Cyfroteka.pl

klikaj i czytaj online

Cyfro
Czytomierz
00260 008600 10442129 na godz. na dobę w sumie
Bezpieczeństwo w sieciach Windows - książka
Bezpieczeństwo w sieciach Windows - książka
Autor: Liczba stron: 376
Wydawca: Helion Język publikacji: polski
ISBN: 83-7361-180-0 Data wydania:
Lektor:
Kategoria: ebooki >> komputery i informatyka >> hacking >> bezpieczeństwo sieci
Porównaj ceny (książka, ebook, audiobook).
Im cenniejsze dane udostępniane są za pomocą sieci komputerowych, tym istotniejsze staje się ich zabezpieczenie. Nie od dziś wiadomo, że sieci oparte na Microsoft Windows, mimo pozornej łatwości obsługi systemów operacyjnych z tej rodziny, nie należą do sieci łatwych do zabezpieczenia i wymagają od administratora bardzo rozległej, szczegółowej i często trudno dostępnej wiedzy. Znajdziesz ją w książce 'Bezpieczeństwo w sieciach Windows'. To obszerne kompendium zawiera zarówno informacje podstawowe, jak i techniczne szczegóły niezbędne każdemu administratorowi sieci.

Autor podzielił książkę na trzy części. W pierwszej, 'Zagrożenia', opisane zostało ryzyko związane z podłączeniem komputera do sieci Microsoft Windows. Druga część zawiera opis podstawowych metod zabezpieczenia komputerów podłączonych do sieci MS Windows. Trzecia część książki, 'Wykorzystanie kryptografii', zawiera opis bardziej skomplikowanych i trudniejszych do pokonania kryptograficznych metod zabezpieczenia danych.

Książka opisuje m.in.:

Marcin Szeliga jest posiadaczem wielu certyfikatów firmy Microsoft (Microsoft Certified System Engineer, Microsoft Certified Database Administrator, Microsoft Certified Solution Developer) Jest również autorem licznych książek dotyczących systemów Windows wydanych przez wydawnictwo Helion.
Znajdź podobne książki Ostatnio czytane w tej kategorii

Darmowy fragment publikacji:

IDZ DO IDZ DO PRZYK£ADOWY ROZDZIA£ PRZYK£ADOWY ROZDZIA£ SPIS TREĎCI SPIS TREĎCI KATALOG KSI¥¯EK KATALOG KSI¥¯EK KATALOG ONLINE KATALOG ONLINE ZAMÓW DRUKOWANY KATALOG ZAMÓW DRUKOWANY KATALOG TWÓJ KOSZYK TWÓJ KOSZYK DODAJ DO KOSZYKA DODAJ DO KOSZYKA CENNIK I INFORMACJE CENNIK I INFORMACJE ZAMÓW INFORMACJE ZAMÓW INFORMACJE O NOWOĎCIACH O NOWOĎCIACH ZAMÓW CENNIK ZAMÓW CENNIK CZYTELNIA CZYTELNIA Bezpieczeñstwo w sieciach Windows Autor: Marcin Szeliga ISBN: 83-7361-180-0 Format: B5, stron: 386 Im cenniejsze dane udostêpniane s¹ za pomoc¹ sieci komputerowych, tym istotniejsze staje siê ich zabezpieczenie. Nie od dziġ wiadomo, ¿e sieci oparte na Microsoft Windows, mimo pozornej ³atwoġci obs³ugi systemów operacyjnych z tej rodziny, nie nale¿¹ do sieci ³atwych do zabezpieczenia i wymagaj¹ od administratora bardzo rozleg³ej, szczegó³owej i czêsto trudno dostêpnej wiedzy. Znajdziesz j¹ w ksi¹¿ce „Bezpieczeñstwo w sieciach Windows”. To obszerne kompendium zawiera zarówno informacje podstawowe, jak i techniczne szczegó³y niezbêdne ka¿demu administratorowi sieci. Autor podzieli³ ksi¹¿kê na trzy czêġci. W pierwszej, „Zagro¿enia”, opisane zosta³o ryzyko zwi¹zane z pod³¹czeniem komputera do sieci Microsoft Windows. Druga czêġæ zawiera opis podstawowych metod zabezpieczenia komputerów pod³¹czonych do sieci MS Windows. Trzecia czêġæ ksi¹¿ki, „Wykorzystanie kryptografii”, zawiera opis bardziej skomplikowanych i trudniejszych do pokonania kryptograficznych metod zabezpieczenia danych. FRAGMENTY KSI¥¯EK ONLINE FRAGMENTY KSI¥¯EK ONLINE Ksi¹¿ka opisuje m.in.: • Najczêstsze techniki u¿ywane przez hakerów • Sposoby fizycznego zabezpieczania sieci • Bezpieczne nadawanie uprawnieñ u¿ytkownikom • ActiveDirectory i DNS • Metody autoryzacji • Protokó³ RADIUS • Udostêpnianie zasobów w sieci • Tworzenie i zabezpieczanie wirtualnych sieci prywatnych • Zabezpieczenie komputerów przed atakami z internetu • Monitorowanie i reagowanie na naruszenie zasad bezpieczeñstwa • Podstawowe techniki kryptograficzne • Infrastrukturê kluczy publicznych, certyfikaty • Zabezpieczanie us³ug internetowych Wydawnictwo Helion ul. Chopina 6 44-100 Gliwice tel. (32)230-98-63 e-mail: helion@helion.pl Spis treści Wstęp ...................................................z............................................ 9 Część I Zagrożenia...................................................g..................17 Rozdział 1. Ataki lokalne ...................................................z................................ 19 Proces startu komputera ...................................................u.................................................19 Uruchomienie innego niż domyślny systemu operacyjnego ......................................20 Uruchomienie domyślnego systemu operacyjnego ...................................................u.26 Zdobycie haseł logujących się lokalnie użytkowników...................................................u.31 Odczytanie haseł użytkowników zapisanych w programach Internet Explorer, Outlook itd....................................................u.............32 Śledzenie jakiejkolwiek aktywności lokalnych użytkowników........................................32 Rozdział 2. Wyszukiwanie celu...................................................z........................ 35 Model sieci Microsoft Windows ...................................................u....................................35 Protokół TCP ...................................................u...................................................u........37 Protokół UDP...................................................u...................................................u........38 Protokół IP v4 ...................................................u...................................................u.......38 Protokół ICMP ...................................................u...................................................u......39 Wykrycie uruchomionych komputerów...................................................u.........................40 Pobranie tablicy nazw NetBIOS ...................................................u....................................42 Zdobycie informacji o systemie operacyjnym ...................................................u...............44 Skanowanie portów ...................................................u...................................................u.....45 Wyliczenie udostępnionych zasobów ...................................................u............................51 Rozdział 3. Rozpoznanie ...................................................z................................. 53 Nawiązanie anonimowego połączenia ...................................................u...........................54 Sesja CIFS/SMB ...................................................u...................................................u.........57 Etap 1. Nawiązanie połączenia TCP...................................................u........................58 Etap 2. Żądanie nawiązania sesji NetBIOS ...................................................u.............58 Etap 3. Uzgodnienie protokołu sesji CIFS/SMB ...................................................u.....58 Etap 4. Ustanowienie sesji ...................................................u.......................................59 Etap 5. Połączenie z udostępnionym udziałem...................................................u........59 Zdobywanie informacji o użytkownikach ...................................................u.........................61 Zdobywanie informacji o systemach...................................................u..............................66 Rozdział 4. Podsłuchiwanie...................................................z............................. 71 Analiza przesyłanych danych...................................................u.........................................71 Hasła do serwerów FTP ...................................................u.................................................73 Hasła do serwerów pocztowych...................................................u.....................................74 4 Bezpieczeństwo w sieciach Windows Hasła do serwerów IRC...................................................u..................................................76 Hasła