Опубликован: 16.10.2006 | Уровень: специалист | Доступ: платный
Лекция 10:

Безопасность FTP, NNTP и других служб IIS

Службы Simple TCP/IP

Simple TCP/IP Services (Простые службы TCP/IP) являются компонентом сетевых служб; они обеспечивают работу служб Character Generator (Генератор символов), Daytime (Время суток), Discard (Сброс), Echo (Эхо) и Quote of the Day (Квота дня). Этот компонент не нужен для IIS, однако многие администраторы устанавливают его, ошибочно полагая, что его используют службы, работающие с протоколами TCP/IP. Мы настоятельно рекомендуем не устанавливать этот компонент, так как уже выполнялись атаки на отказ в обслуживании, направленные на эти службы в Windows 2000. Допустим, что имеются программы, выполняющие по отношению к системам с работающей службой Echo обманные действия, например, реализацию постоянного отражения сообщений в прямом и обратном направлениях. Для проверки состояния службы Simple TCP/IP Services дважды щелкните на каждом подключении локальной сети, имеющемся в окне Network and Dial-up Connections (Сеть и удаленный доступ), и нажмите на кнопку Properties (Свойства) (см. рис. 10.14). Если в списке Components (Компоненты) содержится (или включен) компонент Simple TCP/IP Services, выберите его и нажмите на кнопку Uninstall (Удалить).

Подключение сервера настроено правильно, так как включены в работу только необходимые службы

Рис. 10.14. Подключение сервера настроено правильно, так как включены в работу только необходимые службы

Службы IIS играют значительную роль в успехе сайта, однако следует включать в работу только самые необходимые службы. Каждая служба представляет собой потенциальную точку доступа для хакеров, поэтому компоненты нужно тщательно настроить, постоянно контролировать их работу, обновлять посредством установки специализированных надстроек безопасности.

Сводный перечень рассмотренных процедур

  • Определите, какие службы нужны для работы сервера IIS.
  • Устанавливайте и включайте только те службы, которые действительно необходимы для работы сайта.
  • Не устанавливайте и не включайте необязательные службы.
  • Ведите учет устанавливаемых служб в журнале служб с указанием соответствующих примечаний (в качестве примера журнала используйте структуру табл. 10.2).
  • Все устройства, используемые IIS-службами, нужно отформатировать под файловую систему NTFS.
  • Не используйте настройки служб по умолчанию; настраивайте параметры каждой службы отдельно.
  • Создайте новые учетные записи для анонимных пользователей FTP и NNTP.
  • Убедитесь, что не создан FTP warez-сайт.
  • Используйте безопасное FTP-соединение для защиты FTP-трафика.
  • Предусмотрите выпуск цифровых сертификатов пользователей и свяжите их с учетными записями при высокой степени конфиденциальности групп новостей.
    Таблица 10.2. Образец журнала служб
    Служба Установлена Включена Защищена Примечания
    FTP Publishing
    Служба NNTP
    Служба SMTP
    Индексирование содержимого
    Бюро сертификатов
    Локатор RPC
    Сервер
    Телефония
    Удаленный доступ
    Оповещатель
    Сетевой DDE и DSDM
    Агент мониторинга сети
    Простые службы TCP/IP
    Служба WWW
  • Если нужен сервер индексов, выполните только его установку. Наложите ограничения на индексируемые папки, разрешив индексирование только несекретных файлов.
  • Следите за оповещениями безопасности, относящимися к серверу индексов, так как он имеет уязвимые места.
  • Отредактируйте сценарии поиска на сервере (файлы .idq) для поиска только определенных файлов и папок, например, обычных файлов HTML.
  • Убедитесь, что SMTP-сервер не является открытым ретранслятором почты, доступным из интернета.
  • Используйте ретрансляцию SMTP для защиты сервера Exchange.
  • Используйте службы Windows Media для защиты авторских прав содержимого, к которому предоставляется управляемый доступ, при этом следите за появлением новых угроз безопасности.
  • Не устанавливайте простые службы TCP/IP.
Антон Ворожейкин
Антон Ворожейкин
Россия, с. Новоселье
Дмитрий Клочков
Дмитрий Клочков
Россия, Рубцовск