Керування доступом за допомогою програмного забезпечення сервера

Web-cepвep повинен надавати можливості для обмеження доступу користувачів на ос­нові тих чи інших критеріїв. Наприклад, в Internet Information Server для Windows NT Server 4 можна скористатися вкладкою додаткових можливостей на листі Service Properties (властивості служби) і вказати діапазони IP-адресу, які мають чи не мають доступ до сервера. Тут можна або дозволити доступ для всіх вказаних адрес і заборонити для всіх невказаних, або навпаки - заборонити доступ усім вказаним адресам і дозволити невказаним.

Це перша лінія захисту провайдера. Він перевіряє IP-заголовок кожного одержуваного пакета, перевіряє, чи знаходиться він у списку, а потім, залежно від установок, або переси­лає його за призначенням, або не пропускає його, оскільки той є неприпустимим. Крім того, можна обмежити доступ за допомогою паролів, тобто після визначення адреси сервер зажа­дає від користувача його ім'я і пароль. Можна також просто обмежити доступ перевіркою паролів і не використовувати ІР-адреси.

Netscape FastTrack працює більш традиційним способом: він створює базу даних імен користувачів і паролів і надає можливості керувати правами доступу до файлів. Наприклад, доступ до сервера чи групи серверів можуть одержати тільки користувачі, занесені до бази даних. Ви можете, навпаки, дозволити доступ усім користувачам, за винятком деяких. FastTrack полегшує цей процес, надаючи можливість розділити користувачів на декілька груп (наприклад, Administration (адміністрація), Accounting (бухгалтерія), Shipping/Recei­ving (доставка/прийом замовлень) тощо.

Система захисту в Web-браузері

Браузер надає декілька можливостей забезпечити безпеку даних, що зберігаються на ро­бочій станції. Найбільшу небезпеку для цих даних представляють аплети чи невеликі про­грами, які завантажуються з Internet і призначені для виконання браузера. Більшість аплетів, які завантажуються з Internet, є безпечними, але цілком можливо, що якийсь зловмисник створить аплет, призначений для руйнування даних чи крадіжки конфіденційної інформації. Для запобігання подібним ситуаціям браузери включать можливості для перевірки аплетів на предмет того, наскільки руйнівними можуть бути наслідки їх роботи.

У мові програмування Java є можливість вбудовувати в аплети цифрові підписи, які га­рантують їхню законність і безпеку. Цифровий підпис — це впроваджуваний в аплет іден­тифікаційний код. Ці ідентифікаційні коди реєструються незалежними компаніями сертифі­кації програмного забезпечення.

При стандартних установках Internet Explorer перевіряє цифрові підписи всіх аплетів, що завантажуються. Браузер можна настроїти так, що він буде завантажувати тільки ті аплети, в яких містяться цифрові підписи схвалених вами виробників. Якщо цифрового підпису аплета немає в списку, то браузєр може вивести попередження, після чого ви можете або додати цифровий підпис у список, або взагалі заборонити завантаження аплетів з шш підписом.

Netscape використовує подібну технологію, звану підписом об'єктів і призначену для ке­рування завантаженням. У ній є такі додаткові можливості, як вибір конкретних областей твердого диска, до яких можуть одержати доступ завантажені аплети і захистити важливу інформацію від ненавмисного втручання.

Якщо ваша Intranet включає можливості доступу з Internet і ви хочете користуватися пе­ревагами технології аплетів, то ви повинні скористатися програмним забезпеченням, при­значеним для керування аплетами в Intranet. Наприклад, створена фірмою Network Infor­mation Technology програма UniShield дозволяє аналізувати і класифікувати завантажувані аплетн і давати різним користувачам різні права. Доступ до аплетів Intranet може обмежува­тись на основі системи класифікації безпеки, встановлюваної менеджером Intranet.

Вик. Література: Кулаков Ю.О. Комп'ютерні мережі