Сторонние средства обеспечения безопасности
Перед тем как приобрести привлекательно упакованный продукт для обеспечения безопасности, проверьте, не выпустила ли компания Microsoft аналогичное средство, за которое не нужно платить. Например, программа Microsoft Windows 2000 Internet Server Security Configuration Tool осуществляет сбор информации о том, какие службы необходимо обеспечить, каким образом должен функционировать сервер, после чего генерирует и применяет политику для соответствующей настройки сервера. Другие стандартные базовые средства Windows помогут определить возможные уязвимые места. Ниже приведены примеры таких средств.
- Netstat.exe. Отображает статистику протокола, текущие подключения TCP/IP, все соединения и порты в режиме ожидания.
- Nbstat.exe. Отображает статистику протокола и текущие подключения TCP/IP, использующие NetBIOS через TCP/IP (NBT).
- Net Share. Создает, удаляет или отображает каталоги, к которым открыт общий доступ на сервере.
Эти программы расположены в папке WINNT\System32, но вы могли переместить их на диск с утилитами, о котором говорилось в "Подготовка и укрепление веб-сервера" . В разделе "Утилиты Windows 2000" в справке Windows 2000 объясняется использование этих средств. Например, простым способом проверки открытого состояния только необходимых портов является ввод команды Netstat –a в командной строке. Будут отображены все открытые соединения и порты, находящиеся в режиме ожидания на компьютере. Если обнаружится, что открыт порт, приведенный в списке по адресу http://www.doshelp.com/trojanports.html, то, скорее всего, на компьютере есть "троянский конь".
Совет. Пакет Windows 2000 Server Resource Kit поставляется с программой System Scanner от Internet Security Systems (ISS), он содержит тесты трехсот уязвимых мест для Windows. Этот компонент не устанавливается автоматически, поэтому запустите файл Sysscansetup.exe в папке Apps\Systemscanner на компакт-диске пакета программ.
К сожалению, несмотря на наличие большого количества функций, этот бесплатный пакет придется дополнить некоторыми средствами безопасности для обеспечения защиты сервера IIS.
Опасайтесь демонстрационных файлов и образцов
Перед приобретением новых программ для обеспечения безопасности примите к сведению следующее. Чтобы понять, как работает продукт, необходимо ознакомиться со справочной документацией, прилагаемой к нему. В ней часто содержатся примеры и демонстрационный исходный код. Эти примеры являются лишь примерами, и не более, их ни в коем случае нельзя устанавливать на создаваемый сервер. Это относится и к демонстрационным файлам, доступным на http://localhost.
Будьте в курсе событий
Необходимо оставаться в курсе новых событий, связанных с IIS и средствами безопасности, приобретаемых для защиты сервера, так как программное обеспечение постоянно обновляется в результате открытия новых уязвимых мест.
Крупнейшие производители программного и аппаратного обеспечения предоставляют на своих сайтах техническую поддержку и помощь в конкретных ситуациях (эти справочные данные не всегда легко найти). Создайте закладки для таких сайтов и подпишитесь на все рассылки новостей и форумы, в которых идет речь об интересующих вас продуктах.
Всем пользователям продуктов Microsoft имеет смысл работать с материалом NTBugTraq, расположенным по адресу http://www.ntbugtraq.com. Сразу после выпуска новой надстройки или обновления изучите этот компонент перед установкой на сервер, так как даже в новых версиях сохраняется риск присутствия ошибок. Сопоставьте риск немедленного применения продукта с последствиями в виде отключения защиты служб или их самих, прежде чем утверждать, что новое программное обеспечение не окажет негативного влияния на работу сервера.
Управление надстройками состоит из множества процессов, поэтому оно требует создания журнала аудита, анонсирования и предварительного просмотра, создания тестовых процедур и хорошо продуманного плана возврата к исходному состоянию. Необходимо знать также, какие версии программных продуктов поддерживаются, так как, скорее всего, вы не сможете получить надстройки для неподдерживаемых версий программного обеспечения. Старайтесь находить техническую поддержку и обновлять политику перед выполнением каких-либо действий. Например, Microsoft предоставляет уведомления об окончании поддержки продукта или версии продукта за шесть месяцев по адресу support.microsoft.com/directory/discontinue.asp.
