BackOffice a ochrona
sieci podłączonej do
Internetu
h
Omówienie pakietu Microsoft
BackOffice
MS BackOffice to potężny zestaw
programów wspomagający zarządzanie
przedsiębiorstwem, który umożliwia
szeroką współpracę z Internetem i jest
gotowy do działania „natychmiast po
wyjęciu z pudełka”.
Z
estaw programów Microsoftu, sprzedawa-
ny pod nazwą BackOffice, jest zbiorem wza-
jemnie uzupełniających się aplikacji, działają-
cych na wspólnym szkielecie Windows NT
Server, które tworzą system wspomagający
zarządzanie przedsiębiorstwem w
zakresie
składowania, przetwarzania i
dystrybucji
danych, charakteryzujący się bezprecedenso-
wą siłą, zdolnością do łączenia z innymi pro-
gramami oraz spójnym systemem ochrony.
Dzięki programom MS Exchange Server oraz
Internet Information Server, które wchodzą
w skład aktualnie rozpowszechnianej wersji
pakietu, połączenie systemu z
Internetem,
przesyłanie komunikatów oraz publikowanie
informacji stało się tak proste, jak nigdy
przedtem.
Nieuchronnym kosztem związanym z
siłą
połączeń internetowych jest otwarcie furtki na
potencjalne zagrożenia. Niniejszy rozdział
pomoże wzmocnić ochronę systemu, w któ-
rym aplikacje BackOffice są połączone z Inter-
netem.
h
Przeznaczenie i
zasady pracy pro-
gramu Internet Information Server
(IIS)
Serwer informacyjny Internetu stanowi
zwornik dla wszystkich usług interne-
towych BackOffice.
h
Zabezpieczanie usług Web serwera
informacyjnego Internetu
Serwer Web wchodzący w składa IIS
jest rozwiązaniem bardzo silnym
i w pełni użytecznym; umożliwia przed-
siębiorstwu prezentację za pośrednic-
twem Web przy minimum wysiłku.
h
Zabezpieczanie usług FTP serwera
informacyjnego Internetu
Serwer usług FTP (podobnie jak Web)
to narzędzie potężne i łatwe do stoso-
wania, a
przede wszystkim
DARMOWE. Sztuczki i
kruczki,
o których warto wiedzieć.
h
Zabezpieczanie serwera SQL
Współpraca serwerów SQL oraz IIS
daje niezwykle wydajne rozwiązanie do
tworzenia publikacji Web. Ochrona
serwera SQL połączonego z Internetem.
Część IV Integracja systemu ochrony Windows NT
z produktami BackOffice, Internetem i innymi platformami sieciowymi
338
Wielka, szczęśliwa rodzina: Microsoft BackOffice
MS BackOffice jest zestawem światowej klasy produktów, zbudowanych
na fundamencie systemu Windows NT Server. Wszystkie elementy pa-
kietu zostały zaprojektowane według założeń przewidujących ich ścisłą
współpracę oraz bezpieczeństwo działania. Zgodnie z przyjętymi prze-
słankami nie widać żadnych „szwów” łączących programy, które działa-
jąc razem tworzą zupełnie nową jakość. Aktualnie rozpowszechniana
wersja 2.5 zawiera następujące składniki:
Windows NT Server 4.0- wyposażony w Microsoft Internet Informa-
tion Server 3.0, Microsoft Index Server 1.1 oraz Front Page 1.1.
Microsoft Exchange Server 5.0.
Microsoft SQL Server 6.5.
Microsoft SNA Server 3.0.
Microsoft Systems Management Server 1.2.
Każdy z wymienionych programów jest znakomitym produktem, konku-
rującym z najlepszymi w swojej klasie. Microsoft zdecydował sprzeda-
wać je w jednym zestawie, podnosząc poziom ich integracji, zapewniając
bezproblemową współpracę oraz autorski charakter aplikacji. Wykorzy-
stano sprawdzony, bo działający model sprzedaży MS Office, który od-
niósł nieprawdopodobny sukces rynkowy.
Microsoft BackOffice umożliwia tworzenie, zarządzanie i publikowanie
informacji w czasie rzeczywistym, komunikację między klientami oraz
dostarcza zestawu aplikacji wspomagających zarządzanie przedsiębior-
stwem. Rodzina BackOffice wychodzi naprzeciw złożonym i różno-
rodnym potrzebom organizacji gospodarczych o zróżnicowanej struktu-
rze i wielkości. Dodatkowo, zestaw zawiera zintegrowane narzędzia
instalacyjne, które ułatwiają konfigurację systemu, zgodnie z indywi-
dualnymi wymaganiami.
W kolejnych częściach rozdziału przyjrzymy się z lotu ptaka poszczegól-
nym aplikacjom, a następnie przeanalizujemy ich indywidualne wymogi
ochrony.
Uwaga
Skład zestawu BackOffice podlega ciągłym zmianom. Najnowsze informacje
o pakiecie można znaleźć pod adresem http://www.microsoft.com/backoffice.
BackOffice a ochrona sieci podłączonej do Internetu
339
Windows NT Server 4.0
Jak już wiemy, Windows NT 4.0 stanowi ostatnie wcielenie 32 bitowego
sieciowego systemu operacyjnego (NOS - Network Operating System).
Windows NT jest silnym, skalowalnym i bezpiecznym systemem opera-
cyjnym, który dostarcza podstawowych usług w zakresie udostępniania
zasobów współdzielonych, drukarek oraz łączności ze stacjami roboczy-
mi. System sprawuje się znakomicie jako serwer aplikacji, co umożliwiło
zbudowanie na jego fundamencie pakietu BackOffice.
Microsoft Internet Information Server 3.0
W ciągu kilku ostatnich lat wysiłek Microsoftu został skoncentrowany na
uczynieniu swoich aplikacji „przyjaznymi dla Internetu”. Kulminacją tej
pracy jest Serwer informacyjny Internetu (IIS), będący elementem Win-
dows NT Server 4.0.
Serwer informacyjny Internetu udostępnia podstawowe funkcje interne-
towe, o czym decydują:
W pełni funkcjonalny serwer Web.
Współpraca z protokołem transferu plików (FTP - File Transfer Proto-
col).
Współpraca z Gopher.
Współpraca z Common Gateway Interface (CGI).
Współpraca z Active Server Pages.
Wbudowany mechanizm przeszukiwania (Microsoft Index Server).
Łatwa integracja z innymi aplikacjami BackOffice, takimi jak SQL
Server.
Bezpieczna platforma systemowa współpracująca z weryfikacją reje-
stracji, listami ACL, SSL 2.0, SSL 3.0 oraz PCT.
IIS jest znakomitym rozwiązaniem do publikowania informacji
w Internecie, jak również do budowania intranetu na skalę korporacji.
Kombinacja IIS z SQL Server stanowi najlepiej wyposażony i bezpieczny
system, spośród dostępnych na dzisiejszym rynku.
Microsoft Index Server
Ten komponent Windows NT 4.0, współpracując ręka w rękę z IIS, umoż-
liwia podjęcie pełnotekstowych poszukiwań i odbioru dowolnego typu
informacji poprzez przeglądarkę Web. Współpracuje z HTML (Hyper-
Text Markup Language) oraz oczywiście z wszystkimi oryginalnymi
Część IV Integracja systemu ochrony Windows NT
z produktami BackOffice, Internetem i innymi platformami sieciowymi
340
formatami dokumentów MS Office. Umożliwia przedsiębiorstwu szybki
i łatwy dostęp do wszystkich dokumentów składowanych na stronach
intranetu lub Internetu.
Microsoft Exchange Server 5.0
Microsoft Exchange zaprojektowano celem zastąpienia linii produktów
MS Mail. Jest silnym narzędziem do wymiany wiadomości według
schematu klient/serwer oraz do zarządzania pracą grupową. Serwer
doskonale współpracuje z całym swoim rodzeństwem, a ponadto zawiera
następujące rozwiązania:
Architekturę katalogów opartą o specyfikację X.500.
Systemową ochronę Windows NT
Podpis cyfrowy oraz kodowanie realizowane przez komponent Key
Management.
Złącza umożliwiające łatwą i efektywną wymianę informacji z innymi
systemami komunikowania, takimi jak X.400, MS-Mail i cc:Mail.
Możliwość synchronizacji katalogów pomiędzy Microsoft Mail 3.x lub
cc:Mail a Exchange.
Możliwość uruchomienia Exchange Client na wszystkich systemach
operacyjnych Microsoftu.
Microsoft Schedule+, który dostarcza silnych rozwiązań w postaci
przyjaznego kalendarza i terminarza.
Możliwość współpracy z POP3.
Microsoft Exchange Forms Designer (EFD), który ułatwia projektowa-
nie prostych aplikacji.
Microsoft SQL Server 6.5
Serwer SQL jest dojrzałym i w pełni funkcjonalnym systemem zarządza-
nia bazami danych (RDBMS), który został zaprojektowany na szkielecie
Windows NT. Pośród wielu rozwiązań, zawiera między innymi:
Przetwarzanie transakcji i transakcje rozproszone.
Procedury pamiętane.
Powielanie danych do różnorodnych systemów zarządzania bazami
danych.
Integralność wskaźnikową.
Dynamiczne przeglądanie.
BackOffice a ochrona sieci podłączonej do Internetu
341
Komponent Web Assistant, który pozwala generować strony HTML
z baz danych serwera SQL.
Separowanie reguł przetwarzania.
Bezpieczną platformę zachowującą zalety Windows NT.
Współpracę ze standardami przemysłowymi, obejmującą ANSI SQL-
92 i FIPS 127-2.
Graficzne narzędzia administracyjne.
Microsoft SNA Server 3.0
Serwer umożliwia połączenie z komputerami IBM mainframe oraz IBM
AS/400. Klienci działający na stacjach MS-DOS, Windows, Windows for
Workgroups, Windows NT, Macintosh, UNIX lub OS/2 mogą wykorzy-
stać serwer SNA, aby „widzieć” hosty, co umożliwia organizacji poprawę
dostępności danych.
Microsoft Systems Management Server 1.2
Serwer SMS umożliwia administratorom sieci i systemu centralne zarzą-
dzanie całą siecią. Rozumiemy przez to zarządzanie wszystkimi węzłami
i oprogramowaniem na wszystkich komputerach. W szczególności SMS
zaprojektowano do wspierania:
Zarządzania sprzętem i oprogramowaniem.
Zautomatyzowanej instalacji i dystrybucji oprogramowania.
Zdalnego diagnozowania problemów, poprzez umożliwienie admini-
stratorom sterowania klawiaturą, myszą i ekranem wszystkich kom-
puterów sieci, które działają pod kontrolą MS-DOS lub Windows.
Zarządzania aplikacjami sieciowymi.
Analizy protokołów sieciowych.
SMS ułatwia zadania administracyjne związane z tymi niezmiernie waż-
nymi funkcjami.
Przegląd systemu ochrony BackOffice
BackOffice zapewnia wysoki poziom bezpieczeństwa sieciowego, ponie-
waż wszystkie elementy zestawu są w pełni zintegrowane z modelem
ochrony Windows NT Server. System ochrony BackOffice posiada nastę-
pujące zalety:
Część IV Integracja systemu ochrony Windows NT
z produktami BackOffice, Internetem i innymi platformami sieciowymi
342
Administrator ma pełną kontrolę nad dostępem i przywilejami użyt-
kowników do wszystkich aplikacji, za pośrednictwem programu User
Manager for Domains.
