Безопасность IIS

       

Сетевые компоненты


Программа установки Microsoft предложит ввести имя компьютера, после чего нужно указать, находится ли данный компьютер в сети. Если веб-сервер размещен в интернете, выберите опцию Is On A Network Without A Domain (Находится в сети без домена), так как следует отделить веб-сервер от интранет-сети. Укажите любое предпочтительное имя рабочей группы.

В ходе работы мастера установки или сразу после ее завершения можно настроить интерфейсы для сетевых служб, используемых веб-сервером. Диалоговое окно настройки сетевого подключения показано на рис. 3.1. Это окно открывается выбором пункта Network Dialup and Connections (Удаленный доступ к сети и сетевые подключения) в подменю Settings (Настройка) меню Start (Пуск).


Рис. 3.1.  Диалоговое окно Connection Properties (Свойства подключения) используется для выбора сетевых служб

Совет. Для изменения имени компьютера и настройки домена Windows используется диалоговое окно My Computer (Мой компьютер)\Properties (Свойства), для изменения параметров TCP/IP – диалоговое окно My Network Places (Сетевое окружение)\Properties (Свойства)

Единственными службами, необходимыми для работы IIS в сети, являются Client For Microsoft Networks (Клиент для сетей Microsoft) и Internet Protocol (TCP/IP) (Протокол интернета TCP/IP), поэтому нужно отметить эти элементы. Отключите остальные протоколы и службы, такие как File And Printer Sharing For Microsoft Networks (Общие файлы и принтеры для сетей Microsoft), если нет основания для их использования на веб-сервере. Не открывайте общий доступ к интернет-соединению и никогда не используйте общий доступ к файлам в интернете.

Далее настройте стек протоколов TCP/IP сервера. Нужно указать IP-адреса, используемые сервером. Несмотря на то, что внутренняя сеть Windows 2000 содержит клиент DHCP, для веб-сервера используется фиксированный IP-адрес. Если возникнут неполадки в конфигурации внутренних DNS или WINS, доступ к серверу можно будет осуществить по его фиксированному адресу.
Этот адрес нужен для работы Windows 2000 Server и для обеспечения безопасности. Убедитесь, что адрес представляет соответствующую подсеть доверяемой сети, из которой будет осуществляться администрирование веб-сайтом.

Выберите Internet Protocol (TCP/IP) (Протокол интернета TCP/IP) и нажмите на кнопку Properties (Свойства), чтобы отобразить диалоговое окно (см. рис. 3.2). Введите адрес и маску подсети, предоставляемые поставщиком услуг интернета или сетевым администратором. Дополнительную справочную информацию можно найти на веб-сайте Microsoft Technet (www.microsoft.com/technet).

Если веб-сервер расположен в интернете (надеемся, что имеется карта сетевого интерфейса), используйте на интерфейсе фиксированный IP-адрес, относящийся к интернету. На рисунке 3.3 изображена схема конфигурации веб-сервера интернета с использованием двух интерфейсных карт при размещении его в подсетях интранет и интернет. В этом случае веб-сервер интернета является наиболее защищенным. При настройке адресов позаботьтесь о выборе нужной карты интерфейса для конфигурируемого адреса, проверив имя, отображаемое в верхней части диалогового окна (см. рис. 3.1).

Для обеспечения безопасности выполните некоторые процедуры с сетевой картой, граничащей с интернетом. В окне Connection Properties (Свойства подключения) этой карты (см. рис. 3.1) удалите компонент Client for Microsoft Networks (Клиент для сетей Microsoft), так как его копии, уже установленной для интерфейса интранета, достаточно для работы IIS.


Рис. 3.2.  Диалоговое окно Internet Protocol TCP/IP Properties предназначено для настройки адресов и маски подсети


увеличить изображение
Рис. 3.3.  Конфигурация веб-сервера интернета с использованием двух сетевых карт

Следует отключить протокол NetBIOS для интерфейса интернета (протокол, используемый Microsoft для общего доступа к файлам). Для этого нажмите на кнопку Advanced (Дополнительно) внизу диалогового окна TCP/IP Properties (Свойства протокола интернета) (см.рис. 3.2), откройте вкладку WINS и выберите опцию Disable NetBIOS Over TCP (Отключить NetBIOS через TCP) (см. рис. 3.4). NetBIOS, использующий порты 137 и 139, нужен Windows при работе в интранет-сети для поддержки разрешения имен WINS и общего доступа к файлам и принтерам. Хакер, как правило, в первую очередь проверяет возможность атаки на эти порты при сканировании системы. Если они находятся в состоянии ожидания, то ему станет известно, что на узле используется операционная система Microsoft.


Рис. 3.4.  Диалоговое окно Advanced TCP/IP Settings предназначено для настройки дополнительных параметров конфигурации


Содержание раздела