do stron WWW ...................................................u...................................................u.76 Hasła sesji LM i NTLM ...................................................u.................................................77 Fałszywe serwery SMB/CIFS...................................................u..................................80 Hasła sesji SNMP...................................................u...................................................u........83 Monitorowanie danych adresowanych do wybranego komputera....................................84 Wykrywanie komputerów nasłuchujących w trybie mieszanym......................................85 Rozdział 5. Włamanie ...................................................z..................................... 87 Usługa CIFS/SMB ...................................................u...................................................u......87 Odgadywanie haseł ...................................................u..................................................88 Klienty usług internetowych ...................................................u..........................................92 Klienty poczty elektronicznej ...................................................u..................................92 Internet Explorer ...................................................u...................................................u...95 Serwery.............................................u...................................................u..............................98 IIS...................................................u...................................................u..........................99 Microsoft SQL Server...................................................u............................................100 Rozdział 6. Przejęcie kontroli...................................................z........................ 103 Konie trojańskie ...................................................u...................................................u........103 Back Orifice ...................................................u...................................................u........104 Prosiak...................................................u...................................................u.................105 Zdobycie uprawnień administratora...................................................u.............................106 Zdalny wiersz polecenia...................................................u...............................................107 Konsola administracyjna firmy Microsoft ...................................................u.............107 Serwer Telnet ...................................................u...................................................u......108 Sesja NetCat uruchamiana jako usługa...................................................u..................109 Zdalny wiersz polecenia ...................................................u........................................111 Uruchomienie programu na zdalnym komputerze...................................................u.111 Zarządzanie zdalnym systemem...................................................u...................................112 Wyświetlenie listy uruchomionych na zdalnym komputerze usług i programów....112 Zarządzanie usługami zainstalowanymi na zdalnym komputerze............................112 Zatrzymanie wybranego procesu na zdalnym komputerze.......................................113 Restart zdalnego komputera...................................................u...................................113 Modyfikacja rejestru zdalnego komputera...................................................u.............114 Zarządzanie kontami użytkowników zdalnego systemu.................................................115 Dodawanie kont użytkowników ...................................................u............................116 Zdobycie haseł poszczególnych użytkowników...................................................u....117 Zarządzanie zasobami zdalnego systemu...................................................u.....................120 Wyszukiwanie plików...................................................u............................................120 Rozdział 7. Ukrywanie ...................................................z.................................. 123 Inspekcja zdarzeń ...................................................u...................................................u......123 .......126 Pliki ...................................................u...................................................u.................... Usługi ...................................................u...................................................u................... .....129 Rejestr............................................u...................................................u...............................130 Otwarte porty.......................................u...................................................u.........................131 Część II Zabezpieczenie sieci Microsoft Windows ......................133 Rozdział 8. Dostęp fizyczny...................................................z........................... 135 Zabezpieczenie budynku ...................................................u..............................................136 Zabezpieczenie komputerów...................................................u........................................136 Szyfrowanie danych zapisanych na lokalnych dyskach twardych ...........................138 Nieodwracalne usuwanie usuniętych danych ...................................................u........141 Zabezpieczenie bazy kont lokalnych użytkowników ...............................................142 Spis treści 5 Bezpieczna administracja systemem...................................................u............................143 Ograniczenie dostępu użytkowników do komputerów ...................................................u144 Wymuszenie stosowania skomplikowanych haseł ...................................................u144 Ograniczenie dostępnych godzin logowania ...................................................u.........145 Ograniczenie dostępnych komputerów...................................................u..................145 Minimalizowanie skutków ataku ...................................................u.................................146 Rozdział 9. Uprawnienia użytkowników ...................................................z......... 147 Protokoły potwierdzania tożsamości użytkownika ...................................................u......149 NTLM ...................................................u...................................................u.................149 Kerberos...................................................u...................................................u..............150 Minimalizacja ryzyka zdobycia haseł przez hakera..................................................150 Zasady konta ...................................................u...................................................u.............152 Nadawanie uprawnień użytkownikom ...................................................u.........................152 Zarządzanie kontami użytkowników ...................................................u.....................154 Zarządzanie kontami niskiego ryzyka ...................................................u...................154 Szablony zabezpieczeń ...................................................u..........................................155 Szablony administracyjne ...................................................u......................................159 Skrypty administracyjne...................................................u...............................................160 Przekazywanie argumentów ...................................................u..................................160 Skrypty logowania ...................................................u.................................................161 Pliki