Введение в BackOffice 2.5

         

Собственные средства IIS


IIS поддерживает следующие средства защиты информации:

  1. Адресные фильтры. Позволяют ограничивать доступ к сервисам IIS на основе IP адресов или имен клиентов и групп машин. Защита срабатывает в момент установления соединения клиента с сервером.
  2. Проверки полномочий клиента на получение информации. Происходит в момент запроса клиентом данных с сервера. Поддерживается для сервисов FTP и WWW. Оба сервиса поддерживают режим анонимного доступа и проверки полномочий на основании имени и пароля пользователя (так называемая базовая схема). Сервис WWW дополнительно поддерживает технологию Secure RPC. Каждый из этих режимов может быть разрешен или запрещен независимо от другого.
  3. Использование для каждой директории, доступной сервису WWW файла default.htm, ибо при его отсутствии пользователь по умолчанию получает список содержимого директории.
  4. Шифрование трафика между клиентом и сервером по стандарту SSL.
  5. Дополнительные схемы проверки полномочий могут быть реализованы посредством ISAPI фильтров.

Всегда следует помнить, что случае использования анонимного режима доступа полномочия клиента определяются правами пользователя, под которым функционируют сервисы IIS. Поэтому набор полномочий этого пользователя в домене NT должен быть минимальным.

При использовании FTP сервиса следует иметь ввиду, что пароли и имена пользователей передаются по сети нешифрованными, поэтому любой пользователь, имеющий средства сетевого мониторинга может их получить. Поэтому наиболее защищенным в этом случае является режим считается анонимного доступа, когда пользователь регистрируется под именем anonymous и указывает вместо пароля почтовый адрес. Рекомендованная схема применения сервера FTP - разрешение только анонимного доступа.

Использование базового метода проверки полномочий также несет в себе скрытую угрозу, так как имя и пароль, передаваемые через сеть кодируются с использованием примитивного алгоритма base64 и могут быть легко перехвачены и дешифрованы. Однако это единственный метод проверки, поддерживаемый браузерами не-Microsoft.



Содержание  Назад  Вперед