компьютера. Например, на рис. 12.11 показаны результаты, представленные про — граммой Symantec Security Check, которую можно запустить из Web-сайта компа —

нии Symantec.





628 Глава 12. Безопасность и производительность







Персональный брандмауэр, например, Norton Personal Firewall, позволяет за- щитить вашу систему от Java-аплетов, элементов управления ActiveX и попыток программ получить доступ к неиспользуемым портам. Окно брандмауэра Norton Personal Firewall показано на рис. 12.12.

Настройка назначения портов в брандмауэре

Для обеспечения связи по сети отправляющая программа должна указать ад — рес удаленного компьютера-получателя. Кроме того, отправляющая программа должна указать приложение на удаленном компьютере, для которого предназна — чено отправляемое сообщение. Например, при отправке Web-браузером HTTP —

запроса Web-серверу, отправляющая программа (в данном случае Web-браузер)

должна указать IP-адрес удаленного сайта и то, что сообщение предназначается

для приложения Web-сервера, выполняющегося на этом сайте.

Сетевые программы идентифицируют удаленные приложения с помощью чис — ла, которое программисты называют номером порта. Например, для передачи со- общения Web-серверу браузер отправляет сообщение в порт 80 (который соответ — ствует HTTP-протоколу). Время от времени в сети Internet можно встретить

URL-адреса, содержащие порт номер 80, например, www. somesite. com:80/

Fiiename. html. В сети Internet различным протоколам соответствуют различные номера портов. Программисты называют первые 1024 порта хорошо известными портами. В следующем списке приведены номера портов для нескольких попу- лярных приложений:

Глава 12. Безопасность и производительность 629



Порт Приложение



21 FTP-протокол (протокол передачи файлов)

23 Telnet-протокол

25 SMTP-протокол (простой протокол электронной почты)

80 HTTP-протокол (протокол передачи гипертекста)

139 Служба сеансов NetBIOS



Большинство брандмауэров позволяют контролировать поток входящих в сеть сообщений за счет блокирования сообщений для конкретных портов, как пока- зано на рис. 12.13.



Рис. 12.13. Брандмауэры могут фильтровать сообщения по номерам портов приложений





ПРАКТИКУМ

При настройке параметров брандмауэра вам, возможно, будет удобнее сначала заблокировать сообщения для всех портов, а затем открыть доступ только к тем портам, которые необходимы. В зависимости от используемого брандмауэра, действия, выполняемые для блокирования или открытия портов, будут отличать —

ся. Например, на рис. 12.14 показан пример фильтрации портов в брандмауэре

Norton Personal Firewall.

Internet-программы могут использовать до 65 536 портов. При настройке пор — тов в брандмауэре список портов и соответствующих им приложений можно

наЙТИ на странице http://www. iana. org/assignments/port-numbers.



Снижение подверженности сайта вирусам

В 2001 году вирусы нанесли ущерб более 11 миллиардов долларов за счет по — терянного времени, повреждений файлов и т. п. Самым опасным стал вирус Code Red, который нанес ущерб более 3 миллиардов долларов, что, кстати, еще далеко

до 10 миллиардов долларов убытков от вируса Love Bug, пик распространенности которого попал на 2000 год. Компьютерные вирусы представляют угрозу для всех компьютеров, подключенных к Internet.

630 Глава 12. Безопасность и производительность







Другими словами, если у вас есть компьютеры, подключенные к сети (и осо —

бенно к Internet), ваша локальная сеть и все компьютеры подвержены атакам компьютерных вирусов.

Ранее для заражения компьютера вирусом его пользователь должен был запус- тить зараженную программу. До появления сети Internet пользователи, как прави — ло, получали зараженные программы через дискеты, передаваемые от одного пользователя к другому. С появлением электронных досок объявлений, с кото —

рых пользователи выгружали программы на свои компьютеры, угроза распростра- нения вирусов еще более возросла. Тем не менее, как и ранее, для заражения си- стемы пользователь должен был запустить инфицированную программу.