i foldery ...................................................u...................................................u......163 Rejestr ...................................................u...................................................u.................166 Monitorowanie wykonania skryptów ...................................................u....................167 Monitorowanie aktywności użytkowników ...................................................u.................169 Wybór zdarzeń podlegających inspekcji ...................................................u...............169 Konfiguracja dziennika zabezpieczeń...................................................u....................170 Rozdział 10. Active Directory i DNS ...................................................z................ 173 Active Directory...................................................u...................................................u........173 Zagrożenia...................................................u...................................................u...........174 DNS...................................................u...................................................u...........................174 Zagrożenia...................................................u...................................................u...........176 Rozdział 11. Autoryzacja ...................................................z................................ 179 Zagrożenia...................................................u...................................................u.................179 Zabezpieczenie autoryzacji ...................................................u..........................................180 Autoryzacja w sieci lokalnej ...................................................u........................................181 Wybór protokołu autoryzacji ...................................................u.................................181 Autoryzacja zewnętrznych użytkowników...................................................u....................184 Serwery WWW...................................................u...................................................u...184 Serwery RAS ...................................................u...................................................u......188 Rozdział 12. RADIUS ...................................................z...................................... 193 Integracja z usługami sieciowymi ...................................................u................................194 Serwer i klient RADIUS ...................................................u..............................................194 Serwer RADIUS ...................................................u...................................................u.194 Klient RADIUS...................................................u...................................................u...195 Bezpieczeństwo...................................................u...................................................u.........195 Zasady dostępu zdalnego ...................................................u.......................................195 Autoryzacja użytkowników ...................................................u...................................198 Szyfrowanie ...................................................u...................................................u........199 6 Bezpieczeństwo w sieciach Windows Rozdział 13. Udostępnione zasoby ...................................................z.................. 207 System plików NTFS ...................................................u...................................................u208 Uprawnienia NTFS ...................................................u................................................209 Szyfrowanie EFS ...................................................u...................................................u210 Udostępnione zasoby...................................................u...................................................u.213 Udziały administracyjne ...................................................u........................................213 Drukarki ...................................................u...................................................u....................214 Plik bufora wydruku ...................................................u..............................................215 Przesyłanie danych do drukarki ...................................................u.............................216 Rejestr............................................u...................................................u...............................216 Zdalna edycja rejestru ...................................................u............................................217 Kopie zapasowe...................................................u...................................................u.........218 Rozdział 14. Transmisja...................................................z.................................. 219 Protokoły niskiego poziomu...................................................u.........................................219 Zagrożenia...................................................u...................................................u...........219 Zmniejszanie ryzyka ...................................................u..............................................224 IPSec ...................................................u...................................................u...................225 Protokoły wyższych poziomów ...................................................u...................................233 Podpisywanie pakietów SMB ...................................................u................................234 SSL/TLS ...................................................u...................................................u.............235 S/MIME ...................................................u...................................................u..............235 Sieci bezprzewodowe...................................................u...................................................u236 Protokoły lokalnych bezprzewodowych sieci komputerowych................................236 Zagrożenia...................................................u...................................................u...........237 Zmniejszenie ryzyka ...................................................u..............................................238 Rozdział 15. Wirtualne sieci prywatne...................................................z............. 239 Routing w sieciach Microsoft Windows ...................................................u......................240 Tabela routingu ...................................................u...................................................u...240 Filtry...................................................u...................................................u................... .240 Statyczne trasy routingu zdalnych klientów ...................................................u..........241 Dynamiczne trasy routingu ...................................................u....................................242 Adresowanie w sieciach VPN...................................................u................................243 Tworzenie połączeń VPN...................................................u.............................................246 Konfiguracja serwera VPN ...................................................u....................................246 Konfiguracja klienta VPN...................................................u......................................248 Administracja sieciami VPN...................................................u........................................250 Zarządzanie kontami i uprawnieniami użytkowników .............................................250 Uwierzytelnianie zdalnych użytkowników i komputerów .......................................250 Nadawanie adresów IP...................................................u...........................................250 Zmniejszanie ryzyka ...................................................u...................................................u.251 Zablokowanie usług świadczonych przez serwer VPN ............................................251 Blokada konta ...................................................u...................................................u.....252 Filtry połączeń PPTP ...................................................u.............................................252 Filtry połączeń L2TP ...................................................u.............................................253 Rozdział 16. Zabezpieczenie komputerów przed atakami z Internetu ................... 