Россия |
Опубликован: 16.10.2006 | Уровень: специалист | Доступ: платный
Безопасность веб-сервера в интернете предполагает использование и отслеживание работы ряда защитных систем, работающих совместно и дополняющих друг друга.
В курсе дается общее представление о наиболее распространенных угрозах и действиях взломщиков, реализующих вторжение на сайт. Приведены современные требования, методы, практические решения и процедуры, необходимые для реализации полноценной защиты веб-сайта Microsoft IIS. Рассказывается об устранении основных "брешей", небезопасных настроек по умолчанию, ошибок конфигурации. Приводятся сведения об ограничениях на физический доступ, о многоуровневом администрировании, безопасности каталогов, о правах и разрешениях пользователей сайта, о механизмах аутентификации в Windows 2000 и в IIS, о защите активного содержимого веб-страниц и медиа-данных.
Цель: Курс предназначен для системных администраторов, веб-разработчиков и специалистов в области информационной безопасности.
План занятий
Занятие | Заголовок << | Дата изучения |
---|---|---|
- | ||
Введение14 минут | Введение
В средствах массовой информации все чаще появляются сообщения о компьютерных вирусах, вторжениях и фактах несанкционированного доступа к веб-сайтам организаций, которые не обеспечили должный уровень их безопасности. Эти новости звучат довольно тревожно, и, что пугает больше всего, количество таких случаев растет. Неизвестно, сколько сайтов представляют потенциальную угрозу безопасности информации или интеллектуальной собственности из-за недостаточной надежности аутентификации и защиты данных. Эта неизвестность усиливается еще и потому, что незаконные действия по отношению к компании могут выполнять ее же сотрудники через корпоративную сеть, а об этом, как правило, руководство думает в последнюю очередь.
Оглавление | - |
Лекция 143 минуты | Угрозы безопасности в интернете
Веб-сайт – это лицо вашей организации. Для клиентов компании веб-сайт является местом, где они получают информацию о торговой марке и производимой продукции. Веб-сайт – это инструмент маркетинга, повышения объема продаж и обеспечения поддержки, используемый для связи с клиентами. На сайте организации сотрудники знакомятся с новостями и получают различную информацию, например, обучающие материалы. Партнеры используют его для сбора необходимой информации. Другими словами, сайт представляет собой хранилище данных, от которых зависит успешная работа с клиентами, сотрудничество с работниками компании и сторонними организациями. По этой причине очень важно обеспечить его безопасность, причем не только веб-страниц, а и всего того, с чем он непосредственно связан. Вся информация, распространяемая и получаемая с помощью сайта, должна быть защищена.
Оглавление | - |
Тест 136 минут | - | |
Лекция 21 час 54 минуты | Удаление, повреждение и отказ в доступе к данным
В лекции 1 приведен обзор угроз безопасности для веб-сайтов Microsoft IIS. Слабо защищенные сайты и системы потенциально подвержены большому количеству атак, как изнутри сети, так и извне – через интернет. Присущие хорошему хакеру основательность, умение программировать, знание информационных технологий и опыт делают его опасным для организации, которая не предприняла мер по защите веб-сайта. При помощи специальных средств даже хакер-любитель сможет добиться успешного результата, используя уязвимые места системы.
Оглавление | - |
Тест 236 минут | - | |
Лекция 31 час 43 минуты | Подготовка и укрепление веб-сервера
Установка сервера Microsoft IIS осуществляется довольно легко за счет применения программы автоматической установки Microsoft. Однако не следует ошибочно полагать, что сервер сразу после установки готов к выполнению своих функций. Необходимо выполнить ряд работ по обеспечению безопасности сервера, перед тем как запускать его. Данная лекция рассказывает об процедурах установки и настройки сервера, с помощью которых можно устранить проблемы, связанные с безопасностью. Даже если сервер уже установлен, выполните нужные действия для корректировки его конфигурации.
Оглавление | - |
Тест 336 минут | - | |
Лекция 41 час 54 минуты | Учетные записи, аутентификация и политика безопасности
После укрепления сервера (см. лекцию 3) сразу же настройте учетные записи пользователей и администратора, а также параметры безопасности Windows 2000 и IIS для них. Следует немедленно отключить ненужные учетные записи по умолчанию. Придется проверить и/или изменить десятки параметров для повышения защищенности веб-сервера. Специалисты в области безопасности считают эти процедуры неотделимыми от процессов укрепления системы. Они настолько важны, что для их описания пришлось выделить целую лекцию.
Оглавление | - |
Тест 436 минут | - | |
Лекция 51 час 21 минута | Аудит и журналы безопасности
После укрепления системы и настройки безопасности веб-сайта Microsoft IIS необходимо отслеживать попытки нарушения защиты сайта и определять признаки атак или вторжений на сервер.
Оглавление | - |
Тест 536 минут | - | |
Лекция 61 час 4 минуты | Особенности процесса разработки
Разработка представляет собой этап, на котором воплощаются в жизнь все ваши планы и подготовительные мероприятия. После подключения сайта к сети он становится доступным извне и подвергается различным угрозам, поэтому нужно обеспечить все возможные меры безопасности.
Оглавление | - |
Тест 636 минут | - | |
Лекция 71 час 1 минута | Жизненный цикл управления безопасностью
От знаний о методах взлома и способах устранения угроз безопасности веб-сайта IIS зависит его надежная работа. При этом следует обращать внимание буквально на все, чтобы не упустить какую-нибудь важную деталь. Постоянная бдительность поможет обнаруживать инциденты, связанные с нарушением безопасности, и предпринимать соответствующие меры.
Оглавление | - |
Тест 736 минут | - | |
Лекция 81 час 4 минуты | Применение шифрования
Шифрование применяется для защиты конфиденциальности данных. Шифрование является основным компонентом безопасности большинства операционных систем и программ.
