ИБиЗИ ЛР / ПЗ ИБ 11.12.08
.pdfЛабораторная работа 16
Настройка средств защиты информации сервера приложений
Apache HTTPD
Цель работы и содержание: получить знания, необходимые для настройки http-сервера через протокол https, а также научиться пользоваться конфигурационным файлом htaccess с целью повышения безопасности файлов и приложений, доступных со стороны клиента.
1.Общая информация о веб-сервере Apache.
2.Настройка https протокола с использованием apache_1.3.37 mod_ssl- 2.8.28-1.3.37 openssl-0.9.8b.
3.Настройка https протокола с использованием .htaccess.
Теоретическая часть
16.1. Общая информация о веб-сервере Apache
Apache HTTP-сервер – свободный веб-сервер. С апреля 1996 и до настоящего времени является самым популярным HTTP-сервером в Интернете. По статистике Netcraft, в августе 2007 года он работал на 51 %
всех веб-серверов, в апреле 2008 года – на 49 %.
Основными достоинствами Apache считаются надѐжность и гибкость конфигурации. Он позволяет подключать внешние модули для предоставления данных, использовать СУБД для аутентификации пользователей, модифицировать сообщения об ошибках и т. д. Поддерживает
IPv6.
Недостатком наиболее часто называется отсутствие удобного стандартного интерфейса для администратора.
Веб-сервер Apache разрабатывается и поддерживается открытым сообществом разработчиков под эгидой Apache Software Foundation и
201
включѐн во многие программные продукты, среди которых СУБД Oracle и
IBM WebSphere.
Особенности Apache
1.Многопоточность в UNIX. На UNIX системах, которые поддерживают потоки (нити) стандарта POSIX, Apache теперь может выполняться в гибридном многопроцессово-многопоточном режиме. Это способствует расширяемости системы для многих, но не для всех конфигураций.
2.Поддержка различных протоколов. Apache имеет специальную инфраструктуру, способную обслуживать различные протоколы.
3.Поддержка отличных от UNIX платформ. Apache 2.0 стал работать быстрее и надѐжнее на отличных от UNIX платформах, таких как BeOS, OS/2
иMicrosoft Windows. С введением новых специфичных для каждой платформы мульти-процессных модулей (MPMs) и библиотеки Apache Portable Runtime (APR), эти платформы теперь поддерживаются с помощью их собственных API, что позволяется избежать введения зачастую неправильно работающих из-за большого количества ошибок POSIX –
эмулирующих слоѐв.
4. Поддержка протокола IPv6. В системах, где протокол IPv6
поддерживается нижележащей библиотекой Apache Portable Runtime, Apache
по умолчанию получает возможность слушать IPv6 сокеты.
5. Использование фильтров. Модули Apache можно написать так, что они будут исполнять роль фильтров, обрабатывающих потоки данных,
которые приходят или уходят из сервера. Это позволяет, к примеру, данным,
являющимся результатом работы CGI-скрипта, быть обработанными SSI
фильтром INCLUDES, предоставляемым модулем mod_include. Модуль mod_ext_filter позволяет внешним программам исполнять роль фильтров точно таким же образом, каким CGI программы действуют в качестве обработчиков (handlers).
202
6. Сообщения об ошибках на разных языках. Сообщения об ошибках,
посылаемые браузеру, представлены на нескольких языках и используют SSI
технологию. Они могут быть легко отредактированы администратором под свои нужды.
7. Поддержка юникода Windows NT. Apache 2.0 на Windows NT теперь использует кодировку utf-8 для работы с именами файлов. Это позволяет использовать нижележащую файловую систему, работающую в формате
Unicode, что предоставляет поддержку сервером многоязычности для всех
NTсистем, включая Windows 2000 и Windows XP. Это не распространяется на такие операционные системы, как Windows 95, 98 или ME, которые для обращения к файловой системе используют локальные кодовые страницы.
8. Библиотека для работы с регулярными выражениями. В состав
Apache 2.0 была включена библиотека для работы с Perl-совместимыми регулярными выраженями (PCRE). Все регулярные выражения используют более мощный синтаксис Perl 5.