Сегодня многие программы, например, Microsoft Word, Excel и даже PowerPoint, для автоматизации выполнения задач позволяют писать макросы. С помощью макроса, например, для Microsoft Excel, пользователь может автомати —

чески вычислять процентные ставки и месячные выплаты по кредитным обяза — тельствам. Аналогично, пользователь может использовать макрос Microsoft Word для проверки правописания в документе и автоматической вставки верхнего и нижнего колонтитулов перед печатью содержимого документа. Несмотря на то что макросы позволяют существенно расширить возможности приложения, они являются программами, и злонамеренные пользователи могут их использовать для распространения вирусов. Как результат, теперь пользователи могут инфици — ровать свои компьютеры путем простого открытия документа Word или Excel, со — держащего макровирус.

Глава 12. Безопасность и производительность 631



ПРАКТИКУМ

Для снижения риска заражения вирусом локальной сети, в каждой системе в рамках сети, как на серверах, так и на персональных компьютерах, должно быть установлено антивирусное программное обеспечение. Если для защиты Web-сай-

та используется брандмауэр (как это и должно быть), он также может обладать возможностями по обнаружению вирусов, которые следует задействовать в каче — стве первой линии защиты (см. рис. 12.15).





Если вы не используете антивирусное программное обеспечение, на несколь — ких Web-сайтах можно найти бесплатные пробные программы, которые несложно выгрузить и использовать в течение 30-дневного периода:

AVG 6.0 Anti-Virus http://www. grisoft. com

Norton AntiVirilS http : //www. Symantec. com

PC-cillin http : //www. trendmicro. com

VimsScan http://www. mcafee. com



Одним из ключевых моментов в плане снижения угрозы заражения компью — терными вирусами является наставление пользователей не запускать программы,

выгруженные из Internet (во многих компаниях имеются специальные указания для сотрудников, которые гласят, что сотрудники не должны устанавливать или загружать программы без предварительного письменного разрешения). Вы долж — ны привить вашим пользователям понимание того, что они не должны откры —

вать документ, программу или вложение в сообщение электронной почты, полу- ченное от незнакомого пользователя, и не открывать файлов, не прошедших проверку на предмет присутствия вирусов.

632 Глава 12. Безопасность и производительность





После установки антивирусного программного обеспечения очень важно под- держивать его в актуальном состоянии. Каждый день хакеры и другие злонаме — ренные программисты трудятся над созданием новых вирусов. Таким образом, чтобы ваше антивирусное программное обеспечение было эффективным, вы дол — жны регулярно (по крайней мере, раз в месяц) обновлять базы данных известных вирусов. Как правило, после покупки антивирусного программного обеспечения обновление базы данных вирусов можно проводить бесплатно на протяжении не

менее одного года. После этого, за определенную плату, вы можете подписаться

на рассылку обновлений баз вирусов.

В главе 9 вы рассматривали элементы управления ActiveX, которые могут быть выгружены из Internet. Для защиты своей локальной сети вы должны сообщить всем пользователям о необходимости обращаться с элементами ActiveX как с программами, т. е. пользователи не должны выгружать и устанавливать элементы управления ActiveX без предварительного разрешения. Более того, пользователи должны выгружать и устанавливать только подписанные объекты, содержащие цифровые сертификаты, идентифицирующие разработчика и подтверждающие, что хакер не перехватил объект и не прикрепил к нему вирус. Кроме того, пользователи не должны выгружать и устанавливать объекты ActiveX до проверки

их с использованием антивирусного программного обеспечения.

И, наконец, для обеспечения более эффективной защиты вашей системы от

заражения вирусом вы должны изучать и понимать возможные угрозы зараже- ния. На некоторых сайтах можно найти списки наиболее распространенных на сегодняшний день вирусов. Одним из самых лучших сайтов, содержащих инфор — мацию как о хакерах, так и о вирусах, является сайт группы CERT, http:// www. cert. org, внешний вид которого показан на рис. 12.16.

