Июнь 2010

Как правило, при установке соединения с защищенной Web-страницей иден — тификатор сервера сайта (сертификат) можно просмотреть в браузере, как пока — зано на рис. 12.9.

В сети Internet можно найти несколько органов сертификации. Перед приоб —

ретением идентификатора сервера убедитесь, что тип сертификата совместим с

программным обеспечением вашего сервера. Большинство сертификатов поддер — живают протокол защищенных сокетов (SSL-протокол) — протокол, которым пользуются большинство серверов для установки защищенного соединения.

624 Глава 12. Безопасность и производительность







ПРАКТИКУМ

Для начала компания VeriSign предлагает воспользоваться пробным идентифика — тором сервера, который можно выгрузить, установить и использовать в течение

14 дней. С помощью пробного идентификатора сервера можно подготовить про — граммное обеспечение для использования постоянного идентификатора сервера, выдаваемого органом сертификации. Кроме того, он будет интересен тем, кто просто желает больше узнать о создании защищенных Web-сайтов. Компания VeriSign приводит инструкции для установки идентификатора сервера с целью его использования с конкретным программным обеспечением. Пробный иденти — фикатор сервера можно выгрузить из сайта компании VeriSign, который находит —

ся ПО адресу http://www. verisign. com.



Создание защищенной Web-страницы на IIS-сервере

Как было указано в предыдущем совете, при загрузке и установке идентифи — катора сервера вы получаете подробные пошаговые инструкции по установке и использованию идентификатора на вашем типе сервера. Для более глубокого по — нимания процесса установки и использования идентификатора сервера для IIS — сервера он описывается в настоящем совете.

После получения идентификатора сервера от органа сертификации его необхо- димо установить на своем сервере, а затем разрешить использование встроенных

в IIS-сервер возможностей установки защищенных соединений. Для установки идентификатора сервера и для его использования на Web-сайте применяется ма —

Глава 12. Безопасность и производительность 62 5





стер сертификатов Web-сервера. Для запуска мастера сертификатов Web-сервера выполните следующие шаги:

1. Выберите в меню Пуск | Настройка | Панель управления. На экран будет выведено окно панели управления.

2. В окне панели управления выполните двойной щелчок на пункте Админис — трирование. На экране появится окно Администрирование.

3. В окне Администрирование выполните двойной щелчок на пункте Диспет — чер служб Интернета.

4. В окне Диспетчер служб Интернета щелкните правой кнопкой мыши на Web-сайте, защиту которого вы хотите обеспечить. На экране появится контекстное меню.

5. В контекстном меню выберите пункт Свойства. Диспетчер служб Internet выведет на экран диалоговое окно свойств выбранного Web-сайта.

6. В диалоговом окне свойств выберите вкладку Безопасность каталога. На эк — ран будет выведено окно Безопасность каталога.

7. В разделе Server Communications окна Безопасность каталога щелкните на кнопке Сертификат. Диспетчер служб Internet запустит мастер сертифика- тов Web-сервера.

После установки сертификата необходимо сделать доступными возможности сервера по использованию защищенного обмена сообщениями, выполнив следу — ющие действия:

1. Выберите в меню Пуск | Настройка | Панель управления. На экран будет выведено окно панели управления.

2. В окне панели управления выполните двойной щелчок на пункте Админис — трирование. На экране появится окно Администрирование.

3. В окне Администрирование выполните двойной щелчок на пункте Диспет —

. чер служб Интернета.

4. В окне Диспетчер служб Интернета щелкните правой кнопкой мыши на

Web-сайте, защиту которого вы хотите обеспечить. На экране появится контекстное меню.

5. В контекстном меню выберите пункт Свойства. Диспетчер служб Internet выведет на экран диалоговое окно свойств выбранного Web-сайта.

6. В диалоговом окне свойств выберите вкладку Дополнительно. На экран бу — дет выведено окно Дополнительная настройка веб-узлов.

7. В диалоговом окне Дополнительная настройка веб-узлов убедитесь, что для порта SSL в разделе SSL-удостоверения данного Web-узла присвоено значе — ние 443.

8. Перейдите на вкладку Безопасность каталога. На экране появится содержи — мое этой вкладки.

