Безопасность IIS

       

Безопасность IIS

Что же делать? Отключиться от интернета? Закрыть веб-сайт?

Часть I: Уязвимость, риск и предотвращение угроз
Часть II: Администрирование
Часть III: Дополнительные сведения
Часть IV: Приложения

Безопасность IIS

Проявления угроз безопасности
Источники

Категории атак


Социальные и физические атаки
Сетевые атаки
Задачи безопасности
Стратегии взломщиков
Взаимосвязь аспектов безопасности
Примеры уязвимых мест
Открытый порт равносилен открытой двери
Проблема. Веб-приложения влияют на уровень безопасности базы данных
Политика безопасности

Методология взлома
Универсальные методы атак
Предварительное исследование
Сканирование
Инструменты
Методы направленных атак
Сбор базовых сведений
Составление перечня параметров
Зондирование
Эксплоиты

Методы скрытия
Перечень угроз

Безопасность IIS

Источник проблемы
Понятие протокола интернета
Протоколы интернета
Распределенный отказ в обслуживании
Стратегия атак DDoS
Защита от атак DDoS
Перечень известных уязвимых мест

Доменная система имен
Приложения и службы
Известные уязвимые места
Общие уязвимые места
Заданные по умолчанию настройки операционных систем и приложений
Учетные записи со слабыми или несуществующими паролями
Отсутствие или незавершенность резервных копий
Большое количество открытых портов
Отсутствие фильтрации пакетов для проверки корректности адресов входящих и исходящих пакетов
Несуществующий или неправильно настроенный журнал

Уязвимая программа CGI
Злоумышленный или вредоносный код
Уязвимые места, зависящие от платформы
Угроза универсального кода Unicode (прохождение папок веб-сервера)
Переполнение буфера
NetBIOS: незащищенные общие сетевые ресурсы Windows
Утечка информации через соединения недействительной сессии
Уязвимость зашифрованных паролей в Security Accounts Manager (SAM)
Поиск уязвимых мест

Возможно, за вами следят
Принципы работы ping-запросов и сканирования
Некоторые методы сканирования портов
ПРОБЛЕМА. TCP-соединения
Определение веб-сервера или операционной системы
Методы защиты от обнаружения сканирования
Эсплоиты, использующие уязвимые места программного обеспечения

Эксплоиты, использующие ошибки в конфигурации
Вирусы, черви и "троянские кони"
ПРОБЛЕМА. Исследование вируса W32.Simile
ПРОБЛЕМА. Исследование червя Nimda

ПРОБЛЕМА. Исследование: новый анализ червя Code Red II
Сценарии и Java-апплеты

Безопасность IIS

План работы
Требования к безопасной установке
Основные рекомендации
Физическая безопасность, безопасность загрузки и параметры безопасности носителей
Параметры загрузки BIOS

Параметры носителей
Сводный перечень рекомендаций по установке
Сводный перечень рекомендаций по укреплению системы
Установка компонента
Простота – залог успеха
Выбор компонентов служб
Компоненты IIS
Сетевые компоненты

Пакеты обслуживания и надстройки безопасности
Укрепление системы
Средства укрепления систем
Обзор процедуры укрепления системы
Работа с инструментом Microsoft IIS Lockdown Tool
Процедуры укрепления системы, проводимые вручную
Отключение ненужных служб

Изменение среды сервера IIS по умолчанию
Отключение родительских путей
ПРОБЛЕМА. Работа с поддержкой приложений
Дополнительные процедуры

Безопасность IIS

Применение политики безопасности
Принципы безопасности Windows 2000 и IIS
Доверительные отношения
Рабочие группы и домены
Права на доступ к каталогу для записи Internet Guest
Удаление записи Internet Guest из локальной политики безопасности
Настройка атрибутов и параметров сайта IIS
Параметры безопасности IIS

Главные свойства
Настройка параметров анонимного доступа на веб-сайте IIS
Фильтры IP-адресов и доменов
Разрешения на доступ IIS
Управление несколькими веб-сайтами
Работа с виртуальными каталогами
ПРОБЛЕМА
Сводный перечень действий по настройке аутентификации учетных записей
Перечень действий по настройке параметров сайта IIS

Аутентификация
Интранет против интернета
Управление локальной безопасностью
Списки контроля доступа
Фильтры
Наследование
Средства управления локальной безопасностью
Консоль Microsoft Management Console
Настройка политики безопасности с помощью шаблонов
Установка оснасток Security Configuration и Security Template

Изменение и применение шаблонов безопасности
Настройка контроля доступа к веб-серверу в Windows 2000
Настройка групп и параметров администратора по умолчанию
Отключение прав на администрирование хранилища для группы Everyone
Присвоение прав полного доступа группам Administrators и System
Изменение имени учетной записи Administrator и создание устойчивого пароля
Передача прав на администрирование

Создание группы распределенного администрирования
Присвоение прав и разрешений группе распределенного администрирования
Изменение настроек по умолчанию для учетных записей пользователей
Отключение и игнорирование прав и разрешений учетной записи Guest Windows 2000
Обеспечение безопасности группы Guest в Windows 2000
Обеспечение безопасности учетной записи Internet Guest для анонимного входа в систему