Użytkownikowi wystarcza jedno konto i hasło, aby zarejestrować się
w systemie i móc korzystać ze wszystkich aplikacji BackOffice.
Podczas transmisji poprzez sieć hasło jest kodowane.
Cokolwiek wiemy o ochronie Windows NT, rozciąga się na wszystkie
produkty zestawu.
Chociaż podsystem ochrony Windows NT jest wystarczający dla więk-
szości instalacji, kilka produktów BackOffice zawiera dodatkowe rozwią-
zania, takie jak kodowanie danych i podpisy cyfrowe, które mogą zna-
cząco podnieść ochronę systemu.
Mimo wszystko, połączenie zestawu BackOffice z Internetem wystawia
go na nowe zagrożenia, które wymagają dodatkowego planu i rozwiązań
ochrony. W dalszej części rozdziału przeanalizujemy, jak zabezpieczyć
produkty BackOffice podłączone do Internetu.
Bezpieczeństwo środowiska a Exchange Server działający jako host
SMTP
W ciągu ostatniej dekady, poczta elektroniczna (e-mail) stała się najbar-
dziej wszechobecną i kluczową spośród usług, jakie organizacje dostar-
czają swoim użytkownikom. Fenomen rozrastania się Internetu, który
w większości obciążony jest pocztą elektroniczną, wymaga od wielu
przedsiębiorstw połączenia się z tym środkiem masowej komunikacji.
Serwer wymiany (Microsoft Exchange Server) jest doskonałą platformą
komunikowania się na zasadzie klient/serwer. Zachowuje wszystkie
zalety bezpieczeństwa systemu Windows NT. Zapewnia silne i bez-
pieczne rozwiązanie komunikacyjne dla chronionych sieci, w tym podpis
cyfrowy i kodowanie. Na dodatek, serwer cechuje się łatwą administracją
i pełną integracją z najbardziej popularnymi systemami poczty elektro-
nicznej i protokołami, takimi jak: cc:Mail, MS-Mail, Simple Mail Transfer
Protocol (SMTP) i X.400.
Serwer wymiany może współpracować z Internetem na dwa sposoby:
Przesyłając pocztę internetową poprzez Internet Mail Connector
(IMC).
Umożliwiając klientom dostęp do serwera wymiany za pośrednic-
twem Internetu.
BackOffice a ochrona sieci podłączonej do Internetu
343
W kolejnych fragmentach rozdziału przeanalizujemy obie opcje oraz
związane z nimi wyzwania dla systemu ochrony.
Wykorzystanie złącza poczty internetowej
Złącze poczty internetowej (IMC - Internet Mail Connector) jest kompo-
nentem serwera wymiany, umożliwiającym użytkownikom wysyłanie
i odbieranie komunikatów SMTP. Rozwiązanie jest zgodne ze standar-
dem RFC 821, który definiuje protokół SMTP „serwer_do_serwera” oraz
z RFC 852, definiującym format komunikatu oraz wspiera rozszerzenia
plików poprzez standardy Multipurpose Internet Mail Extension
(MIME), zdefiniowany w RFC 1521 i UUENCODE, określony w RFC
1154.
Uwaga
RFC (Request For Comments) jest zgodnie z FOLDOC (Free Online Dictionary
Computing) „Jedną z serii (zapoczątkowaną w 1969 r.) zaliczonych do doku-
mentów i standardów informacyjnych Internetu - szeroko stosowanych przez
wspólnotę internetową i UNIX w oprogramowaniu komercyjnym i bezpłatnym.
Tylko niektóre z reguł RFC stanowią standardy, ale wszystkie internetowe
standardy są zapisane w zbiorach RCF”.
Dodatkowo IMC zawiera funkcję przesyłania SMTP, przeadresowywa-
nia, translacji i rozsyłania wiadomości. Może być skonfigurowane jako
klient lub serwer SMTP, ewentualnie pełnić obie funkcje jednocześnie.
Jako serwer, IMC wyczekuje na wiadomości przychodzące z innych ho-
stów SMTP, natomiast jako klient, inicjuje połączenia z innymi stacjami
SMTP, po czym przesyła wychodzące wiadomości.
Aby dobrze i bezpiecznie konfigurować IMC, powinniśmy się nauczyć
korzystania z narzędzia Internet Mail Connector’s Properties i jego licz-
nych kart. Celem uruchomienia okna dialogowego, należy włączyć pro-
gram Exchange Administrator i na lewym panelu kliknąć dwukrotnie
pozycję Connections, a następnie na prawym panelu kliknąć dwukrotnie
pozycję Internet Mail Connection (por. rysunek 14.1).
Część IV Integracja systemu ochrony Windows NT
z produktami BackOffice, Internetem i innymi platformami sieciowymi
344
Rysunek 14.1
Narzędziem do konfiguracji
IMC jest okno dialogowe
Internet Mail Connector
Properties.
Przed użyciem złącza poczty internetowej, należy zdawać sobie sprawę
z kilku rzeczy. Po pierwsze, na serwerze wymiany (Exchange Server)
musi być zainstalowany i skonfigurowany protokół TCP/IP. Po drugie,
trzeba wiedzieć, czy korzystamy z usług DNS (Domain Name Service), czy
nie.
Jeśli używamy DNS, powinniśmy znać adres serwera DNS, który posłuży
IMC do zapytań, związanych z przekształceniem nazwy na adres IP.
Musimy również dodać do DNS rekord A lub Address, aby umożliwić
rozwiązywanie adresów wiadomości i kierowanie ich na odpowiedni
host. Na przykład; Przyjmijmy, że host nosi nazwę Samuel01, domena
nazywa się Hatter.com, a adres IP to 8.8.8.1. Do DNS, należy wprowadzić
następujący rekord A:
Samuel01.hatter.com IN
A
8.8.8.1
Należy również rozważyć dodanie do DNS rekordu MX lub
mail exchanger. Powoduje to często przyśpieszenie rozwiązywania nazw,
na wezwanie skierowane do DNS. Zakładając te same parametry, co
w poprzednim przykładzie, odpowiednia pozycja będzie wyglądać
następująco:
Samuel01.hatter.com IN
MX
10 8.8.8.1
Jeśli nie korzystamy z DNS, należy uaktualnić plik lokalnego hosta
(<WINROOT>\SYSTEM32\DRIVERS\ETC) na serwerze wymiany,
przez określenie adresów IP oraz nazwy domeny wszystkich hostów
SMTP, na które będziemy przesyłać pocztę. Ponadto musimy uaktualnić
pliki hosta na wszystkich stacjach odległych, które będą przesyłać pocztę
do serwera wymiany. Na przykład: na odległych hostach, przesyłających
wiadomości do serwera Samuel01, należy wprowadzić pozycję:
BackOffice a ochrona sieci podłączonej do Internetu
345
Samuel01.hatter.com
Aby zakończyć konfigurację Serwera wymiany, należy wykonać jeszcze
kilka dodatkowych czynności:
Utworzyć obszar adresowy (Address Space).
Skonfigurować pozycje adresów (Site Adresses).
Wyznaczyć skrytkę administratora (Administrator’s Mailbox).
Wybrać między wysyłaniem wiadomości do pojedynczego hosta,
a rozsyłaniem wiadomości za pośrednictwem DNS.
Wykonanie powyższych zadań, zapewnia minimalną konfigurację
niezbędną do korzystania z Internet Mail Connector. Poświęćmy jeszcze
chwilę na analizę trzech najbardziej popularnych rozwiązań
konfiguracyjnych.
Najczęściej stosowane konfiguracje IMC
Istnieją trzy podstawowe metody konfiguracji złącza pocztowego
Internetu:
Serwer wymiany kieruje pocztę bezpośrednio do Internetu.
Serwer wymiany kieruje pocztę na istniejący host SMTP.
Inne systemy kierują pocztę SMTP poprzez serwer wymiany.
Rysunek 14.2
Karta Connections
umożliwia konfigurowanie
opcji kierowania pocztą.
Niezależnie od konfiguracji, jaka jest najbardziej przydatna w naszym
przedsiębiorstwie, dobrze jest zaznajomić się z
kartą Connections
zilustrowaną na rysunku 14.2.
Analizując kolejne scenariusze, warto mieć na uwadze swoją instalację
i wyciągać wnioski dotyczące jej ulepszenia.
Część IV Integracja systemu ochrony Windows NT
z produktami BackOffice, Internetem i innymi platformami sieciowymi
346
Server wymiany kieruje pocztę bezpośrednio do Internetu
Serwer wymiany łatwo skonfigurować, aby przy pomocy IMC pełnił rolę
hosta SMTP i odbierał oraz wysyłał pocztę bezpośrednio do Internetu.
W takim rozwiązaniu, kiedy wiadomość przybywa do oddalonego hosta,
IMC wykorzystując wewnętrzny lub zewnętrzny DNS, rozwiązuje nazwę
i wysyła pocztę na określone serwery SMTP. Alternatywnie IMC
wykorzystuje do rozwiązania adresu IP oddalonej stacji plik lokalnego
hosta. Omówiony scenariusz ilustruje rysunek 14.3.
Rysunek 14.3
Serwer wymiany z wewnętrznym DNS kieruje pocztę bezpośrednio do Internetu.
Serwer wymiany kieruje pocztę do istniejącego hosta SMTP
Na pewno w wielu instytucjach systemy poczty SMTP funkcjonowały,
zanim zainstalowano serwer wymiany. W
takiej sytuacji możemy
skonfigurować IMC do odbierania poczty przychodzącej i kierowania
poczty wychodzącej na istniejący host SMTP (por. rysunek 14.4).
Konfiguracja rozwiązania jest bardzo podobna do poprzedniego. Jedyna
różnica polega na ustawieniu IMC, aby wysyłał całą pocztę na wybrany
host SMTP. Właściwym narzędziem jest karta Connections okna
dialogowego IMC Properties. Należy zaznaczyć opcję Forward all messages
to host
: w grupie Message Delivery, a następnie wprowadzić adres IP
właściwego hosta SMTP.
BackOffice a ochrona sieci podłączonej do Internetu
347
Rysunek 14.4
Serwer wymiany kieruje pocztę internetową poprzez inny serwer SMTP.
Inne systemy kierują pocztę SMTP do serwera wymiany
Według tego scenariusza wszystkie pozostałe serwery Exchange oraz
SMTP przesyłają pocztę do jednego serwera wymiany, który rozwiązuje
adresy zewnętrzne i rozsyła przesyłki. Rozwiązanie ilustruje rysunek
14.5.
Rysunek 14.5
Serwer wymiany kieruje do Internetu przesyłki ze wszystkich stacji SMTP.
Ze względu na niezwykłą popularność poczty elektronicznej, jest ona
ulubionym celem ataku hakerów. Zanim więc połączymy serwer
wymiany z Internetem, należy dokładnie zaplanować jego ochronę.