Глава 12. Безопасность и производительность 633



Повышение производительности и уровня безопасности за счет блокировки принтера и запрещения совместного использования файлов

Если в вашей локальной сети используется программное обеспечение Windows, клиент сетей Microsoft позволяет открыть файлы и принтеры для со — вместного использования другими пользователями. Если, например, выполнить двойной щелчок на пиктограмме Мое сетевое окружение (которая находится на рабочем столе Windows), программное обеспечение клиента для сетей Microsoft приведет список компьютеров, рабочих групп и принтеров, существующих в сети. Программное обеспечение клиента для сетей Microsoft работает поверх се — тевого программного обеспечения, т. е. в большинстве сетей оно выполняется по —

верх протокола TCP/IP.



ПРАКТИКУМ

Если компьютеры в вашей сети не открывают файлов и принтеров (принтеров, под — ключенных к компьютерам пользователей, в отличие от принтеров, подключенных непосредственно к сети) совместного использования, необходимо удалить поддержку сетей Microsoft из системы каждого пользователя, выполнив следующие действия:

1. Выберите в меню Пуск | Настройка | Панель управления. В результате от — кроется окно панели управления.

2. В окне панели управления выполните двойной щелчок на пиктограмме

Сеть. На экране появится диалоговое окно Сеть, показанное на рис. 12.17.

3. На вкладке Конфигурация диалогового окна Сеть содержится список уста- новленных компонентов. Выберите компонент Клиент для сетей Microsoft и нажмите кнопку Удалить.



63 4 Глава 12. Безопасность и производительность





ПРАКТИКУМ



При использовании модемного соединения вы фактически работаете в сети, кото —

рая состоит из вашего компьютера и компании, предоставляющей модемную связь. Если по какой-либо причине ваша система должна поддерживать программ —

ное обеспечение «Клиент для сетей Microsoft», отключите совместное использова-

ние принтеров и файлов. В противном случае вы можете открыть доступ, к своей системе хакеру, который ранее проник в компьютерную систему компании, предо- ставляющей модемную связь. Для выключения совместного использования прин- теров в операционной системе Windows выполните следующие действия:

1. Выберите в меню Пуск | Настройка | Панель управления. В результате от — кроется окно панели управления.

2. В окне панели управления выполните двойной щелчок на пиктограмме

Сеть. На экране появится диалоговое окно Сеть, показанное на рис. 12.17.

3. В диалоговом окне Сеть щелкните на кнопке Доступ к файлам и принте — рам. На экране появится диалоговое окно Доступ к файлам и принтерам.

4. В диалоговом окне Доступ к файлам и принтерам снимите отметку со всех флажков и щелкните на кнопке ОК.

Использование клиентских сертификатов для

ограничения доступа пользователей

Для получения доступа к защищенному Web-сайту браузер и сервер для шиф — рования HTTP-сообщений, которыми они обмениваются, используют протокол защищенных сокетов (SSL-протокол). Для применения SSL-протокола клиенту не нужно иметь открытый ключ. В этом случае сервер должен иметь цифровой сертификат (который содержит открытый ключ сервера). Это объясняет почему, на- пример, вы можете установить соединение с защищенным Web-сайтом несмотря на то, что у вас нет открытого ключа. При соединении браузера и защищенного сайта браузер и Web-сервер сайта обмениваются сообщениями, содержащими данные о поддерживаемых методах шифрования. Затем Web-сервер передает браузеру сообще- ние, содержащее открытый ключ сервера. Браузер будет использовать открытый ключ сервера для шифрования сообщения, содержащего цифры, которые будут ис —

пользоваться и браузером, и сервером для генерации ключа сеанса, с помощью ко — торого будет щифроваться информационный обмен между сервером и браузером.

Если Web-сайт содержит приложения, осуществляющие доступ к чувствитель — ным данным (например, к информации о человеческих ресурсах или данных по продажам), вы, возможно, захотите ограничить круг пользователей, которые мо — гут запускать подобные приложения, до тех, кто может идентифицировать себя с помощью цифровой подписи (клиентского сертификата). В некоторых случаях мо — жет потребоваться, чтобы пользователь, получающий доступ к ресурсам, имел серти — фикат, причем любой сертификат. В других случаях может потребоваться конкрет — ный сертификат, т. е. сертификат будет соответствовать учетной записи пользователя, созданной в системе. Для обеспечения возможности применения клиентских сертификатов в IIS-сервере необходимо сначала присвоить сертификат серверу.

