6.2 Порядок виконання роботи

1. Встановити систему snort на комп’ютер.

2. Налаштувати snort так, щоб при скануванні портів ця утиліта видавала попереджувальне повідомлення через net send.

3. Здійсніть сканування портів як це було описано в лабораторній роботі №5 (з допомогою nmap).

4. Переконатися у правильності налаштувань утиліти snort.

5. Створити і перевірити snort правило яке би записувало у лог трафік FTP команд.

6.3 Порядок захисту

Студент, який виконав завдання лабораторної роботи, подає письмовий звіт про виконання лабораторної роботи і доповідає про результати та дає відповіді на запитання. Виконане завдання оцінюється згідно системи контролю знань, умінь, навичок, наведеної на відповідній сторінці дистанційного курсу.

6.4 Контрольні запитання

1. Що таке IDS?

2. Які IDS ви знаєте?

3. Які функції Snort?

4. Які загальні приници створення правил для Snort?

6.5 Перелік джерел

1. Семенов Ю.А. Алгоритмы телекоммуникационных сетей. Часть 3. Процедуры, диагностика, безопасность / Ю.А. Семенов. БИНОМ. Лаборатория знаний, Интернет-университет информационных технологий – ИНТУИТ.ру, 2007. – 512 c.

2. Snort [Електронний ресурс]. – Режим доступу: http://www.snort.org.

3. Обзор IDS Snort [Електронний ресурс]. – Режим доступу: http://snortgroup.ru/node/26.

4. Джей Б. Snort 2.1. Обнаружение вторжений / Б. Джей. — М.: ООО “Бином-Пресс”, 2006 г. – 656 с. – ISBN 5-9518-0136-2.

Лабораторна робота 7: Сертифікати і захист Web-сайту на сервері iis засобами ssl

Мета роботи: вивчити основи роботи із сертифікатами та захисту Web-сайту на сервері IIS засобами SSL.

7.1 Теоретичні відомості

Цифровий сертифікат – випущений спеціальним центром електронний або друкований документ, що підтверджує приналежність власнику відкритого ключа або яких-небудь атрибутів.

Сертифікат відкритого ключа засвідчує належність відкритого ключа деякого суб’єкту, наприклад, користувачеві. Сертифікат відкритого ключа містить ім’я суб’єкта, відкритий ключ, ім’я центру сертифікації, політику використання, тощо. Сертифікат відкритого ключа використовується для ідентифікації суб’єкта і уточнення операцій, які суб’єкту дозволяється здійснювати з використанням закритого ключа, що відповідає відкритому ключу і засвідчується даними сертифікатом. Формат сертифіката відкритого ключа X.509 v3 описаний в RFC 2459.

Сертифікати є одним із головних елементів протоколу SSL/TLS. Для створення сертифікату X.509 необхідно звернутися у спеціалізований сертифікаційний центр або скористатися спеціальними утилітами, однак у цьому випадку створений сертифікат не буде мати необхідного підтвердження. В ОС Windows для створення сертифікатів можна скористатися утилітою makecert.exe. Детальну інформацію про використання makecert.exe можна отримати на сайті msdn.microsoft.com.

IIS (Internet Information Services, до версії 5.1 – Internet Information Server) – набір серверів для декількох служб Інтернету від компанії Майкрософт. IIS поширюється з операційними системами сімейства Windows NT.

Основним компонентом IIS є веб-сервер, який дозволяє розміщувати в Інтернеті сайти. IIS підтримує протоколи HTTP, HTTPS, FTP, POP3, SMTP, NNTP. За даними компанії Netcraft на жовтень 2011 року, більше 21 млн. сайтів обслуговуються веб-сервером IIS, що складає 12.46% від загального числа веб-сайтів.

Основним компонентом IIS є веб-сервер – служба WWW, яка надає клієнтам доступ до сайтів по протоколах HTTP і, якщо проведене налаштування, то HTTPS.

Один сервер IIS може обслуговувати кілька сайтів (IIS 6.0 і вище). Кожен сайт має наступні атрибути:

• IP-адреса сайту;

• TCP-порт, на якому служба WWW чекає підключень до даного сайту;

• Тема вузла (Host Header Name) – значення заголовка Host запиту HTTP, яке вказує зазвичай DNS-ім’я сайту.

Таким чином, наприклад, один сервер з однією IP-адресою може обслуговувати на одному TCP-порту декілька сайтів. Для цього необхідно створити кілька DNS-записів, що вказують на IP-адресу сервера, і розрізняти сайти по заголовкам вузла.

Для кожного сайту вказується домашній каталог – каталог у файловій системі сервера, відповідний “корінь” сайту. Наприклад, якщо сайт www.example.com знаходиться в каталозі D:\example, то на запит ресурсу з адресою http://www.example.com/index.htm web-сервер поверне файл D:\example\index.htm.

В IIS 6.0, доступному в складі систем Windows Server 2003, служба WWW зазнала серйозних змін. Був доданий новий режим обробки запитів – режим ізоляції робочих процесів (англ. worker process isolation mode). У цьому режимі всі веб-програми, які обслуговуються сервером, працюють в різних процесах, що підвищує стабільність і безпеку системи. Крім того, для прийому запитів HTTP був створений новий драйвер http.sys, який працює в режимі ядра, що прискорює обробку кожного запиту.

Всі запити до статичного вмісту, не вимагають виконання скриптів, виконуються самим драйвером http.sys в ядрі, що зближує веб-сервер IIS з серверами режиму ядра.

При цьому запити до динамічного вмісту виконуються робочим процесом і завантаженими в його адресний простір модулями. З точки зору шляху виконання запитів не існує центрального процесу, що підвищує надійність у випадку відмови, викликаного помилкою в скрипті чи іншому модулі виконання. Робочі процеси автоматично перезапускається при виникненні помилок.

Протокол SSL підтримується окремим процесом HTTP SSL, який служить мостом між протоколом TCP і драйвером http.sys.

Веб-сервер IIS надає кілька способів розмежування доступу до сайтів і веб-прогрма. Служба WWW у складі IIS відрізняється від інших веб-серверів тим, що функції забезпечення безпеки в ній тісно інтегровані з системою Windows NT, на основі якої вона працює. Зокрема, щоб отримати доступ до захищеного ресурсу, користувач повинен ввести ім’я та пароль користувача, існуючого в системі Windows, на якій встановлено IIS (або в домені Active Directory, якщо сервер належить до домену). Після цього користувач працює з сайтом так само, як якби він виконав інтерактивний вхід в систему на сервері. До нього застосовуються встановлені файловою системою NTFS дозволи на доступ до файлів і каталогів. Ця особливість IIS зручна для внутрішніх сайтів підприємств, однак практично непридатна для відкритих сайтів Інтернету, де неможливо створювати користувача Windows для кожного зареєстрованого відвідувача сайту. Тому в останньому випадку розробникам сайтів і веб-програм зазвичай доводиться використовувати власні механізми обмеження доступу.

Певний користувач Windows зіставляється з кожним користувачем сайту навіть у тому випадку, коли обмеження доступу не потрібно. Цей режим називається режимом анонімного доступу. У цьому випадку користувач представляється на сервері як спеціальний користувач, ім’я якого зазвичай має формат IUSR_xxxx (де xxxx – ім’я комп’ютера, на якому встановлений IIS, в сьомій версії цей спеціальний користувач не містить імені комп’ютера, тобто просто IUSR). Цьому користувачу повинен бути дозволений доступ до ресурсів, які відкриті анонімним відвідувачам.