255 Instalacja serwera ISA...................................................u..................................................255 Wymagania ...................................................u...................................................u.........255 Konfiguracja klientów serwera ISA...................................................u.......................256 Konfiguracja...................................................u...................................................u..............257 Zabezpieczenie serwera ISA...................................................u..................................258 Zasady dostępu...................................................u...................................................u....258 Potwierdzanie tożsamości klientów...................................................u.......................261 Klienci zdalni ...................................................u...................................................u......262 Spis treści 7 Zapora połączenia internetowego ...................................................u..........................264 VPN...................................................u...................................................u.....................267 Serwer proxy...................................................u...................................................u.......268 Monitorowanie ...................................................u...................................................u..........268 Zdarzenia...................................................u...................................................u.............269 Dzienniki serwera ISA...................................................u...........................................270 Raporty...................................................u...................................................u................270 Rozdział 17. Monitorowanie i reagowanie na naruszenie zasad bezpieczeństwa ....... 273 Zasady bezpieczeństwa ...................................................u................................................273 Analiza zabezpieczenia komputera ...................................................u..............................274 Wynikowe zasady bezpieczeństwa ...................................................u........................274 MBSA ...................................................u...................................................u.................276 Monitorowanie naruszenia zasad bezpieczeństwa ...................................................u.......278 Nieregularności w przesyłaniu danych ...................................................u..................278 Nieregularności w pracy komputerów ...................................................u...................278 Informacje o naruszeniu zasad bezpieczeństwa...................................................u.....279 Reagowanie ...................................................u...................................................u...............280 Poziom zagrożenia ...................................................u.................................................280 Minimalizowanie skutków ataku ...................................................u...........................281 Rozdział 18. Sieci heterogeniczne...................................................z................... 283 Klienty uniksowe...................................................u...................................................u.......283 Potwierdzanie tożsamości użytkowników ...................................................u.............284 Zasoby...................................................u...................................................u.................285 Klienty Novell NetWare...................................................u...............................................285 Potwierdzanie tożsamości użytkowników ...................................................u.............286 Zabezpieczenie komunikacji...................................................u..................................286 Klienty AppleTalk...................................................u...................................................u.....287 Potwierdzanie tożsamości użytkowników ...................................................u.............287 Zasoby...................................................u...................................................u.................287 Usługi sieciowe ...................................................u...................................................u.........288 DHCP...................................................u...................................................u..................288 DNS...................................................u...................................................u.....................288 SNMP...................................................u...................................................u..................289 Część III Wykorzystanie kryptografii............................................291 Rozdział 19. Metody szyfrowania danych...................................................z......... 293 Algorytmy szyfrowania...................................................u................................................293 Funkcje skrótu...................................................u...................................................u.....293 Algorytmy symetryczne...................................................u.........................................294 Algorytmy asymetryczne ...................................................u.......................................295 Algorytmy tajne ...................................................u...................................................u..297 Algorytmy jawne ...................................................u...................................................u298 Klucze ...................................................u...................................................u.................298 EFS...................................................u...................................................u......................298 Zastosowania kryptografii...................................................u............................................299 Bezpieczeństwo szyfrogramów ...................................................u.............................299 Rozdział 20. Infrastruktura kluczy publicznych...................................................z. 303 Składniki PKI ...................................................u...................................................u............303 Certyfikaty ...................................................u...................................................u..........304 Urzędy certyfikacji...................................................u.................................................305 Szablony certyfikatów ...................................................u...........................................309 Narzędzia administracyjne PKI ...................................................u.............................310 8 Bezpieczeństwo w sieciach Windows Rozdział 21. Certyfikaty ...................................................z................................. 311 Planowanie hierarchii urzędów certyfikacji...................................................u.................311 Typy hierarchii urzędów