Глава 12. Безопасность и производительность 635



ПРАКТИКУМ

Для включения возможности использования клиентских сертификатов в HS-серве — ре выполните следующие действия:

1. Выберите в меню Пуск | Настройка | Панель управления. В результате от — кроется окно панели управления.

2. В окне панели управления выполните двойной щелчок на пиктограмме Ад —

министрирование. На экране появится окно Администрирование.

3. В окне администрирование выполните двойной щелчок на пиктограмме

Диспетчер служб Интернета. В результате откроется окно консоли Internet

Information Services.

4. В консоли Internet Information Services щелкните правой кнопкой мыши на интересующем вас сайте (или Web-странице). На экране появится контек — стное меню.

5. В контекстном меню выберите пункт Свойства. На экране появится диало —

говое окно Свойства.

6. В диалоговом окне Свойства перейдите на вкладку Безопасность каталога.

На экране появится вкладка Безопасность каталога, показанная на рис.

12.18.

7. В разделе Безопасные подключения щелкните на кнопке Изменить. На эк — ране появится диалоговое окно Безопасные подключения. Установите фла — жок Использовать защищенный канал (SSL). Таким образом, для открытия страницы пользователь должен будет использовать защищенное соединение.

63 6 • Глава 12. Безопасность и производительность





8. В поле Клиентские сертификаты выберите требуемый вам параметр и щелк —

ните на кнопке ОК. В таблице 12.1. перечислены краткие описания воз — можных параметров.









Анализ системных событий для обнаружения вторжений

Для атак в сети Internet хакеры могут пользоваться целым рядом методов. Как правило, атаки хакеров приводят к тому, что операционная система генерирует события. Это позволяет обнаружить атаку и, возможно, отследить хакера. В об — щем случае аудит предполагает ведение одного или нескольких журнальных фай —

лов, которые операционная система применяет для слежения за выполняемыми пользователями действиями. Например, в среде Unix различные приложения со — здают файлы журналов, которые системные администраторы могут анализировать

с целью контроля за системными событиями. Использование аудита позволяет

помочь поймать хакера, который несколько раз пытался войти в вашу систему. В

Windows 2000 специальная программа — «Просмотр событий» — дает возмож — ность администраторам просматривать журналы различного рода системных со — бытий (см. рис. 12.19).

В окне просмотра событий фиксируются три типа событий: приложения, бе — зопасность и система.



ПРАКТИКУМ

Для вывода на экран окна просмотра событий в Windows 2000 выполните следую- щий действия:

1. Выберите в меню Пуск | Настройка | Панель управления. В результате от — кроется панель управления.

2. В окне панели управления выполните двойной щелчок на пиктограмме Ад — министрирование. На экране появится окно Администрирование.

3. В окне Администрирование выполните двойной щелчок на пиктограмме

Просмотр событий. На экране появится окно Просмотр событий.

4. В окне просмотра событий выберите Журнал безопасности. Справа в окне просмотра событий появится журнал безопасности (см. рис. 12.20).

Глава 12. Безопасность и производительность 637





В окне просмотра событий можно просмотреть подробную информацию о каждом конкретном событии, выполнив на нем двойной щелчок. В результате на экран выводится диалоговое окно Свойства: Событие, содержащее данные о собы — тии (см. рис. 12.21).

Для контроля событий безопасности в операционной системе Windows 2000

сначала необходимо разрешить ведение журнала безопасности. В зависимости от того, используется в вашей системе политика уровня домена или локальная по-

638





Глава 12. Безопасность и производительность



литика безопасности, действия,



которые



необходимо выполнить для включения



ведения журнала безопасности будут отличаться.





Для разрешения ведения журнала безопасности в системе, использующей локаль — ную политику безопасности, необходимо выполнить следующие действия:

1. Выберите в меню Пуск | Настройка | Панель управления. В результате от —

кроется панель управления.

2. В окне панели управления выполните двойной щелчок на пиктограмме Ад — министрирование. На экране появится окно Администрирование.

3. В окне Администрирование выполните двойной щелчок на пиктограмме Ло — кальная политика безопасности. На экране появится диалоговое окно Ло — кальные параметры безопасности.