9. На вкладке Безопасность каталога в разделе Безопасные подключения щел-

кните на кнопке Изменить. На экране появится диалоговое окно Безопас — ные подключения, которое показано на рис. 12.10.

626 Глава 12. Безопасность и производительность





10. В диалоговом окне Безопасные подключения настройте Web-сервер для обязательного использования защищенного канала, установив флажок Ис — пользовать защищенный канал (SSL). При желании можно установить фла — жок Использовать 128-битное шифрование, который приводит к тому, что для защищенного подключения используется 128-битное шифрование. (Не

все браузеры поддерживают 128-битное шифрование. Если не устанавли —

вать 128-битное шифрование, по умолчанию сервер будет использовать 40- битное.)



Установка программного брандмауэра

Брандмауэр защищает Web-сайт, находясь между сайтом и остальной сетью Internet. Все сетевые сообщения, предназначенные для сайта, должны будут сна- чала проходить через брандмауэр. За счет настройки фильтров сообщений бранд —

мауэра можно контролировать, какие сообщения будут попадать на сайт, а какие

— отфильтровываться. Брандмауэр может быть аппаратным или программным. В сети Web несколько компаний предлагают пробные программные брандмауэры, которые можно выгрузить и испытать бесплатно. Как правило, срок действия пробного программного брандмауэра составляет 30 дней:

McAfee http://www. mcafee. com

Network Ice http://www. networkice. com

Symantec http : //www. Symantec. com

Tiny Software http://www. tinysoftwarezonelabs. com

Zone Labs http://www. mcafee. com

Глава 12. Безопасность и производительность 627



Если вы — администратор профессионального сайта, не использующего бран — дмауэр, вам имеет смысл немедленно выгрузить и установить несколько различ — ных пробных версий брандмауэров, которые позволят лучше понять необходи- мые вам средства и научиться их использовать. Поэкспериментируйте с брандмауэрами. Например, брандмауэр можно применять для блокировки входя-

. щих FTP-пакетов, генерируемых удаленным пользователем с помощью FTP-npo — граммы при загрузке файлов на сайт или выгрузке файлов с сайта. Тем не менее, если вы заблокируете FTP-пакеты и попытаетесь использовать FTP для установки соединения с вашим сайтом, FTP-команда выполняться не будет.



ПРАКТИКУМ

Многие системные администраторы устанавливают и используют брандмауэры на

Web-сайтах, которыми они управляют, но не защищают от хакеров свои домаш —

ние компьютеры. С недавнего времени многие компании, специализирующиеся

на разработке программного обеспечения, стали предлагать брандмауэры для до- машнего использования. Персональный брандмауэр позволяет закрыть потенци —

альные «дыры», которыми могут воспользоваться хакеры при посещении вами удаленных сайтов. Несколько компаний, предлагающих персональные брандмауэ — ры, позволяют запускать программы, которые исследуют уязвимые места вашего

компьютера. Например, на рис. 12.11 показаны результаты, представленные про — граммой Symantec Security Check, которую можно запустить из Web-сайта компа —

нии Symantec.





628 Глава 12. Безопасность и производительность







Персональный брандмауэр, например, Norton Personal Firewall, позволяет за- щитить вашу систему от Java-аплетов, элементов управления ActiveX и попыток программ получить доступ к неиспользуемым портам. Окно брандмауэра Norton Personal Firewall показано на рис. 12.12.

Настройка назначения портов в брандмауэре

Для обеспечения связи по сети отправляющая программа должна указать ад — рес удаленного компьютера-получателя. Кроме того, отправляющая программа должна указать приложение на удаленном компьютере, для которого предназна — чено отправляемое сообщение. Например, при отправке Web-браузером HTTP —

запроса Web-серверу, отправляющая программа (в данном случае Web-браузер)

должна указать IP-адрес удаленного сайта и то, что сообщение предназначается

для приложения Web-сервера, выполняющегося на этом сайте.