certyfikacji...................................................u.....................312 Bezpieczeństwo PKI ...................................................u..............................................313 Wytyczne końcowe...................................................u................................................313 Tworzenie hierarchii urzędów certyfikacji ...................................................u....................314 Główny urząd certyfikacji...................................................u......................................314 Punkty dystrybucji certyfikatów i list CRL ...................................................u...........315 Sprawdzanie ważności certyfikatów...................................................u......................317 Podrzędny urząd certyfikacji ...................................................u.................................318 Zarządzanie certyfikatami ...................................................u............................................319 Cykl życia certyfikatu ...................................................u............................................319 Zabezpieczenie CA ...................................................u................................................320 Rejestracja certyfikatów...................................................u...............................................322 Metody rejestracji certyfikatów ...................................................u.............................322 Rejestracja za pośrednictwem serwera WWW ...................................................u......323 Rejestracja za pośrednictwem konsoli Certyfikaty...................................................u325 Rejestracja za pośrednictwem programu Certreq ...................................................u..326 Automatyzacja rejestracji...................................................u.......................................326 Rozdział 22. Klucze ...................................................z........................................ 329 Strategie wykonywania i odtwarzania kopii zapasowych...............................................330 Strategia kopii danych...................................................u............................................330 Strategia kopii kluczy ...................................................u............................................330 Formaty plików...................................................u...................................................u...331 Eksportowanie certyfikatów...................................................u.........................................332 Konsola MMC Certyfikaty ...................................................u....................................332 Outlook Express...................................................u...................................................u..333 Zabezpieczenie plików kluczy prywatnych ...................................................u...........333 Importowanie certyfikatów ...................................................u..........................................334 Automatyczne zarządzanie kopiami kluczy prywatnych ................................................335 Rozdział 23. Bezpieczeństwo usług internetowych.............................................. 337 Zabezpieczenie serwera IIS...................................................u..........................................337 Zmiana domyślnej lokalizacji folderów serwera IIS ................................................338 Zmniejszanie ryzyka ...................................................u..............................................339 Komunikacja z serwerem IIS...................................................u.................................339 Zabezpieczenie przeglądarki Internet Explorer...................................................u............340 Strefy...................................................u...................................................u...................340 Prywatność...................................................u...................................................u..........341 Protokół SSL ...................................................u...................................................u.............343 Bezpieczna komunikacja z serwerem IIS za pośrednictwem SSL..................................345 Konfiguracja serwera IIS ...................................................u.......................................346 Potwierdzane tożsamości użytkowników za pomocą certyfikatów..........................347 Zabezpieczenie serwera poczty elektronicznej ...................................................u............349 Środowisko Windows 2000 ...................................................u...................................351 Środowisko Windows .NET ...................................................u..................................351 Bezpieczna komunikacja z serwerem Exchange ...................................................u...352 Zabezpieczenie klienta poczty elektronicznej...................................................u..............353 Zabezpieczenie komunikatorów internetowych...................................................u...........356 Skorowidz...................................................z................................... 359 Rozdział 23. Bezpieczeństwo usług internetowych Podłączenie lokalnej sieci komputerowej do Internetu zawsze zwielokrotnia ryzyko zaatakowania systemu przez hakera. Zapora połączenia internetowego (a w przypad- ku systemów wymagających wysokiego poziomu bezpieczeństwa dwie zapory, two- rzące strefę zdemilitaryzowaną) to absolutne minimum, chroniące lokalne komputery przed atakami z Internetu. Jednak żadna zapora połączenia internetowego nie zabez- piecza systemu przed atakami na serwery i klienty usług internetowych, takie jak WWW czy poczta elektroniczna. Zabezpieczenie serwera IIS Microsoft Internet Information Services, wchodzący w skład systemów Windows 2000 Server i Windows .NET serwer WWW, FTP i NNTP, to jeden z najbardziej narażonych na ataki składników sieci Windows. Do najczęstszych tiypów ataków na ten serwer należą: 1. Uruchomienie przez hakera przykładowych programów sierwera lub domyślnie instalowanych skryptów administracyjnych w celu prziejęcia kontroli lub zmiany konfiguracji serwera. 2. Wykorzystanie domyślnej konfiguracji serwera, np. w cielu uzyskania dostępu do folderu systemowego. 3. Wykorzystanie znanych słabych punktów tego serwera, nip. przepełnienia bufora, w celu przejęcia nad nim kontroli. 4. Zdobycie poprzez sam serwer albo poprzez publikowane iprzez niego, a źle zabezpieczone, strony WWW informacji ułatwiającycih przeprowadzenie skutecznego ataku na system, np. haseł do serwera baizodanowego czy adresu IP wewnętrznego serwera DNS. 5. Zablokowanie serwera. 338 Część III ♦ Wykorzystanie kryptografii Zmiana domyślnej lokalizacji folderów serwera IIS Instalując serwer IIS za pomocą panelu sterowania, administrator nie ma możliwości zmiany domyślnej lokalizacji folderów ftproot oraz wwwroot — zawsze ich lokalizacją będzie ścieżka SystemDisk InetPub. Fakt ten w połączeniu z nieodpowiednim na- daniem uprawnień do systemowej partycji (o próbie zainstalowania serwera IIS na partycji FAT nawet nie wspominam) powoduje, że stosunkowo łatwo haker uzyskuje zdalny dostęp do dowolnego obiektu znajdującego się na tej partycji. Aby zmienić domyślną lokalizację tych folderów i zabezpieczyć się przed atakami tego typu, musimy przygotować plik odpowiedzi instalacji nienadzorowanej serwera IIS. Instalacja systemu Windows 2000 i serwera IIS Jeżeli serwer IIS ma zostać automatycznie zainstalowany podczas instalacji systemu operacyjnego:  Przygotuj plik odpowiedzi instalacji nienadzorowaneij systemu Microsoft Windows 2000 (plik Unattend.txt). Zagadnienia związane z automatyzacją instalacji systemu operacyjnego wykraczają poza zakres tej książki. Zainteresowani Czytelnicy znajdą opis tego zagadnienia np. w wydanej przez wydawnictwo Helion książce „Winwdows 2000 Server. Egzamin 70-215”.  