4. В окне Локальные параметры безопасности выполните двойной щелчок на политике, которую вы ходите контролировать. В результате на экран выво — дится диалоговое окно Параметр локальной политики безопасности.

5. В диалоговом окне Параметр локальной политики безопасности для разре- шения записи в журнал успешного выполнения операций установите фла — жок Успех; для разрешения записи в журнал неудачного выполнения опе- раций установите флажок Отказ.

Используя локальные политики безопасности, можно установить политики, коротко описанные в таблице 12.2.

Глава 12. Безопасность и производительность 63 9





Использование файловой системы NTFS

В операционной системе управление файлами и каталогами на жестком диске

возложено на специальное программное обеспечение — файловую систему (file

system). При каждом создании, изменении, удалении или переименовании файла или каталога вы работаете с файловой системой. Если вы используете сервер, функционирующий под управлением операционной системы Windows NT или Windows 2000, защищенность сайта можно повысить за счет использования фай —

ловой системы NT (NT file system, NTFS).

Файловая система NTFS позволяет каждому файлу и каталогу присвоить ин — дивидуальные разрешения. Эти разрешения контролируют, какие пользователи

могут получить доступ к ресурсам и что пользователи могут делать с этим ресур —

сом. Так, например, если хакер получит доступ, к серверу, разрешения, назначен — ные файлам и каталогам, могут ограничить круг информации, которую хакер мо- жет просмотреть.



ПРАКТИКУМ

Для определения типа используемой вами операционной системы выполните сле — дующие действия:

1. На рабочем столе Windows выполните двойной щелчок на пиктограмме Мой компьютер. На экран выводится окно Мой компьютер, в котором со — держатся пиктограммы для всех дисков в системе.

640 Глава 12. Безопасность и производительность





2. В окне Мой компьютер щелкните правой кнопкой мыши на пиктограмме интересующего вас диска. На экране появится контекстное меню.

3. В контекстном меню выберите пункт Свойства. На экране появится диало — говое окно свойств выбранного диска, в котором указан тип файловой сис — темы (см. рис. 12.22).





Как уже говорилось, с помощью файловой системы NTFS файлам можно на — значить индивидуальные разрешения, которые контролируют, какие пользовате —

ли могут получить доступ к файлу и каким образом.



ПРАКТИКУМ

Для назначения разрешений файлу или каталогу в файловой системе NTFS выпол- ните следующие действия:

1. Находясь в Проводнике, щелкните правой кнопкой мыши на файле или каталоге, который необходимо защитить. На экран выводится контекстное меню.

2. В контекстном меню выберите пункт Свойства. На экране появится диало — говое окно Свойства.

3. В диалоговом окне Свойства выберите вкладку Безопасность. На экране по — явится вкладка Безопасность, показанная на рис. 12.23.

4. На вкладке Безопасность для добавления пользователей или групп пользо-

вателей в список разрешений щелкните на кнопке Добавить. На экране появится диалоговое окно Выбор: Пользователи или группы.

Глава 12. Безопасность и производительность 641



5. В диалоговом окне Выбор: Пользователи или группы выберите пользователя или группу, которые вы хотите добавить в список. Для добавления нескольких пользователей или групп при выборе нажмите и удерживайте клавишу CTRL. После выбора всех пользователей и групп щелкните на кнопке ОК.

6. На вкладке Безопасность выберите настройки безопасности для новых

пользователей или групп и щелкните на кнопке ОК.



Еще одно преимущество файловой системы NTFS состоит в том, что она по- зволяет шифровать файлы и каталоги на диске. Если хакер получит доступ к серверу, он не сможет просмотреть содержимое зашифрованного файла. После

шифрования файла в NTFS его можно продолжать использовать, как и ранее. Файловая система NTFS будет автоматически расшифровывать содержимое за —

шифрованного файла (или файла в зашифрованном каталоге) при каждом бго от — крытии. NTFS шифрует файлы на основе вашего имени пользователя, поэтому даже если другой пользователь получит доступ к системе, он не сможет расшиф — ровать ваши файлы.



