Опубликован: 16.10.2006 | Доступ: свободный | Студентов: 1973 / 253 | Оценка: 4.44 / 4.23 | Длительность: 26:41:00
Лекция 6:

Особенности процесса разработки

Безопасность удаленного управления

Если веб-сайт расположен у провайдера или локально в демилитаризованной зоне, отделяющей веб-сайт от интранет-сети, то обеспечен необходимый и хорошо действующий барьер безопасности. Сетевой экран, отделяющий DMZ от интранет-сети, блокирует трафик, представляющий угрозу для внутренних систем. К сожалению, консоль MMC Internet Information Services Manager (Диспетчер IIS) не работает через сетевой экран по умолчанию, поэтому нельзя осуществлять удаленное управление веб-сайтом без изменения сетевой конфигурации. Microsoft объясняет это тем, что IIS Manager изначально создан для обеспечения безопасности, так как обычное TCP-приложение потенциально представляет угрозу статусу секретности информации о сети.

Разумеется, если вы не находитесь рядом с сервером, этот вариант для вас неприемлем, особенно, если сайт расположен у провайдера. Для решения проблемы выберите один из следующих подходов.

  • Используйте консоль MMC Internet Information Services Manager (Диспетчер IIS) через виртуальную частную сеть VPN. Используя протокол туннелирования PPTP или протокол безопасного интернета IPSec, встроенного в протокол L2TP, можно организовать виртуальную частную сеть с шифрованием через сетевой экран в удаленное место, где находится веб-сайт.
  • Используйте HTMLA через SSL. HTML-версия диспетчера IIS (называется HTML Administration, HTMLA – HTML-администрирование) работает через сеанс шифруемого соединения SSL.
  • Используйте службы терминала Windows 2000. Компонент Terminal Services (Службы терминала) позволяет запускать консоль MMC на удаленной рабочей станции с использованием шифрования для администрирования IIS с рабочего стола.

Совет. Мы не рекомендуем использовать веб-интерфейс HTMLA, даже вместе с SSL, так как он работает совсем недавно, и рано судить о степени его безопасности. В качестве альтернативы канала VPN или шифруемого канала используйте службы терминала.

Виртуальные частные сети

Технология виртуальных частных сетей (VPN) обеспечивает безопасные подключения к удаленно управляемому веб-сайту посредством выделения авторизованного шифруемого канала связи между двумя расположениями. С помощью MMC через VPN успешно осуществляется удаленное управление, но его довольно сложно настраивать.

Если сайт расположен у интернет-провайдера, то, скорее всего, последний поддерживает службу VPN, на которую можно подписаться. При отсутствии такой возможности можно самостоятельно настроить свой собственный канал VPN.

При использовании виртуальных частных сетей существуют следующие варианты.

  • Применение служб VPN, основанных на Microsoft Windows 2000. Придется выделить сервер в расположении веб-сайта, который станет сервером VPN, чтобы не снижать производительности веб-сайта.
  • Использование служб VPN, имеющихся на сетевых экранах (CheckPoint или Raptor) либо на маршрутизаторах фирм Cisco, 3Com и др.
  • Использование выделенной программно-аппаратной платформы сервера VPN.

При выборе нужного варианта руководствуйтесь следующими соображениями. При выборе VPN-служб Windows 2000 появится возможность использовать PPTP, но нельзя будет применять IPSec. В остальных случаях вы будете использовать IPSec, что потребует применения цифровых сертификатов и PKI. О шифровании пойдет речь в "Применение шифрования" , в которой также имеется обзор PKI. "Сторонние средства обеспечения безопасности" рассказывает об использовании служб Windows 2000 ISA для каналов VPN и о сторонних продуктах VPN.

Службы терминала Windows 2000

Для установки Terminal Services (Службы терминала) на сервере IIS в режиме удаленного администрирования войдите на сервер в качестве администратора и выполните следующие действия.

  1. В панели управления откройте значок Add/Remove Programs (Установка и удаление программ). Отобразится окно, показанное на рисунке.

  2. Запустите мастер Add/Remove Windows Components (Установка и удаление компонентов Windows); мастер поможет установить компонент Terminal Services (Службы терминала) (см. рисунок).

  3. Отметьте опцию Terminal Services и нажмите на кнопку Next (Далее). Отобразится страница настроек мастера.

  4. Выберите опцию Remote Administration Mode (Режим удаленного администрирования) и нажмите на кнопку Next (Далее), чтобы начать установку.

По завершении установки откройте меню Start (Пуск), выберите группу Administrative Tools (Средства администрирования), затем – Terminal Services Configuration (Настройка служб терминала) и дважды щелкните на подключении, для которого необходимо изменить уровень шифрования. В окне Encryption Level (Уровень шифрования) укажите высокий уровень шифрования.

Для установки файлов клиента терминала на удаленную рабочую станцию, с которой вы будете управлять сервером, откройте меню Start (Пуск), выберите группу Administrative Tools (Администрирование) и далее – Terminal Services Client Creator (Создание клиента служб терминала), чтобы создать установочные диски для компьютеров-клиентов Terminal Services.

Совет. Для запуска Terminal Services в режиме удаленного администрирования не нужна лицензия доступа для клиента сервера терминала. В режиме удаленного администрирования по умолчанию допускается максимум два одновременных подключения на сервере терминала.

Сводный перечень подготовительных действий перед началом работы сайта

  • Создайте набор средств восстановления перед подключением веб-сервера к интернету:
    • создайте загрузочные диски установки;
    • создайте диск экстренного восстановления;
    • создайте резервные копии реестра и состояния системы.
  • Выполните полное резервное копирование системы с сохранением копии отдельно от сайта.
  • Используйте фильтрацию Windows 2000 для обеспечения дополнительной защиты в сети интранет.
  • Убедитесь, что обеспечена безопасность сетевого периметра веб-сервера в интернете:
    • примените демилитаризованные зоны;
    • примените фильтрацию пакетов с помощью сетевых экранов для блокирования внешнего трафика;
    • рассмотрите вопрос об использовании каналов VPN.
  • Используйте шифруемый сеанс связи для удаленного управления.
Дмитрий Дряничкин
Дмитрий Дряничкин
Россия, Казань
Виктор Шахов
Виктор Шахов
Россия, Москва