Безопасность IIS

Отслеживание событий сайта
Информация журналов событий
Аудит

Регистрация процедур настройки и поддержки в журнале
Цели и задачи аудита
Управление журналами
Настройка параметров журнала
Установка политики Windows 2000 "Ошибка аудита при отключении"
ПРОБЛЕМА
Обеспечение безопасности журналов

Архивация журналов
Аудит
Настройка политики аудита
Настройка политики аудита - 2
Аудит объектов и ресурсов Windows 2000
Аудит IIS
Настройка параметров аудита IIS
Аудит резервных копий

Сводный перечень действий, относящихся к ведению журналов и выполнению аудита

Безопасность IIS

План восстановления
Экстренное восстановление
Создание загрузочных дисков установки

Подготовка диска экстренного восстановления
Содержимое диска экстренного восстановления
Создание диска экстренного восстановления
Создание резервной копии реестра и информации о состоянии системы
ПРОБЛЕМА. О восстановлении и устранении неполадок
Безопасность резервного копирования
Элементы управления архивацией данных
Настройка контроля доступа к резервированию и установка ограничений
Структура сети и фильтрация пакетов в интранет-сети

Возможности фильтрации пакетов в Windows 2000
Функция фильтрации IIS
ПРОБЛЕМА
Обеспечение безопасности сетевого периметра
Фильтрация с помощью сетевых экранов и маршрутизаторов
Использование демилитаризованной зоны сети

Безопасность удаленного управления
Виртуальные частные сети
Службы терминала Windows 2000
Сводный перечень подготовительных действий перед началом работы сайта
Безопасность IIS

Безопасность IIS

Методология жизненного цикла
Переоценка угроз и предупредительное отслеживание
Переоценка угроз
Двойная проверка безопасности сервера
Тестирование на уязвимость в реальном режиме
Дополнительные сведения об отслеживании файла журнала

Экспорт журналов в текстовые файлы
Настройка предупреждений Windows 2000 и IIS
Установка оповещения операционной системы
Установка оповещения веб-службы
Использование журнала и уведомлений о сбоях в качестве средства защиты
Отслеживание признаков атак
Другие признаки атаки
Ответные действия

Реагирование на атаку
ПРОБЛЕМА
Проведение аудита безопасности
Устранение проблемы
Сводный перечень действий, формирующих жизненный цикл управления безопасностью

Безопасность IIS


Основы шифрования
Ключи и шифры
Шифрование на симметричном (секретном) ключе
Шифрование на открытом ключе (ассиметричное шифрование)
Комбинирование методов шифрования
Цифровые подписи и инфраструктура открытого ключа
Аутентификация с использованием протоколов открытого ключа

Работа с безопасными соединениями IIS
Как работает безопасное веб-соединение
Настройка IIS на работу с SSL/TLS
Выполнение запроса на подпись сертификата
Запрос на сертификат сервера
Установка цифрового сертификата
Обеспечение безопасности сайта или каталога

ПРОБЛЕМА
Сводный перечень действий по настройке параметров SSL

Безопасность IIS

Опасайтесь демонстрационных файлов и образцов
Будьте в курсе событий
Сетевые экраны
Технологии, используемые в сетевых экранах
Фильтрация пакетов
Рекомендуемые дополнительные средства повышения уровня безопасности

Интернет-сканеры безопасности
Средства определения производительности
Измерители безопасности CIS
Программа оценки CIS
Службы мониторинга веб-сайта
Сетевые документаторы
Утверждение сторонних программных продуктов
Обнаружение, документирование и диаграммы
Выбор оптимального решения по соотношению цена/качество

ПРОБЛЕМА
Сводный перечень рассмотренных процедур
Прокси-службы
Адаптивная проверка или интеллектуальная фильтрация сеанса
Какие элементы отслеживаются пакетными фильтрами
Что же выбрать?
Лучшие сетевые экраны мира
Экран следующего поколения Check Point FireWall-1
Семейство экранов Cisco PIX
CyberwallPLUS-SV от Network-1 Security Solutions

Internet Security and Acceleration Server 2000 от Microsoft
Системы обнаружения вторжений
Принципы работы систем обнаружения вторжений
Узловая система обнаружения вторжений
Сетевые системы обнаружения вторжений
Выбор системы обнаружения вторжений
Рекомендуемые продукты
Анализаторы журналов

Сбор улик
Рекомендации и ресурсы
Сканеры вирусов
Как работают сканеры вирусов
Альтернатива – блокировка
Централизация и взаимодействие
Важные свойства антивирусного программного обеспечения
Популярные сканеры вирусов
Осведомленность как мера безопасности

Внутреннее обучение или сторонние обучающие курсы?
Контроль изменений
Предотвращение потенциального ущерба от атак из интернета
Программы восстановления и резервирования данных
Оборудование контроля доступа и производительности
Аппаратные средства поддержки производительности
Ускорители SSL
Аппаратные средства аутентификации
Маркеры доступа

Безопасность IIS

Установка компонентов IIS
Служба FTP – протокол передачи файлов
ПРОБЛЕМА
Безопасность исходящего трафика
Операторы