Сетевые экраны
Первое существенное повышение безопасности веб-сервера IIS – это защита с помощью сетевого экрана. В "Особенности процесса разработки" обсуждалась роль сети в защите веб-сайта и других информационных ресурсов, а также говорилось о важности сетевого экрана как периметрового средства защиты. Сетевой экран, как правило, является системой, усиливающей политику контроля доступа между двумя сетями, обеспечивая защиту доверенной сети от сети без доверия с помощью контроля потока данных. Интернет всегда является сетью без доверия, однако и области внутренней сети могут требовать защиты (например, совершенно не обязательно предоставлять всем сотрудникам компании доступ к файлам счетов отдела). Сетевые экраны часто называются шлюзами, так как они представляют собой входы и выходы внутренней и внешней сети. Так как сетевой экран является точкой фильтрации данных, он усиливает политику безопасности и обеспечивает работу дополнительных служб, таких как шифрование и дешифрование проходящего через него трафика.
Многие администраторы уверены, что для защиты веб-сервера и его ресурсов достаточно одного сетевого экрана, который зачастую используется без предварительных исследований конкретного сервера. Сетевой экран эффективен при правильном использовании, лишь в этом случае он обеспечивает необходимое управление и аудит, соответствующие политике безопасности. При правильном выборе сетевого экрана намного легче использовать виртуальные частные сети (VPN) и системы выявления вторжений IDS. При выборе сетевого экрана необходимо ознакомиться с его инструкцией, чтобы понять, как он устроен и какие использует технологии.
Технологии, используемые в сетевых экранах
Для работы сетевого экрана необходимы следующие условия.
- Весь исходящий и входящий трафик должен проходить через сетевой экран.
- Через сетевой экран должен проходить только санкционированный трафик, определенный политикой безопасности.
- Сама система должна быть непреодолима для вторжений.
Сетевые экраны подразделяются на три типа в зависимости от наличия истории соединений и поддерживаемого уровня протокола.
- Сетевые экраны пакетного уровня. Анализируют входящие и исходящие пакеты на сетевом и транспортном уровнях и фильтруют их по IP-адресам источника и пункта назначения.
- Сетевые экраны proxy. Устанавливают соединение с удаленным узлом со скрытием и защитой отдельных компьютеров в сети сетевым экраном, который выступает в роли этих компьютеров и выполняет все функции по дальнейшей передаче пакетов.
- Сетевые экраны, осуществляющие адаптивную проверку пакетов. Функционируют на сетевом уровне, отслеживая каждое подключение, проходящее через сетевой экран, для проверки его корректности. Посредством проверки не только информации заголовка, но и содержимого пакета, вплоть до уровня приложения, сетевой экран осуществляет фильтрацию по контексту, установленному предшествующими пакетами.
Современные сетевые экраны, называемые гибридными, объединяют в себе различные методы обеспечения безопасности. Давайте проведем обзор каждого метода, чтобы понять, каким образом они способствуют защите.
Фильтрация пакетов
Сетевые экраны выполняют различные виды фильтрации пакетов. Маршрутизатор отслеживает пакеты на уровне IP и фильтрует их при проходе между интерфейсами маршрутизатора согласно установленному набору правил. Фильтрация может осуществляться по типу протокола, IP-адресам источника и пункта назначения, а также по исходным и конечным портам. Это позволяет пропускать определенные типы сообщений, например, запросы HTTP, но задерживать другие пакеты. Фильтры пакетов не проверяют данные пакетов, не могут выполнять фильтрацию по содержимому, что означает возможность прохождения потенциально опасного трафика.
Фильтрация пакетов уязвима и к атакам с помощью фрагментированных пакетов. Пакеты не запоминаются после фильтрации, поэтому нельзя определить, была ли попытка соединения вредоносной. Как отдельная линия обороны фильтрация пакетов довольно слаба, поэтому во многих сетевых экранах используются прокси-службы для повышения контроля доступа к системе. Еще одним преимуществом комбинирования двух методов является то, что не требуется устанавливать сложные правила фильтрации, так как фильтру пакетов необходимо пропускать только трафик, направленный на прокси, и блокировать все остальные пакеты. Более простые правила легче применять и, следовательно, проще обеспечить их правильную настройку.