ПРАКТИКУМ

Для шифрования файлов в файловой системе NTFS выполните следующие дей — ствия:

1. Находясь в Проводнике, щелкните правой кнопкой мыши на файле или каталоге, который требуется зашифровать. На экран выводится контекст — ное меню.

2. В контекстном меню выберите пункт Свойства. На экране появится диало — говое окно Свойства.

642 Глава 12. Безопасность и производительность





3. В диалоговом окне Свойства щелкните на кнопке Другие. На экране появится диалоговое окно Дополнительные атрибуты, показанное на рис. 12.24.

4. В диалоговом окне Дополнительные атрибуты выберите флажок Шифровать содержимое для защиты данных и щелкните на кнопке ОК.

Единственный недостаток шифрования файлов связан с тем, что при каждом

открытии или сохранении файла файловая система NTFS должна соответственно расшифровывать или зашифровывать содержимое файла. Необходимость расшиф- ровки и шифрования требует использования ресурсов сервера, что на загружен — ном сервере может привести к снижению производительности. Тем не менее, по — скольку большинство пользователей не прибегают к быстрому открытию и сохранению файлов, они практически не заметят снижение производительности

за счет использования шифрования. Кроме того, в среде Web существует много файлов, содержимое которых вы не будете шифровать (например, HTML-файлы, выгружаемые пользователями при посещении Web-сайта).





И, наконец, для повышения уровня защищенности сайта можно организовать слежение за доступом к определенным файлам или каталогам.



ПРАКТИКУМ

Файловая система NTFS позволяет включать аудит для отдельных файлов или ка- талогов. Для включения аудита необходимо выполнить следующие действия:

1. Находясь в Проводнике, щелкните правой кнопкой мыши на файле или каталоге, для которого требуется установить аудит. На экран выводится контекстное меню.

2. В контекстном меню выберите пункт Свойства. На экране появится диало — говое окно Свойства.

3. В диалоговом окне Свойства выберите вкладку Безопасность. На экране по — явится вкладка Безопасность.

4. На вкладке Безопасность щелкните на кнопке Дополнительно. На экране появится диалоговое окно, содержащее текущие параметры доступа к выб — ранному файлу или каталогу.

Глава 12. Безопасность и производительность 64 3





5. В диалоговом окне выберите вкладку Аудит.

6. На вкладке Аудит щелкните на кнопке Добавить. На экране появится диа —

логовое окно Выбор: Пользователь или Группа.

7. В диалоговом окне Выбор: Пользователь или Группа выберите пользовате- лей или группы, действия которых вы хотите контролировать.



После включения аудита файловая система NTFS будет помещать сообщения

в окно просмотра событий, как описано в совете «Анализ системных событий для обнаружения вторжения».



ПРАКТИКУМ

Если вы используете файловую систему, отличную от NTFS, ее можно преобразо — вать в NTFS, выполнив следующие действия:

1. С помощью программного обеспечения создания резервных копий выпол — ните резервное копирование всего содержимого диска.

’2. Закройте все выполняемые приложения.

3. Выберите в меню Пуск | Выполнить. На экране появится диалоговое окно

Запуск программы.

4. В диалоговом окне Запуск программы наберите CMD и нажмите клавишу

ENTER. Откроется окно командной строки.

5. В окне командной строки запустите следующую команду convert, заменив drive : буквой диска, файловую систему которого необходимо преобразо — вать в NTFS:

C:\>convert drive: /fs:ntfs



Отключение удаленных служб

Многие сайты разрешают удаленный вход в сеть. Если для вашего сайта не нужно обеспечивать удаленный вход, вы должны отключить удаленный доступ к

сайту, что существенно снизит риск использования удаленного доступа для взлб —

ма системы. В зависимости от операционной системы, действия, направленные

на отключение удаленных служб, могут отличаться. Например, в среде Unix/ Linux необходимо отключить поддержку Telnet и удаленные службы, включая

удаленный вход в систему (riogin) и удаленную командную оболочку (rsh). Бо — лее того, необходимо, как минимум, отключить FTP-операции с анонимными пользователями, а если для вашего сайта не требуется обеспечивать возможность выгрузки и загрузки файлов, имеет смысл FTP отключить полностью.