Сетевые программы идентифицируют удаленные приложения с помощью чис — ла, которое программисты называют номером порта. Например, для передачи со- общения Web-серверу браузер отправляет сообщение в порт 80 (который соответ — ствует HTTP-протоколу). Время от времени в сети Internet можно встретить

URL-адреса, содержащие порт номер 80, например, www. somesite. com:80/

Fiiename. html. В сети Internet различным протоколам соответствуют различные номера портов. Программисты называют первые 1024 порта хорошо известными портами. В следующем списке приведены номера портов для нескольких попу- лярных приложений:

Глава 12. Безопасность и производительность 629



Порт Приложение



21 FTP-протокол (протокол передачи файлов)

23 Telnet-протокол

25 SMTP-протокол (простой протокол электронной почты)

80 HTTP-протокол (протокол передачи гипертекста)

139 Служба сеансов NetBIOS



Большинство брандмауэров позволяют контролировать поток входящих в сеть сообщений за счет блокирования сообщений для конкретных портов, как пока- зано на рис. 12.13.



Рис. 12.13. Брандмауэры могут фильтровать сообщения по номерам портов приложений





ПРАКТИКУМ

При настройке параметров брандмауэра вам, возможно, будет удобнее сначала заблокировать сообщения для всех портов, а затем открыть доступ только к тем портам, которые необходимы. В зависимости от используемого брандмауэра, действия, выполняемые для блокирования или открытия портов, будут отличать —

ся. Например, на рис. 12.14 показан пример фильтрации портов в брандмауэре

Norton Personal Firewall.

Internet-программы могут использовать до 65 536 портов. При настройке пор — тов в брандмауэре список портов и соответствующих им приложений можно

наЙТИ на странице http://www. iana. org/assignments/port-numbers.



Снижение подверженности сайта вирусам

В 2001 году вирусы нанесли ущерб более 11 миллиардов долларов за счет по — терянного времени, повреждений файлов и т. п. Самым опасным стал вирус Code Red, который нанес ущерб более 3 миллиардов долларов, что, кстати, еще далеко

до 10 миллиардов долларов убытков от вируса Love Bug, пик распространенности которого попал на 2000 год. Компьютерные вирусы представляют угрозу для всех компьютеров, подключенных к Internet.

630 Глава 12. Безопасность и производительность







Другими словами, если у вас есть компьютеры, подключенные к сети (и осо —

бенно к Internet), ваша локальная сеть и все компьютеры подвержены атакам компьютерных вирусов.

Ранее для заражения компьютера вирусом его пользователь должен был запус- тить зараженную программу. До появления сети Internet пользователи, как прави — ло, получали зараженные программы через дискеты, передаваемые от одного пользователя к другому. С появлением электронных досок объявлений, с кото —

рых пользователи выгружали программы на свои компьютеры, угроза распростра- нения вирусов еще более возросла. Тем не менее, как и ранее, для заражения си- стемы пользователь должен был запустить инфицированную программу.

Сегодня многие программы, например, Microsoft Word, Excel и даже PowerPoint, для автоматизации выполнения задач позволяют писать макросы. С помощью макроса, например, для Microsoft Excel, пользователь может автомати —

чески вычислять процентные ставки и месячные выплаты по кредитным обяза — тельствам. Аналогично, пользователь может использовать макрос Microsoft Word для проверки правописания в документе и автоматической вставки верхнего и нижнего колонтитулов перед печатью содержимого документа. Несмотря на то что макросы позволяют существенно расширить возможности приложения, они являются программами, и злонамеренные пользователи могут их использовать для распространения вирусов. Как результат, теперь пользователи могут инфици — ровать свои компьютеры путем простого открытия документа Word или Excel, со — держащего макровирус.

Глава 12. Безопасность и производительность 631



ПРАКТИКУМ

Для снижения риска заражения вирусом локальной сети, в каждой системе в рамках сети, как на серверах, так и на персональных компьютерах, должно быть установлено антивирусное программное обеспечение. Если для защиты Web-сай-

та используется брандмауэр (как это и должно быть), он также может обладать возможностями по обнаружению вирусов, которые следует задействовать в каче — стве первой линии защиты (см. рис. 12.15).