Otwórz ten plik w dowolnym edytorze tekstowym i dodiaj poniższą sekcję: =+PVGTPGV5GTXGT? 2CVJ(VR4QQVNQMCNKCELCAMCVCNQIWA(VR4QQV 2CVJ9YY4QQVNQMCNKCELCAMCVCNQIWA9YY4QQV  Zapisz zmodyfikowany plik i rozpocznij proces automiatycznej instalacji systemu Windows 2000. Instalacja serwera IIS w działającym systemie Windoyws 2000 Aby zainstalować serwer IIS, zapisując w innej niż domyślna lokalizacji foldery ftproot oraz wwwroot, należy: 1. Upewnić się, czy serwer IIS nie jest zainstalowany i jieżeli tak — usunąć go z systemu. W takim przypadku należy również usunąći folder SystemDisk InetPub. 2. Przygotować plik odpowiedzi instalacji serwera IIS. iNa podstawie przykładowego pliku zostaną zainstalowane wszystkie składniki proigramu, a foldery ftproot i wwwroot zostaną przeniesione na dysk D: = QORQPGPVU? KKUAEQOOQPQP KKUAYYYQP KKUAHVRQP KKUAKPGVOITQP Rozdział 23. ♦ Bezpieczeństwo usług internetowych 339 KKUAJVONCQP KKUFDIQP KKUAPPVRQP KKUAPPVRAFQEUQP KKUAUOVRQP KKUAUOVRAFQEUQP KKUAFQEQP =+PVGTPGV5GTXGT? 2CVJ(VR4QQV  +PGV2WD (VR4QQV 2CVJ9994QQV  +PGV2WD 9YY4QQV 3. Zapisać utworzony plik w głównym folderze dysku systiemowego pod nazwą iis.txt i uruchomić instalator składników systemu Windows: U[UQEOITKYKPPV KPH U[UQEKPHWE KKUVZV Zmniejszanie ryzyka Oprócz przeniesienia folderów, w których przechowywane są publikowane dokumenty, zmniejszyć ryzyko ataku na serwer IIS możemy poprzez:      restrykcyjne ograniczenie uprawnień NTFS użytkowników, wi tym użytkownika IUSR_nazwa_serwera do dysku, na którym zainstalowany został serwer IIiS, wdrożenie restrykcyjnej polityki dotyczącej haseł ii uprawnień użytkowników serwera IIS, uruchomienie na serwerze IIS minimalnej liczby usługi sieciowych i zablokowanie wszystkich usług niewykorzystywanych (w szczególności serwer IIS nie powinien pełnić funkcji kontrolera domieny czy routera dostępowego), wyłączeniu systemu NetBIOS przez TCP/IP, systematyczne aktualizowanie serwera IIS (zautomatyizować tę czynność możemy np. dzięki dostępnemu w witrynie WWW firmy Microsioft programowi HFNetChk (ang. Network Security Hotfix Checker tool),  zabezpieczenie przesyłanych danych protokołem SSL i wyimaganie potwierdzania tożsamości klientów za pomocą certyfikaitów — techniki te zostały opisane w dalszej części rozdziału. Komunikacja z serwerem IIS Dane pomiędzy serwerem IIS a jego klientami przesyłane są za pośrednictwem jednego z trzech protokołów: 1. Protokół HTTP umożliwia przeglądanie witryn WWW. 2. Protokół FTP — przesyłanie plików. 3. Protokół NNTP — wysyłanie i odbieranie wiadomości grup idyskusyjnych. 340 Część III ♦ Wykorzystanie kryptografii Podstawowe ryzyko związane z komunikacją za pośrednictwem protokołów FTP i NNTP polega na tym, że w przypadku umożliwienia nawiązywania połączeń anonimowych nie ma możliwości potwierdzenia tożsamości klienta, a w innym przypadku hasło użyt- kownika przesyłane jest do serwera jawnym tekstem (przykład przechwycenia przez hakera hasła do serwera FTP znajduje się w rozdziale 4.). Z tego powodu należy uru- chomić usługi FTP i NNTP na innym serwerze IIS niż serwer pełniący usługi WWW. Chociaż możliwe jest ograniczenie listy adresów IP klientów serwerów FTP i NNTP, to jedynym gwarantującym względne bezpieczeństwo rozwiązaniem jest zabezpieczenie komunikacji z klientami protokołem SSH. SSH SSH (ang. Secure Shell Protocol), tak jak TELNET, jest protokołem umożliwiającym klientom zalogowanie się w zdalnym systemie poprzez sieć, ale w przeciwieństwie do protokołu TELNET, umożliwia zabezpieczenie przesyłanych informacji, w tym infor- macji uwierzytelniających użytkownika. Ponieważ pakiety innych protokołów, w tym protokołu PPP, mogą zostać „opakowane” w pakietach protokołu SSH, w rezultacie użytkownik ma możliwość nawiązania bezpiecznego połączenia z dowolnym serwerem, w tym z serwerem FTP czy NNTP. Zabezpieczenie przeglądarki Internet Explorer Równie duży wpływ na bezpieczeństwo systemu, co zabezpieczenie serwera IIS, ma zabezpieczenie programów klienckich tego serwera. Domyślnym, instalowanym wraz z systemem Windows klientem WWW, FTP i NNTP, jest przeglądiarka Internet Explorer. Statyczne strony WWW, czyli strony zapisane wyłącznie w postaci znaczników języka HTML, są już rzadkością. Dzisiaj prawie każda strona WWW jest tworzona z wyko- rzystaniem takich technologii, jak ASP, CGI czy języków skryptowych, takich jak JavaScript czy VBScript. Aby tak przygotowane strony były prawidłowo wyświetlane, przeglądarki internetowe muszą obsługiwać te technologie. A to z kolei powoduje wzrost zagrożenia związanego z możliwością uruchomienia na komputerze użytkownika wro- giego programu (szczególne znaczenie ma to w przypadku przeglądarki IE, która jest elementem systemu operacyjnego). Dlatego jednym z najskuteczniejszych sposobów obrony przed atakami na przeglądarkę IE jest ograniczenie możliwości automatycznego wykonywania potencjalnie niebezpiecznych programów.i Strefy Internet Explorer umożliwia przypisanie konkretnych serwerów WWW do jednej z trzech stref zabezpieczeń: Rozdział 23. ♦ Bezpieczeństwo usług internetowych 341 1. W strefie Lokalny intranet znajdują się domyślnie wszystkie serwery WWW o prywatnych lub lokalnych adresach IP. Poziom bezpiieczeństwa dla tej strefy ustawiany jest według szablonu Średnio-niski, co oznacza między innymi, że możliwe będzie automatyczne uruchamianie komponentóiw ActiveX i skryptów znajdujących się w przypisanych do tej sitrefy witrynach WWW. 2. Strefa Zaufane witryny domyślnie nie zawiera żadnych witryn. Po przypisaniiu serwerów WWW do tej strefy obowiązywać je będzie szablon izabezpieczeń Niski, co oznacza między innymi, że możliwe będzie automatyczine uruchamianie również tych komponentów ActiveX i skryptów, które niei zostały oznaczone przez ich twórców jako bezpieczne. 3. Strefa Witryny z ograniczeniami również domyślnie nie zawiera żadnych witryn. Po przypisaniu serwerów WWW do tej strefy obowiiązywać je będzie szablon zabezpieczeń Wysoki, co oznacza, że niemożliwe będzie uruchamianie i pobieranie wszelkich potencjalnie niebezpiecznych iskładników, takich jak komponenty ActiveX, skrypty czy pliki (rysunek 23.1). Rysunek 23.1. Ponieważ stron WWW skopiowanych i otwieranych z lokalnego dysku twardego nie będą obowiązywały przypisania do poszczególnych stref, nie należy uruchamiać plików HTML z lokalnego dysku twardego Poziom zabezpieczeń obowiązujący w poszczególnych strefach może zostać dopasowany do indywidualnych wymagań użytkownika. W tym celu należy wybrać strefę i kliknąć przycisk Poziom niestandardowy…. Zostanie wyświetlone okno dialogowe Ustawienia zabezpieczeń (rysunek 23.2), umożliwiające dostosowanie poziomu zabezpieczeń do potrzeb użytkownika. Prywatność Ponieważ serwery WWW umożliwiające dostęp anonimowym użytkownikom nie są w stanie zidentyfikować użytkowników, którzy łączą się ponownie z tą samą stroną (np. w celu dopasowania wyglądu strony do preferencji danego użytkownika), zapisują 342 Część III ♦ Wykorzystanie kryptografii Rysunek 23.2. Okno dialogowe umożliwiające konfigurację poziomu zabezpieczeń obozujących w danej strefie one w tym celu na komputerze użytkownika pliki cookie. Przeglądarka IE umożliwia skonfigurowanie zasad pobierania tych plików: pliki cookie mogą być automatycznie pobierane, ich pobranie może zależeć od tego, kto próbuje wysłać nam taki plik lub od jawnej bądź domniemanej (na podstawie konfiguracji IE) odpowiedzi użytkownika, możliwe jest również zablokowanie plików cookie. Ta ostatnia opcja, zastosowana w odniesieniu do wszystkich serwerów internetowych, spowoduje, że niektóre witryny, np. witryny banków internetowych, nie będą poprawnie wiyświetlane (rysunek 23.3). Rysunek 23.3. Domyślnie obowiązujący średni poziom zabezpieczeń w zabezpieczonych systemach powinien zostać podniesiony do poziomu wysokiego Ponieważ wysoki poziom prywatności może uniemożliwić poprawne wyświetlanie niektórych stron WWW, po jego ustawieniu należy jawniei określić domeny, z których pochodzące pliki cookie będą zawsze akceptowane (rysiunek 23.4). Rozdział 23. ♦ Bezpieczeństwo usług internetowych 343 Rysunek 23.4. IE pozwala nie tylko na określenie poziomu prywatności, ale również na jawne podanie domen, z których pliki