Запуск и остановка служб
Службы Windows Media
Безопасность Windows Media
Администрирование и ведение журнала
Windows Media и сетевые экраны
Службы Simple TCP/IP
Сводный перечень рассмотренных процедур
Обеспечение безопасности сайта
Ограничение подключений

Ведение журнала FTP-активности
Отключение пользователей
Учетные записи безопасности
Сообщения
Домашний каталог
Сценарии аутентификации
Разрешения папок и файлов
Безопасность каталога
Служба NNTP

Обеспечение безопасности NNTP-сайта
Контроль доступа
Вкладка Settings (Параметры)
Управление группами новостей
Политики истечения срока размещения
Виртуальные каталоги
Сервер индексов Microsoft и служба индексирования содержимого
Настройка сервера индексов
Защита файлов сервера индексов при помощи параметров безопасности файлов NTFS

Ограничение доступа к содержимому посредством каталогов
Параметры файла запроса данных интернета
Ограничение удаленного администрирования
Служба SMTP (Simple Mail Transport Protocol)
Обеспечение безопасности SMTP-сервера

Безопасность IIS

Технологии активного содержимого
Общий шлюзовой интерфейс
Активные страницы сервера (ASP)
Директивы вставок серверной части (SSI)
ActivePerl
Подписывание кода
Серверные расширения FrontPage

Управление FPSE
Веб-сайты с установленными расширениями FrontPage
Библиотеки DLL пакета FPSE
Разрешения
Подсайты
Удаление FPSE
Переменные конфигурации FPSE
AccessControl
AllowExecutableScripts

NoExecutableCGIUpload
ClientVerCutoff
NoMarkScriptable
NoSaveResultsPipeTo
NoSaveResultsToAbsoluteFile
PrivateBrowsable
RequireSSL
RestrictIISUsersAndGroups
Роботы и "пауки"
Протокол исключений роботов

META-теги роботов
Сводный перечень действий по обеспечению безопасности активного содержимого
Структура папок для активного содержимого
Разрешения файлов сценариев
Параметры приложения
Стартовые точки приложения
Разрешения на выполнение
Безопасность приложения
Совместимость с приложением

Управление исходными файлами
Программное обеспечение для контроля над исходными файлами
Резервные копии
Защита авторских прав
Проверка вводимых пользователем данных
Фильтрация вводимых данных
Проверка клиентской части
Проверка серверной части

Кодировка HTML
Кодировка выходных данных для специальных символов
Перечень девяти аспектов безопасности, о которых должен знать разработчик
Фильтры ISAPI
Средство безопасности URLScan
Настройка фильтров ISAPI
Защита кода собственной разработки с помощью фильтра ISAPI
Кодировщик сценариев
Дополнительные методы обеспечения безопасности веб-содержимого
Обеспечение безопасности страниц при помощи ASP

Файловая система с шифрованием
Отладка активного содержимого
Перехват ошибок
Ошибки ASP и журнал событий Windows
ПРОБЛЕМА

Безопасность IIS

Что такое секретные данные в интернете?
Парадоксы секретности

Секретность и надежность в интернете
Определения секретности и Федеральная торговая комиссия США
Определения секретности и P3P
Секретность в интернете и электронная почта
Электронная почта или "спам"?
Электронная почта, предусматривающая ответственность

ПРОБЛЕМА
Основные меры предосторожности при работе с электронной почтой
Технология обеспечения секретности электронной почты
Подведем итоги
Пространство секретности
Политики и определения секретности
Принципы и практическая реализация секретности

Базовые принципы
Защита директив секретности Организацией экономического сотрудничества и развития (OECD)
Принципы честного информационного взаимодействия
Уведомление/Осведомленность
Позитивные уведомления о секретности
Выбор/Согласие
Доступ/Участие
Целостность/Безопасность

Принуждение/Компенсация
Законы, связанные с секретностью
Акт о защите секретности информации, вводимой в интернете детьми
Акт Gramm-Leach-Bliley
ПРОБЛЕМА
Акт о переносимости и ответственности страхования здоровья (HIPAA)
На кого распространяется закон HIPAA?
Правила секретности стран мира
Документ "U.S./EU Safe Harbor"

Средства построения и применения политик секретности
Продукты, предназначенные для обеспечения секретности в интернете
PrivacyRight
IDcide
IBM Tivoli Privacy Wizard
Другие службы секретности
Логотипы секретности в интернете
TRUSTe
BBBOnLine
Специализированные логотипы

Платформа проекта предпочтений секретности
P3P в Internet Explorer 6
P3P в действии
План действий P3P
Хакерские веб-сайты
Номера протоколов фильтрации пакетов

Безопасность IIS

Анонимная аутентификация
Базовая аутентификация
Интегрированная аутентификация Windows

Ассоциирование клиентских сертификатов

Безопасность IIS

Перенаправление порта через сетевой экран
Сетевой экран с портом DMZ
Полностью защищенный порт DMZ
Безопасное удаленное управление через VPN
Применение дополнительных средств безопасности

Применение подкомпонентов IIS
Использование службы IIS SMTP для защиты Exchange Server

Содержание раздела