Zagrożenia związane z SMTP
Oprócz omówionych wcześniej zagrożeń, takich jak uszkodzenie systemu
plików przez złośliwego intruza lub atak SYN-Flood na port 25 (domyślny
port SMTP), poczta elektroniczna może paść łupem specyficznego dla tej
usługi ataku:
Kradzież lub zniekształcenie danych. Posługując się podsłuchem (sniffing)
pakietów lub przechwyceniem wiadomości po drodze, złodzieje mogą
odczytać, a nawet zmodyfikować informacje.
Część IV Integracja systemu ochrony Windows NT
z produktami BackOffice, Internetem i innymi platformami sieciowymi
348
Fałszowanie przesyłek. Hakerzy fałszują przesyłki, podszywając się pod
osoby trzecie.
Odmowa-działania. Hakerzy mogą unieruchomić system (lub sieć)
zasypując go przesyłkami pocztowymi („bomba pocztowa”), które
zapełniają kolejkę i konsumują cenny czas procesora oraz pasma
komunikacyjne sieci.
Wirusy. Nowoczesne systemy pocztowe ułatwiają przesyłanie
wiadomości z
„niespodzianką”, która po uruchomieniu przez
nieostrożnego użytkownika może zainfekować system.
Ochrona złącza pocztowego Internetu
Podobnie jak w przypadku Windows NT, zapewnienie bezpieczeństwa
było podstawową ideą projektu serwera wymiany. Złącze pocztowe
Internetu nie jest wyjątkiem. Na przykład, zaprojektowany w systemie
model klient/serwer typu „złóż i
prześlij” realizuje pośrednictwo
w wymianie tak, że przy dobrze skonfigurowanym serwerze wymiany
dodatkowy serwer pośredniczący jest zbędny.
Aby podnieść poziom ochrony serwera wymiany, podłączonego do
Internetu, można wykorzystać zalety wbudowanych weń rozwiązań
(możliwych do konfigurowania za pośrednictwem okna dialogowego
IMC
Properties, przedstawionego na rysunku 14.1) oraz zaimplementować
jedną z
technologii zapór sieciowych. Poniższa lista prezentuje
najbardziej przydatne metody postępowania:
Zbudować zaporę na poziomie sieci, którą stworzy ekranujący router,
umieszczony pomiędzy siecią pozbawioną zaufania a serwerem
Exchange/IMC oraz drugi router ekranujący, położony między
serwerem a
siecią wewnętrzną (czystą). Należy pamiętać
o umożliwieniu połączeń TCP do i z portu 25.
Zainstalować serwer wymiany oraz IMC na komputerze pełniącym
rolę bramy podwójnego przeznaczenia lub bastionu, który kieruje
pocztą między organizacją, a
hostem SMTP w
Internecie.
Skonfigurować go jako serwer pocztowy bez skrytek użytkowników.
Usunąć możliwość komunikacji za pośrednictwem adresów IP. Przy
domyślnych ustawieniach IMC akceptuje połączenia przychodzące od
hostów o dowolnym adresie IP. Jeśli IMC komunikuje się jedynie
z wybranym hostem SMTP, należy zlikwidować możliwość połączeń
wywołanych spod innych adresów. Takie rozwiązanie bardzo
komplikuje pracę hakerów. Rysunek 14.2 ilustruje kartę Connection
okna dialogowego IMC Properties.
BackOffice a ochrona sieci podłączonej do Internetu
349
Wybrać opcję Accept or reject by host w grupie o tej samej nazwie karty
Connections
, następnie kliknąć przycisk Specify Hosts, aby dodać hosty,
z których chcemy lub nie chcemy odbierać wiadomości.
Transfer modes
. Wybrać tryb transferu na karcie Connections. IMC może
być skonfigurowany do odbioru, wysyłania lub zarówno odbioru, jak
i wysyłania wiadomości.
Określić limity dla rozmiaru wiadomości. IMC pozwala
skonfigurować ograniczenie wielkości dla wiadomości
przychodzących i
wychodzących. Jeśli odbierana wiadomość
przekroczy limit, to IMC odrzuci wszystkie pozostałe dane.
Rozwiązanie pomaga zabezpieczyć system przed „bombą pocztową”,
a przynajmniej ograniczyć jej skutki.
Wprowadzić ograniczenia na wysyłanie wiadomości. Można
wyznaczyć, którzy użytkownicy mają prawo wysyłania informacji
poprzez IMC.
Skonfigurować jeden serwer IMC dla poczty wychodzącej,
przeznaczony wyłącznie do inicjowania połączeń oraz jeden dla
poczty przychodzącej, który będzie akceptował połączenia tylko od
upoważnionych hostów.
Usunąć zbędne powiązania usług z kartami sieciowymi. TCP/IP jest
jedynym protokołem, który powinien być powiązany z adapterem
łączącym z Internetem.
Na Serwerze wymiany stosować system plików NTFS, umożliwiający
bezpieczne udostępnianie wiadomości SMTP zapisanych na dysku.
Message Tracking. Można wykorzystać zalety związane ze zdolnością
Serwera wymiany do śledzenia wiadomości i kontrolować ruch
poprzez IMC.
Dziennik zdarzeń Windows NT dostarcza informacji o głównych
zdarzeniach związanych z
rejestracją w
systemie. Prowadzenie
dziennika zdarzeń ułatwia diagnostykę problemów z IMC, ale
wpływa negatywnie na wydajność systemu.
Kolejne narzędzia, które warto poznać i wykorzystać ich zalety, dostępne
są na karcie Security okna dialogowego IMC Properties. Przy ich pomocy
można tworzyć konto Windows NT o
bardzo ograniczonych
uprawnieniach, przeznaczone do obsługi wszystkich połączeń poczty
wychodzącej. Mając utworzone takie konto, należy zaznaczyć pole
wyboru Secure outbound connections (na karcie Security) i wprowadzić
informacje o utworzonym koncie. Rysunek 14.7 ilustruje jak to zrobić.
Część IV Integracja systemu ochrony Windows NT
z produktami BackOffice, Internetem i innymi platformami sieciowymi
350
Jeśli zachodzi potrzeba komunikowania się z wieloma domenami ze-
wnętrznymi, należy wykorzystać przycisk Specify by e-mail domain: aby
ustanowić chronione konto dla każdej domeny. Można również
zaznaczyć pole wyboru Show in each message whether that message came
from the Internet
, co umożliwia kontrolę, czy wiadomości pochodzą
z Internetu.
Dostęp klientów do serwera wymiany za pośrednictwem Internetu
Rysunek 14.7
Karta Security pozwala zapewnić bezpieczeństwo wychodzących połączeń.
Serwery wymiany można również wykorzystywać do komunikacji
poprzez Internet. Potrzebny do tego układ zdalnego wywołania procedur
(RPCs - Remote Procedure Calls) jest łatwy do skonfigurowania.
Zezwolenie klientom na dostęp do serwera wymiany za pośrednictwem
Internetu, wiąże się jednak z wyższym ryzykiem od ponoszonego przy
łączności SMTP.
Do weryfikacji wszystkich zdalnych wywołań RPCs serwer wymiany
wykorzystuje bazę danych SAM chronionych kont Windows NT, zatem
jedynie właściwe konto i odpowiednie prawa dostępu umożliwiają reje-
strację i korzystanie ze skrzynek pocztowych i folderów. Otwarcie dostę-
pu do serwera, zawierającego skrytki pocztowe dla RPC, powoduje osła-
bienie systemu ochrony, ponieważ wiąże się z udostępnieniem dodatko-
BackOffice a ochrona sieci podłączonej do Internetu
351
wych portów TCP/IP. Pomyłka w konfiguracji może ułatwić zadanie
hakerom. W kolejnych akapitach zajmiemy się ustawianiem właściwego
i bezpiecznego dostępu.
Zdalne wywołania procedur klientów serwera wymiany są skierowane
do portu 35, realizującego usługę NT RPC End-Point Mapper. Po
uzyskaniu połączenia, wskazuje klientowi numer portu, który może
wykorzystać, aby uzyskać dostęp do katalogów Serwera wymiany
i składowanych tam informacji.
Ponieważ porty wyznaczane są dynamicznie, to korzystając z systemo-
wych ustawień filtracji lub stosując jako zaporę router do filtrowania
pakietów, będziemy mieć problem z
nawiązaniem połączenia. Na
szczęście można wymusić, aby Serwer wymiany używał dla RPCs
ustalonych portów. Wystarczy dodać do rejestrów wartości dwóch
pozycji REG_DWORD, które powinny zawierać numer portu otwartego
w systemie filtracji dla wywołać TCP/IP.
Odpowiednia wartość dla katalogów powinna zostać wprowadzona
pod następującą pozycją:
HKEY_LOCA_MACHINE\SYSTEM\
CurrentControlSet\Services\MSExchangeDS\Parameters\TCP/IP port
Odpowiednia wartość dla archiwów powinna zostać wprowadzona
pod następującą pozycją:
HKEY_LOCA_MACHINE\SYSTEM\
CurrentControlSet\Services\MSExchangeIS\ParametersSystem\TCP/IP port
Kolejną czynnością powinno być skonfigurowanie routera do filtracji
pakietów, w sposób umożliwiający mu połączenia z portem 135 (RPC
End-Mapper Service), po czym można już rozpocząć komunikację
serwerów wymiany poprzez Internet.
Następne ulepszenie ochrony połączeń klientów Exchange Server
(serwera wymiany), polegające na kodowaniu zdalnych wywołań
procedur (RPCs), można skonfigurować jak następuje:
1. Wybrać opcję Tools\Services, aby otworzyć okno dialogowe Services.
2. Wybrać usługę Microsoft Exchange i wcisnąć przycisk Properties.
3. Kliknąć przycisk Advanced w oknie dialogowym Microsoft Echange
Server
, aby otworzyć okno pokazane na rysunku 14.8
Część IV Integracja systemu ochrony Windows NT
z produktami BackOffice, Internetem i innymi platformami sieciowymi
352
Rysunek 14.8
Karta Advanced umożliwia
konfigurację ochrony sieci
dla klientów serwera wymia-
ny.
4. Zaznaczyć pola wyboru When Using the Network oraz When using dial-
up
networking w grupie Encrypt Information, co spowoduje kodowanie
komunikacji za pośrednictwem zdalnych wywołań procedur.
Wskazówka
Planując wykorzystanie Internetu do łączności z klientami serwera wymiany,
należy określić nazwę serwera w sposób, który umożliwi jej rozwiązywanie
w Internecie. Trzeba wyspecyfikować pełną, kwalifikowaną nazwę domeny
serwera, taką jak aegis.definiti.com lub wykorzystać adres IP, typu: 10.10.10.10.
Zaawansowane techniki ochrony serwera wymiany
„Wyjęty z
pudełka” Microsoft Exchange Server zapewnia bardzo
bezpieczną platformę komunikowania. Chcąc jednak osiągnąć
ultraochronę przesyłanych wiadomości, należy zaimplementować
zaawansowane techniki. Niestety, aby zaawansowana ochrona
wiadomości była efektywna, zarówno nadawca, jak i odbiorca muszą
używać serwera wymiany oraz być identyfikowani przez ten sam serwer
zarządzania kodami (Key Management Server). Nie oznacza to, że nie
można wykorzystywać tej techniki do ochrony wiadomości
użytkowników innych platform pocztowych lub klientów
nieposługujących się zaawansowaną ochroną.
