безопасности локальной и глобальной сети с помощью Microsoft IIS и приводятся рекомендации по защите информации.
В "лекции 6" обсуждается, что нужно сделать, перед тем как "вдохнуть жизнь" в веб-сайт. Рассказывается о предварительной проверке, резервировании и мерах по восстановлению, необходимых для завершения конфигурации веб-сервера. Речь пойдет о безопасности домена, фильтрации трафика и маскировке адресов интернета, о применении периметровой защиты и демилитаризованных зон. Приводятся инструкции по удаленному управлению, если сайт расположен на сервере поставщика услуг интернета или службы хостинга.
В "лекции 7" описывается контроль над безопасностью сайта после его публикации, методы отслеживания условий работы, реагирования на возможные проявления атак. Приведено описание обычного режима работы сайта, рекомендации по использованию системных оповещений. Объясняется суть аудита, определяющего причину проявления угрозы и степень повреждений.
В "лекции 8" обсуждаются возможности Windows 2000 и IIS по защите сайта и его содержимого. Рассказывается об основных принципах криптографической защиты (шифрование с открытым ключом, цифровые сертификаты и инфраструктура открытого ключа), о цифровых сертификатах Microsoft и сторонних организаций, настройке сеансов SSL и/или TLS.
В "лекции 9" рассказывается о программных и аппаратных продуктах, повышающих уровень физической безопасности и программной защищенности, таких как брандмауэры, VPNS, анализаторы журналов, ускорители шифрования и др.
Часть III: Дополнительные сведения
После установки и настройки веб-служб IIS необходимо ознакомиться с другими службами, медиа-данными и добавляемыми на веб-сайт элементами, требующими определенного уровня защиты. В третьей части приводится описание этих служб и мер по обеспечению их безопасности.
В "лекции 10" обсуждается безопасность служб IIS FTP, NNTP и SMTP, Windows Media и серверных расширений FrontPage.
В "лекции 11" показаны методы защиты интерактивных сценариев и приложений, динамических функций, с помощью которых возможна реализация активного содержимого сервера IIS.
В "лекции 12" рассказывается о безопасности частной информации. На многих веб-сайтах хранятся подробные данные о заказчиках и клиентах, поэтому руководству компаний необходимо обеспечить их конфиденциальность и бережное хранение. В лекции приведены практические рекомендации по поддержанию уровня секретности.
Часть IV: Приложения
В четвертой части содержатся вспомогательные материалы.
"Приложение A" , "Ресурсы безопасности". Ни один человек не сможет в одиночку справиться с обеспечением безопасности веб-сайта. В приложении приводятся ссылки на источники информации по безопасности и профессиональные организации, на обучающие материалы и прочую полезную информацию.
"Приложение B" , "Глоссарий", содержит перечень терминов безопасности, широко используемых в литературе по информационной безопасности.
"Приложение C" , "Справочные таблицы", содержит настройки безопасности, связанные с контролем доступа, аудитом и другими аспектами Windows 2000 и IIS, оформленные в виде таблиц.
"Приложение D" , "Методы аутентификации Microsoft IIS", содержит описание настроек аутентификации пользователей веб-сайта для платформы Windows.