cooki będą zawsze akceptowane lub odrzucane Protokół SSL Warstwa zabezpieczeń łączy (ang. Secure Sockets Layer, SSL) to najpopularniejszy w Internecie protokół warstwy aplikacji, służący do zabezpieczenia przesyłanych po- przez publiczną sieć danych. Ponieważ domyślnie dane w pakietach protokołu HTTP przesyłane są jawnym tekstem, w zabezpieczonych systemach komunikacja z serwe- rami WWW powinna odbywać się za pośrednictwem protokołu SSL. Dodatkowo protokół ten umożliwia potwierdzanie tożsamości klienta i serwera na podstawie wyda- nych im certyfikatów. Aby nawiązać bezpieczne połączenie z serwerem WWW, po stronie klienta nie jest wymagana instalacja żadnego dodatkowego oprogramowania — wystarczy, że poda- jąc adres URL, użytkownik zastąpi nazwę protokołu HTTP nazwą protokołu HTTPS. Natomiast po stronie serwera WWW konieczne jest zainstalowanie certyfikatu serwera WWW. Na przykład aby nawiązać bezpieczne połączenie z serwerem WWW lolek, użytkownik powinien wpisać adres https://lolek (rysunek 23.5). Rysunek 23.5. Niektóre strony muszą być przeglądane za pośrednictwem protokołu SSL 344 Część III ♦ Wykorzystanie kryptografii Po wpisaniu poprawnego adresu zabezpieczonej strony serwer WWW wysyła do klienta swój certyfikat zawierający klucz publiczny serwera WWW. Klucz ten będzie wyko- rzystywany przez klienta do deszyfrowania przesłanyich danych. Następnie następuje wynegocjowanie długości klucza sesji używanego do szyfrowania wszystkich przesyłanych danych. Z uwagi na moc obliczeniową współczesnych kom- puterów, serwer WWW nie powinien zgadzać się na wynegocjowanie podatnego na ataki siłowe 40-bitowego klucza. Zabezpieczone serwery WWW, publikujące poufne lub ważne dane, powinny wymagać szyfrowania za pomocą klucza o długości 128 bitów. Po wynegocjowaniu długości klucza sesji klient generuje ten klucz, szyfruje go otrzy- manym wcześniej kluczem publicznym serwera WWW i odsyła go do serwera. Ponie- waż do odszyfrowania klucza sesji niezbędny jest klucz prywatny serwera WWW, klient może mieć pewność, że zaszyfrowane dane będą dostępne tylko dla serwera WWW, z którym nawiązano połączenie (rysunek 23.6). Rysunek 23.6. Ikona kłódki wyświetlona na pasku zadań IE świadczy o spomyślnym nawiązaniu bezpiecznego połączenia z serwerem WWW. Ponieważ nise można wykluczyć, że haker podszywa się pod serwer WWW o określonym adresie, przed wysłaniesm np. hasła do konta założonego w banku internetowym należy, klikając na tę ikonę, sprawdzisć poprawność certyfikatu danego serwera WWW O ile nawiązanie bezpiecznego połączenia z serwerem WWW w żadnym wypadku nie jest możliwe, jeżeli dany serwer nie posiada własnego certyfikatu, o tyle serwer WWW może dodatkowo wymagać potwierdzenia tożsamości użytkownika za pomocą wystawionego temu użytkownikowi certyfikatu (serwer IIS może akceptować lub wymagać certyfikatu klienta). Certyfikat serwera WWW może zostać wystawiony przez prywatny urząd certyfikacji lub wykupiony w firmie świadczącej usługi tego typu. Jeżeli po stronie serwera włączone zostanie mapowanie pomiędzy certyfikatami a na- zwami upoważnionych do przeglądania stron WWW użytkowników systemu, a dany użytkownik posiada kilka certyfikatów umożliwiających nawiązywanie bezpiecznych połączeń, przed nawiązaniem połączenia będzie on musiał wybrać certyfikat, którym posłuży się w tym przypadku (rysunek 23.7). Ważność wykorzystanego do nawiązania połączenia certyfikatu musi zostać potwier- dzona przez główny urząd certyfikacji organizacji, która wystawiła certyfikat serwera WWW. Rozdział 23. ♦ Bezpieczeństwo usług internetowych 345 Rysunek 23.7. Certyfikaty są najbezpieczniejszym sposobem potwierdzenia tożsamości klienta. Jeżeli użytkownik posiada kilka certyfikatów, będzie mógł wybrać, którym z nich w tym wypadku potwierdzi swoją tożsamość Bezpieczna komunikacja z serwerem IIS za pośrednictwem SSL Koniecznym warunkiem, umożliwiającym nawiązywanie bezpiecznych połączeń z serwe- rem IIS, jest zarejestrowanie certyfikatu serwera WWW. W tym celu należy: 1. Uruchomić konsolę MMC Internetowe usługi informacyjne. 2. Wyświetlić właściwości wybranej witryny WWW. Aby zabezpieczyć się przed przesyłaniem haseł jawnym tekstem, należy zabezpieczać całe witryny, a nie poszczególne strony WWW. 3. Kliknąć znajdujący się w zakładce Zabezpieczenia katalogów przycisk Certyfikat serwera…. 4. Odpowiadając na pytanie Kreatora certyfikatów serwera IIS, wybrać opcję Utwórz nowy certyfikat. a) Jeżeli CA, do którego zostanie wysłane żądanie, jest pryiwatnym urzędem CA, należy następnie wybrać opcję Wyślij żądanie natychmiast do urzędu certyfikacji online. Instalacja i konfiguracja urzędów certyfikacji zostały wopisane w rozdziale 21. b) Jeżeli certyfikat zostanie wystawiony przez publiczny iurząd certyfikacji, należy wybrać opcję Przygotuj żądanie teraz, ale wyślij później. W efekcie żądanie certyfikatu zostanie zapisane w pliku formatui PKCS#10. Plik ten należy następnie, za pomocą poczty elektronicznej, wysiłać do wybranej firmy, oferującej certyfikaty. 346 Część III ♦ Wykorzystanie kryptografii 5. Podać opisową nazwę certyfikatu i określić długość kluczia prywatnego serwera WWW (rysunek 23.8). Rysunek 23.8. Ze względu na wydajność, w większości wypadków serwery WWW używają klucza prywatnego o długości 512 lub 1024 bitów 6. Następnie należy podać nazwę i podstawowe dane firmy ubiiegającej się o certyfikat. Po zakończeniu pracy kreatora albo żądaniie będzie automatycznie rozpatrzone przez prywatny CA, albo trzeba będzie zainstialować przesłany przez publiczny CA certyfikat serwera WWW. Jeżeli określona w certyfikacie nazwa domeny nie będzie odpowiadać nazwie domeny serwera WWW, klienci podczas nawiązywania połączenia będą każdorazowo ostrze- gani o prawdopodobnym podszywaniu się serwera WWW pod serwer, dla którego wystawiono certyfikat. Konfiguracja serwera IIS Po zainstalowaniu certyfikatu możliwa jest konfiguracja zabezpieczeń publikowanej poprzez serwer IIS witryny. Administrator systemu mai możliwość:  uniemożliwiania nawiązywania połączeń za pośrednictweim protokołu HTTP (po wybraniu tej opcji możliwe będzie wyłącznie nawiąziywanie połączeń za pośrednictwem protokołu HTTPS),  wymuszenia stosowania 128-bitowego klucza sesji (po wyibraniu tej opcji przeglądarki internetowe nie obsługujące tak silnegio szyfrowania nie umożliwią przeglądania witryny),  potwierdzania za pośrednictwem certyfikatów tożsamościi klientów, w tym powiązania certyfikatów z określonymi kontami użytkowników lokalnej domeny (rysunek 23.9),  zmienienia (opcja dostępna jest w zakładce Witryna sieci Web) portu wykorzystywanego do nawiązywania bezpiecznych połącizeń (domyślnie protokół SSL wykorzystuje port 443). Rozdział 23. ♦ Bezpieczeństwo usług internetowych 347 Rysunek 23.9. Implementacja PKI umożliwia nie tylko szyfrowanie przesyłanych danych, ale również potwierdzanie tożsamości klientów zdalnych Potwierdzane tożsamości użytkowników za pomocą certyfikatów Po skonfigurowaniu bezpiecznej komunikacji z serwerem IIS za pośrednictwem pro- tokołu SSL administrator może dodatkowo podnieść poziomi bezpieczeństwa systemu, wymuszając potwierdzanie tożsamości użytkowników za pomocą certyfikatów. W ten sposób, zamiast sprawdzać poprawność wprowadzonego przez użytkownika hasła, serwer IIS przeprowadzi autoryzację na podstawie powiiązań certyfikatów z lokalnymi lub domenowymi kontami użytkowników. Metody uwierzytelniania Wersja 6.0 serwera IIS umożliwia potwierdzenie tożsamości zdalnego użytkownika na podstawie jednej z poniższych, uszeregowanych wediług ich bezpieczeństwa, metod: Serwer IIS zezwala również na dostęp użytkownikom anonimowym. W takim przy- padku poznać tożsamość użytkownika można jedynie, analizując dzienniki zabezpie- czeń serwera IIS i zapory połączenia internetowego. 1. Przesłanego jawnym tekstem hasła użytkownika (uwierzytelnianie podstawowe). 2. Przesłanej wyliczonej na podstawie hasła użytkownikia wartości funkcji skrótu (uwierzytelnianie skrócone). 3. Przesłania paszportu .NET (wszystkie informacje w pasziporcie .NET użytkownika przechowywane są w postaci zaszyfrowaneji). 4. Wymiany komunikatów wyzwania i odpowiedzi (zintegrowane uwierzytelnienie systemu Windows). 