Najlepiej jednak wykorzystywać to potężne narzędzie do ochrony
przesyłek transmitowanych między użytkownikami serwerów wymiany,
korzystających z Internetu jako kanału łączności.
Microsoft Exchange Server Advanced Security (serwer wymiany wyso-
kiego stopnia ochrony) wykorzystuje technologię kodowania metodą
BackOffice a ochrona sieci podłączonej do Internetu
353
klucza publicznego i prywatnego. Dostarcza dwóch dodatkowych środ-
ków ochrony: kodowania danych i cyfrowego podpisu (sygnatury).
Uwaga
Serwer wymiany jest zdolny do posługiwania się standardem kodowania DES
opartym o 56 bitowy klucz, który jest używany przez rząd USA oraz algorytmem
kodowania CAST mogącym wykorzystywać klucze 40 lub 64 bitowe. Zgodnie
z obowiązującymi regulacjami rządu USA DES oraz 64 bitowy CAST mogą być
używane jedynie w Ameryce Północnej.
Kodowanie jest procesem wykorzystującym klucz publiczny do
konwersji wiadomości zapisanej otwartym tekstem na ciąg cyfr, który
może być przywrócony do pierwotnej postaci przez upoważnionego
odbiorcę, posługującego się odpowiednim kluczem. W
środowisku
serwera wymiany wiadomości są szyfrowane przed wysłaniem
i odkodowane po dojściu do adresata.
Podpis cyfrowy jest kodem generowanym w
oparciu o
zawartość
wiadomości i dołączanym do przesyłki. Po odbiorze, proces tworzenia
sygnatury odbywa się powtórnie. Identyczność sygnatur oznacza, że
przesyłka dotarła w stanie nienaruszonym i pochodzi od właściwego
nadawcy. Podpis cyfrowy pełni zatem funkcję pieczęci, gwarantującej
zachowanie poufności oraz podpisu, umożliwiającego potwierdzenie
tożsamości autora.
Aby opisane procedury były możliwe, serwer wymiany posługuje się
kluczami do oznaczania i
kodowania wiadomości. Każda skrytka
pocztowa serwera otrzymuje dwie pary kluczy; pierwsza para, składająca
się z klucza publicznego i prywatnego, służy do kodowania i deszyfracji
wiadomości, druga do oznaczania i weryfikacji podpisu (sygnatury).
Publiczny klucz kodujący służy do szyfrowania, a prywatny klucz
odbiorcy pozwala odkodować wiadomość. Prywatny klucz sygnujący
służy do oznaczania wiadomości, a publiczny klucz sygnujący pozwala
zweryfikować nadawcę przesyłki i potwierdzić, że dotarła w stanie
nienaruszonym.
Wykorzystanie zaawansowanych funkcji ochrony serwera wymiany
wymaga skonfigurowania go jako serwera zarządzającego kodami. Tak
ustawiony serwer, jest odpowiedzialny za:
Tworzenie kluczy publicznych i prywatnych.
Legalizację publicznych kluczy kodujących i sygnujących.
Przechowywanie kopii zapasowych prywatnych kluczy kodujących
i publicznych kluczy sygnujących.
Część IV Integracja systemu ochrony Windows NT
z produktami BackOffice, Internetem i innymi platformami sieciowymi
354
Uwaga
Klucze prywatne są składowane na lokalnych dyskach użytkowników
w zakodowanych, bezpiecznych plikach z rozszerzeniem .EPF.
Po wygenerowaniu dla użytkownika prywatnych kluczy kodujących
i publicznych kluczy sygnujących są one złożone w bazie danych
zarządzania kluczami, która również jest zakodowana, co powoduje, że
bardzo trudno ją infiltrować.
Dodatkowo, każdy klucz publiczny, musi zostać poświadczony przez
komponent Serwera do zarządzania kluczami o nazwie Certification
Authority (Ośrodek legalizacyjny). Po weryfikacji polegającej na
stwierdzeniu prawidłowości i bezpieczeństwa, klucz zostaje skierowany
do skrytki pocztowej użytkownika.
Uwaga
Każdy upoważniony użytkownik ma dwa poświadczenia: dla publicznego
klucza kodującego oraz dla publicznego klucza sygnującego.
Kiedy już serwer zarządzania kluczami (Key Management server) jest
prawidłowo skonfigurowany i działa bez zarzutu, należy zapewnić
kwalifikowaną ochronę dla użytkowników. Z jednej strony jest to zadanie
dla administratora, który ma do tego interfejs serwera wymiany,
z drugiej strony dla każdego użytkownika, za pomocą oprogramowania
klienta serwera wymiany.
Uwaga
Więcej informacji o kwalifikowanej ochronie Serwera wymiany można znaleźć
w:
-rozdziale 3 instrukcji Microsoft Exchange Server Concept,
-rozdziale 6 instrukcji Microsoft Exchange Planning Guide oraz
-instrukcji Microsoft Exchange Server Administrator’s Guide.
Ochrona systemu a serwer informacyjny Internetu (IIS)
Serwer informacyjny Internetu (IIS - Internet Information Server)
wchodzi w skład Windows NT 4.0 (dostępny jest również pod adresem:
www.microsoft.com). Program jest bardzo silnym i
popularnym
członkiem rodziny BackOffice. Umożliwia każdej organizacji prezentacje
informacji w Internecie bez większego wysiłku. W skład IIS wchodzą
następujące narzędzia:
World Wide Web Service (HTTP)
BackOffice a ochrona sieci podłączonej do Internetu
355
FTP Service
Gopher Service
Internet Service Manager
Internet Database Connector
Microsoft FrontPage
Graphical Administration Interface
Rysunek 14.9
Interfejs menedżera usług IIS
jest narzędziem skutecznym i
łatwym w użyciu
Jak cały zestaw BackOffice, IIS jest zbudowany od podstaw na
architekturze Windows NT. Działa jako element usług serwera Windows
NT, współpracując z
innymi rozwiązaniami, takimi jak kontroler
działania, menedżer serwerów, menedżer użytkowników, menedżer
chronionych kont (SAM) oraz układ nadzoru.
Zapewnienie integralności danych pozostaje oczywiście kluczowym
problemem bezpieczeństwa. IIS wychodzi naprzeciw wyzwaniom
poprzez możliwość weryfikacji użytkowników, sterowanie dostępem
i zdolność do monitorowania swojej pracy. Obfitość i siła rozwiązań
ochronnych IIS wynika przede wszystkim z jego fundamentu, jakim jest
system operacyjny Windows NT. Dodatkowo współpracuje z warstwą
chronionych gniazd (SSL - Secure Sockets Layer) celem zapewnienia
bezpiecznej komunikacji prywatnej poprzez kodowanie konwersacji
między IIS, a przeglądarkami współpracującymi z SSL.
Hakerzy zdają sobie sprawę, że większość serwerów Web i FTP
umożliwia anonimowy dostęp (oznaczający, że każdy może skorzystać
z ograniczonych praw dostępu), a ich system ochrony często bywa
dziurawy wskutek błędnej konfiguracji. Jak zobaczymy IIS zapewnia
bezpieczeństwo sieci i danych przed działaniami intruzów.
Część IV Integracja systemu ochrony Windows NT
z produktami BackOffice, Internetem i innymi platformami sieciowymi
356
Wykorzystanie systemu ochrony Windows NT do zabezpieczenia
IIS
Rysunek 14.10
Model ochrony serwera
informacyjnego Internetu.
Jak już mówiliśmy, ochrona IIS opiera się na modelu Windows NT, co
oznacza, że uprawnienia kont i grup zdefiniowane w bazie danych chro-
nionych kont determinują możliwości działania użytkowników połączo-
nych z mechanizmem IIS. Jest niezwykle ważne, aby sprawdzić nie tylko
BackOffice a ochrona sieci podłączonej do Internetu
357
pozwolenia dostępu i uprawnienia istniejących kont, ale by również
ograniczyć prawa i pozwolenia dostępu konta Anonymous.
Dla trzech usług IIS zaprojektowano wiele tych samych opcji ochrony,
dlatego omówimy je wspólnie. Rozwiązania, które są specyficzne dla
każdej usługi, zostaną przeanalizowane nieco później. Rysunek 14.10
przedstawia, jak usługi IIS obchodzą się z wezwaniem dostępu
Rejestracja korzystania z usług
Wszystkie usługi IIS umożliwiają rozległe monitorowanie działalności
użytkowników. Korzystanie z dzienników jest bardzo ważne, gdyż po-
zwala śledzić i dokumentować każdą podejrzaną aktywność oraz dostar-
cza informacji niezbędnych do planowania. Rysunek 14.11 ilustruje za-
wartość pliku dziennika z jednego dnia.
Uaktywnienie monitoringu jest łatwe. Zdarzenia związane ze wszystkimi
usługami są zapisywane we wspólnym dzienniku. Aby włączyć system
rejestracji, należy otworzyć Menedżer IIS i dwukrotnie kliknąć pozycję
serwera, na którym chcemy uruchomić nadzór, co otworzy okno
dialogowe Properties. Kliknąć na etykiecie Logging, celem wyświetlenia
okna dialogowego przedstawionego na rysunku 14.12.
Rysunek 14.11
Plik dziennika IIS zawiera ogrom wartościowych informacji o każdym wywołaniu.
Część IV Integracja systemu ochrony Windows NT
z produktami BackOffice, Internetem i innymi platformami sieciowymi
358
Rysunek 14.12
Karta Logging umożliwia
konfigurację poziomu moni-
toringu dla każdej usługi.
Sposób korzystania z
okna dialogowego jest niezwykle prosty -
wystarczy zaznaczyć opcję Enable Logging, następnie można wybrać
format pliku dziennika oraz określić częstotliwość otwierania nowych
dzienników.
Wskazówka
Podczas pierwszej konfiguracji serwera, dobrze jest wybrać rejestrację codzienną,
aby móc skontrolować wyniki obserwacji każdego dnia. Po jakimś czasie można
określić optymalne opcje dla konkretnej instalacji.
Opcje zaawansowane
Serwer informacyjny Internetu umożliwia prostą filtrację, którą można
konfigurować przy pomocy karty Advanced. Dostępne tam opcje, pozwa-
lają na ograniczanie dostępu do serwera Web dla konkretnych adresów
IP. Rysunek 14.13 ilustruje kartę Advanced okna dialogowego WWW
Service
Properties.
Jeśli z pary dostępnych opcji wybierzemy domyślną - By default all
computers will be granted access
(domyślnie wszystkie komputery mają
przyznany dostęp), to przy pomocy przycisku Add możemy określić
adresy IP lub przedział adresów, dla których dostęp będzie zabroniony.
Na rysunku 14.13 dostęp do serwera Web mają wszystkie komputery,
z wyjątkiem 8.8.8.2.
BackOffice a ochrona sieci podłączonej do Internetu
359
Rysunek 14.13
Karta Advanced umożliwia
sterowanie dostępem poprzez
filtrację adresów IP.
Druga opcja jest bardziej restrykcyjna. Wybierając By default all computers
will be denied access
(domyślnie wszystkie komputery nie mają dostępu),
zabraniamy dostępu do serwera dla wszystkich komputerów. Następnie
należy indywidualnie skonfigurować adresy lub przedziały adresów
komputerów, które będą mogły korzystać z serwera. O tym naprawdę
ważnym i pożytecznym środku ochrony nie powinniśmy zapominać.