Если вы не используете антивирусное программное обеспечение, на несколь — ких Web-сайтах можно найти бесплатные пробные программы, которые несложно выгрузить и использовать в течение 30-дневного периода:

AVG 6.0 Anti-Virus http://www. grisoft. com

Norton AntiVirilS http : //www. Symantec. com

PC-cillin http : //www. trendmicro. com

VimsScan http://www. mcafee. com



Одним из ключевых моментов в плане снижения угрозы заражения компью — терными вирусами является наставление пользователей не запускать программы,

выгруженные из Internet (во многих компаниях имеются специальные указания для сотрудников, которые гласят, что сотрудники не должны устанавливать или загружать программы без предварительного письменного разрешения). Вы долж — ны привить вашим пользователям понимание того, что они не должны откры —

вать документ, программу или вложение в сообщение электронной почты, полу- ченное от незнакомого пользователя, и не открывать файлов, не прошедших проверку на предмет присутствия вирусов.

632 Глава 12. Безопасность и производительность





После установки антивирусного программного обеспечения очень важно под- держивать его в актуальном состоянии. Каждый день хакеры и другие злонаме — ренные программисты трудятся над созданием новых вирусов. Таким образом, чтобы ваше антивирусное программное обеспечение было эффективным, вы дол — жны регулярно (по крайней мере, раз в месяц) обновлять базы данных известных вирусов. Как правило, после покупки антивирусного программного обеспечения обновление базы данных вирусов можно проводить бесплатно на протяжении не

менее одного года. После этого, за определенную плату, вы можете подписаться

на рассылку обновлений баз вирусов.

В главе 9 вы рассматривали элементы управления ActiveX, которые могут быть выгружены из Internet. Для защиты своей локальной сети вы должны сообщить всем пользователям о необходимости обращаться с элементами ActiveX как с программами, т. е. пользователи не должны выгружать и устанавливать элементы управления ActiveX без предварительного разрешения. Более того, пользователи должны выгружать и устанавливать только подписанные объекты, содержащие цифровые сертификаты, идентифицирующие разработчика и подтверждающие, что хакер не перехватил объект и не прикрепил к нему вирус. Кроме того, пользователи не должны выгружать и устанавливать объекты ActiveX до проверки

их с использованием антивирусного программного обеспечения.

И, наконец, для обеспечения более эффективной защиты вашей системы от

заражения вирусом вы должны изучать и понимать возможные угрозы зараже- ния. На некоторых сайтах можно найти списки наиболее распространенных на сегодняшний день вирусов. Одним из самых лучших сайтов, содержащих инфор — мацию как о хакерах, так и о вирусах, является сайт группы CERT, http:// www. cert. org, внешний вид которого показан на рис. 12.16.

Глава 12. Безопасность и производительность 633



Повышение производительности и уровня безопасности за счет блокировки принтера и запрещения совместного использования файлов

Если в вашей локальной сети используется программное обеспечение Windows, клиент сетей Microsoft позволяет открыть файлы и принтеры для со — вместного использования другими пользователями. Если, например, выполнить двойной щелчок на пиктограмме Мое сетевое окружение (которая находится на рабочем столе Windows), программное обеспечение клиента для сетей Microsoft приведет список компьютеров, рабочих групп и принтеров, существующих в сети. Программное обеспечение клиента для сетей Microsoft работает поверх се — тевого программного обеспечения, т. е. в большинстве сетей оно выполняется по —

верх протокола TCP/IP.



ПРАКТИКУМ

Если компьютеры в вашей сети не открывают файлов и принтеров (принтеров, под — ключенных к компьютерам пользователей, в отличие от принтеров, подключенных непосредственно к сети) совместного использования, необходимо удалить поддержку сетей Microsoft из системы каждого пользователя, выполнив следующие действия:

1. Выберите в меню Пуск | Настройка | Панель управления. В результате от — кроется окно панели управления.

2. В окне панели управления выполните двойной щелчок на пиктограмме

Сеть. На экране появится диалоговое окно Сеть, показанное на рис. 12.17.

3. На вкладке Конфигурация диалогового окна Сеть содержится список уста- новленных компонентов. Выберите компонент Клиент для сетей Microsoft и нажмите кнопку Удалить.



