Аутентификация с использованием протоколов открытого ключа

Протоколы открытых ключей позволяют устанавливать авторизованные шифруемые связи между узлами внутренних сетей и в интернете. Существуют три модели аутентификации, проводимой в этих протоколах; они используются как по отдельности, так и в комбинации.

Аутентификация клиента. Позволяет серверу Windows 2000 VPN или веб-серверу IIS идентифицировать пользователя с использованием стандартных методов шифрования на открытом ключе. Осуществляет проверку подлинности сертификата клиента и общего ID, а также проверку того, что эти данные сгенерированы бюро сертификатов, корневой сертификат которого установлен в перечне доверенных CA. Эта проверка очень важна, если сервером является банк, который передает конфиденциальную финансовую информацию клиенту и должен подтвердить личность получателя. На рисунке 8.1 отображен процесс аутентификации.Аутентификация сервера. Позволяет клиенту VPN или браузеру клиента SSL/TLS подтверждать идентичность сервера, проверяя правильность сертификата сервера и идентификатора ID, а также то, что сертификаты выпущены бюро сертификатов (CA), корневой сертификат которого присутствует в перечне доверенных CA клиента. Это подтверждение имеет важное значение для пользователя веб-сайта, который отправляет номер кредитной карты через сеть и хочет удостовериться в том, что это именно тот сервер, который ему нужен.Взаимная аутентификация. Позволяет клиенту и серверу авторизовать друг друга единовременно. Взаимная аутентификация требует, чтобы клиент и сервер имели цифровые сертификаты и соответствующие корневые сертификаты CA в перечнях доверенных CA.

Большая часть коммерческих CA, таких как Verisign, встроены в браузеры Netscape и Microsoft как корневые сертификаты по умолчанию. Пользователям и менеджерам сети не нужно устанавливать сертификаты, аутентификация сервера работает автоматически. Если организация выступает в роли своего собственного бюро сертификатов, то необходимо дополнительно установить корневой сертификат во всех браузерах компьютеров-клиентов интранет-сети и предоставить соответствующие инструкции.

На рисунке 8. 1 показано, как работает аутентификация SSL/TLS. На практике в большей части веб-сайтов используется только серверная аутентификация с помощью цифрового сертификата, так как распространение клиентских сертификатов среди всех посетителей сайта представляет собой огромную работу (это сделать несколько легче, если клиенты объединены в сеть интранет).

Аргументом против использования сертификатов на компьютерах-клиентах является то, что при этом система открывается для потенциальных словарных атак. Клиент с браузером аутентифицирует сервер методами открытого ключа, но сервер просто использует пароли для аутентификации своих клиентов, поэтому хакер может выполнить атаку посредством угадывания пароля. Руководство компаний, не использующих сертификаты, считает, что цена разработки выше, чем реальная угроза; как и большая часть бизнес-решений, данное утверждение основывается на экономическом факторе.

увеличить изображение
Рис. 8.1. Аутентификация сервера сертификата клиента

Цифровые подписи и инфраструктура открытого ключа

Шифрование на общем ключе привело к введению цифровых сертификатов, используемых для аутентификации на веб-сайтах с протоколами SSL/TLS и IPSec. Цифровой сертификат представляет собой цифровой документ (небольшой файл), заверяющий подлинность и статус владельца для пользователя или компьютерной системы. Например, бизнес-сертификат подтверждает тот факт, что компания обладает определенным открытым ключом. Цифровые сертификаты помогают автоматизировать распределение открытых ключей в протоколе шифрования с открытым ключом. Когда другому компьютеру необходимо произвести обмен данными с вашей системой, он осуществляет доступ к цифровому сертификату, содержащему ваш открытый ключ.

Набор продуктов и процессов, необходимых для безопасного создания, управления и распределения цифровых сертификатов, называется инфраструктурой открытого ключа (PKI). Одним из компонентов PKI является компьютер, называемый сервером сертификатов. Объединение, включающее сервер сертификатов и создающее сертификаты, называется бюро сертификатов (CA). CA несет ответственность за подтверждение подлинности сертификата и принадлежности его физическому лицу или организации перед созданием сертификата.

Существуют компании, например, Verisign и SSL.com, являющиеся коммерческими CA. Эти организации за определенную плату выпускают сертификаты для отдельных лиц и компаний. Если организация взяла на себя роль своего собственного бюро сертификатов и выпускает свои сертификаты, то необходим программный продукт Microsoft Sertificate Server, но придется установить этот компонент и управлять им на отдельном сервере в целях безопасности. Руководство многих компаний предпочитает оплатить услугу по получению сертификатов вместо покупки своего собственного оборудования и выделения необходимых ресурсов для самостоятельного выпуска сертификатов.

Стандарт цифровых сертификатов X.509 обеспечивает совместимость с протоколами SSL/TLS и IPSec, используемыми в Microsoft Windows 2000 и IIS. Согласно этому стандарту цифровой сертификат X.509 v3 должен содержать четыре объекта.

Отличительное имя ( Distinguished Name, DN) организации, от которой получен сертификат (т.е. имя, введенное в поле Name сертификата).Открытый ключ отдельного лица или организации, идентифицируемый сертификатом.Цифровую подпись, полученную от секретного ключа бюро сертификатов, предусмотренного соответствующим сервером сертификатов.Отметки о дате, означающие даты выпуска и срок действия сертификата.

Имея эту информацию, два узла в виртуальной частной сети или веб-сервер и правильно настроенный веб-браузер могут отправлять и получать потоки данных, которые будут расшифрованы только ими.

Установление доверия к бюро сертификатов осуществляется по решению персонала или руководства компании. В интернете, как правило, принимается сертификат Verisign. После вынесения решения о доверии корневой сертификат СА нужно установить на серверах и клиентах, осуществляющих взаимную аутентификацию. Корневым сертификатом называется сертификат, содержащий открытый ключ CA, которому будут сопоставляться отдельно выпущенные и подписанные сертификаты с применением концепции открытого ключа для подтверждения подлинности сертификатов. Например, браузер авторизует цифровой сертификат веб-сайта, сопоставляя подпись сертификата с открытым ключом корневого сертификата CA, установленного в браузере. С помощью этой проверки браузер определяет, что сайт на самом деле принадлежит компании или организации, которую он представляет (в силу доверия к бюро сертификатов).

Как работает безопасное веб-соединение

TLS и SSL составляют неотъемлемую часть большинства веб-браузеров (клиентов) и веб-серверов. В SSL/TLS используется уровень приложений, расположенный между протоколами HTTP и TCP, которые являются частью браузеров Microsoft и Netscape и встроены в IIS. Под сокетами (от названия протокола Secure Socket Layer) понимается возможность всех операционных систем, используемых приложениями, передавать и принимать данные через сеть.

Шифруемое соединение SSL/TLS позволяет шифровать на сервере и расшифровывать на клиенте (и наоборот) всю информацию, передаваемую между ними. Шифрование осуществляется с помощью симметричного шифра после безопасного обмена сеансовыми ключами посредством шифрования на открытом ключе (см. раздел "Комбинирование методов шифрования"). Алгоритмом открытого ключа является RSA, а симметричным шифром, используемым по умолчанию, – RC-4. Дополнительно все данные, передаваемые через шифруемые соединения, защищаются механизмом обнаружения злоумышленных действий, который отслеживает изменение данных при передаче.

Сеанс SSL между клиентом и сервером устанавливается следующим образом.

Клиент открывает сокет и запрашивает подключение к серверу.Сервер аутентифицирует клиента (либо по паролю, либо посредством сертификата, отправляемого клиентом).После установки соединения сервер передает браузеру свой открытый ключ посредством отправки сертификата сервера, выпущенного доверенным бюро сертификатов.Клиент аутентифицирует сертификат.Клиент и сервер осуществляют обмен настроечной информацией для определения типа и силы шифрования, используемых в сеансе соединения.Клиент создает сеансовый ключ, используемый для шифрования данных.Клиент шифрует сеансовый ключ с помощью открытого ключа сервера (полученного из сертификата сервера) и отправляет его серверу. Секретный ключ, с помощью которого можно расшифровать сеансовый ключ, находится только на сервере.Сервер расшифровывает сеансовый ключ и использует его для создания безопасной сессии, через которую будет осуществляться обмен данными с клиентом.

Необходимым условием успешной реализации этих шагов является заранее установленный на клиенте корневой сертификат, полученный от доверенного бюро сертификатов. При использовании сертификата, полученного от коммерческого CA, корневой сертификат которого уже имеется в Microsoft Internet Explorer и Netscape Communicator (например, Verisign), не нужно беспокоиться об этом. При использовании сертификатов клиентов серверу необходимо установить клиентский корневой сертификат, выпущенный клиентским бюро сертификатов.

Ключи и шифры

Системы шифрования делают данные нечитабельными и, наоборот, доступными для чтения с использованием алгоритмов, называемых шифрами. Шифр представляет собой определенный метод кодирования и декодирования данных. Во времена Юлия Цезаря римляне использовали простой шифр со смещением букв алфавита. Для расшифровки римского сообщения получателю требовался ключ; т.е. ему необходимо было знать, на какое расстояние смещены буквы алфавита и в каком направлении. В настоящее время в системах шифрования используются сложные математические формулы и большие двоичные числа, но принцип остается все тем же.

Компьютеризированные системы шифрования создаются таким образом, чтобы шифруемые данные с использованием внутреннего ключа обрабатывались программой, называемой системой шифрования. Как правило, для расшифровки данных компьютеру требуются две вещи: шифр и ключ. В Windows 2000 и IIS система шифрования встроена в саму операционную систему. Это позволяет службам и приложениям операционной системы выполнять шифрование в реальном времени. Например, если сервер Windows 2000 настроен на шифрование файлов в папке, шифрование происходит при сохранении файла. Если сервер настроен на работу с VPN или использует протоколы SSL/TLS, данные шифруются в момент отправки их в сеть и расшифровываются после получения.

Комбинирование методов шифрования

Несмотря на то, что шифрование на открытом ключе имеет преимущество с точки зрения безопасности обмена ключами, его недостатком является скорость работы. Системы шифрования с ассиметричными ключами работают гораздо медленнее, чем системы с симметричными ключами. Они применяются только для шифрования небольших объемов данных, их не рекомендуется использовать в случае больших объемов информации при шифровании в реальном времени в сеансах безопасного соединения.

Стандарты SSL/TLS и IPSec, применяемые для шифрования данных в режиме реального времени в интернете, комбинируют алгоритмы ассиметричного и симметричного шифрования для использования преимуществ каждого. Например, на практике шифрование на открытом ключе не используется для шифрования данных в сессии безопасного соединения, так как оно работает медленно в сравнении с шифрованием на секретном ключе такой же длины.

Вместо этого для аутентификации, шифрования и отправки ключа для симметричного шифра RC4 или AES (объем данных относительно невелик) используется шифрование с открытым ключом. Симметричный шифр используется для шифрования данных сеанса (данные, объем которых измеряется мегабайтами). На принимающей стороне программное обеспечение сначала расшифровывает симметричный ключ, после чего использует его для расшифровки полезных данных.

Комбинирование методов шифрования повышает общий уровень безопасности системы шифрования. Посредством ассиметричного шифрования для доставки ключей сессии симметричного шифрования система может использовать отдельный симметричный ключ для каждого сеанса. Разумеется, это можно делать как при помощи SSL, так и IPSec. Программное обеспечение выбирает симметричный ключ случайным образом. Таким образом, раскрытие одного ключа сеанса связи (что происходит крайне редко) не влияет на следующую установку сеанса.

Настройка IIS на работу с SSL/TLS

При настройке сайта IIS на шифрование SSL/TLS нужно выполнить четыре процедуры.

Создание пары открытых ключей, используемых в CA при запросе сертификата.Запрос сертификата сервера от CA.Установка сертификата.Настройка каталогов и страниц, безопасность которых необходимо обеспечить.Совет. При приобретении сертификата у коммерческого бюро сертификатов весь процесс займет больше времени, причем оно будет потрачено, в основном, на ожидание завершения процедуры подтверждения в бюро сертификатов. Этот процесс может занять несколько дней, поэтому вы не сможете выполнить все четыре шага за один раз. Вам придется предоставить бюро сертификатов достаточное количество документов, подтверждающих заявленный статус и сферу деятельности вашей организации, и только после проверки этих данных вы получите сертификат. Тем не менее, некоторые коммерческие CA предоставляют через интернет пробные сертификаты, срок действия которых сильно ограничен, но это, по крайней мере, позволяет завершить экспериментальную настройку.

Обеспечение безопасности сайта или каталога

После установки сертификата завершите процесс настройки SSL/TLS для сайта. Чтобы сделать это корректным образом, обдумайте структуру сайта.

На большей части сайтов, даже если на них используется шифрование, имеется нешифруемый раздел. С точки зрения производительности крайне неразумно шифровать все страницы. Каждый раз на это тратится процессорное время. При шифровании всех данных на сайте вероятно возникновение перегрузки и затруднений в работе сервера. Этого можно избежать, используя вспомогательную карту шифрования (см. лекции 9). Однако, не стоит забывать, что загрузку сервера можно разумно планировать.

Ваша домашняя страница не требует шифрования. Большинство компаний оставляют раздел сайта с рекламным материалом, контактной информацией и другими открытыми данными в отдельных нешифруемых каталогах. Веб-дизайнер создаст отдельный раздел (или другой сайт) с содержимым, предназначенным для конфиденциального доступа клиентов, и обеспечит шифрование только этой информации. Если сайт организован аналогичным образом, имеет смысл структурировать его так, как показано на рис. 8.8.

увеличить изображение
Рис. 8.8. Не нужно шифровать каждую страницу веб-узла

После упорядочивания информации можно начинать установку. Теперь, когда сайт является совместимым с SSL/TLS, укажите, будут ли зашифрованные страницы располагаться по всему сайту или только в определенных каталогах. Процедура настройки шифрования SSL/TLS состоит из следующих шагов.

Откройте консоль MMC Internet Services Manager (Диспетчер служб интернета) и в дереве ресурсов найдите сервер. Щелкните правой кнопкой мыши на сервере либо откройте сервер, чтобы перейти в каталог, содержащий подлежащие защите страницы, после чего выберите во всплывающем меню команду Properties (Свойства).Укажите порт, который будет использоваться IIS для функционирования SSL/TLS. Это можно сделать на вкладке Web Site (Веб-узел) (см. рис. 8.9). Стандартным портом для безопасных соединений в интернете является порт 443.Для сохранения конфигурации нажмите на кнопку Apply (Применить). Совет. Шифрование каталога IIS работает иначе, чем в Windows 2000.

с рабочего стола Windows информация

При установке каталога с зашифрованными свойствами в Windows Explorer или с рабочего стола Windows информация будет шифроваться на диске. В IIS SSL/TLS шифруют информацию при непосредственной передаче по сети браузеру клиента.

Рис. 8.9. На вкладке Web Site (Веб-узел) установите порт SSL

Откройте вкладку Directory Security (Безопасность каталога). В области Secure Communications (Безопасные соединения) станут доступными кнопки View Certificate (Просмотр) и Edit (Изменить) (см. рис. 8.10). Для каталога кнопка изменения сертификата будет недоступна, так как эта операция осуществляется на уровне веб-узла, а не на уровне каталога. Нажмите на кнопку Edit (Изменить) для настройки параметров SSL/TLS.В окне Secure Communications (Безопасные соединения) (см. рис. 8.11) отметьте опцию Require Secure Channel (SSL) (Требовать безопасное соединение [SSL]). Станет доступной опция Require 128-Bit Encryption (Требовать 128-битное шифрование); ее также следует отметить. Важно. Для обеспечения безопасности сайта не используйте шифрование на ключе длиной меньше, чем 128 бит. 56-битный алгоритм DES довольно легко взломать, но стоит сменить длину ключа на 128 бит – и шифрование станет на несколько порядков мощнее.На данном этапе выполнены все требования, необходимые для включения SSL/TLS. Нажмите на OK, чтобы применить настройки и выйти из окна Web Site Properties.

Рис. 8.10. Во вкладке Directory Security (Безопасность каталога) нажмите на кнопку Edit (Изменить) для настройки безопасных соединений на сайте, поддерживающем сертификаты

Рис. 8.11. Выберите нужные настройки SSL в окне Secure Communications (Безопасные соединения)

Обратите внимание на рисунок 8.11: окно Secure Communications (Безопасные соединения) позволяет указать способ поддержки сертификатов на клиентах, посещающих веб-сервер. Можно выбрать следующие опции.

Игнорировать сертификаты клиентов. Отключает использование на сервере клиентских сертификатов для аутентификации независимо от того, установил ли клиент сертификат.Принимать сертификаты клиентов.Позволяет серверу принимать сертификаты клиентов в качестве одного из методов аутентификации.Требовать сертификаты клиентов. Предотвращает доступ клиентов, не имеющих сертификаты на своих системах, к защищенному содержимому сайта.

Можно связать сертификаты клиентов с учетными записями пользователей на веб-сервере. После установки этой связи каждый раз при входе пользователя с использованием сертификата клиента сервер автоматически свяжет этого пользователя с соответствующей учетной записью Windows. Так осуществляется автоматическая аутентификация пользователей, входящих в систему с помощью клиентских сертификатов, без применения аутентификации Basic (Базовая), Messaging Digest (Обработка сообщений) или встроенной аутентификации Windows.

Основы шифрования

Вначале рассмотрим несколько важных принципов шифрования. Шифрование включает в себя кодирование данных, чтобы их мог прочитать только определенный получатель. Шифрование – это древняя наука, первые сведения о ней относятся еще к ХХ веку до нашей эры (Египет). Римляне использовали шифрование сообщений в процессе обмена информацией между войсковыми подразделениями. Сегодня системы шифрования широко используются для передачи секретных цифровых данных через компьютерные сети.

ПРОБЛЕМА

Обе технологии, IIS SSL и TLS, позволяют использовать различные шифры посредством изменения значений в реестре Windows 2000. Имейте в виду, что изменение длины ключа или значения шифра повлияет на шифры на всем компьютере в целом, поэтому приложения типа Internet Explorer (использующий те же записи реестра для определения доступных шифров) будут использовать новые шифры. Это может пригодиться при возникновении определенных обстоятельств на веб-сайте, где основным приложением является IIS. Для изменения параметров шифра IIS SSL/TLS выполните следующие шаги.

Запустите программу Regedit и найдите ключ реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\CiphersВ списке доступных шифров выберите тот шифр, который не хотите использовать. В области справа просмотрите Enabled Value (Значение) для этой записи. Значением может быть одна из величин: 0xffffffff (включено) 0x0 (выключено)Щелкните на записи Enabled (Включено), выберите Edit (Изменить), после чего выберите Modify (Изменить). В окне Edit DWORD Value (Изменение параметра DWORD) убедитесь, что параметр Value (Значение) установлен на Enabled (Включено), а опция Base Value (Базовое значение) – на Hexademical (Шестнадцатеричное).В поле Value Data (Данные значения) удалите прежнее значение, после чего включите его, указав значение 0, либо отключите, указав значение ffffffff.Нажмите на OK. Перезапустите IIS, чтобы применить изменения.

Работа с безопасными соединениями IIS

С точки зрения безопасности нешифруемое соединение между сайтом IIS и браузером доступно любому. В общем случае это не является проблемой при использовании сайта только в рамках интранет-сети, в которой отсутствует конфиденциальная информация, или при использовании сайта для широкого распространения рекламы компании и ее продукции. Но если на сайте ведется прием заказов или передается секретная информация, тогда необходимо обеспечить защиту данных.

Протоколы SSL/TLS виртуально защищают все интерактивные банковские операции, денежно-кредитные транзакции и покупки. Например, все финансовые институты используют SSL для обеспечения безопасной передачи номера PIN каждого из клиентов и других конфиденциальных данных, связанных с учетной записью. Когда клиент использует кредитую карту для интерактивной покупки товаров, данные формы заказа передаются, как правило, через SSL-защищенный "туннель", доступный только сотрудникам отдела заказов поставщика выбранного товара.

Совет. Протокол SSL изначально разработан компанией Netscape в середине 1990-х годов. С этого времени IETF работает над новым вариантом системы шифрования данных между клиентами и серверами под названием Transport Layer Security (TLS), основой которого является Netscape SSL 3.0 (эти версии не являются взаимозаменяемыми). Microsoft IIS поддерживает TLS 1.0 (новая версия) и SSL 3.0 (для обеспечения совместимости с более ранними версиями).

SSL и TLS обеспечивают очень надежное шифрование. Хорошо известны случаи похищения номеров кредитных карт с веб-сайтов, использующих технологию SSL/TLS, но эти преступления удалось совершить лишь потому, что информация хранилась в базе данных некорректным образом, а не потому, что хакер взломал шифр SSL/TLS.

Шифрование на открытом ключе (ассиметричное шифрование)

В 1970-х годах появилась новая система шифрования, называемая шифрованием на ассиметричном (открытом) ключе. Она называется ассиметричной, потому что не требует использования идентичных ключей отправителем и получателем шифрованного сообщения. Она является системой с открытым ключом, так как один из ключей не содержится в секрете.

Давайте остановимся на этом поподробнее. Шифрование на открытом ключе использует два различных ключа, составляющих пару, но не идентичных. В шифровании с симметричным ключом каждый ключ является уникальным. Пара ключей открытый/секретный работает сообща: один ключ предназначен для шифрования данных, а другой – для расшифровки, и наоборот. Секретный ключ должен содержаться в секретности в целях безопасности, а открытый ключ может передаваться по небезопасному соединению без угрозы для системы. Следовательно, система шифрования на открытом ключе решает одну из главных проблем старых систем шифрования, заключающуюся в безопасном способе передачи ключа шифрования другой стороне.

Как правило, открытые ключи используются только для зашифровки данных. Расшифровать их сможет только тот пользователь, чей компьютер содержит соответствующий секретный ключ. Эта система построена на математических принципах, используемых в шифрах с открытыми ключами и обеспечивающих существование одного и только одного уникального секретного ключа, соответствующего уникальному открытому ключу. Следовательно, если выполняется шифрование данных пользователя на общем ключе, можете быть уверены, что только пользователь, владеющий второй, секретной, половиной ключа, сможет их расшифровать.

Первым коммерческим алгоритмом шифрования на открытом ключе был алгоритм RSA (сокращение представляет собой первые буквы фамилий трех специалистов, которые разработали шифр и впоследствии создали свою собственную компанию RSA Security, Inc.). Данный алгоритм использовался в Netscape в качестве компонента первой версии SSL (это был единственный шифр, используемый в Netscape), который в итоге фактически стал частью стандарта, когда Netscape открыли SSL для общего пользования. Microsoft изначально использовал шифрование RSA в операционной системе Windows NT, оно используется и в Windows 2000. Ключи RSA являются основными возможностями шифрования в Windows 2000/IIS.

Шифрование на симметричном (секретном) ключе

Исторически сложилось так, что системы шифрования являются системами на симметричных (секретных) ключах. Система шифрования на симметричном ключе использует один и тот же ключ как для зашифровки, так и для расшифровки данных. Когда римляне отправляли сообщения, зашифрованные посредством смещения алфавита, ключом была величина смещения и его направление. Используя эту информацию, получатель мог расшифровать сообщение посредством сдвига букв сообщения в обратном направлении для размещения их на исходных местах. В такой системе ключом являлось число (меньшее, чем число букв в римском алфавите) и направление (влево или вправо). Недостатком данной системы шифрования было то, что легко угадывался ключ и раскрывался текст сообщения.

Современные компьютеризированные системы шифрования позволяют использовать очень длинные ключи. Если стороннее лицо узнает алгоритм шифрования, то для угадывания ключа длиной 128 бит понадобится очень много времени, даже при использовании компьютеризированных методов, так как количество возможных комбинаций равно 3,4 x 1038. Поэтому шифры, используемые в промышленности и в государственных стандартах безопасности, открыты для всеобщего доступа и хорошо известны. Это может показаться слишком легкомысленным, однако открытое распространение шифров, на самом деле, предназначено для повышения их защищенности, так как многие специалисты в области шифрования имеют возможность оценки, дополнения и совершенствования шифров. Примерами хорошо известных систем шифрования, алгоритмы которых доступны любому желающему, являются DES, Triple DES и новый стандарт AES. Некоторые коммерческие симметричные алгоритмы, такие как RC4, сделаны общедоступными для повышения надежности посредством проверки алгоритмов пользователями. Ниже приведен перечень современных симметричных шифров.

DES – стандарт шифрования (Data Encryption Standard), используемый правительством США.Skipjack – секретный алгоритм симметричного ключа, применяемый в оборудовании, совместимом с FORTEZZA (применяется в правительстве США).Triple-DES – стандарт DES, применяемый трижды (для повышения сложности взлома).RC2, RC4, RC5 и RC6 – эти коммерческие шифры создаются и лицензируются компанией RSA Security, Inc.
Microsoft использует RC4 по умолчанию в протоколах PPTP и L2TP, SSL/TLS и при поддержке протокола IPSec (можно изменить в системном реестре).AES – стандарт AES является новым федеральным стандартом обработки информации, который применяется для определения криптографического алгоритма в организациях правительства США для защиты важной (секретной) информации.Важно. Стандарт DES разработан в начале 1970-х годов. Он десятилетиями использовался для шифрования финансовых транзакций между банками и финансовыми институтами. Сейчас этот стандарт устарел, так как длина его ключа ограничена 56 битами. Новые стандарты не имеют этого ограничения. Используя мощь современных микропроцессоров, 56-битный ключ DES может быть взломан за несколько часов, в то время как на взлом 128-битного ключа потребуются многие месяцы работы самых мощных компьютеров. Вывод: не следует использовать алгоритмы шифрования с ключами, длина которых меньше 128 бит.

Преимущество шифрования на симметричном ключе заключается в быстрой и эффективной работе, что делает его подходящим для приложений, требующих шифрования в реальном времени, в отличие от других методов, отрицательно влияющих на производительность систем.

Недостатком шифрования с использованием симметричного ключа является то, что ключи должны согласовываться между отправителем и получателем заранее, т.е. им необходимо договориться о ключах. При обмене ключами нужно соблюдать особые меры предосторожности, так как если ключи станут известны третьему лицу, то он легко расшифрует текст. Если количество получателей текста невелико, этот процесс можно осуществить с относительной легкостью, но при увеличении числа получателей его сложность возрастает в геометрической прогрессии. Следовательно, несмотря на возможность автоматизации, обмен ключами является очень ответственным процессом на веб-сайтах, с которыми работает большое число клиентов.

Сводный перечень действий по настройке параметров SSL

Решите, какую политику доверия и метод аутентификации нужно использовать для работы с цифровыми сертификатами, и выберите либо коммерческое бюро сертификатов, либо самоуправляемый сервер сертификатов.Сгенерируйте пару открытых ключей в диспетчере IIS Internet Information Services посредством создания запроса на подпись сертификата, который будет отправлен в бюро сертификатов.Запросите сертификат сервера из бюро сертификатов, перейдя по адресу URL запроса сертификата и заполнив данные в соответствующей форме.Установите сертификат на веб-сервер посредством выполнения инструкций, включенных в полученный от бюро сертификатов ответ.Настройте каталоги и страницы, безопасность которых необходимо обеспечить. Выполните следующие шаги: настройте параметры Web Site Properties (Свойства веб-узла) на использование порта 443 (или другого) для функционирования SSL/TLS;на вкладке Directory Security (Безопасность каталога) откройте окно Secure Communications (Безопасные соединения) и настройте параметры для 128-битного шифрования SSL;примите решение о необходимости аутентификации клиентов с помощью цифровых сертификатов и укажите соответствующие параметры в окне Secure Communications (Безопасные соединения).

Установка цифрового сертификата

После получения уведомления об одобрении запроса на сертификат и загрузки самого сертификата установите его на веб-сервер. Для установки вернитесь в консоль MMC Internet Services Manager (Диспетчер служб интернета) и выполните следующие шаги.

Откройте консоль Internet Services Manager и в дереве ресурсов перейдите к веб-сайту, на который нужно установить сертификат. Щелкните правой кнопкой мыши на сайте, после чего в появившемся меню выберите Properties (Свойства), чтобы отобразить окно Web Site Properties (Свойства веб-узла).Откройте вкладку Directory Security (Безопасность каталога) и нажмите на кнопку Server Certificate, как и при создании запроса на подпись сертификата (см. рис. 8.2). Откроется Web Server Certificate Wizard (Мастер сертификатов веб-сервера). Мастер распознает, что у вас имеется нерассмотренный запрос (см. рис. 8.6). Убедитесь, что выбрана опция обработки запроса в очереди, после чего нажмите на Next (Далее) для продолжения установки.

Рис. 8.6. Продолжите выполнение запроса в очереди в Certificate Wizard (Мастер сертификатов)

Совет. Если на любом этапе процедуры регистрации сертификата возникнут трудности, нажмите на кнопку Back (Назад), чтобы вернуться в предыдущий шаг, либо нажмите на Cancel (Отмена), чтобы просто закрыть окно и начать выполнение процедуры сначала.Укажите расположение и имя файла сертификата, полученного от бюро сертификатов. Нажмите на кнопку Browse (Обзор), чтобы перейти к этому файлу, либо укажите его имя, после чего нажмите на Next (Далее) для продолжения работы. Последнее окно мастера представляет собой отчет (см. рис. 8.7) о деталях вашего сертификата.Просмотрите все детали сертификата и убедитесь в их корректности. Если сертификат корректен, нажмите на Next.В появившемся окне нажмите на кнопку Finish (Готово), чтобы завершить установку.

Рис. 8.7. После получения сертификата перед подтверждением установки убедитесь в корректности информации

Выполнение запроса на подпись сертификата

При первой установке безопасного протокола на компьютер, скорее всего, у вас еще нет открытого ключа, поэтому нужно предварительно создать пару ключей и подготовить сайт к запросу сертификата в бюро сертификатов. Создание ключей для сервера IIS осуществляется с помощью запроса на подпись сертификата (CSR). Для обеспечения правильного соответствия открытого и секретного ключей следует выполнить CSR с компьютера, для которого будет запрашиваться сертификат.

Откройте консоль MMC Internet Services Manager (Диспетчер служб интернета) и в дереве ресурсов перейдите к веб-сайту, на котором требуется SSL/TLS для обеспечения безопасности веб-страниц. Щелкните правой кнопкой мыши на сайте и во всплывающем меню выберите Properties (Свойства).В окне Web Site Properties (Свойства веб-узла) откройте вкладку Directory Security (Безопасность каталога). В области Secure Communications (Безопасные соединения) нажмите на кнопку Server Certificate (Сертификат) (см. рис. 8.2). Откроется мастер, который сгенерирует пару открытых ключей и создаст CSR. Обратите внимание, что кнопки View Certificate (Просмотр сертификата) и Edit (Изменить) еще недоступны, так как сертификат до этого не устанавливался.

Рис. 8.2. Используйте вкладку Directory Security (Безопасность каталога) окна Web Site Properties (Свойства веб-узла) для создания CSR

Следуйте инструкциям мастера и отвечайте на вопросы по мере выполнения шагов. При создании запроса необходимо выполнить следующие действия. Выберите метод присвоения Assign A New Certificate (Присвоить новый сертификат).Выберите опцию Prepare The Request Now, But Send It Later (Подготовить запрос сейчас, но отправить его позже).В параметрах Name (Имя) и Security Settings (Параметры безопасности) введите предпочитаемое имя, после чего выберите длину, по крайней мере, в 1024 бита в области выбора Bit Length (Длина бита) (подразумевается, что эта опция доступна). Если вы работаете с сайтом в США, не следует выбирать опцию Server Gated Cryptography (Шифрование с использованием серверного шлюза).

Совет. При длине ключа большей, чем 1024 бита, затрачивается много времени на вычисление. Для большинства приложений длина ключа в 1024 бита обеспечивает надежную защиту.Укажите название организации и предоставьте информацию о подразделении в окне Organization Information (Информация об организации). Подразделение организации не имеет принципиального значения, если компания невелика, тем не менее, укажите имя.В окне Geographic Information (Данные о расположении) выберите страну в списке, введите штат (область), после чего укажите город. Не сокращайте вводимые данные, так как это может стать причиной отклонения запроса на сертификат.В окне Certificate Request File Name (Имя файла сертификата) выберите удобное имя и место, которое вы откроете из браузера при итоговом заполнении веб-формы для запроса на сертификат.По окончании работы мастера появится окно с отчетом (см. рис. 8.3). Если вся информация правильна, нажмите на Next (Далее), чтобы выйти из браузера.

Рис. 8.3. Дважды проверьте информацию перед тем, как выйти из мастера

Мастер создаст файл CSR, сохраненный в месте расположения с указанным именем. Этот файл содержит открытый ключ для сайта.

Запрос на сертификат сервера

Первым шагом в получении сертификата является запрос в бюро сертификатов, которое выпустит его. При выполнении запроса необходимо подтвердить информацию, описывающую ваш бизнес, а также созданный открытый ключ.

При запросе сертификата у коммерческого бюро сертификатов его нужно отправлять с сайта этой организации (например, www.verisign.com). При запросе сертификата в бюро сертификатов внутри организации администратор бюро создаст веб-страницу и предоставит соответствующий URL.

Скорее всего, вы получите сертификат не сразу. Исключением является ситуация, когда сертификаты используются внутри сети. В этом случае в организации предусматривается политика, которая не требует просмотра запросов на сертификаты при условии доверия запрашивающему пользователю (т.е. если ваше имя из списка пользователей Windows Domain распознано), и если управляемый внутри сети сервер сертификатов настроен на автоматизированное подтверждение. Однако, большая часть времени после передачи запроса в бюро сертификатов уйдет на ожидание решения (Pending), пока администратор бюро сертификатов не подтвердит или не отклонит ваш запрос.

Когда откроется страница запроса на сертификат в бюро сертификатов, нужно заполнить ряд форм. Набор вводимых данных зависит от конкретного бюро сертификатов, хотя все эти данные представляют минимально необходимую информацию, требуемую стандартом x509 v3, если используется сертификат именно этого типа. Будет предложено выбрать пароль и указать открытый ключ. На рисунке 8.4 показана форма, предназначенная для указания открытого ключа при запросе сертификата у Verisign.

Открытый ключ представляет собой большое двоичное число, сохраненное в файле, созданном в процессе CSR. Можно просмотреть содержимое открытого ключа в программе Notepad (Блокнот) Windows 2000 (см. рис. 8.5). В нужный момент процедуры регистрации сертификата укажите этот ключ в бюро сертификатов. Если вы обратились в Verisign, то для предоставления ключа откройте файл, вырежете и вставьте его содержимое из Notepad в поле формы.
Все зависит от конкретного бюро сертификатов; просто следуйте инструкциям используемого бюро.

После заполнения форм CA и подтверждения введенной информации запрос будет помещен в очередь ожидания решения CA Pending. В случае одобрения бюро сертификатов подготовит сертификат и заверит его подписью. СА обычно проверяет введенную информацию и отсылает по электронной почте уведомления об отрицательном или положительном результате рассмотрения запроса.

увеличить изображение
Рис. 8.4. Процедура регистрации сертификата Verisign заключается в заполнении определенного набора форм

Если запрос одобрен, то, в зависимости от политики бюро сертификатов, сообщение электронной почты может содержать сам сертификат или ссылку (URL) на страницу сайта, защищаемую SSL; эта страница гарантирует безопасную доставку сертификата. На этой странице введите пароль, указанный вами при регистрации приложения, после чего загрузите сертификат на локальный диск вашего сервера.

Рис. 8.5. Обычно бюро сертификатов предлагает вырезать и вставить открытый ключ в форму запроса сертификата

Совет. В данном примере используется демонстрационный сертификат Verisign. При отправке компанией Verisign сообщения электронной почты для подтверждения запроса сертификат прикрепляется к нижней части сообщения. Он очень похож на открытый ключ, вырезанный и вставленный в форму запроса на сертификат. Нужно вырезать и вставить сертификат в новый документ Notepad (Блокнот) и сохранить его под именем, оканчивающимся расширением .cer; данное расширение сообщает мастеру о том, что файл является сертификатом.

Адаптивная проверка или интеллектуальная фильтрация сеанса

В то время как шлюзы приложений имеют доступ только к уровню приложения, а маршрутизаторы – только к нижним уровням, адаптивная проверка объединяет информацию, собранную со всех уровней, для обеспечения контроля сеанса, а не отдельных пакетов. С помощью детализированных данных о правилах связи для каждого протокола адаптивная проверка фиксирует сведения об отправленных исходящих пакетах и позволяет преодолеть сетевой экран только пакетам, являющимся ответными на указанные отправленные пакеты. Сетевой экран проверяет пакеты на наличие симптомов атаки (например, IP-прослушивание, "смертельный ping" и др.). Любая попытка доступа во внутреннюю сеть, не являющаяся ответом на запрос сети, отклоняется. На такую фильтрацию уходит больше процессорного времени, нежели на фильтрацию пакетов, но меньший объем работы, чем для обработки приложений; не нужно создавать новое прокси каждый раз, когда требуется новая служба.

Альтернатива – блокировка

Некоторые антивирусные программы используют иной подход к обнаружению вирусов, заключающийся в отслеживании активности приложений. Например, программа StormWatch от Okena, Inc. (www.okena.com) располагается рядом с ядром операционной системы и в режиме реального времени перехватывает запросы на ресурсы для разрешения/запрета к ним согласно установленным правилам контроля доступа. Этот метод предотвращает запуск несанкционированных программ как пользователями, так и вирусами, и является эффективным способом предотвращения неизвестных атак. В отличие от традиционных программ-сканеров, обнаруживающих признаки вирусов, StormWatch не проверяет содержимое и, следовательно, не оказывает практически никакого влияния на производительность системы. В ней также содержатся политики по умолчанию для IIS, обеспечивающие готовую защиту от SYN-флудов, распределенного сканирования портов, сетевых червей и "троянских коней". Подход с применением блокировки весьма полезен, если сервер IIS установлен на отдельном сервере и точно известно, какие программы должны на нем выполняться.

Анализаторы журналов

Файлы журналов, генерируемые сетевыми экранами, маршрутизаторами, системами обнаружения вторжений, почтовыми серверами и веб-серверами, полезны только в том случае, если вы их изучаете, однако многие системные администраторы просматривают их лишь поверхностно. В действительности журналы являются ценнейшими источниками информации о трафике и сетевой активности.

Анализаторы журналов часто являются ключевыми компонентами систем IDS, однако в случаях с большими сетями требуется очень мощный анализатор. Как говорилось в лекции 5, функции IIS выходят за рамки ведения журналов событий или мониторинга производительности Windows 2000. Даже небольшой сайт может сгенерировать значительный объем информации, который невозможно обработать вручную. Как обнаружить в файле журнала, фиксирующего действия пользователей, наличие учетной записи начальника отдела продаж, используемой для доступа к записям о клиентах в то время, когда он находится в отпуске? В сетевой среде с десятками, сотнями или тысячами узлов даже специализированный персонал сетевых администраторов не сможет обработать гигабайты данных, сгенерированных во время использования сети. Анализаторы журналов представляют собой наилучший способ выполнения этой работы.

Аппаратные средства аутентификации

Иногда требуется ограничить доступ к областям веб-сайта или точно идентифицировать пользователя перед предоставлением ему важной информации. Это осуществляется указанием имени и пароля, соответствующих учетной записи в базе данных или в Active Directory, если сервер является частью домена Windows. Эти меры безопасности являются достаточными, если содержимое, к которому осуществляется аутентифицируемый доступ, не имеет особой важности, но что если пользователь захочет попасть в папку с котировками ценных бумаг или медицинской информацией? Парольную защиту принято считать слабой вследствие того, что пользователи могут обмениваться паролями и не соблюдать их секретность. Реализация удаленной аутентификации не обеспечивает должной уверенности в правильности идентификации пользователей и их прав доступа. Более основательная система аутентификации пользователей, запрашивающих данные с сервера, должна быть, по крайней мере, двухфакторной.

Под двухфакторной аутентификацией подразумевается комбинация любых двух элементов, перечисленных ниже:

то, что вы знаете: имя пользователя, пароль или PIN;то, чем вы владеете: маркер доступа, карта или ключ;то, что подтверждает вашу личность: отпечаток пальца или подпись.

Применение двухфакторной аутентификации к сотрудникам, осуществляющим доступ к важной информации, например, к разработчикам, является еще одной мерой безопасности. В то время как биометрические методы идентификации (отпечатки пальцев и сканирование сетчатки глаза) по-прежнему остаются относительно дорогими, применение интеллектуальных устройств, таких как смарт-карты или USB-устройства, на сегодняшний день является выгодным решением с точки зрения цены, которое обеспечивает и высокий уровень аутентификации пользователей. Пользователь должен не только знать PIN для получения доступа к аутентификационным данным, хранимым на устройстве, но и иметь устройство аутентификации при себе. Большая часть устройств хранит цифровые сертификаты и открытые/секретные ключи для использования в инфраструктуре PKI или, как в случае с iKey, обеспечивает использование менее дорогого, но эффективного вида аутентификации пользователей. Как правило, ключи пользователей хранятся на жестком диске их компьютеров, что сразу же снижает уровень безопасности всей системы; сохраняя ключи на интеллектуальном устройстве, вы повышаете общий уровень безопасности и качество процесса аутентификации.

Аппаратные средства поддержки производительности

Помимо увеличения объема оперативной памяти и мощности процессора основательно повысить производительность работы SSL можно за счет передачи управления процессами безопасности ускорителю, что сэкономит вычислительные ресурсы для обработки заказов и транзакций. Применение ускорителя позволит не тратить средства на добавление процессоров общего назначения или даже целых серверов, что выгодно в случае дефицита рабочего пространства. Большая часть ускорителей представляет собой либо карты PCI, либо внешние устройства; ускорители являются модульными устройствами, что позволяет наращивать производительность в нужное время в нужном месте. Некоторые устройства, например, CryptoSwift от компании Rainbow (www.rainbow.com), интегрируются в конкретные проекты посредством использования пакетов криптографической разработки.

Будьте в курсе событий

Необходимо оставаться в курсе новых событий, связанных с IIS и средствами безопасности, приобретаемых для защиты сервера, так как программное обеспечение постоянно обновляется в результате открытия новых уязвимых мест.

Крупнейшие производители программного и аппаратного обеспечения предоставляют на своих сайтах техническую поддержку и помощь в конкретных ситуациях (эти справочные данные не всегда легко найти). Создайте закладки для таких сайтов и подпишитесь на все рассылки новостей и форумы, в которых идет речь об интересующих вас продуктах.

Всем пользователям продуктов Microsoft имеет смысл работать с материалом NTBugTraq, расположенным по адресу www.ntbugtraq.com. Сразу после выпуска новой надстройки или обновления изучите этот компонент перед установкой на сервер, так как даже в новых версиях сохраняется риск присутствия ошибок. Сопоставьте риск немедленного применения продукта с последствиями в виде отключения защиты служб или их самих, прежде чем утверждать, что новое программное обеспечение не окажет негативного влияния на работу сервера.

Управление надстройками состоит из множества процессов, поэтому оно требует создания журнала аудита, анонсирования и предварительного просмотра, создания тестовых процедур и хорошо продуманного плана возврата к исходному состоянию. Необходимо знать также, какие версии программных продуктов поддерживаются, так как, скорее всего, вы не сможете получить надстройки для неподдерживаемых версий программного обеспечения. Старайтесь находить техническую поддержку и обновлять политику перед выполнением каких-либо действий. Например, Microsoft предоставляет уведомления об окончании поддержки продукта или версии продукта за шесть месяцев по адресу support.microsoft.com/directory/discontinue.asp.

Централизация и взаимодействие

При обеспечении защиты информации необходимо держать курс на слияние антивирусных средств с безопасностью сети. Многие поставщики выпускают продукты с централизованным контролем средств безопасности, даже если они защищают различные части сетевой инфраструктуры, например, шлюзы электронной почты и серверы. Все новые и новые вирусы, такие как червь Nimda, могут атаковать сети, проникая в систему в виде приложения к сообщению электронной почты или через веб-браузер. Распределяя информацию среди различных средств безопасности, можно обнаружить самые последние проявления вредоносного программного обеспечения.

Шагом вперед в области унифицированных средств является программа Web Security от Symantec, выполняющая сканирование электронной почты на некорректное содержимое, например, на наличие непристойностей, а также на вирусы. Еще одной подобной программой является ePolicy Orchestrator от McAfee, которая централизованно управляет и усиливает защиту антивирусных программ и политики для продуктов McAfee и Symantec. При планировании атаки хакеры изучают систему со всех сторон, поэтому антивирусные программы, выполняющие те же действия, являются шагом в правильном направлении.

Что же выбрать?

Перед приобретением сетевого экрана необходимо разработать политику доступа к службам, определяющую, какие службы разрешены и запрещены для доступа из сети без доверия, а также исключения из правил. Эта политика установит возможности сетевого экрана, например, шифрование и поддержку VPN. Необходимо, чтобы сетевой экран поддерживал политику безопасности и исключал ее нарушение из-за ограничений в устройстве. После выбора сетевого экрана политика его применения определит правила, необходимые для доступа к сетевым службам.

Важно. Политика безопасности доступа должна основываться на принципе: "Запрет всего, что не разрешено", соответствующем классической модели доступа, используемой в защите информации.

Скорость является одним из решающих факторов при выборе устройства, в особенности, если вы только что столкнулись с нарушением безопасности. Аппаратные сетевые экраны имеют большое преимущество над программными устройствами, так как их программное обеспечение установлено на аппаратной платформе, что позволяет быстро установить и использовать их. Они также обеспечивают высокую доступность и баланс загрузки (но не большую безопасность). Оба типа устройств должны быть настроены корректно!

Высокая доступность, присущая таким устройствам, как Nokia IP600, означает, что если сетевой экран утратит свои функциональные возможности, он станет прозрачным переходом ко второму сетевому экрану. Это, скорее всего, не будет критичным обстоятельством, если только вы не работаете в рамках крупного поставщика услуг интернета или в аналогичной среде. Для обеспечения высокой доступности с помощью программного экрана нужно приобрести два набора аппаратных и программных компонентов, после чего установить поверх них такой пакет, как, например, Stonebeat от Stonesoft (www.stonesoft.com).

Программные сетевые экраны полезны, когда главной целью является обеспечение гибкости и масштабируемости. Тем не менее, конфигурирование экранов с расширенными возможностями займет больше времени и, следовательно, может вам многого стоить.

Для обеспечения шифрования между сайтами нужен сетевой экран со встроенными функциями по обеспечению канала виртуальной частной сети (VPN) с поддержкой технологии IPSec и безопасным удаленным VPN-клиентом. VPN и потоковые данные влияют на производительность системы, поэтому сетевой экран должен иметь достаточный объем оперативной памяти для поддержки большого числа одновременных соединений. Корпоративные сетевые экраны высшего уровня, например, Cisco PIX, обеспечивают пропускную способность более 1 Гб/с с поддержкой до 500 000 одновременных соединений.

CyberwallPLUS-SV от Network-1 Security Solutions

При небольшом количестве работающих серверов Windows NT или Windows 2000 и ограниченном бюджете рекомендуется использовать сетевой экран CyberwallPLUS-SV от компании Network-1 Security Solutions, Inc. (www.network-1.com). Это устройство применяется как расширение ядра операционной системы Windows посредством окружения ядра ОС барьером, защищающим его от сетевых атак. В основе CyberwallPLUS-SV лежит многоуровневая система адаптивной проверки. Документации по данному устройству не так-то много, и, кроме того, имейте в виду, что в конфигурации по умолчанию этого экрана открыты все порты! Тем не менее, его большим преимуществом является относительная дешевизна, а также простота установки, администрирования и обслуживания.

Фильтрация пакетов

Сетевые экраны выполняют различные виды фильтрации пакетов. Маршрутизатор отслеживает пакеты на уровне IP и фильтрует их при проходе между интерфейсами маршрутизатора согласно установленному набору правил. Фильтрация может осуществляться по типу протокола, IP-адресам источника и пункта назначения, а также по исходным и конечным портам. Это позволяет пропускать определенные типы сообщений, например, запросы HTTP, но задерживать другие пакеты. Фильтры пакетов не проверяют данные пакетов, не могут выполнять фильтрацию по содержимому, что означает возможность прохождения потенциально опасного трафика.

Фильтрация пакетов уязвима и к атакам с помощью фрагментированных пакетов. Пакеты не запоминаются после фильтрации, поэтому нельзя определить, была ли попытка соединения вредоносной. Как отдельная линия обороны фильтрация пакетов довольно слаба, поэтому во многих сетевых экранах используются прокси-службы для повышения контроля доступа к системе. Еще одним преимуществом комбинирования двух методов является то, что не требуется устанавливать сложные правила фильтрации, так как фильтру пакетов необходимо пропускать только трафик, направленный на прокси, и блокировать все остальные пакеты. Более простые правила легче применять и, следовательно, проще обеспечить их правильную настройку.

Internet Security and Acceleration Server 2000 от Microsoft

Microsoft Internet Security and Acceleration (ISA) Server 2000 (www.microsoft.com/ISAServer/) представляет собой комбинированный сетевой экран корпоративного класса и кэш-сервер интернета, интегрируемый с Windows 2000 для защиты на основе политики безопасности. Сетевой экран обеспечивает фильтрацию на пакетном, сетевом уровне и уровне приложения, адаптивную проверку, контроль политики доступа и маршрутизацию трафика. Кэш-сервер улучшает производительность сети. Сетевой экран и кэш-сервер можно установить раздельно на выделенных серверах либо на одном компьютере. Для настройки сервера ISA используется уже знакомая вам консоль Microsoft Management Console (см. рис. 9.2).

увеличить изображение
Рис. 9.2. При работе с сервером ISA используется хорошо знакомый графический интерфейс Microsoft

Для Windows-сети рекомендуем использовать именно это устройство. ISA обеспечивает простоту управления политикой, маршрутизацией трафика и публикацией сервера, а также действиями сотрудников, работающими в интернете.

Совет. Несмотря на то, что сетевой экран играет решающую роль в защите сервера, сети и расположенных в ней ресурсов, не следует полагаться только на него. При наличии любого типа периметровой защиты, если атака инициирована внутри сети, все средства безопасности окажутся бесполезными, т.к. не смогут предотвратить злоупотребление авторизованным доступом сотрудником компании. Некоторые сетевые экраны настраиваются на проверку входящих данных на наличие признаков вирусов и "троянских коней", но эта проблема решается при помощи соответствующего антивирусного программного обеспечения и сканера вирусов. Об этих системах речь пойдет далее.

Интернет-сканеры безопасности

При нынешних темпах появления новых угроз поддержка достойного уровня безопасности сайта IIS становится очень трудной задачей. Одним из полезных средств является сканер безопасности (или сканер уязвимых мест), который, помимо прочих функций, предотвращает действия потенциального злоумышленника, выявляя некоторые слабые места, используемые хакерами. Сканер уязвимых мест поможет вам оставаться в курсе всех угроз безопасности и возможных мер по их предотвращению. После выявления угрозы можно разобраться в ее сути и в том, как ее устранить. Хорошие сканеры уязвимых мест сопровождаются документацией о природе слабых мест со ссылками на другие источники информации и средства защиты от угроз.

Сканер располагается на узле, отправляя с него зондирующие пакеты, затем собирает результирующие данные, сопоставляя их с информацией базы данных признаков уязвимых мест. В этом смысле сканер безопасности аналогичен сканеру вирусов, однако является более интроспективным устройством, так как определяет, соответствуют ли устройства установленной политике безопасности. Как и сканер вирусов, хороший сканер безопасности должен содержать регулярно обновляемые признаки уязвимых мест.

Программа System Scanner (см. рис. 9.9) от компании Internet Security Systems (ISS) является самым известным продуктом в рассматриваемой категории. System Scanner осуществляет проверку безопасности и выполняет симулированные атаки на сервер-жертву для подтверждения эффективности проведенной блокировки. ISS содержит компонент отслеживания в режиме реального времени RealSecure, который обнаруживает любые "бреши" в безопасности и сообщает сотрудникам о типе вторжения, а также выдает рекомендации по устранению уязвимых мест. Для получения более подробной информации по ISS или Database Scanner (программа доступа к параметрам безопасности баз данных), посетите сайт www.iss.net.

увеличить изображение
Рис. 9.9. Рекомендуем опробовать программу System Scanner от ISS, имеющуюся на компакт-диске Windows 2000 SDK

Для получения информации о других сканерах безопасности обратите внимание на следующие продукты: CyberCop Scanner от Network Associates (www.pgp.com/products/cybercop-scanner/); Security Analystот Intrusion, Inc. (www.intrusion.com); WebTrends Security Analyzer от WebTrends, более известной по выпускаемому ей программному обеспечению для веб-анализа (www.webtrends.com). Стоимость наиболее дорогих сканеров уязвимых мест довольно велика, однако существуют общедоступные сканеры, например, ShieldsUP! на сайте www.grc.com или nmapNT на сайте www.eeye.com/html/Research/Tools/nmapNT.html.

При обеспечении безопасности системы нельзя полагаться только на патчи и обновления, необходимо использовать систему обнаружения вторжений, и хороший сканер безопасности, несомненно, поможет в этом. Даже если системы изначально установлены в идеально безопасном и неизвестном месте, с течением времени уровень их защищенности будет падать. Чем больше людей имеют доступ к этим системам, тем быстрее снижается уровень безопасности. Из этого следует, что чем больше у вас системных администраторов, тем чаще следует проводить аудит. Сканирование безопасности помогает осуществлять аудит системы для подтверждения того, что примененная изначально конфигурация не была изменена.

Совет. Группа разработки ICAT (сокр. от Internet Categorization and Analysis of Threats) отдела компьютерной безопасности NIST (http://icat.nist.gov/icat.cfm) создала базу данных уязвимых мест ICAT, предназначенную для общего пользования. Наиболее важной информацией в базе данных ICAT являются гиперссылки в Перечне общих уязвимых мест и опасностей (CVE), с помощью которых можно перейти к справочной информации других IT-производителей и компаний, занимающихся информационной безопасностью. CVE представляет собой список стандартизированных названий уязвимых мест и другие сведения. Для получения более подробной информации посетите сайт http://cve.mitre.org. На сайте ICAT имеется также список производителей программного обеспечения, имен продуктов и номеров версий для каждого уязвимого места.

Измерители безопасности CIS

Измерители безопасности CIS собирают сведения о параметрах безопасности и действиях, укрепляющих систему. Многие организации, запускающие измерительные средства CIS, констатируют тот факт, что соответствие даже уровню измерений 1 CIS обеспечило значительное усиление системы безопасности на их компьютерах. Измерители CIS уровня 2 определяют разумный уровень безопасности, превышающий минимальные требования, однако требуют от администратора более обширных знаний в области безопасности для применения параметров к конкретной среде. Имеется измеритель CIS уровня 2 для веб-сервера Windows IIS 5.

Измерители безопасности разрабатываются с учетом среднестатистических сведений о глобальных процессах обеспечения безопасности. Они соответствуют знаниям и рекомендациям многих специалистов в области безопасности. Аналогичный подход используется в Национальном бюро страхования от преступлений США, сотрудники которого общими усилиями противостоят опасностям. Измерители безопасности постоянно обновляются после появления новых уязвимых мест, о которых становится известно из различных источников, например, из Interent Storm Center (www.incidents.org) и CERT Coordination Center (www.cert.org).

имеет интуитивно понятный пользовательский интерфейс,

Самый известный сетевой экран FireWall-1 (www.checkpoint.com) имеет интуитивно понятный пользовательский интерфейс, позволяющий администраторам легко устанавливать, изменять и просматривать правила политики безопасности.

FireWall-1 обеспечивает защиту сетевого экрана, VPN, трансляцию сетевых адресов, качество и класс предоставляемых услуг передачи данных (QoS), программное управление распределением и безопасность клиента VPN и работает с последними версиями Windows, Solaris и RedHat Linux. Каждому, кто столкнулся с задачей управления сетевым экраном, рекомендуется испытать работу с FireWall-1. Данным продуктом легко управлять (администратор корпоративной сети может централизованно контролировать политику безопасности), поэтому эффективность работы возрастет в несколько раз.

На рисунке 9.1 показана программа FireWall-1 Policy Editor, с помощью которой осуществляется доступ к определению объектов и параметрам безопасности.

увеличить изображение
Рис. 9.1. Детальная графическая карта программы Policy Editor позволяет осуществить быстрый доступ к описанию объектов и параметрам безопасности

Как работают сканеры вирусов

Сканеры вирусов различными способами осуществляют попытки корректного обнаружения вирусов. Они используют сравнение признаков, просматривая содержимое файлов для поиска строки байтов, соответствующей аналогичному элементу в базе данных известных вирусов. Так обнаруживается большинство известных вирусов, но для вирусов, использующих полиморфизм для изменения своего кода, сканеры должны работать по более сложным алгоритмам проверки. Эти алгоритмы заключаются в обработке файлов в режиме эмуляции реального времени для отслеживания полиморфической машины и распознавания вируса.

Эвристическое или режимное сканирование анализирует файлы на наличие подозрительного, похожего на вирус кода, например, вызывающего в определенное время поиск файлов с расширениями .com и .exe, что позволяет выявлять неизвестные вирусы до того, как они заразят компьютер. Сканеры вирусов должны постоянно обновляться, чтобы соответствовать расширяющемуся диапазону потенциально подверженных инфицированию объектов и использовать при поиске признаки самых последних вирусов.

Какие элементы отслеживаются пакетными фильтрами

Для понимания принципов работы сетевых экранов необходимо иметь базовое представление о том, как данные передаются через интернет посредством TCP/IP, и как функционирует базовый сетевой экран с фильтрацией пакетов.

TCP/IP (Transmission Control Protocol/Internet Protocol) представляет набор протоколов, двумя из которых являются TCP и IP. Протоколом называется предопределенный метод связи. Каждый отдельный аспект связи или передачи данных через TCP/IP поддерживается соответствующим уровнем протокола TCP/IP. Например, сетевой уровень отвечает за способ доставки данных до пункта назначения.

При передаче через TCP/IP данные находятся в пакетах, являющимися базовыми единицами передачи информации. Пакеты содержат сами данные и информацию заголовка, состоящую из набора контрольных сумм, идентификаторов протокола, исходных и конечных адресов и информации о состоянии. Каждый уровень добавляет свою собственную информацию в заголовок пакета предыдущего уровня.

Фильтры пакетов работают на сетевом и транспортном уровнях стека протоколов TCP/IP. Каждый пакет и заголовки сетевого и транспортного уровней проверяется на следующие данные:

протокол;исходный адрес;конечный адрес;исходный порт;конечный порт;состояние подключения.

Фильтрующее устройство сопоставляет значения этих полей с установленными правилами, после чего передает пакет дальше или отбрасывает его. Многие фильтры позволяют определять дополнительные критерии на канальном уровне, например, сетевой интерфейс, на котором должна происходить фильтрация.

Контроль изменений

Многие администраторы IIS допускают ошибку, изменяя параметры функционирующего сервера IIS без выполнения цикла "изучи и примени" и заблаговременного планирования обслуживания.

Лучшие сетевые экраны мира

Сейчас у вас на руках имеется перечень необходимых и желательных функций, которые должен обеспечивать сетевой экран. Невозможно сказать, какой сетевой экран является самым лучшим, ведь они применяются в различных средах, поэтому мы расскажем лишь о нескольких ведущих продуктах, имеющихся сегодня на рынке информационных технологий.

Совет. Ежегодное издание компании ICSA Labs "Справочник покупателя сетевого экрана" ("Firewall Buyer’s Guide"), расположенное по адресу http://www.icsalabs.com/html/communities/firewalls/index.shtml, познакомит вас с требованиями к сетевому экрану. (ICSA Labs является частью корпорации TruSecure Corporation, которая также публикует издание NT Bugtraq.)

Маркеры доступа

Устройства безопасности USB подключаются к любому стандартному порту USB, объединяя свойства смарт-карты и считывателя, кроме этого, они имеют небольшой размер и помещаются в футляре для ключей (см. рис. 9.7). Эти устройства с технологической точки зрения идентичны смарт-картам, за исключением формы и интерфейса. Ведущими производителями интеллектуальных устройств являются следующие компании:

Alladin (www.ealaddin.com);Eutron, Itema Group (www.eutron.com);Rainbow Technologies, Inc. (www.rainbow.com);SchlumbergerSema (www1.slb.com/cmartcards/).

Средства биометрической аутентификации не следует игнорировать, так как их стоимость становится все более приемлемой. Биометрические устройства делают безопасность менее обременительной для пользователей (это еще одно преимущество, так как пользователи в своем большинстве стараются избегать мер безопасности, затрудняющих работу). Если вы заинтересованы в биометрической аутентификации сотрудников, обладающих специальными привилегиями на сервере, можем порекомендовать использование оптической мыши MagicSecure с дактилоскопическим устройством от компании Eutron; это устройство обеспечивает удобную трехфакторную аутентификацию (см. рис. 9.8).

Рис. 9.7. Двухфакторная аутентификация обеспечивает большую дружественность процесса авторизации, а интеллектуальное устройство небольшого размера можно всегда носить при себе

Рис. 9.8. Оптическая мышь MagicSecure обеспечивает простую, но надежную аутентификацию с применением того, что нельзя украсть или забыть, – отпечатка вашего пальца

Обнаружение, документирование и диаграммы

Взвесьте временные и денежные ресурсы, которые понадобятся для составления хороших отчетов, относительно цены установки и запуска специализированной программы. Если изменения в сети происходят редко, рекомендуем выделить время для выполнения всех действия вручную; при большой, постоянно изменяющейся сети такой вариант не подходит.

Программа Configuration Reporter, доступная на сайте Ecora по адресу www.ecora.com, решает проблему документирования сетей. Эта программа обладает высокой скоростью работы, основывается на веб-браузере и обеспечивает сбор информации о сети, например, данных о конфигурации оборудования, настройках стека протоколов TCP/IP и файлах общего доступа. В дополнение к этому программа сортирует, сохраняет и представляет информацию в форматах HTML, Microsoft Word или Portable Document File (PDF). Она отображает отчеты в сжатом и расширенном виде. Сжатое представление включает в себя информацию о сетевых устройствах, такую как IP-адреса и число объединенных в сеть CPU, а расширенный формат содержит сведения о параметрах сервера с объяснением того, как тот или иной параметр может представлять собой пробел в системе безопасности. Отчеты могут быть не столь детализованными, как вам бы хотелось; кроме того, цена резко возрастает с увеличением числа серверов. Тем не менее, данная программа осуществляет более эффективное документирование систем Windows NT и Windows 2000, нежели уставший и измученный администратор.

Оборудование контроля доступа и производительности

Надеемся, что ваш веб-сайт будет иметь большой успех, однако слишком большой трафик, обрабатываемый сайтом, представляет отдельную проблему безопасности. Произойдет ли на сервере сбой, когда единовременно будет загружаться большое число файлов? Самым лучшим способом проверки сайта на "выносливость" является использование проверочного средства, которое покажет способность сайта к обслуживанию большого числа требовательных клиентов.

Загрузите бесплатную программу Web Application Stress (WAS) с сайта Microsoft по адресу http://webtool.rte.microsoft.com/download.asp или используйте программу Webserver Stress от компании Paessler (www.paessler.com/WebStress/webstress.htm) (см. рис. 9.6). Оба продукта симулируют трафик и загрузку сервера, соответствующую большому числу единовременных пользователей. Это позволяет определить уровень производительности и устойчивости веб-приложения, протестировать поддержку сервером различных уровней загрузки и обработку различных объемов информации.

Моделируя среду, максимально приближенную к реальной, можно обнаружить и исключить проблемы на сайте и сервере IIS перед непосредственной разработкой. Например, если сайт связан с электронной коммерцией, такие тесты выявят тот факт, что управление большим объемом задач через протокол Secure Sockets Layer (SSL) представляет собой сложную проблему. Оно может вызвать перегрузку даже самых мощных серверов, что, несомненно, отразится на общей производительности сервера.

увеличить изображение
Рис. 9.6. Протестируйте уровень производительности сервера и устойчивость веб-приложений

Опасайтесь демонстрационных файлов и образцов

Перед приобретением новых программ для обеспечения безопасности примите к сведению следующее. Чтобы понять, как работает продукт, необходимо ознакомиться со справочной документацией, прилагаемой к нему. В ней часто содержатся примеры и демонстрационный исходный код. Эти примеры являются лишь примерами, и не более, их ни в коем случае нельзя устанавливать на создаваемый сервер. Это относится и к демонстрационным файлам, доступным на http://localhost.

Осведомленность как мера безопасности

В дополнение к техническим средствам необходимо обеспечить человеческий фактор защиты сервера IIS. Большие денежные затраты и самые современные технологии не смогут самостоятельно обезопасить систему. Если вы не обучите сотрудников своей организации признакам опасностей и необходимым мерам по их пресечению, то вложения в технические средства превратятся в пустую трату денег. Код и сценарии, написанные без обеспечения безопасности, представляют собой "бреши" даже в добросовестно спланированной политике безопасности. Предположим, большинство сотрудников знает о том, насколько опасно открывать вложения электронной почты, но осведомлены ли они о том, почему важно сохранять пароли в тайне и всегда иметь идентификационные карточки при себе? Без обеспечения культуры безопасности, введение которой заставляет пересмотреть текущие взгляды на работу в сети, будет очень трудно обеспечить безопасность сети и ее ресурсов.

Все сотрудники должны быть достаточно осведомленными в области безопасности, полностью осознавать важность данных и процессов защиты, обеспечивающих их безопасность. Все сотрудники должны понимать требования безопасности относительно своих действий, беспрекословно выполнять соответствующие задачи как часть своей повседневной работы. Ведь обеспечение безопасности – это долг каждого сотрудника. Таким образом, безопасность не хаотично накладывается на повседневные задачи, а аккуратно встраивается в структуру организации, если сотрудники заинтересованы в этом как в компоненте успешного бизнеса, а не только как в применении новых информационных технологий.

Руководящий персонал также должен иметь представление об основных проблемах и аспектах безопасности. Передача взглядов и навыков от старших сотрудников младшему персоналу очень существенна в любой политике безопасности такого рода.

Совет. Материал Human Firewall Council, расположенный по адресу www.humanfirewall.org, содержит ресурсы, которые помогут понять важность обучения аспектам безопасности старших сотрудников; на этом сайте имеется бесплатная программа от PentaSafe Security Technologies, предназначенная для проверки уровня осведомленности сотрудников компании в области безопасности.

Предотвращение потенциального ущерба от атак из интернета

Что будет, если, несмотря на все старания, кто-то проникнет в сервер IIS, изменит содержимое и нанесет ущерб сайту? Если атака пройдет незамеченной, то первым, от кого вы узнаете об атаке, будет клиент или пресса, на что, как правило, и направлен расчет злоумышленника. В данном случае понадобится быстрый и простой способ восстановления сайта. Можно восстановить сайт с резервных накопителей, но это, разумеется, выполняется вручную.

Повреждение веб-сайтов отличается от атак других типов, так как высокая степень их видимости привлекает внимание средств массовой информации. При работе небольшого веб-сайта со статическим содержимым можно обслуживать страницы с компакт-диска (или других носителей с доступом только для чтения), однако для больших сайтов это не подходит. Полноценным решением проблемы будет использование разделенных операционных систем с фильтрацией входящего и исходящего трафика, подписью открытого ключа и динамического немедленного восстановления в дополнение к сетевому экрану, блокирующему все порты за исключением порта HTTP 80. Такой подход предназначен лишь для крупнейших организаций, располагающих большим бюджетом безопасности.

Формализованное тестирование, анализ атак и распределение функций являются ключевыми элементами в успешном применении изменений в системе. При четком контроле и фиксации изменений на сервере легче осуществлять восстановление после атак и выявлять проблемы, связанные с безопасностью.

Средства контроля за изменениями можно условно разделить по мерам защиты: предотвращение, быстрое восстановление и обнаружение, а также по способу применения – непосредственно на сервере, на выделенной аппаратной платформе или на отдельном компьютере.

Принципы работы систем обнаружения вторжений

Система IDS проверяет пакеты сетевого трафика для идентификации угроз, разрушающих периметровую защиту, исходящих как от санкционированных, так и от несанкционированных пользователей. Данный процесс осуществляется при помощи сопоставления строк и анализа контекста согласно набору правил, определяющему искомые объекты. Эти правила варьируются в зависимости от роли пользователя и основываются на наборе следующих показателей и параметров.

Защита входа. Определенные события, например, неудачный вход.Профили. Анализ непосредственного использования в сравнении с базовым профилем.Признаки известных атак. Обнаруживаемая сетевая активность, относящаяся к таким явлениям, как некорректные заголовки TCP или неожиданные массовые рассылки электронных сообщений.

Функция сравнения строк выполняет поиск последовательности символов для выявления возможных угроз. Анализ контекста, известный как анализ признаков, построен на аналитическом сценарии сравнения контекста строк. Сравнение строк осуществляется быстро, и оно склонно к выявлению ложных опасностей. Анализ контекста уменьшает количество ложных обнаружений, но занимает больше времени.

Системы IDS высшего класса полностью декодируют протоколы для выявления пакетов и их содержимого для всестороннего исследования с применением больших баз данных признаков атак. Можно настроить IDS на нужное соответствие скорости работы и качества, а также расширить базу данных признаков для идентификации любых уникальных сетевых характеристик. Настройка систем обнаружения вторжений на уменьшение ошибочных тревог предназначена для предотвращения большого количества ложных обнаружений, из-за которого возрастает объем лишней работы и обеспокоенность пользователей. Необходимо четко определить метод обработки всех тревог системы IDS для обеспечения действий по реагированию на возможную атаку. Это следует сделать до включения системы в работу.

Совет. Работа системы обнаружения вторжений основывается на правилах и заключается в распознавании и реагировании на бесчисленное множество возможных атак, поэтому система может пропустить атаку.
Эту опасность можно снизить, обеспечив соответствие правил известным атакам и постоянное наблюдение за сетевой активностью. Ложное срабатывание представляет собой тревогу, сгенерированную системой IDS в результате событий, на самом деле не являющихся атакой. Примером такой ситуации может быть резервное копирование пользователем всей папки проекта на съемный носитель для вполне легальных целей.

Многие приложения IDS автоматически реагируют на нарушение правил, например, отправляют сообщение электронной почты администратору или отключают привилегии пользователя. Они ведут запись сведений об использовании сети для дальнейшего подробного анализа событий. Вследствие огромного объема фиксируемых данных многие системы IDS содержат анализаторы журналов, о которых пойдет речь далее.

Используются два типа IDS: узловые системы обнаружения вторжений (HIDS) и сетевые системы обнаружения вторжений (NIDS). В большой сети следует использовать оба типа устройств, а в малой – систему NIDS.

ПРОБЛЕМА

Предположим, вы только что провели восстановление после вирусной атаки на сеть, и руководство компании выделило денежные средства на повышение уровня антивирусной защиты. Необходимо быстро предпринять какие-то действия, чтобы предотвратить следующий инцидент. Так что же именно следует сделать в первую очередь?

Перед покупкой нового антивирусного продукта следует провести обзор антивирусной политики, чтобы выяснить, требует ли она обновления в свете недавних событий. Если антивирусная политика в порядке, а причиной проникновения вредоносного программного обеспечения стало несоблюдение этой политики одним из сотрудников, тогда проведите дополнительную разъяснительную работу. Проведите семинары по безопасности, которые руководство сделает обязательными для посещения всеми сотрудниками. Это некоторым образом отразится на бюджете, зато повысит эффективность антивирусной политики, так как каждый будет понимать ее роль и важность.

Выясните, в каких местах требуется дополнительная антивирусная защита: на сетевом экране, веб-сервере, почтовом сервере или на рабочих станциях. В идеальном случае следует установить защиту на все типы серверов и рабочих станций. Программное обеспечение протокола Content Vectoring Protocol (CVP) на сетевом экране сканирует данные при входе в сеть, а программы коллективного пользования располагаются на почтовом сервере и осуществляют сканирование хранилища сообщений. Программы InterScan VirusWall компании Trend Micro и ScanMail на сайте www.antivirus.com обеспечивают сетевой экран и защиту программ группового пользования, соответственно. Обратитесь к разделу "Популярные сканеры вирусов" для получения информации о продуктах, предназначенных для защиты сервера и рабочих станций.

Программа оценки CIS

Средство CIS Benchmark and Scoring для Windows 2000 является централизованной программой для анализа и сканирования, доступной бесплатно на сайте CIS по адресу www.cisecurity.org/, содержащей руководство и пошаговые инструкции по оценке, анализу, настройке и конфигурации программы. Критерий оценки также включает в себя определение состояния "горячих" исправлений, выпускаемых Microsoft. Вам и вашему серверу IIS будут полезны знания, оценка и опыт, объединенные в этой бесплатной программе, поэтому советуем не упускать такой возможности.

Программы восстановления и резервирования данных

В процессе обслуживания веб-содержимого используется система удаленной проверки с возможностью автоматизированного восстановления или локальная криптографическая проверка.

Многочисленные программные продукты, имеющиеся на современном рынке, быстро восстановят сайт. Компания Lockstep Systems, Inc. (www.lockstep.com) производит программный продукт WebAgain (см. рис. 9.5), который автоматически обнаруживает факты взлома веб-сайта и восстанавливает содержимое. Другой продукт компании – программа SiteRecorder – защищает содержимое веб-сайта от случайных изменений сотрудниками организации посредством ведения всеобъемлющего журнала аудита и архивации всех изменений. Это позволяет легко осуществлять откат или восстановление веб-содержимого.

Программа CimTrak Web Security от компании CIMCOR (www.cim-cor.com) является аналогичным продуктом, обеспечивающим изоляцию всех измененных файлов для судебных целей.

увеличить изображение
Рис. 9.5. Служба Windows WebAgain работает совместно со средствами публикации для обеспечения круглосуточной защиты сайта от повреждения

Прокси-службы

Главным различием между прокси-службами и фильтрами пакетов является то, что фильтры пакетов обрабатывают отдельные пакеты, в то время как прокси-служба контролирует весь сеанс соединения с сервером, направляя или выполняя фильтрацию подключений к запрошенным службам, таким как HTTP, FTP и Telnet. Прокси-службы работают на прокси-сервере, называемом шлюзом приложений, и выступают в роли сети, т.е. являются заместителями. Все запросы на доступ к службе фиксируются на шлюзе приложений, который открывает новый сеанс связи с запрошенной службой, чтобы все пакеты отправлялись и принимались от шлюза, а не от узлов, расположенных на сетевом экране. Со стороны внешнего узла это выглядит так, будто установлено соединение с сетевым экраном, и ничего не известно об узлах, расположенных внутри сетевого экрана. Так скрывается конфигурация внутренней сети.

Шлюз приложений определяет, для какого приложения выполняется прокси-служба, и осуществляет проверку проходящих данных. Это усиливает различные правила контроля доступа для аутентификации трафика перед отправкой к внутренним узлам, а также для более эффективного ведения журнала. Существует пять основных типов шлюзов приложений: шлюз сетевого уровня, шлюз отслеживания трафика, шлюз отслеживания команд, шлюз отслеживания типа содержимого и шлюз отслеживания политики. Устройства, отслеживающие команды и типы содержимого, обеспечивают наивысший уровень контроля и защиты. Устройства, отслеживающие команды, разделяют потоки данных на отдельные команды и ответы и могут, например, различать команды FTP GET и FTP PUT. Такое прокси-устройство ведет журнал имен файлов, передаваемых через шлюз. Шлюз, отслеживающий типы приложений, расширяет перечисленные возможности посредством проверки формата содержимого, что позволяет фильтровать трафик для блокировки вредоносного кода. Такое устройство блокирует передачу через HTTP документов Word и Excel, содержащих макросы. Вам потребуется программное обеспечение прокси для каждого типа приложения, поддержку которого нужно обеспечить, причем самостоятельно указывать нужно только нестандартные типы.

Сбор улик

Анализаторы журналов автоматизируют процесс аудита и анализа журналов сети и сообщают о том, что случилось или что происходит, посредством выявления несанкционированной активности или аномальных событий. Эта обратная связь используется для усовершенствования системы IDS или наборов правил сетевого экрана. Она представляет собой основу для целенаправленного обнаружения атак, уменьшения злоупотребления сетью и усиления политики безопасности. Некоторые анализаторы журналов включают интерактивное ведение базы данных, алгоритмы информационной проходки, графическое представление и искусственное интеллектуальное предупреждение атак.

Семейство экранов Cisco PIX

Сетевые экраны Cisco PIX (www.cisco.com) представляют собой сконструированные для специальных целей устройства, использующие собственную защищенную операционную систему, исключающую наличие признаков многоцелевых операционных систем.

Эти сетевые экраны варьируются от небольших настольных устройств для малых сетей до устройств высшей категории, предназначенных для защиты корпоративных сетей и сред поставщиков услуг связи. В последних используется больший спектр технологий, начиная с адаптивной проверки пакетов и заканчивая фильтрацией содержимого, встроенного обнаружения вторжений, поддержкой VPN через протоколы IPSec и L2TP. Управление осуществляется через веб-интерфейс, позволяющий составлять интерактивные отчеты и отчеты за определенный промежуток времени. Установка и настройка данных устройств не представляет особой сложности, если вы уже знакомы с другими продуктами Cisco.

Сетевые документаторы

Задача по документированию веб-сервера является необходимой, но часто игнорируемой процедурой. Хорошо документируемая система значительно экономит время, когда речь идет об отслеживании проблемы, представляющей собой возможное слабое место системы, или восстановлении после атаки.

Документирование помогает при принятии решения о необходимости обновления или замены, т.е. операций, влияющих на общее состояние сервера. Каждый администратор IIS предпочитает работать с хорошо документированной системой, в которой вся относящаяся к делу информация сохраняется в одном структурированном документе, и не любит заниматься рутинной работой по сбору информации и документированию сервера, являющегося частью большой сети. Выполнение этой задачи вручную отнимает много ресурсов и времени, представляет собой "неблагодарную" работу.

При установке нового сервера IIS рекомендуется выполнить его каталогизацию при включении в работу, что сделает процесс документирования менее сложным и позволит создать грамотно составленный, подробный и эффективный отчет. Однако при документировании имеющегося сервера или сети, возможно, единственным способом создания стоящего документа является привлечение службы сетевой документации, которая выполнит все необходимые операции за соответствующую плату.

Сетевые экраны

Первое существенное повышение безопасности веб-сервера IIS – это защита с помощью сетевого экрана. В лекции 6 обсуждалась роль сети в защите веб-сайта и других информационных ресурсов, а также говорилось о важности сетевого экрана как периметрового средства защиты. Сетевой экран, как правило, является системой, усиливающей политику контроля доступа между двумя сетями, обеспечивая защиту доверенной сети от сети без доверия с помощью контроля потока данных. Интернет всегда является сетью без доверия, однако и области внутренней сети могут требовать защиты (например, совершенно не обязательно предоставлять всем сотрудникам компании доступ к файлам счетов отдела). Сетевые экраны часто называются шлюзами, так как они представляют собой входы и выходы внутренней и внешней сети. Так как сетевой экран является точкой фильтрации данных, он усиливает политику безопасности и обеспечивает работу дополнительных служб, таких как шифрование и дешифрование проходящего через него трафика.

Многие администраторы уверены, что для защиты веб-сервера и его ресурсов достаточно одного сетевого экрана, который зачастую используется без предварительных исследований конкретного сервера. Сетевой экран эффективен при правильном использовании, лишь в этом случае он обеспечивает необходимое управление и аудит, соответствующие политике безопасности. При правильном выборе сетевого экрана намного легче использовать виртуальные частные сети (VPN) и системы выявления вторжений IDS. При выборе сетевого экрана необходимо ознакомиться с его инструкцией, чтобы понять, как он устроен и какие использует технологии.

Сетевые системы обнаружения вторжений

Система NIDS представляет собой своеобразный щит перед сетью, обеспечивающий отслеживание входящего и исходящего трафика для выявления атаки до того, как она откроет доступ к ресурсам сети. Среди всех технологий IDS NIDS обеспечивает самый широкий спектр действий и обнаруживает наибольшее число атак, включая атаки на отказ в обслуживании.

NIDS следует применять в сегменте сети, расположенном с внешней стороны от демилитаризованной зоны, и затем непосредственно в сегменте DMZ. Это позволит отслеживать любую активность во внешней среде и в демилитаризованной зоне. Система NIDS состоит из набора приложений-агентов, стратегически расположенных внутри сети для отслеживания сетевой активности, и представляет собой как аппаратное, так и программное устройство.

Совет. Система обнаружения не только обеспечивает безопасность. Одной из наиболее серьезных проблем современного бизнеса является злоумышленное использование внутренней сети. Система IDS может собирать информацию об использовании сети сотрудниками, отслеживая выполняемые задачи, затраты ресурсов или превышение полномочий.

Системы обнаружения вторжений

Для обеспечения хорошей защиты веб-сервера необходимо наличие нескольких уровней безопасности. В то время как сетевой экран обеспечивает контролируемую точку доступа к серверу IIS, целью систем обнаружения вторжений (IDS) является корректная идентификация несанкционированных действий. Системы IDS автоматизируют процесс обнаружения аномалий в сети посредством сбора информации из различных ее точек и анализа на наличие тревожных признаков. Данные устройства являются пассивными, и большинство из них не может блокировать сетевой трафик или контролировать доступ в сеть.

Сканеры вирусов

19 июля 2001 г. более 350 000 компьютеров были заражены червем Code-Red в течение 13 часов. На пике активности червя за каждую минуту заражалось более двухсот новых узлов. Вирусы наносят огромный ущерб любой организации за счет резкого снижения производительности сети, нарушения конфиденциальности клиентов и падения морального духа ее сотрудников. Помочь в обнаружении опасных червей и вирусов могут сканеры вирусов.

Важно. Подавляющее большинство червей и вирусов за последние несколько лет было направлено на веб-браузеры и клиенты электронной почты. В процессе борьбы с вирусами необходимо обновлять эти два приложения с помощью соответствующих надстроек.

Службы мониторинга веб-сайта

Многие компании для анализа безопасности прибегают к услугам таких компаний, как Counterpane Internet Security (www.counterpane.com). Преимущество привлечения сторонних компаний заключается в том, что вы получаете возможность общения с высококвалифицированными специалистами в области безопасности. Этот подход решает проблему дороговизны или нехватки сотрудников, так как позволяет уменьшить уровень знаний, необходимый персоналу вашего отдела безопасности. Аналогичными компаниями являются Loudcloud (www.loudcloud.com) и Cyber Attack Management Services (www.exodus.co.jp/managed_services/index_e.shtml); они обеспечивают узловое обнаружение вторжений и реагирование на атаки.

Важной частью договора с такой компанией будет соглашение об уровне предоставляемых услуг, поэтому определите для себя четкие требования, чтобы предоставляемые компанией услуги не были слишком "размытыми". В соглашении рекомендуется указать следующие пункты:

служба 24/7;время ответов;отчеты о клиентах;уменьшение времени работы из-за изменения в политике;денежные штрафы за плохую производительность.

Многие широко известные веб-сайты привлекают так называемые "красные отряды" для проведения атак на систему с целью обнаружения уязвимых мест. Моделирование взлома представляет собой контролируемую симуляцию атаки против сети, направленную на достижение определенной цели. Целью может быть нахождение информации на серверах клиента, определение возможности нарушения на длительное время операций клиентов или изменения содержимого веб-сайта. Пробелы в безопасности после этого могут быть устранены, чтобы реальное подобное нападение не повлекло за собой серьезных последствий. Еще одним преимуществом симуляции атаки является то, что она является обучающей процедурой, максимально приближенной к реальным условиям, с помощью которой сотрудники отдела безопасности учатся противостоять атакам.

Средства определения производительности

Право, замечательно было бы выяснить, как другие специалисты в области безопасности настроили свои веб-серверы IIS, и затем сравнить соответствие ваших настроек самым лучшим рекомендациям. Центр интернет-безопасности (CIS) (www.cisecurity.org/) определяет среднестатистические рекомендуемые настройки для компьютеров, подключенных к интернету. Имеющиеся на сайте средства измерения уровня безопасности Benchmark и Scoring для Windows 2000 (см. рис. 9.10) обеспечивают простой и быстрый способ определения мощности системы и сравнение ее уровня безопасности с минимальными требованиями CIS.

Рис. 9.10. С уровнем безопасности, значение которого составляет всего лишь 3,3, администратору сервера необходимо прочесть эту книгу и выяснить, как достичь большего уровня безопасности!

Различные отчеты объяснят вам, как повысить стойкость новых и уже работающих систем, а также проведут отслеживание параметров безопасности для проверки соответствия конфигурации, указанной в Benchmark. Покажите своему начальству уровень безопасности своей системы по сравнению со стандартом, тем самым защитив себя от наказания или финансовых санкций. Проверьте, соответствуют ли данные в отчете о безопасности ваших партнеров по бизнесу приемлемому уровню в программе Benchmark.

Сводный перечень рассмотренных процедур

Используйте многочисленные бесплатные средства, выпущенные Microsoft, перед принятием решения о применении дополнительных продуктов безопасности на сервере IIS.Подпишитесь на группы новостей и форумы, в которых содержится информация о любых приобретаемых продуктах, чтобы быть в курсе событий и обновлений.Не устанавливайте образцы и демонстрационные файлы, поставляемые с новым продуктом, на разрабатываемый сервер.Замените все пароли по умолчанию для установленных продуктов на более мощные пароли. Сначала обеспечьте защиту самых важных ресурсов и удостоверьтесь в том, что выбранный продукт делает это на должном уровне.Разработайте политику доступа к сетевым службам, чтобы определить возможности сетевого экрана. Примените систему обнаружения вторжений для защиты от некорректных программ, а также защиты новых и старых уязвимых мест. Мониторинг системы поможет обнаружить хакера независимо от того, какое слабое место будет использоваться для получения доступа.Файлы журналов полезны только в том случае, если они регулярно изучаются, поэтому установите анализатор журналов или программу, содержащую этот компонент, для автоматизации аудита и анализа сетевых журналов.Выберите антивирусную программу, обеспечивающую централизованный контроль и взаимодействие с другими средствами безопасности.Примените политику контроля за изменениями и резервированием данных и дополните ее программным обеспечением, предназначенным для восстановления после атак из интернета.Привлеките руководство для реализации программы обучения мерам безопасности сотрудников, для неукоснительного соблюдения всех пунктов, предусмотренных этой программой.Проверьте сайт на устойчивость и выясните, сможет ли он поддерживать большое число одновременных соединений с высоким уровнем загрузки, рассмотрите возможность применения аппаратного ускорителя SSL для сайта электронной коммерции.Решите вопрос о надежной аутентификации клиентов и пользователей, которым необходим доступ к важной информации на сервере, при необходимости обеспечьте их соответствующими средствами доступа, такими как маркеры безопасности или смарт-карты.Осуществите поиск пробелов в системе безопасности, применив сканер уязвимых мест, прежде чем это сделают хакеры.Загрузите программу CIS Scoring Tool и проверьте, соответствует ли конфигурация IIS рекомендациям в рассматриваемой области.При отсутствии в организации квалифицированного персонала службы безопасности привлеките внешние службы, занимающиеся мониторингом сайта.Постоянно обновляйте сведения о сайте. При управлении большой корпоративной сетью используйте сетевой документатор.

Технологии, используемые в сетевых экранах

Для работы сетевого экрана необходимы следующие условия.

Весь исходящий и входящий трафик должен проходить через сетевой экран.Через сетевой экран должен проходить только санкционированный трафик, определенный политикой безопасности.Сама система должна быть непреодолима для вторжений.

Сетевые экраны подразделяются на три типа в зависимости от наличия истории соединений и поддерживаемого уровня протокола.

Сетевые экраны пакетного уровня. Анализируют входящие и исходящие пакеты на сетевом и транспортном уровнях и фильтруют их по IP-адресам источника и пункта назначения.Сетевые экраны proxy. Устанавливают соединение с удаленным узлом со скрытием и защитой отдельных компьютеров в сети сетевым экраном, который выступает в роли этих компьютеров и выполняет все функции по дальнейшей передаче пакетов.Сетевые экраны, осуществляющие адаптивную проверку пакетов. Функционируют на сетевом уровне, отслеживая каждое подключение, проходящее через сетевой экран, для проверки его корректности. Посредством проверки не только информации заголовка, но и содержимого пакета, вплоть до уровня приложения, сетевой экран осуществляет фильтрацию по контексту, установленному предшествующими пакетами.