5. Przesłania poprawnego certyfikatu. W tym przypadku aidministrator może utworzyć powiązania typu jeden do jednego lub wiele ido jednego pomiędzy certyfikatami a kontami użytkowników (rysunek 23.10). 348 Część III ♦ Wykorzystanie kryptografii Rysunek 23.10. Tworzenie powiązań typu wiele do jednego ułatwia zarządzanie większą liczbą użytkowników serwera IIS Konfiguracja uwierzytelniana za pomocą certyfikatów Aby serwer IIS mógł potwierdzić tożsamość użytkownika, administrator musi zain- stalować w nim certyfikaty poszczególnych użytkowników. Zadanie to może zostać zrealizowane na poziomie serwera IIS lub domeny (czy jednostki organizacyjnej) Active Directory. W pierwszym wypadku administrator powinien za pomocą konsoli MMC Certyfikaty wyeksportować certyfikaty użytkowników do plików w formacie Base64 (plików o roz- szerzeniach .cer, .crt, .spc, lub .key). Po upewnieniu się, że serwer IIS ufa głównemu urzędowi certyfikacji, który wystawił te certyfikaty, pozostaje jeszcze przygotować hasła użytkowników. Administrator musi znać hasła użytkowników, dla których będzie tworzył powiązania pomiędzy kontem a certyfikatem. Jeżeli w ramach domeny działa kilka serwerów IIS, administrator może utworzyć po- wiązania pomiędzy certyfikatami a kontami użytkowników za pomocą konsoli MMC Użytkownicy i komputery usługi Active Directory. W tym celu należy: 1. Zaznaczyć dostępną w menu Widok tej konsoli pozycję Opcje zawansowane. 2. Zaznaczyć konto wybranego użytkownika i z menu kontekistowego wybrać polecenie Mapowanie nazw…. 3. Zaimportować certyfikat danego użytkownika (rysunek 23i.11). 4. Jeżeli utworzone ma zostać powiązanie typu wiele do jiednego, należy wyczyścić pole wyboru Użyj tematu dla alternatywnej tożsamości zabezpieczeń (rysunek 23.12). W obu przypadkach usunięcie powiązanego z certyfikatem konta użytkownika unie- możliwi tej osobie nawiązanie połączenia z zabezpieczoną witryną WWW. Rozdział 23. ♦ Bezpieczeństwo usług internetowych 349 Rysunek 23.11. Konsola Użytkownicy i komputery usługi Active Directory umożliwia dodatkowo importowanie certyfikatów zapisanych w formacie DER (ang. Distinguished Encoding Rules) Rysunek 23.12. Precyzyjne powiązanie certyfikatów do konta użytkownika za pomocą reguł jest możliwe wyłącznie za pomocą konsoli MMC Internetowe Usługi Informacyjne Zabezpieczenie serwera poczty elektronicznej Równie popularne, co ataki na serwery i klienty WWW, są ataki na serwery i klienty poczty elektronicznej. Zadaniem serwera poczty elektronicznej jest wysyłanie, odbie- ranie i filtrowanie wiadomości przesyłanych pomiędzy klientami. Do realizacji tego zadania wykorzystywane są następujące protokoły sieiciowe:   SMTP (ang. Simple Mail Transfer Protocol) jest wykorzystywany do wysyłania i odbierania wiadomości e-mail. Do zaszyfrowania pakieitów tego protokołu należy wykorzystać technologię S/MIME (ang. Secure Multipurpose Internet Mail Extensions) oraz jeden z dwóch protokołów: IPSec lub SSL. POP3 (ang. Post Office Protocol 3) jest wykorzystywany do zapisywania wiadomości w znajdujących się na serwerze pocztowym iskrzynkach klientów. Klienci łącząc się z serwerem, mogą pobrać zapisane w iich skrzynkach wiadomości. Do zaszyfrowania pakietów tego protokołu inależy wykorzystać jeden z dwóch protokołów: IPSec lub SSL. 350 Część III ♦ Wykorzystanie kryptografii  IMAP (ang. Internet Message Access Protocol) podobnie jak protokół POP3, wykorzystywany jest do zapisywania wiadomości w skrizynkach odbiorców, ale ze jego pośrednictwem klient może traktować serweir pocztowy jak serwer plików i np. przeglądać wiadomości przed ich pobranieim. Do zaszyfrowania pakietów tego protokołu należy wykorzystać zgodną z inim technologię szyfrowania. Popularną techniką zabezpieczenia wiadomości e-mail jest wykorzystanie technologii PGP (ang. Pretty Good Privacy). Technologia ta wykorzystuje asymetryczne protokoły szyfrowania i podpisywania wiadomości, tak więc każdy użytkownik musi dyspono- wać parą kluczy: prywatnym i publicznym. Technologia ta nie jest zgodna z oferowaną w ramach PKI technologią S/MIME. Do najczęstszych typów ataków na serwery należą: 1. Podsłuchiwanie lub przechwytywanie przesyłanych wiaidomości e-mail. Ponieważ domyślnie wiadomości te przesyłane są jawnymi tekstem, hakerowi do poznania treści wszystkich wiadomości wystarczy diostęp do segmentu sieci, w którym znajduje się serwer pocztowy lub kompiuter nadawcy bądź odbiorcy wiadomości (rysunek 23.13). Rysunek 23.13. Wiadomości wysyłane jako HTML są mniej czytelne niż wiadomości wysyłane jako tekst, ale i tak wszyscy wiedzą, co ten pracownik myśli o swoim szefie 2. Wykorzystanie serwera pocztowego do nieautoryzowaneigo przesyłania wiadomości. 3. Zablokowanie pracy serwera poprzez wysyłanie dużej liczby nieprawidłowych pakietów. 4. Wykorzystanie serwera pocztowego do automatycznego irozsyłania wirusów. Rozdział 23. ♦ Bezpieczeństwo usług internetowych 351 5. Podsłuchiwanie przesyłanych jawnym tekstem haseł użiytkowników (rysunek 23.14). Rysunek 23.14. Ponieważ w domenie Windows hasło do serwera pocztowego często jest hasłem do systemu, haker nie tylko może podszyć się pod użytkownika i odczytać adresowane do niego wiadomości lub wysyłać wiadomości jako on, ale również uzyska dostęp do systemu Windows Zabezpieczeniem przed podsłuchiwaniem przesyłanych haseł i wiadomości e-mail oraz przed podszywaniem się pod użytkowników systemu jest wdrożenie infra- struktury kluczy publicznych. Środowisko Windows 2000 Składnikiem serwera Microsoft Exchange 2000, umożliwiającym rejestrowanie użyt- kowników oraz tworzenie i odtwarzanie ich kluczy prywatnych, jest KMS (ang. Key Managment Service). Usługa ta nie tylko zgłasza do urzędu certyfikacji przedsiębior- stwa w imieniu użytkowników żądania wystawienia certyfikatów, ale również zapisuje kopie ich kluczy w bazie KMS i sprawdza ważność certyfikatów poprzez porównanie ich z publikowaną przez CA listą CRL. Środowisko Windows .NET W systemie Windows .NET Server Enterprise Edition rolę usługi KMS przejął urząd certyfikacji przedsiębiorstwa (następca serwera Exchenge 2000, serwer Microsoft Tita- nium, nie zawiera już usługi KMS). Dzięki takiej integracji usług związanych z zarzą- dzaniem certyfikatami ułatwione zostało zarządzanie systemami, w ramach których działało wiele serwerów pełniących tę samą funkcję, np. kilka serwerów pocztowych. Największą zaletą nowego rozwiązania jest możliwość automatycznego wydawania i wycofywania certyfikatów S/MIME wydanych na podstawie drugiej wersji szablo- nów certyfikatów. 352 Część III ♦ Wykorzystanie kryptografii Niemożliwe jest zainstalowanie serwera Microsoft Exchange w wersji 2000 lub wcześniejszej w środowisku systemu Windows .NET. Bezpieczna komunikacja z serwerem Exchange Zabezpieczyć dane przesyłane jako pakiety protokołów SMTP, POP3 i IMAP4 w sieciach Windows możemy dzięki PKI. W tym celu należy: 1. Zainstalować certyfikaty serwera Exchange, umożliwiającie mu zabezpieczanie danych przesyłanych za pośrednictwem iposzczególnych protokołów. Aby wykonać to zadanie: a) Uruchom konsolę MMC Exchange System Manager i kolejno wybierz Servers/Nazwa serwera Exchange/Protocols/SMTP/Default SMTP Virtual Server i z menu kontekstowego wybierz Właściwości (rysunek 23.15). Rysunek 23.15. Główna konsola administracyjna serwera Exchange 2000 b) Przejdź do zakładki Access i kliknij przycisk Ceryficate…. Uruchomiony zostanie Kreator certyfikatów serwera sieci Web (rysunek 23.16). 2. Wymuś nawiązywanie bezpiecznych połączeń przez klientiów poczty elektronicznej. W tym celu, po zainstalowaniu certyfiikatu, kliknij przycisk Communication (zostanie wyświetlone okno dialogowe pokazane na rysunku 23.17). 3. Powtórz te czynności dla pozostałych protokołów. W riezultacie serwer pocztowy będzie nasłuchiwał na portach o następujących numeracih: protokół SMTP — port TCP 25 (bez zmian), protokół POP3 —
Pobierz darmowy fragment (pdf)

Gdzie kupić całą publikację:

Bezpieczeństwo w sieciach Windows
Autor:

Opinie na temat publikacji:


Inne popularne pozycje z tej kategorii:


Czytaj również:


Prowadzisz stronę lub blog? Wstaw link do fragmentu tej książki i współpracuj z Cyfroteką: