- •Тема 1.
- •Тема 2.
- •Тема 3.
- •3.1. Топология типа звезда.
- •3.2. Кольцевая топология.
- •3.3. Логическая кольцевая сеть.
- •3.4. Шинная топология.
- •Тема 4.
- •4.1. Витая пара.
- •4.2. Коаксиальный кабель.
- •4.3. Широкополосный коаксиальный кабель.
- •4.4. Еthernet-кабель.
- •4.5. Сheapernеt-кабель.
- •4.6. Оптоволоконные линии.
- •Тема 5.
- •5.1. Локальный мост.
- •5.2. Объединение сетей в интерсеть. Удаленный мост.
- •Тема 6.
- •Тема 7.
- •Тема 8.
- •8.1. Отличия локальных сетей от глобальных.
- •8.2. Области применения локальных и глобальных сетей. Телематика: телетекст и видеотекст.
- •8.3. Электронная почта.
- •Тема 9.
- •9.1. Стек tcp/ip.
- •9.2. Типы адресов: физический (mac-адрес), сетевой (ip-адрес) и символьный (dns-имя).
- •9.3. Основные классы ip-адресов.
- •9.4. Отображение физических адресов на ip-адреса: протоколы arp и rarp.
- •9.5. Отображение символьных адресов на ip-адреса: служба dns.
- •9.6. Автоматизация процесса назначения ip-адресов узлам сети - протокол dhcp.
- •Тема 10.
- •10.1. Создание рабочей группы.
- •10.2. Взаимодействие с поставщиками.
- •10.3. Классификация модемов.
- •Тема 11.
- •11.1. Производительность.
- •11.2. Расширяемость и масштабируемость.
- •11.3. Прозрачность.
- •11.4. Поддержка разных видов трафика.
- •11.5. Управляемость.
- •11.6. Совместимость.
- •Тема 12.
- •12.1. Характеристика причин влияющих на надежность лвс.
- •12.2. Защита от отключения электропитания.
- •12.3. Предотвращение потерь из-за сбоя дисковых систем.
- •12.4. Защита от компьютерных вирусов.
- •12.5. Средства контроля данных.
- •Тема 13.
- •13.1. Определение брандмауэра.
- •13.2. Назначение брандмауэра.
- •Тема 14.
- •Литература
Тема 14.
Безопасность WEB-сервера.
WEB-сервер достаточно сложная и потому уязвимая для атак программа. Причем угрозы могут исходить из самых неожиданных мест. Так в конце июня 1997 года было обнаружено, что Windows-95 (и NT) “повисает” (полный перечень причин повисания этой системы может занять целый том) при приходе на ее вход ICMP-пакета с длиной, которая не соответствует значению, указанному в его поле заголовка Длина.
WEB-сервер, также как любая сеть должен иметь свою, желательно записанную на бумаге политику безопасности. Это должен быть достаточно простой документ. Доступ к WEB-серверу имеет пять уровней: Общедоступный с возможностью только чтения всех URL за исключением тех, что помещены в каталогах private. Доступ сотрудников фирмы или организации, которой принадлежит сервер. Здесь также допустимо только чтение, но доступны и секции каталога private. Разработчики WEB-сервера. Имеют возможность модифицировать содержимое сервера, инсталлировать CGI-скрипты, прерывать работу сервера. Администраторы узла (сервера). Имеют те же привилегии, что и разработчики, но могут также реконфигурировать сервер и определять категорию доступа. Системные администраторы. Имеют идентичные привилегии с администраторами сервера.
Для получения доступа на уровне 3-5 необходимо письменное разрешение директора организации или его заместителя по информационным системам. Доступ уровня 2 автоматически получают все сотрудники организации или фирмы при авторизации. Администраторы могут аннулировать авторизацию по решению заместителя директора по информационным системам, а при чрезвычайных обстоятельствах самостоятельно, но с последующим уведомлением руководства. Работа с локальной консоли WEB-сервера разрешается только администраторам. Удаленная работа администраторам запрещена, они должны работать только с локального терминала. CGI-скрипты устанавливаются на сервер после их проверки и одобрения как минимум двумя членами группы администраторов. Скрипты, исходные тексты которых недоступны, устанавливаются только по решению заместителя директора по информационным системам. Информация из каталогов private, которая считается конфиденциальной, доступна только с терминала самой ЭВМ.
При работе с WEB-сервером не допускается доступ к базам данных или файлам, если для этого не имеется соответствующего разрешения. Описание политики безопасности должно включать указание периода формирования резервных копий содержимого сервера, описания допустимых сетевых услуг и время профилактических остановок. Включается сюда перечень видов обязательного мониторинга сервера и просмотра дневника посещений. Приведенный текст описания политики безопасности может варьироваться в широких пределах, он зависит от используемой ОС и набора сетевых утилит.
Наиболее безопасной сетевой средой считается Macintosh OS. Это связано с тем, что она не включает в себя интерпретатора команд, не поддерживает скрипты и не предоставляет каких-либо дополнительных сетевых услуг, неавторизованный просмотр WEB-страниц на Макинтоше практически не возможен. Системы Windows NT и UNIX обладают сопоставимыми и достаточно высокими уровнями безопасности. Большое число сообщений о дефектах безопасности UNIX свидетельствует о его массовом использовании.
Теперь рассмотрим, что нужно сделать, чтобы обеспечить максимально возможную безопасность WEB-cервера. Выбрать наиболее безопасную ОС и сконфигурировать ее с учетом требования безопасности. Использовать все известные корректирующие программы, выпущенные разработчиком ОС. Организовать мониторирование любой подозрительной активности на сервере (активность в ночное время, многократные попытки авторизации и т.д.). Контролировать доступ к конфиденциальным документам. Доступ к таким документом должен быть разрешен только ограниченному числу пользователей. Доступ к таким частям сервера должен быть организован с использованием протокола SSL. Тщательно разрабатывать и проверять используемые CGI-скрипты и аплеты. Установить жесткие требования к доступу для выполнения различных операций, особенно для модификации содержимого и конфигурации сервера. Защитить локальную сеть от WEB-сервера. Исключить возможность проникновения к жизненно важным ресурсам сети через WEB-сервер, например, с помощью Firewall. Отслеживать вновь обнаруженные слабости используемой ОС и программного обеспечения сервера.
При работе с ОС Windows NT следует отключить доступ TCP/IP от услуг NETBIOS. Это может быть сделано с помощью Firewall, блокировкой доступа к портам 137 и 138 для UDP и TCP. Можно решить эту проблему отключения NETBIOS от TCP/IP драйвера переконфигурировав Windows NT.
Если WEB-сервер нуждается в контроле доступа, то в настоящее время (в HTTP/1.1) имеется две возможности. Первая (basic) - предполагает традиционный ввод и передачу по сети имени клиента и пароля. Эта схема проста, но допускает перехват параметров доступа (а между клиентом и сервером может быть достаточно много промежуточных узлов). Вторая схема (digest) для пользователя выглядит аналогично, но вводимое имя и пароль не передаются по сети непосредственно. На их базе формируется дайджест MD5, который пересылается по сети и используется для идентификации клиента.