Оглавление | - |
Тест 836 минут | - | |
Лекция 91 час 53 минуты | Сторонние средства обеспечения безопасности
До сих пор мы рассматривали конфигурацию безопасности, касающуюся исключительно IIS, но, к сожалению, этого недостаточно для обеспечения высокого уровня защиты веб-сервера. Для снижения риска успешного проведения атаки применяются сторонние средства, устанавливающие приемлемый уровень общей защиты веб-сервера IIS и сети. Некоторые средства используются для любого веб-сервера, некоторые – только для больших корпоративных веб-серверов. Многие продукты содержат несколько компонентов в одном пакете программ для комплексного обеспечения безопасности. Это означает, что у них имеется один общий интерфейс и единая справочная система. Для небольших организаций с незначительными ресурсами информационных технологий это приемлемое решение, но более крупным требуется объединение самых подходящих средств для достижения нужного уровня безопасности.
Оглавление | - |
Тест 936 минут | - | |
Лекция 101 час 54 минуты | Безопасность FTP, NNTP и других служб IIS
IIS представляет собой полнофункциональный веб-сервер, обеспечивающий широкий спектр полезных служб в дополнение к веб-службам FTP, NNTP и SMTP. Как и служба WWW Publishing Service, компоненты IIS базируются на семействе протоколов TCP/IP и, следовательно, открыты для злоупотребления и использования не по назначению. При включении в работу любой из этих дополнительных служб придется настроить сетевой экран на контроль доступа к необходимым протоколам, портам и адресам. Руководство по применению конкретного сетевого экрана должно содержать инструкции по реализации этого процесса. В данной лекции мы покажем, как обеспечить безопасность компонентов IIS и уменьшить число служб до минимального количества. Нужно ли иметь 10 000 FTP-соединений для своих сотрудников, если в компании работает только 50 человек?
Оглавление | - |
Тест 1036 минут | - | |
Лекция 112 часа 31 минута | Безопасность активного содержимого
На данный момент уже установлен сервер IIS, обеспечена его безопасность и теперь вы намерены опубликовать веб-сайт в интрасети или в интернете. Если сайт состоит полностью из статического содержимого (т.е. содержимого, которое изменяется ручным редактированием HTML-страниц или рисунков), то его можно публиковать. Когда посетитель перейдет на веб-страницу, введя ее адрес URL в веб-браузере или щелкнув на гиперссылке, сервер просто отправит файлы, из которых состоит запрашиваемая страница. К сожалению, статическое содержимое часто бывает просроченным или выглядит бедно.
Оглавление | - |
Тест 1136 минут | - | |
Лекция 122 часа 13 минут | Секретность данных в интернете
Когда встает вопрос об обеспечении защиты веб-сайта IIS, девизом веб-разработчиков становится: "Мы против них", где под "ними" подразумеваются пользователи, которые пытаются нарушить конфиденциальность, целостность или доступность данных на сайте. На практике же не все данные веб-сервера принадлежат именно его создателю. Посетители сайта вводят или генерируют данные, причем они могут по праву заявить, что предоставляемые данные принадлежат именно им, а не веб-разработчку. Например, данные, которые запрашиваются на сайте непосредственно (информация, необходимая для заполнения формы онлайн-заказа), а также пассивно зафиксированные данные о том, кто посетил сайт, и какие страницы просмотрены посетителями. Пользователи могут присвоить этой информации статус частной, т.е. они имеют право определить, каким образом данные должны использоваться и кем. Веб-разработчик обязан, согласно установленным законам, разрешать пользователям просматривать и изменять принадлежащие им данные, которые сайт собира
ет, сохраняет или обрабатывает. В общем случае используются меры безопасности для защиты конфиденциальности любой информации, относящейся к пользователям сайта, но некоторые законодательные документы обязывают обеспечивать безопасность в данном случае. В этой лекции приведен обзор принципов секретности и законов, оказывающих влияние на веб-сайт и его защиту, даны практические рекомендации.
Оглавление | - |
Тест 1236 минут | - | |
Дополнительный материал 18 минут | Приложение А. Источники информации о безопасности
Для обеспечения безопасности важно знать о новых продуктах и технологиях, предлагаемых поставщиками программного обеспечения. При обнаружении нового уязвимого места или вируса, внедрившегося в сеть, обратитесь за помощью на сайты производителей программного обеспечения. Следует помнить, что после атаки одного сайта могут быть атакованы и другие сайты. Производители программного обеспечения призваны работать очень эффективно, чтобы защититься от распределенной атаки на их сервер, предоставив для использования свои самые последние разработки.
Оглавление | - |
Дополнительный материал 21 час 1 минута | Приложение В. ГлоссарийОглавление | - |
Дополнительный материал 346 минут | Приложение С. Справочные таблицы
Существуют две наиболее важные и сложные области конфигурации Windows 2000 и IIS: разрешения каталогов и локальная политика безопасности. В книге предложены рекомендации по настройке этих параметров, которые, по нашему мнению, подходят для защиты большей части веб-сайтов. Однако можно провести свое собственное исследование и вывести свои заключения, для чего воспользуйтесь таблицами из Microsoft Windows 2000 Operations Guides по выбору опций и настройке параметров.
Оглавление | - |
Дополнительный материал 411 минут | Приложение D. Методы аутентификации Microsoft IIS
IIS содержит несколько параметров аутентификации, которые настраиваются в Internet Services Manager (Диспетчер служб интернета). Это приложение поможет выбрать нужные настройки, а также разобраться в их преимуществах и недостатках.
Оглавление | - |
Дополнительный материал 57 минут | Вкладки с рисункамиОглавление | - |
5 часов | - |