63 4 Глава 12. Безопасность и производительность





ПРАКТИКУМ



При использовании модемного соединения вы фактически работаете в сети, кото —

рая состоит из вашего компьютера и компании, предоставляющей модемную связь. Если по какой-либо причине ваша система должна поддерживать программ —

ное обеспечение «Клиент для сетей Microsoft», отключите совместное использова-

ние принтеров и файлов. В противном случае вы можете открыть доступ, к своей системе хакеру, который ранее проник в компьютерную систему компании, предо- ставляющей модемную связь. Для выключения совместного использования прин- теров в операционной системе Windows выполните следующие действия:

1. Выберите в меню Пуск | Настройка | Панель управления. В результате от — кроется окно панели управления.

2. В окне панели управления выполните двойной щелчок на пиктограмме

Сеть. На экране появится диалоговое окно Сеть, показанное на рис. 12.17.

3. В диалоговом окне Сеть щелкните на кнопке Доступ к файлам и принте — рам. На экране появится диалоговое окно Доступ к файлам и принтерам.

4. В диалоговом окне Доступ к файлам и принтерам снимите отметку со всех флажков и щелкните на кнопке ОК.

Использование клиентских сертификатов для

ограничения доступа пользователей

Для получения доступа к защищенному Web-сайту браузер и сервер для шиф — рования HTTP-сообщений, которыми они обмениваются, используют протокол защищенных сокетов (SSL-протокол). Для применения SSL-протокола клиенту не нужно иметь открытый ключ. В этом случае сервер должен иметь цифровой сертификат (который содержит открытый ключ сервера). Это объясняет почему, на- пример, вы можете установить соединение с защищенным Web-сайтом несмотря на то, что у вас нет открытого ключа. При соединении браузера и защищенного сайта браузер и Web-сервер сайта обмениваются сообщениями, содержащими данные о поддерживаемых методах шифрования. Затем Web-сервер передает браузеру сообще- ние, содержащее открытый ключ сервера. Браузер будет использовать открытый ключ сервера для шифрования сообщения, содержащего цифры, которые будут ис —

пользоваться и браузером, и сервером для генерации ключа сеанса, с помощью ко — торого будет щифроваться информационный обмен между сервером и браузером.

Если Web-сайт содержит приложения, осуществляющие доступ к чувствитель — ным данным (например, к информации о человеческих ресурсах или данных по продажам), вы, возможно, захотите ограничить круг пользователей, которые мо — гут запускать подобные приложения, до тех, кто может идентифицировать себя с помощью цифровой подписи (клиентского сертификата). В некоторых случаях мо — жет потребоваться, чтобы пользователь, получающий доступ к ресурсам, имел серти — фикат, причем любой сертификат. В других случаях может потребоваться конкрет — ный сертификат, т. е. сертификат будет соответствовать учетной записи пользователя, созданной в системе. Для обеспечения возможности применения клиентских сертификатов в IIS-сервере необходимо сначала присвоить сертификат серверу.

Глава 12. Безопасность и производительность 635



ПРАКТИКУМ

Для включения возможности использования клиентских сертификатов в HS-серве — ре выполните следующие действия:

1. Выберите в меню Пуск | Настройка | Панель управления. В результате от — кроется окно панели управления.

2. В окне панели управления выполните двойной щелчок на пиктограмме Ад —

министрирование. На экране появится окно Администрирование.

3. В окне администрирование выполните двойной щелчок на пиктограмме

Диспетчер служб Интернета. В результате откроется окно консоли Internet

Information Services.

4. В консоли Internet Information Services щелкните правой кнопкой мыши на интересующем вас сайте (или Web-странице). На экране появится контек — стное меню.

5. В контекстном меню выберите пункт Свойства. На экране появится диало —

говое окно Свойства.

6. В диалоговом окне Свойства перейдите на вкладку Безопасность каталога.

На экране появится вкладка Безопасность каталога, показанная на рис.

12.18.

7. В разделе Безопасные подключения щелкните на кнопке Изменить. На эк — ране появится диалоговое окно Безопасные подключения. Установите фла — жок Использовать защищенный канал (SSL). Таким образом, для открытия страницы пользователь должен будет использовать защищенное соединение.