Zaawansowane techniki ochrony IIS
Podobnie jak Serwer wymiany, Serwer informacyjny Internetu jest
wyposażony w zaawansowane środki ochrony, które zapewniają bardzo
wysokie bezpieczeństwo komunikacji. Należą do nich Secure Sockets
Layer (warstwa ochrony gniazd) wersja 2.0 i 3.0, która umożliwia
kodowanie danych, weryfikację serwera i integralność wiadomości dla
połączeń TCP/IP oraz Privet Communication Technology (PCT) 1.0.
Zadaniem zarówno SSL, jak i PCT jest zagwarantowanie bezpiecznej
komunikacji poprzez:
Zapewnienie prywatności połączeń internetowych
Weryfikację tożsamości zarówno klientów, jak i
serwerów
internetowych
Sterowanie dostępem do informacji i zasobów
Zapewnienie integralności i dostępności oprogramowania dla użyt-
kowników
Część IV Integracja systemu ochrony Windows NT
z produktami BackOffice, Internetem i innymi platformami sieciowymi
360
Warstwa ochrony gniazd (SSL- Secure Sockets Layer)
SSL jest protokołem opracowanym przez Netscape Communications
Corporation i przedłożonym World Wide Web Consortium (W3C) jako
standard bezpiecznej komunikacji w Internecie. Jeśli klient posiadający
przeglądarkę, współpracującą z SSL (np. Internet Explorer 2.0 i 3.x oraz
Netscape 3.x) połączy się z serwerem, obsługującym ten protokół, to
urządzenia „uścisną sobie dłoń”, potwierdzając swoją tożsamość
i uzgodnią poziom ochrony, który będzie wykorzystywany podczas sesji
komunikacyjnej.
Po ustanowieniu połączenia, SSL będzie szyfrować i dekodować dane
przesyłane przez wykorzystywany protokół aplikacji. Kodowane są
wszystkie informacje, zarówno strony inicjującej, jak i odpowiadającej,
włączając Uniform Resource Locator wywołującego klienta, dane
przedłożone w postaci formularza (adres, numer karty kredytowej),
informacje identyfikacyjne (nazwa i hasło użytkownika) oraz wszystkie
informacje zwracane klientowi przez serwer.
SSL działa poniżej warstwy protokołów aplikacji, takich jak HTTP
i SMTP oraz powyżej warstwy połączeń protokołu TCP/IP. Rysunek
14.14 ilustruje miejsce SSL w strukturze TCP/IP.
Rysunek 14.14
Protokół SSL działa pomię-
dzy warstwą aplikacji,
a warstwą transportową
modelu TCP/IP.
Serwer informacyjny Internetu współpracuje z
metodą dostępu
HyperText Transmission Protocol Secure (HTTPS). SSL może prowadzić
wirtualne kodowanie, które jest niemożliwe do złamania, ale transmisja
w
tym trybie jest wolniejsza od transmisji nieszyfrowanej. Aby
zabezpieczyć zawartość zbiorów Web przed skutkami niskiej wydajności
systemu, można rozważyć wykorzystanie SSL jedynie do folderów, które
dysponują informacjami poufnymi, takimi jak formularze zobowiązań,
zawierające informacje o kartach kredytowych.
BackOffice a ochrona sieci podłączonej do Internetu
361
Wskazówka
Można zastosować ochronę SSL wobec korzenia struktury Web (domyślnie:
\InetPub\Wwwroot) lub w
stosunku do jednego lub kilku folderów
wirtualnych. Z
chwilą uruchomienia i
skonfigurowania SSL określonych
folderów, mogą się z nimi łączyć jedynie klienci z aktywnym protokołem SSL.
Włączenie ochrony SSL na serwerze Web wymaga następujących
czynności:
Wygenerować parę kluczy i plik wywoławczy, za pomocą menedżera
kluczy.
Uzyskać legalizację od Certification Authority (ośrodka
legalizacyjnego).
Zainstalować świeżo otrzymany certyfikat na swoim serwerze.
Uaktywnić ochronę SSL dla foldera usług Web.
Wskazówka
Microsoft zaleca korzystać z oddzielnych katalogów dla zbiorów wymagających
ochrony oraz publicznych. Na przykład:
C:\InetPub\Wwwroot\secure i C:\InetPub\Wwwroot\ Public.
Generowanie zestawu kluczy dla IIS
Tworzenie kluczy dla IIS jest zupełnie proste, ponieważ menedżer kluczy
został zintegrowany z
nowym interfejsem serwera informacyjnego.
Wystarczy dwukrotnie kliknąć ikonę menedżera kluczy, w
pasku
narzędzi menedżera usług internetowych lub dwukrotnie kliknąć ikonę
menedżera kluczy w podmenu IIS. Okno dialogowe menedżera kluczy
przedstawione jest na rysunku 14.15.
Mając uruchomiony menedżer kluczy, należy wybrać pozycję Create New
Key
z menu Key, co wyświetli okno zilustrowane na rysunku 14.16.
Wypełnić formularz wymaganymi informacjami, po czym zatwierdzić
przyciskiem OK. Zostaniemy poproszeni o potwierdzenie hasła. Po
poprawnym wprowadzeniu hasła, klucz zostanie utworzony, a na
ekranie pojawi się okienko informacyjne, objaśniające sposób legalizacji
klucza.
Po przeczytaniu informacji, należy zachować nowy klucz. W tym celu
wybieramy pozycję Commit Changes Now z menu Servers; na zapytanie,
czy zachować zmiany, należy wcisnąć klawisz OK. Następnie zostaniemy
zapytani o nazwę komputera, dla którego stworzono klucz. Domyślnie
Część IV Integracja systemu ochrony Windows NT
z produktami BackOffice, Internetem i innymi platformami sieciowymi
362
klucz jest generowany dla stacji lokalnej, ale można wybrać inny kompu-
ter.
Uwaga
W żadnym polu formularza nie należy używać kropki, która jest interpretowana
jako koniec pliku. W
takim przypadku - bez ostrzeżenia - zostanie
wygenerowane błędne żądanie.
Rysunek 14.15
Interfejs Menedżera
kluczy ma bardzo
prostą budowę.
Rysunek 14.16
Okno dialogowe
Create New Key and
Request, jest przezna-
czone do tworzenia
nowego klucza oraz
pliku, który służy do
prośby o legalizację.
Po wykonaniu opisanych wyżej czynności jesteśmy gotowi do zgłoszenia
prośby o legalizację przez ośrodek zewnętrzny.
BackOffice a ochrona sieci podłączonej do Internetu
363
Ubieganie się o legalizację
Klucz generowany przez Menedżer kluczy nie może być używany
w Internecie, dopóki nie zostanie zalegalizowany przez uprawniony
ośrodek, taki jak VeriSign. Aby uzyskać odpowiedni certyfikat, należy
wysłać prośbę do właściwej instytucji. Do czasu otrzymania certyfikatu,
klucz istnieje na komputerze, ale nie można go używać. Aby otrzymać
cyfrowy certyfikat, należy odwiedzić serwer Web ośrodka VeriSign:
http://www.verisign.com/microsoft i postępować zgodnie z zawartymi
tam instrukcjami.
Instalacja nowego certyfikatu
Po otrzymaniu oznaczonego cyfrowo certyfikatu, należy go zainstalować.
W tym celu w menedżerze kluczy wybieramy zestaw, którego dotyczy
legalizacja (lub ciągnąc wskaźnik w kształcie dłoni klikamy na ikonie
klucza w pasku narzędzi) i wybieramy pozycję Install Key Certificate
w menu Key.
Uwaga
Jeśli przy pomocy mechanizmu Virtual Server, serwera informacyjnego Internetu,
obsługujemy klika hostów Web, to podczas instalowania certyfikatu, trzeba
określić adresy IP poszczególnych serwerów. W przeciwnym razie, ten sam
certyfikat stosuje się do wszystkich serwerów wirtualnych, utworzonych
w systemie.
Musimy wybrać z listy plik certyfikatu i kliknąć Open, co spowoduje wy-
świetlenie prośby o wprowadzenie hasła, użytego do tworzenia zestawu
kluczy. Po wpisaniu właściwego hasła, klucz i certyfikat zostaną połą-
czone i zachowane w rejestrach serwera. Na koniec wybieramy opcję
Commit Changes Now
z menu Server i na wezwanie o potwierdzenie zmian
klikamy OK.
Włączenie SSL
Mając zalegalizowany zestaw kluczy, możemy przystąpić do uruchomie-
nia SSL, który będzie mógł być potem wymagany w dowolnym wirtual-
nym folderze zbiorów Web. Konfigurację protokołu SSL wykonujemy
przy pomocy okna dialogowego ze strony Directories, karty WWW Service
Properties
for... Celem wymuszenia komunikacji SSL, należy:
1. Kliknąć dwukrotnie pozycję usługi WWW w menedżerze usług inter-
netowych, celem otwarcia okna dialogowego Properties.
2. Wybrać etykietę Directories, co spowoduje wyświetlenia karty przed-
stawionej na rysunku 14.17.
Część IV Integracja systemu ochrony Windows NT
z produktami BackOffice, Internetem i innymi platformami sieciowymi
364
Rysunek 14.17
Przy pomocy karty
Directories, można łatwo
skonfigurować zabezpiecze-
nia poziomu SSL.
Uwaga
Jeśli uruchomimy SSL, to wszystkie wezwania (Uniform Resource Locators),
dotyczące chronionych folderów WWW, muszą korzystać z wywołania https://
zamiast http://. Żadne połączenie postaci http:// nie będzie obsługiwać
chronionych folderów.
3. Na karcie Directories wybrać folder wymagający ochrony i wcisnąć
przycisk Edit Properties, co spowoduje wyświetlenie okna pokazanego
na rysunku 14.18.
4. Dla każdego katalogu wymagającego współpracy z SSL wybrać opcję
Require secure SSL chanel
i zatwierdzić klawiszem OK.
Od tej chwili wszystkie wywołania dostępu do chronionych katalogów
będą wymagały obsługi przez SSL.
BackOffice a ochrona sieci podłączonej do Internetu
365
Rysunek 14.18
Okno dialogowe Directory
Properties umożliwia uru-
chomienie zabezpieczeń
SSL.
Technologia komunikacji prywatnej (Private Communications
Technology)
Protokół PCT (Private Communications Technology) służy do ochrony
komunikacji internetowej, dostarczając mechanizmów: ochrony tajemnicy
(privacy), weryfikacji autentyczności (authentication) i dwustronnego
potwierdzania tożsamości (mutual identification). Zgodnie z informa-
cjami ze zbiorów Web Microsoftu: „PCT rozszerza SSL, rozwiązując
istotne problemy bezpieczeństwa związane z SSL”. Dodatkowo, PCT
rozszerza weryfikację autentyczności i poprawia wydajność protokołu,
przez oddzielenie weryfikacji od kodowania. Umożliwia to aplikacjom
wykorzystywanie silniejszych mechanizmów weryfikacji od kodowania
kluczem 40 bitowym (rząd USA nie zezwala na wykorzystanie dłuższego
klucza poza granicami Stanów Zjednoczonych). Implementacja PCT
Microsoftu jest wstecznie kompatybilna z SSL.
PCT umożliwia bezpieczną komunikację między dwiema aplikacjami
(klient i
serwer) oraz weryfikację autentyczności. PCT wymaga
rzeczywistego protokołu transportowego, takiego jak TCP (Transmission
Control Protcol) do transmisji i odbioru danych. Sesje komunikacyjne PCT
zaczynają się w fazie inicjacji połączenia, podczas której weryfikowana
jest tożsamość klienta (opcjonalnie również serwera) oraz negocjowany
jest algorytm kodowania, bazujący na zalegalizowanym kluczu
publicznym. Po osiągnięciu porozumienia między stacją klienta
a
serwerem, wszystkie dane są kodowane przy użyciu klucza,
wynegocjowanego podczas procesu inicjalizacji. Dodatkowo, PCT
kontroluje integralność wiadomości, wykorzystując funkcję mieszającą
(hash function) opartą na kodzie weryfikacji wiadomości (MAC - Message
Authentication Code).
Część IV Integracja systemu ochrony Windows NT
z produktami BackOffice, Internetem i innymi platformami sieciowymi
366
Protokół PCT jest całkowicie kompatybilny z SSL. Serwer implementują-
cy oba protokoły może rozróżniać klientów, ponieważ PCT wykorzystuje
odmienną procedurę inicjalizującą. Spośród wielu organizacji dostarcza-
jących rozwiązania dla PCT wymienić można: Cylink Corporation, FTP
Software Inc., Internet Shopping Network, NetManage Inc., OpenMarket
Inc., Spyglass Inc. oraz Starware Corp. Więcej informacji o PCT można
odnaleźć pod adresem http://www.microsoft.com/ intdev/security.
Ogólne wskazówki dotyczące ochrony IIS
W uzupełnieniu do omówionych, proponujemy kilka dodatkowych roz-
wiązań służących podniesieniu bezpieczeństwa sieci, w której IIS jest
wykorzystywany do szerokiego publikowania informacji:
Utworzyć oddzielne partycje dla systemu oraz każdej usługi IIS, aby
utrudnić hakerowi penetrację całego systemu, jeśli złamie ochronę
jednej usługi.
Wykorzystywać system plików NTFS na wszystkich partycjach oraz
zapewnić poprawną konfigurację pozwoleń dostępu użytkowników.
Założyć odrębną domenę dla Serwera Informacyjnego Internetu
i ustanowić jednokierunkową relację upoważnienia z domeną kont.
Jeśli haker zdobędzie informację o odpowiednim koncie, nie będzie go
mógł wykorzystać, celem dostępu do domeny użytkowników.
Założyć oddzielne konta dla każdej usługi internetowej (jeśli plano-
wane jest wykorzystanie więcej niż jednego serwera Web). Takie roz-
wiązanie ułatwia śledzenie działalności użytkowników.
Sprawdzić prawa i upoważnienia konta, wyznaczonego do anonimo-
wego dostępu, po czym sprawdzić je ponownie. Wyznaczyć minimal-
ne upoważnienia dostępu (zazwyczaj jedynie read).
Komputer pełniący funkcję serwera IIS umieścić na zewnątrz zapory
sieciowej i nie składować na nim żadnych poufnych informacji. Jeśli
haker pokona ochronę serwera, będzie musiał zmierzyć się z zaporą
sieciową.
Wykorzystać możliwości filtracji protokołów na serwerze Windows
NT, zezwalając na połączenia jedynie z portami obsługującymi
niezbędne usługi TCP/IP. Na przykład: na komputerze,
przeznaczonym wyłącznie do obsługi Web, powinien być dostępny
jedynie port 80.
Dopuszczając do korzystania z serwera konta inne niż „Anonymous”,
należy wymusić weryfikację tożsamości za pośrednictwem
kodowanego hasła!
BackOffice a ochrona sieci podłączonej do Internetu
367
Bezpieczeństwo systemu a serwer Web
Serwer World Wide Web należący do IIS jest silnym, w pełni funkcjonal-
nym rozwiązaniem, które dobrze zdaje egzamin w praktyce. Dzięki
optymalnej wydajności i pracy w charakterze usługi, Windows NT ser-
wer stanowi szybki, łatwy w obsłudze i bezpieczny środek publikacji
Web w dowolnej skali: od małego intranetu do Internetu.
Usługa IIS Web zawiera następujące rozwiązania:
Katalogi wirtualne, które umożliwiają łatwą publikację dokumentów
na odległych serwerach.
Zdolność rejestracji rozległego obszaru zdarzeń, co umożliwia
śledzenie działalności użytkowników, analizę działania oraz
planowanie zawartości.
Integrację z narzędziami administracyjnymi Windows NT.
Pełna zdolność obsługi CGI.
Zgodna współpraca z
interfejsem ISAPI (Internet Application
Programming Interface).
Zdolność obsługi serwerów wirtualnych, umożliwiająca umieszczenie
wielu zbiorów Web na jednym serwerze Windows NT. Na przykład
dwie pozycje Web: www.acme.com oraz www.xyz.com wydają się
odrębnymi adresami, chociaż w rzeczywistości posadowione są na
jednym serwerze.
Integracja z
systemem ochrony Windows NT, co umożliwia
odpowiednią konfigurację identyfikatorów kont i haseł dostępu, które
mogą być weryfikowane przed otrzymaniem dostępu do WWW.
Współpraca z protokołem SSL, pozwala na „niewidzialne” dla
użytkownika kodowanie wiadomości przesyłanych Internetem.
Łatwa konfiguracja i zarządzanie za pomocą aplikacji menedżera IIS.
Działanie serwera Web
Kiedy użytkownik podejmuje próbę dostępu do serwera Web, wprowa-
dza wywołanie URL, które dostarcza przeglądarce informacji niezbędnej
do lokalizacji usługi. Następnie przeglądarka inicjuje konwersację
z serwerem. Oto krótkie streszczenie zdarzeń mających miejsce podczas
tego procesu:
1. Użytkownik wprowadza wywołanie URL, wpisując na przykład
http://www. definiti.com i wciskając klawisz ENTER.
Część IV Integracja systemu ochrony Windows NT
z produktami BackOffice, Internetem i innymi platformami sieciowymi
368
2. Przeglądarka przystępuje do rozwiązania nazwy URL, wysyłając za-
pytanie do DNS.
3. Po znalezieniu nazwy domeny, DNS zwraca przeglądarce adres IP, co
pozwala jej połączyć się z portem nr 80 odpowiedniego hosta.
4. Jeśli serwer akceptuje wywołanie anonimowe (najczęściej tak),
a żądane dokumenty nie znajdują się na chronionej partycji, serwer
przesyła odpowiedni dokument. Jeśli dostęp anonimowy nie jest moż-
liwy lub dokument jest chroniony, użytkownik zostaje wezwany do
wprowadzenia odpowiedniego identyfikatora oraz hasła.
5. Przeglądarka interpretuje dokument, bazując na znajdujących się
w nim etykietach (tagach) HTML. Grafika jest przesyłana oddzielnie.
Ochrona serwera Web
Aby zapewnić bezpieczeństwo serwera Web i jego zawartości, jak
również celem zagwarantowania bezpieczeństwa całej sieci i jej zasobów,
należy przed udostępnieniem serwera wykonać zalecenia omówione
wyżej oraz kilka dodatkowych czynności.
Uwaga
Ponieważ konfiguracja wszystkich trzech usług udostępnianych przez IIS jest
bardzo podobna, omawiamy szczegółowo ustawianie Web, a dopiero na końcu
rozdziału powiemy kilka słów o specyficznych wymaganiach serwerów FTP
i Gopher.
Weryfikacja nazwy i hasła użytkownika
Przede wszystkim należy dobrze zrozumieć, na czym polega anonimowy
dostęp do serwera oraz odpowiednio skonfigurować pozwolenia dostępu
do konta wyznaczonego do takiego celu:
Posługując się menedżerem IIS, kliknąć dwukrotnie na pozycji WWW,
celem jej rozwinięcia, a następnie kliknąć dwukrotnie na pozycji wybra-
nego serwera, co spowoduje otwarcie okna WWW Service Properties (por.
rysunek 14.19).
BackOffice a ochrona sieci podłączonej do Internetu
369
Rysunek 14.19
Karta Service okna WWW
Service Properties, pozwala
wygodnie sterowa•
dost•
pem do zbiorów
Web.
Jak widać na rysunku 14.19 okno dialogowe zawiera kilka opcji, które
służą do konfigurowania usług serwera Web. Domyślne ustalenia są
odpowiednie dla większości instalacji. Kluczową funkcję pełnią dwa
ustawienia: Anonymous Logon i Password Authentication.
Chcąc umożliwić powszechne korzystanie z serwera, należy zezwolić na
anonimowy dostęp (opcja Allow Anonymous). Przy domyślnych
ustawieniach systemu, po zainstalowaniu serwera informacyjnego
Internetu, tworzone jest nowe konto o nazwie IUSR_NazwaSerwera. Na
przykład: IUSR_Samuel-1, jeśli nazwa serwera brzmi Samuel-1.
Domyślnie konto jest elementem grup: Domains Users, Guest i Everyone.
Dodatkowo, kontu IUSR_NazwaSerwera przyznane jest uprawnienie
Log on Locally. Wszyscy użytkownicy Web muszą posiadać to prawo,
ponieważ ich wywołanie jest przesyłane usłudze serwera Web, która
używa konta do rejestracji w systemie, co z kolei umożliwia Windows NT
wyznaczenie odpowiednich pozwoleń dostępu.
Chcąc, aby wszyscy użytkownicy byli weryfikowani w
oparciu
o konkretną nazwę konta i hasło, musimy po prostu oczyścić pole
wyboru Allow Anonymous, co spowoduje, że przed otrzymaniem dostępu
do zasobów serwera wszyscy użytkownicy będą musieli wprowadzać
odpowiednie dane identyfikacyjne. Dodatkową korzyścią takiego
rozwiązania jest możliwość obserwacji użytkowników serwera i ich
działalności (pod warunkiem, że opcja rejestracji zdarzeń jest włączona).
Drugim kluczowym parametrem, determinującym bezpieczeństwo zaso-
bów serwera Web, jest wykorzystywany typ weryfikacji hasła. Maksy-
malną ochronę zapewnia wybór opcji Windows NT Chalenge/Response,
który powoduje kodowanie nazwy konta i hasła przed rozpoczęciem
transmisji, a więc bezpieczną drogę przez sieć. Niestety opcja współpra-
Część IV Integracja systemu ochrony Windows NT
z produktami BackOffice, Internetem i innymi platformami sieciowymi
370
cuje jedynie z
przeglądarkami Microsoft Internet Explorer 2.0
(i z wersjami następnymi).
Jeśli chcemy zapewnić dostęp do serwera użytkownikom różnych prze-
glądarek, można skorzystać z opcji Basic (Clear text), która powoduje
przesyłanie nazwy konta i hasła w jawnej postaci. Po wybraniu tej moż-
liwości IIS wyświetli komunikat, przedstawiony na rysunku 14.20, który
ostrzega o niższym poziomie bezpieczeństwa, związanym z tą metodą.