Современные сетевые экраны, называемые гибридными, объединяют в себе различные методы обеспечения безопасности. Давайте проведем обзор каждого метода, чтобы понять, каким образом они способствуют защите.

Ускорители SSL

Число транзакций в секунду (Transactions Per Second, TPS) используется для определения производительности ускорителей SSL, однако имейте в виду, что не существует единого стандарта определения TPS. Большая часть производителей использует значение TPS для измерения числа операций RSA с секретным ключом, осуществляемых на ключе длиной в 1024 бита. Другой характеристикой является число запросов в секунду (Requests Per Second, RPS); запросом здесь является команда HTTP GET с полной процедурой рукопожатия SSL. Тем не менее, ни одно из этих значений не отображает реальной производительности, так как большей части запросов HTTP не будет предшествовать полное рукопожатие RSA. Пропускная способность и время ответа лучше отражают производительность при исследовании ускорителей.

Ниже приведены основные производители ускорителей SSL:

nCipher – ускорители nForce Secure SSL (www.ncipher.com);Rainbow – ускорители CryptoSwift и NetSwift SSL (www.rainbow.com).

Утверждение сторонних программных продуктов

При заключении контракта с внешними разработчиками на построение или отслеживание интранет-сети (или веб-сайта), при использовании готовых библиотек DLL интерфейса программирования ISAPI нельзя быть уверенным в безопасности сторонних исполняемых компонентов. Например, библиотека ISAPI DLL может повысить свои привилегии и права доступа до уровня встроенной в систему учетной записи SYSTEM посредством вызова функции API с именем RevertToSelf(). Проверяйте каждый запускаемый исполняемый модуль с помощью средств анализа, которые выявят все включенные в компонент вызовы функций. Одной из таких программ является утилита Microsoft Binary File Dumper (DumpBin.exe), которая входит в состав средства разработки Windows Visual C++. Для проверки вызова файлом UntrustedISAPI.DLL функции RevertToSelf() используйте следующий синтаксис:

dumpbin /imports UntrustedISAPI.DLL | find "RevertToSelf"

Если на экран не будет выведено никаких результатов, это значит, что библиотека UntrustedISAPI.DLL не вызывает функцию RevertToSelf() напрямую. Она может вызывать API через LoadLibrary(), поэтому нужно осуществить поиск и этой функции.

Узловая система обнаружения вторжений

Система HIDS представляет собой приложение, устанавливаемое на жизненно важные узлы демилитаризованной зоны, например, на веб-сервер, и отслеживающее события только на этом устройстве. Устройства HIDS фиксируют аутентификацию пользователей, процессы приложений, подключение и изменение файлов для обнаружения атак типа Back Orifice или атак замедленного действия. Для экономии процессорного времени эти системы настраиваются на отслеживание активности определенных программ, например, автоматическое выполнение макросов и активность признаков вирусов-червей.

Централизованные узловые IDS (CHIDS) являются разновидностью HIDS, в которой реализовано централизованное управление анализом посредством отправки отслеженных файлов, журналов и параметров реестра центральной консоли анализа. Это свойство повышает безопасность устройств, так как вся важная информация отправляется за пределы узла, что обеспечит анализ данных даже в случае нарушения его защиты. Гибридные IDS дополняют технологию HIDS отслеживанием сетевого трафика, входящего или исходящего от определенного узла. Технология NIDS, в отличие от HIDS, отслеживает весь сетевой трафик на предмет атак, использующих соединения между компьютерами сети.

Предупреждение. Помните, что необходимо принимать в расчет наличие персонала для установки и обслуживания продуктов, обеспечивающих комплексную безопасность. Многие из обсуждаемых продуктов предъявляют повышенные требования к системе. Например, система обнаружения вторжений (IDS) генерирует гигабайты данных журнала и отнимает большое количество аппаратных ресурсов. Может понадобиться обновление оборудования, которое по цене в некоторых случаях превышает стоимость самой системы IDS. Необходимо найти оптимальное соотношение между требованиями к системе и вашим бюджетом.

Важные свойства антивирусного программного обеспечения

Ключевым фактором в оценке антивирусной программы является аккуратность поиска вирусов, заключающаяся в правильности отделения вирусов от безопасного содержимого, поэтому необходима точка централизованного управления для эффективной защиты сети и сервера IIS. Большая часть сканеров отличается друг от друга в возможностях сканирования не более чем на два процента, поэтому основными их различиями является масштабируемость, управляемость и простота использования. Важными свойствами сканеров также являются скорость сканирования, лечение зараженных объектов, автоматическое обновление и круглосуточная техническая поддержка.

Хороший сетевой антивирусный пакет программ поддерживает сканирование сжатых файлов, обнаруживает макровирусы, выявляет вирус в любом месте его проникновения в систему и останавливает его распространение с рабочих станций на серверы и наоборот. Для минимизации затрат ресурсов антивирусное программное обеспечение должно выполнять сканирование без существенного воздействия на операции с файлами, а также лечить большую часть файлов "на лету".

Внутреннее обучение или сторонние обучающие курсы?

Ответ на вопрос, каким образом обучить персонал компании, зависит от ресурсов организации. При наличии собственных служб обучения можно легко преобразовать конкретные политики безопасности в обучающий материал. Однако этот способ, скорее всего, применим только к крупным организациям, и в большинстве случаев для обучения сотрудников придется прибегнуть к сторонним ресурсам.

Сторонние обучающие организации предлагают курсы, соответствующие профилю политики безопасности организации. При этом необходимо четко фиксировать, кто прошел эти курсы и успешно подтвердил свои знания, так как это может быть весомым аргументом в суде. Этим организациям необходимо предоставить курсы для руководящего состава компании, а также для сотрудников, имеющих непосредственный доступ к важным аспектам бизнеса. В зависимости от области, к которой относится компания, можно привлечь прочих сотрудников, имеющих доступ к сети (например, службы очистки данных или партнеров по бизнесу). Это легче сделать с помощью стороннего преподавателя, так как ему удобнее осуществлять обучение в различных местах.

Выбор оптимального решения по соотношению цена/качество

В данной лекции рассмотрен большой объем материала, и вы можете так и не понять, на что разумнее всего потратить деньги. Конечной целью при вынесении решения о привлечении сторонних структур для повышения уровня защищенности является обеспечение безопасности ресурсов сети. Не пытайтесь решить разом все проблемы, связанные с безопасностью; руководствуйтесь последовательным подходом, обрабатывая в первую очередь самые важные аспекты. Посмотрите, насколько качественно программа или служба решит ту или иную задачу, не приведет ли это действие к возникновению побочных проблем, к увеличению персонала для обслуживания какого-либо компонента. Если вы не знаете, как правильно вложить средства, отведенные для обеспечения безопасности, обратитесь за информацией к веб-сайту RiskWatch по адресу www.riskwatch.com. На этом сайте расположен пакет программ, осуществляющий анализ угроз и уязвимых мест, которые необходимо учитывать при определении эффективных мер безопасности, а также выдающий рекомендации по поводу того, на что следует потратить денежные средства. Посредством предположений "что-если" вы определите, какие потенциальные меры безопасности отвечают необходимому уровню защиты; этот подход используйте и для распределения бюджета. Сайт Insecure.org производителя программы nmap (утилиты сканирования портов больших сетей) содержит перечень пятидесяти наиболее эффективных средств защиты, составленный на основе мнений 1200 пользователей nmap о предпочитаемых ими утилитах безопасности. Этот перечень доступен по адресу www.insecure.org/tools.html.

Выбор системы обнаружения вторжений

Индустриальные стандарты предусматривают использование как NIDS, так и HIDS. Если вы не можете себе позволить обе системы, для защиты сети сначала примените NIDS, а затем HIDS. Система NIDS обеспечит большую детализацию сетевого трафика, так как HIDS предоставляет информацию об определенном компьютере или сервере, а информация о трафике в этой системе не предусмотрена. Многие системы NIDS блокируют атаку и предотвращают несанкционированный доступ хакера.

Несмотря на то, что эти методы различны по своей эффективности, они выполняются в реальном времени и, следовательно, потенциально ограничивают ущерб, который может причинить атака. Так как системы HIDS основаны на анализе файлов журналов, они предоставляют информацию об атаке только после ее проявления. Гибридные IDS позволяют реагировать в реальном времени, однако обеспечивают защиту только определенного узла. Наконец, системы NIDS часто взаимодействуют с другими системами периметровой защиты посредством динамического обновления политик для обработки угроз в реальном времени.

Необходимо, чтобы выбранная система IDS удовлетворяла как настоящим, так и будущим требованиям. Важным аспектом является степень конфигурирования, так как настройка системы позволяет адаптировать IDS к вашей уникальной среде и повысить смысловое значение генерируемых данных. Так как IDS работает в качестве сигнализации проникновения, необходимо обеспечить соответствующее реагирование в случае тревоги. Для этого разработайте политику реагирования, заключающуюся в создании и всестороннем тестировании процедур на случай проявления вредоносной атаки.

Для обеспечения простоты IDS следует приобретать систему на отдельном аппаратном оборудовании, а не программный компонент, применение которого может занять больше времени. Можно создать систему IDS посредством комбинирования персональных и корпоративных сетевых экранов с журналами, их автоматизированными анализаторами и устройствами для прослушивания пакетов. В малой сети часто оказывается более разумным применение самостоятельно сконструированных устройств, если есть опыт собственных разработок.

e-Sentinel	e-Security www.esecurityinc.com
netForensics	netForensics www.netforensics.com
SilentRuner	SilentRunner, Inc. www.silentrunner.com

FR314 Cable/DSL Firewall Router	NETGEAR, Inc. www.netgear.com	Комбинация аппаратного сетевого экрана и NIDS.
Intruder Alert	Symantec Corporation www.symantec.com	Программная система IDS.
LANguard Security Event Log Monitor	GFI www.gfi.com/languard/	Программная система IDS.
RealSecure	Internet Security Systems www.iss.net	Программная система IDS.
RealSecure для Nokia	Nokia www.nokia.com/securitysolutions/network/iss.html	Самостоятельное устройство; аппаратный и программный NIDS.

Аутентификация с использованием протоколов открытого ключа

Цифровые подписи и инфраструктура открытого ключа

Как работает безопасное веб-соединение

Ключи и шифры

Комбинирование методов шифрования

Настройка IIS на работу с SSL/TLS

Обеспечение безопасности сайта или каталога

с рабочего стола Windows информация

Основы шифрования

ПРОБЛЕМА

Работа с безопасными соединениями IIS

Шифрование на открытом ключе (ассиметричное шифрование)

Шифрование на симметричном (секретном) ключе

Сводный перечень действий по настройке параметров SSL

Установка цифрового сертификата

Выполнение запроса на подпись сертификата

Запрос на сертификат сервера

Адаптивная проверка или интеллектуальная фильтрация сеанса

Альтернатива – блокировка

Анализаторы журналов

Аппаратные средства аутентификации

Аппаратные средства поддержки производительности

Будьте в курсе событий

Централизация и взаимодействие

Что же выбрать?

CyberwallPLUS-SV от Network-1 Security Solutions

Фильтрация пакетов

Internet Security and Acceleration Server 2000 от Microsoft

Интернет-сканеры безопасности

Измерители безопасности CIS

имеет интуитивно понятный пользовательский интерфейс,

Как работают сканеры вирусов

Какие элементы отслеживаются пакетными фильтрами

Контроль изменений

Лучшие сетевые экраны мира

Маркеры доступа

Обнаружение, документирование и диаграммы

Оборудование контроля доступа и производительности

Опасайтесь демонстрационных файлов и образцов

Осведомленность как мера безопасности

Популярные сканеры вирусов

Предотвращение потенциального ущерба от атак из интернета

Принципы работы систем обнаружения вторжений

ПРОБЛЕМА

Программа оценки CIS

Программы восстановления и резервирования данных

Прокси-службы

Рекомендации и ресурсы

Рекомендуемые дополнительные средства повышения уровня безопасности

Рекомендуемые продукты

Сбор улик

Семейство экранов Cisco PIX

Сетевые документаторы

Сетевые экраны

Сетевые системы обнаружения вторжений

Системы обнаружения вторжений

Сканеры вирусов

Службы мониторинга веб-сайта

Средства определения производительности

Сводный перечень рассмотренных процедур

Технологии, используемые в сетевых экранах

Ускорители SSL

Утверждение сторонних программных продуктов

Узловая система обнаружения вторжений

Важные свойства антивирусного программного обеспечения

Внутреннее обучение или сторонние обучающие курсы?

Выбор оптимального решения по соотношению цена/качество

Выбор системы обнаружения вторжений