Rysunek 14.20
Ostrzeżenie przed przesyła-
niem hasła otwartym tek-
stem.
Katalogi wirtualne
Równie ważnym etapem wdrażania strategii ochrony sieci jest właściwa
konfiguracja katalogów widzialnych przez serwer Web.
Podczas pierwszej instalacji, IIS tworzy dla siebie domyślny katalog
InetPub (w starszych wersjach InetSrv), a następnie podkatalogi pełniące
rolę korzeni dla każdej z trzech udostępnianych przezeń usług. Głównym
katalogiem dla serwera Web (domyślnie) jest WWWROOT, który jest
domyślnym miejscem przeznaczenia dla stron domowych. Korzystając
z karty Directories, można potem dołączać nowe kartoteki z dodatkową
zawartością. Można na przykład utworzyć podkatalog WWWROOT dla
wszystkich plików graficznych.
Dodając nowy katalog, można dla niego zdefiniować pięć poziomów
dostępu: Read (czytanie), Execute (uruchamianie), Require secure SSL
Chanel (wymaga chronionego kanału SSL), Enable Client Certificates
(możliwe legalizacje klienta) oraz Require Client Certificates (wymagane
legalizacje klienta) (por. rysunek 14.21).
BackOffice a ochrona sieci podłączonej do Internetu
371
Rysunek 14.21
Karta Properies\directories
umożliwia konfigurację opcji
szczególnej ochrony dla
każdego katalogu.
Aby umożliwić użytkownikom wgląd do zawartości plików i katalogów,
należy ustawić opcję Read. Jeśli użytkownicy mają mieć prawo
uruchamiania skryptów CGI lub innych programów, trzeba ustawić opcję
Execute
. Wybranie opcji Execute, ale bez Read umożliwia uruchamianie
programów bez zezwolenia na przegląd zawartości katalogu. Możliwość
takiej konfiguracji jest ważna, gdyż pozwala użytkownikom
uruchamianie skryptów jedynie drogą bezpośredniego wywołania
przeglądarki, bez prawa rozglądania się po katalogu, aby zobaczyć co
można uruchomić.
Pozostałe trzy opcje wchodzą w zakres zaawansowanych technik ochro-
ny, wymagających dodatkowego oprogramowania.
Wskazówki dotyczące ochrony serwera Web
Poniższa lista zawiera spis najważniejszych spraw, koniecznych do wy-
konania przed udostępnieniem usługi serwera Web:
Wyłączyć odwzorowania dla plików .bat oraz .cmd. Może się zdarzyć,
że haker uruchomi program na serwerze Web. W tym celu należy
wyłączyć pozwolenie read do wszystkich katalogów zawierających
skrypty.
Dane i skrypty przechowywać zawsze w oddzielnych katalogach.
Dostęp do kartotek zawierających skrypty powinien być
skonfigurowany na poziomie jedynie execute.
Wyłączyć pozwolenie na przeglądanie katalogów (opcja Directory
Browsing Allowed
). Jeśli narzędzie jest włączone, to przeglądanie
hipertekstowej listy plików i katalogów umożliwia hakerom śledzenie
meandrów struktury zbiorów serwera.
Część IV Integracja systemu ochrony Windows NT
z produktami BackOffice, Internetem i innymi platformami sieciowymi
372
Unikać używania oddalonych katalogów wirtualnych. Wszystkie pliki
wykonywalne IIS oraz zbiory danych powinny być umieszczone na
tym samym komputerze, na partycjach NTFS. Próba dostępu do
dokumentu stwarza możliwość obejścia listy kontroli dostępu, gdyż
wymaga wprowadzenia nazwy użytkownika i hasła na odpowiedniej
stronie.
Należy zachować ostrożność przy pisaniu i implementacji skryptów
CGI. Zdolni hakerzy mogą wykorzystać kiepsko napisany skrypt, aby
uzyskać dostęp do systemu.
Korzystać z zapisu zdarzeń i śledzić podejrzaną aktywność, taką jak
nieudane próby rejestracji w systemie, za pomocą przeglądarki
zdarzeń.
Pamiętać o
zasadzie minimalnych uprawnień. Jeśli zamierzamy
umożliwić korzystanie wyłącznie z serwera Web, host powinien
udostępniać jedynie port 80.
Uważnie przetestować serwer Web, próbując wykryć wszystkie luki
w jego ochronie. Jeszcze lepiej, aby system przetestował zaufany
i doświadczony kolega.
Korzystać z dodatkowych źródeł; wskazówki do ochrony serwera
Web można znaleźć na stronach z Programem legalizacji NCSA:
www.ncsa.com/webcert/ sgl_site.html.
Ochrona systemu a FTP Server
Usługa FTP wchodząca w skład IIS jest znaczącym wzmocnieniem inter-
netowego arsenału, dostarczając rozwiązań, takich jak anonimowa reje-
stracja czy wirtualne katalogi. Udostępnia sprawdzony interfejs do prze-
syłania i odbierania oraz manipulowania plikami serwera FTP, niezależ-
nie od ich formatu. Większość funkcji serwera FTP pokrywa się
z usługami Web, ale jest to jedyna usługa IIS umożliwiająca przesyłanie
plików do serwera poprzez Internet.
Ochrona serwera FTP
W znacznej części, konfiguracja ochrony serwera FTP nie różni się od
zabezpieczania usług serwera Web. Można uruchomić system monitorin-
gu, filtrowanie dostępu dla określonych adresów IP oraz odpowiednio
ustawić weryfikację procesu rejestracji użytkowników. Kolejne fragmenty
rozdziału formułują zadania niezbędne do wykonania, dla zapewnienia
bezpiecznej pracy serwera.
BackOffice a ochrona sieci podłączonej do Internetu
373
Weryfikacja nazwy i hasła użytkownika
Podobnie jak Web, serwer FTP może być udostępniony dla anonimowych
użytkowników. Należy podjąć środki ostrożności, aby upewnić się, że
konto przeznaczone do anonimowego dostępu zostało skonfigurowane
prawidłowo. Sterowanie dostępem do serwera FTP jest bardzo proste.
Posługując się Menedżerem IIS kliknąć dwukrotnie na pozycji FTP, celem
jej rozwinięcia, a następnie kliknąć dwukrotnie na pozycji wybranego
serwera, co spowoduje otwarcie okna FTP Service Properties (por. rysunek
14.22).
Rysunek 14.22
Karta Service okna dialogo-
wego FTP Service Proper-
ties, pozwala wygodnie
sterować dostępem do FTP.
Podobnie jak dla Web, konfiguracja serwera FTP może umożliwić dostęp
anonimowy lub wymusić rejestrację z odpowiedniego konta.
Ostrzeżenie
Należy pamiętać, że nazwa użytkownika i hasło są transmitowane do serwera
usług FTP w jawnej postaci (nie zakodowane), co oznacza, że hakerzy mogą
wykorzystać urządzenia podsłuchowe do przejęcia informacji i
infiltracji
systemu.
Chcąc zezwolić na powszechne korzystanie z serwera, należy umożliwić
do niego anonimowy dostęp (opcja Allow Anonymous Connections)
i korzystać z
konta IUSR_NazwaSerwera, tworzonego domyślnie
podczas pierwszej rejestracji IIS. Aby użytkownicy musieli być
weryfikowani na podstawie określonej nazwy konta i hasła, trzeba
oczyścić pole wyboru opcji Allow Anonymous Connections.
Wymuszenie obowiązku rejestracji z odpowiedniego konta daje możli-
wość monitorowania dostępu do FTP, ale niedbałość użytkowników mo-
Część IV Integracja systemu ochrony Windows NT
z produktami BackOffice, Internetem i innymi platformami sieciowymi
374
że ułatwić hakerowi zdobycie informacji o parametrach konta. Decydując
się na wybór tej opcji, należy zachować daleko idącą ostrożność.
Można w końcu zdeterminować wyłącznie rejestrację anonimową, co
uniemożliwi użytkownikom rejestrację na serwerze FTP z konta innego
niż anonimowe (opcja Allow only anonymous connections).
Wskazówka
Dobrze jest obejrzeć i zapamiętać funkcje dostępne po wciśnięciu przycisku
Current Sessions
. Dowiemy się jacy użytkownicy są połączeni z serwerem, kiedy
uzyskali połączenie oraz jak długo trwa ich sesja.
Katalogi wirtualne
Konfiguracja katalogów serwera FTP nie różni się od analogicznej czyn-
ności dla serwera Web. Trzeba mieć pewność, że użytkownicy nie mają
dostępu do kartotek znajdujących się powyżej katalogu FTPRoot, oraz że
pozwolenia dostępu do zbiorów FTP są ustawione prawidłowo.
Komunikaty FTP
Zaleca się, aby wszystkie systemy składujące informacje, podlegające
ochronie, były wyposażone w system ostrzegania użytkowników, że
korzystanie z zasobów wymaga odpowiednich uprawnień. Jeszcze nie-
dawno wszystkie systemy serdecznie zapraszały do korzystania ze swo-
ich zbiorów, co umożliwiało hakerom wygodną obronę: „Penetracja sys-
temu, który sam o to zabiega, nie może być przecież nielegalna”.
Aby skonfigurować informacje wyświetlane przez serwer FTP,
w związku z otwarciem i zamknięciem usługi, należy wybrać kartę
Messages
okna FTP Service Properties, co ilustruje rysunek 14.23.
BackOffice a ochrona sieci podłączonej do Internetu
375
Rysunek 14.23
Na serwerze FTP można
skonfigurować kilka rodza-
jów komunikatów.
Za pomocą okna dialogowego można wprowadzić komunikaty
wyświetlane w związku:
z uzyskaniem połączenia (Welcome message);
z zakończeniem usługi (Exit message);
z niemożnością skorzystania z usługi, ze względu na wyczerpanie
liczby dostępnych połączeń (Maximum connections message).
Wskazówki dotyczące ochrony serwera FTP
Poniższa lista zawiera spis najważniejszych spraw koniecznych do wy-
konania przed udostępnieniem usługi serwera FTP:
Pamiętać, że użytkownicy mogą zmieniać katalogi serwera FTP.
Należy się upewnić, że kartoteki leżące powyżej FTPRoot są dla nich
niedostępne. Aby lepiej chronić serwer, stosować system plików
NTFS.
Unikać używania oddalonych katalogów wirtualnych. Próba dostępu
do dokumentu z odległego katalogu stwarza możliwość obejścia listy
kontroli dostępu, gdyż wymaga wprowadzenia nazwy użytkownika
i hasła na odpowiedniej stronie.
Korzystać z zapisu zdarzeń i śledzić podejrzaną aktywność, taką jak
nieudane próby rejestracji w systemie, za pomocą przeglądarki
zdarzeń.
Jeśli jedyną usługą serwera ma być FTP, należy ograniczyć dostępność
wyłącznie portów o numerach 20 i 21.
Uważnie przetestować serwer Web, próbując wykryć wszystkie luki
w jego ochronie. Jeszcze lepiej, aby system przetestował zaufany
i doświadczony kolega.
Część IV Integracja systemu ochrony Windows NT
z produktami BackOffice, Internetem i innymi platformami sieciowymi
376
Ochrona systemu a serwer usług Gopher
Gopher jest systemem rozpowszechniania i pozyskiwania dokumentów,
który może oferować usługi w postaci menu, zawierającego: pliki teksto-
we, dźwiękowe, graficzne, podmenu oraz inne typy obiektów Gopher.
Usługi Gopher są coraz częściej wypierane przez Web.
Ochrona serwera Gopher jest zupełnie podobna do FTP i Web. Jedyna
istotna różnica polega na możliwości wyłącznie anonimowego dostępu.
Ochrona systemu a publikowanie danych przez SQL Server
we współpracy z IIS
World Wide Web jest technologią nowoczesną i wydajną, ale statyczne
zbiory Web szybko się starzeją.
*
Zdolność łatwego i efektywnego publi-
kowania informacji pozyskiwanych z bazy danych staje się palącą ko-
niecznością.
Microsoft stawia do dyspozycji dwa rozwiązania, służące publikowaniu
danych z SQL Server(lub innego systemu zarządzania relacyjnymi baza-
mi danych):
Internet Database Connector (złącze internetowych baz danych) - do-
skonałe narzędzie do dynamicznej manipulacji danymi SQL, które jest
elementem IIS.
SQL Server Web Assistant - umożliwia publikowanie danych SQL we-
dług terminarza; jest elementem SQL Server 6.5.
Oba systemy pomagają rozwiązać dwa kluczowe problemy: jak
publikować informacje z baz danych na stronach Web oraz jak umożliwić
użytkownikom składanie zapytań i wprowadzanie danych przy pomocy
przeglądarki Web, zamiast standardowych programów do obsługi baz
danych?
Podobnie jak cała rodzina BackOffice, SQL Serwer jest skonstruowany na
fundamencie Windows NT, co z punktu widzenia ochrony ma wiele zalet
związanych z możliwością stosowania środków systemowych. Tym nie-
mniej, z chwilą podłączenia układu do Internetu, trzeba rozważyć spe-
cjalne rozwiązania zapewniające bezpieczeństwo oraz integralność da-
nych. W ostatnich fragmentach tego rozdziału przybliżymy zagadnienia
związane z tymi problemami.
*
Zabawna gra słów: <<Web sites become „cobweb sites>> (JW)
BackOffice a ochrona sieci podłączonej do Internetu
377
Uwaga
Decydując się na udostępnienie serwera SQL poprzez Web, trzeba się zaopatrzyć
w odrębnie licencjonowany pakiet o nazwie SQL Server Internet Connector. Jest on
wymagany, jeżeli korzystamy z serwera Web będącego elementem IIS lub
pochodzącego spoza systemu, gdy serwer Web działa na platformie Windows
NT lub innego systemu operacyjnego, jeżeli serwer Web jest podłączony do
Internetu lub intranetu przedsiębiorstwa lub jeśli dostęp jest realizowany przez
usługi, takie jak IDC albo skrypty CGI (Common Gateway Interface).
Ochrona systemu a Internet Database Connector współpracujący
z serwerem SQL
Złącze internetowych baz danych (IDC) jest nowym, silnym rozwiąza-
niem współpracującym z Serwerem informacyjnym Internetu (IIS) (por.
rysunek 14.24). Zostało zaprojektowane dla programistów SQL, którzy
posiadają małe doświadczenie w języku HTML. IDC wykorzystuje stan-
dardowe zapytania SQL, ułatwiając tworzenie stron Web, wypełnianych
dynamicznie informacjami z baz danych. Każde wywołanie ze strony
Web powoduje uruchomienie zapytania, a HTML dynamicznie generuje
wynik.
Aplikacje IDC składają się z dwóch dokumentów: pliku *.IDC, zawierają-
cego informacje o zapytaniach oraz pliku *.HTX, który jest standardo-
wym zbiorem HTML, ze specjalna składnią do udostępniania wyników
zapytania. Jeżeli użytkownik wywoła dokument IDC, to zostanie uru-
chomione stowarzyszone z nim zapytanie, a strona HTML wyświetli
odpowiedź.
Wykorzystanie programu wymaga wykonania poniższych czynności:
Kupić Microsoft SQL Server Internet Connector, który jest sprzeda-
wany odrębnie klientom pragnącym podłączyć swój MS SQL Server
z IIS lub dowolnym równoważnym serwerem Web (niekoniecznie
Microsoftu). Pakiet umożliwia nieograniczoną liczbę połączeń interne-
towych lub intranetowych z jednym serwerem MS SQL.
Część IV Integracja systemu ochrony Windows NT
z produktami BackOffice, Internetem i innymi platformami sieciowymi
378
Rysunek 14.24
Internet Database
Connector jest
wygodnym na-
rz
•dziem
udost•pni
ania
informacji serwera
SQL.
Zainstalować Serwer informacyjny Internetu (IIS) na serwerze
Windows NT z działającym protokołem TCP/IP.
Przy pomocy edytora tekstów utworzyć plik *.htx, zawierający kod
HTML oraz plik *.idc, zawierający nazwę źródła danych systemu
zarządzania relacyjnymi bazami danych, instrukcje SQL, które
manipulują informacjami oraz wskaźnik do pliku *.htx.
Utworzyć stronę Web ze skrótem wskazującym na plik *.idc. Kiedy
użytkownik kliknie na skrócie, to IIS poinformuje IDC o wywołaniu.
IDC sprawdzi odpowiedni plik *.idc, celem lokalizacji źródła danych,
prześle instrukcje SQL, odbierze wynik, który połączony z plikiem
*.HTX posłuży do utworzenia nowej strony Web, dostępnej dla
użytkownika.
Zakładamy, że system jest gotowy do wykorzystania IDC, dla
udostępniania informacji serwera SQL. Rozważania o ochronie bazy
danych, należy zacząć od rutynowych rozwiązań towarzyszących
podłączeniu Windows NT do Internetu:
Korzystać z partycji NTFS
Przyznawać użytkownikom minimum uprawnień, niezbędnych do
wykonywania codziennych zadań
Wymusić realizację strategii dotyczącej procedur rejestracyjnych
i posługiwania się hasłami
Korzystać z układu nadzoru
Stosować filtrację protokołu TCP/IP
Wykorzystać zapory sieciowe i serwery pośredniczące.
BackOffice a ochrona sieci podłączonej do Internetu
379
Kiedy już wszystkie standardowe elementy, chroniące serwer Windows
NT, są na swoim miejscu, należy dodatkowo wzmocnić system zabezpie-
czeń, korzystając z poniższej listy:
Użytkownicy muszą posiadać pozwolenia dostępu do plików *.idc
oraz *.htx aby móc manipulować danymi. Jeśli korzystamy
z anonimowego dostępu za pośrednictwem konta IUSR_Nazwa
Komputera lub innego utworzonego w tym celu, to należy pamiętać
o przyznaniu uprawnień do wymienionych plików.
Plik *.idc zawiera nazwę użytkownika (i opcjonalnie hasło), które
służy weryfikacji dostępu na serwerze baz danych. Jeśli omawianych
danych nie ma w pliku, to nazwa konta i hasło są przesyłane od IIS do
serwera SQL.
Jeśli serwer SQL oraz IIS działają na tym samym komputerze, to
można wykorzystać zintegrowany system ochrony serwera SQL do
przesyłania zakodowanych nazwy konta oraz hasła. Korzystając ze
zintegrowanego układu ochrony serwera SQL, nie potrzebujemy
umieszczać nazwy konta i hasła w pliku *.idc.
Pamiętajmy, że nazwy użytkownika Windows NT muszą się ściśle
stosować do reguł obowiązujących w zintegrowanym układzie ochro-
ny serwera SQL. Niedopuszczalne jest stosowanie podkreśleń, znaku
dolara oraz kropki, co w szczególności oznacza, że dostęp do serwera
SQL z domyślnego konta IUSR_NazwaKomputera jest niemożliwy.
Ochrona systemu a SQL Web Assistant współpracujący z IIS
SQL Server Web Assistent, współpracując z MS SQL Server, periodycznie
publikuje dane na stronach Web. Sygnały do aktualizacji strony mogą
pochodzić z terminarza lub utworzonej procedury zdarzeń. Realizacja
nowej strony jest procesem automatycznym i polega na uruchomieniu
zapytania SQL oraz wstawieniu odpowiedzi do tablicy HTML.
Zgodnie z opisem pochodzącym ze stron Web Microsoftu: „SQL Server
Web Assistant jest doskonałym narzędziem do generowania
sporadycznie uaktualnianych dokumentów HTML”. Zamiast możliwości
uruchamiania zapytań, powodujących dynamiczne budowanie strony,
użytkownik ma dostęp do strony statycznej, która została wcześniej
zbudowana. Taka metoda dostępu jest szybsza, a serwer SQL zarządza
obiegiem danych bez dodatkowych interwencji użytkowników.
Część IV Integracja systemu ochrony Windows NT
z produktami BackOffice, Internetem i innymi platformami sieciowymi
380
Uwaga
SQL Server Internet Connector jest niezbędny do współpracy z serwerem SQL
dowolnych serwerów Web Microsoftu oraz innych dostawców lub aplikacji CGI,
BGI czy ISAPI.
Aby skorzystać z SQL Server Web Assistant, należy:
Zainstalować lub skonfigurować SQL Server 6.5.
Jako 32-bitowy klient SQL uruchomić SQL Server Web Assistant oraz
utworzyć nowe zapytanie przy pomocy ekranu Querry.
Wykorzystać ekran Sheduling do zaprogramowania częstotliwości
uruchamiania zapytania.
Utworzyć i nazwać plik HTML oraz dołączyć instrukcje formatujące
i opcje strony, która będzie generowana. Wykorzystać w tym celu
ekrany File Option oraz Formatting.
Jeśli wszystko zostanie prawidłowo skonfigurowane, to o zaprogra-
mowanym czasie lub po zmianie stanu wyzwalacza, serwer SQL uru-
chomi zapytanie i zbuduje nowy plik HTML zgodny z odpowiedzią na
zapytanie.
W innych rozdziałach...
Jak już mówiliśmy, ochrona nie jest aktem jednorazowym lecz procesem. Aby
mieć pewność odpowiedniego poziomu bezpieczeństwa danych przedsiębior-
stwa, należy testować swój system po zainstalowaniu każdej nowej aplikacji lub
zmianie parametrów układu ochrony. Dobrym rozwiązaniem jest systematyczna
weryfikacja integralności danych.
Więcej informacji związanych z pojęciami, omawianymi w tym rozdziale, zawie-
rają:
Rozdział 2 - Przegląd systemu ochrony Windows NT - który jest dobrym punk-
tem do dalszej nauki o metodach zabezpieczania systemu.
Rozdział 4 - Pojęcie domen Windows NT - wyjaśniający zawiłości modelu do-
men Windows NT.
Rozdział 6 - Ochrona kont użytkownika w systemie Windows NT - objaśnia zasa-
dy tworzenia i ochrony kont w systemie Windows NT.
Rozdział 7 - Zabezpieczenia możliwe dzięki systemowi plików NTFS - ilustruje
specyficzny dla Windows NT system ochrony przed intruzami zasobów pli-
ków i katalogów.
Rozdział 13 - Przegląd problematyki ochrony sieci połączonej z Internetem - anali-
zuje wiele aspektów ochrony systemu Windows NT podłączonego do Inter-
netu.