16.2. Настройка https протокола с использованием apache_1.3.3
mod_ssl-2.8.28-1.3.37 openssl-0.9.8b
Все эти версии должны соответствовать, взять их можно по ссылкам,
приведенным ниже.
http://httpd.apache.org/dist/httpd/apache_1.3.37.tar.gz
ftp://ftp.modssl.org/source/mod_ssl-2.8.28-1.3.37.tar.gz
ftp://ftp.openssl.org/source/openssl-0.9.8b.tar.gz
Настройка осуществляется в соответствии со следующим алгоритмом.
1.Необходимо распаковать все архивы:
2.Скомпилирутйе OpenSSL, выполнив команды
203
3.Перейдите в папку mod_ssl для настройки и привязки к серверу
модуля.
4.Настройте и скомпилировать сам сервер, а также создате сертификаты
После введения make certificate вы должны увидеть следующее.
204
205
Необходимо по шагам проделать предложенные по созданию
сертификата действия.
5.Проинсталлировать сервер.
6.Запуск с https протоколом происходит через запуск демона с ключом –DSSL, как показано ниже.
7.В итоге вы должны увидеть показанный ниже листинг.
206
8. 
- запуск сервера с использованием ssl
16.3. Настройка https протокола с использованием .htaccess
Эта настройка является подобием httpd.conf с той разницей, что действует только на каталог, в котором располагается.
Сначала необходимо создать сам .htaccess, он должен находиться в той директории, где будут работать данные правила.
Зайдем в каталог с файлами web-сервера $cd /usr/local/server/www,
создадим пустой файл.
$vi .htaccess
Теперь необходимо сделать набор необходимых правил для каталога или файлов в нем.
Примеры
1. Запрет по маске файла
<Files ~ «*.inc»>
deny from all
</Files>
2. Запрет на доступ к одному файлу
<Files config.php>
deny from all
</Files>
3. Запрет доступа к файлам по регулярному выражению
<Files ~ «*f?a.(inc|conf|cfg)»>
deny from all
</Files>
4. Определение доступа по IP
order deny,allow
deny from all
allow from 192.168.11.1
207
5. Закрытие каталогов паролем
AuthName «Auth message»
AuthType Basic
require member
AuthUserFile «/full/path/to/.htpasswd»
Пароли должны находиться в файле .htpasswd
Аппаратура и материалы
1.Компьютерный класс общего назначения.
2.Операционная система Linux или FreeBSD.
2.Аpache_1.3.37.
3.mod_ssl-2.8.28-1.3.37.
4.openssl-0.9.8b.
Указание по технике безопасности. Техника безопасности при выполнении лабораторной работы совпадает с общепринятой для пользователей персональных компьютеров: самостоятельно не производить ремонт персонального компьютера, установку и удаление программного обеспечения; в случае неисправности персонального компьютера сообщить об этом обслуживающему персоналу лаборатории; соблюдать правила техники безопасности при работе с электрооборудованием; не касаться электрических розеток металлическими предметами; рабочее место пользователя персонального компьютера должно содержаться в чистоте; не разрешается возле персонального компьютера принимать пищу, напитки.
Методика и порядок выполнения работы. Перед выполнением лабораторной работы студент получает индивидуальное задание. Защита лабораторной работы происходит только после его выполнения. При защите студент отвечает на контрольные вопросы и поясняет выполненное индивидуальное задание. Ход защиты лабораторной работы контролируется преподавателем.
208
Задания
1.Ознакомиться с теоретическими сведениями, изложенными в данных методических указаниях.
2.Выполнить указанные операции и настроить возможность работы
httpd через https протокол. 3. Оформить отчет.
Отчет о выполнении в письменном виде сдается преподавателю. При защите работы студент отвечает на контрольные вопросы и предоставляет отчет преподавателю.
Содержание отчета и его форма
Отчет должен иметь форму согласно оформлению реферата.
Титульный лист должен включать название дисциплины, название лабораторной работы, фамилию и инициалы сдающего студента, номер группы, фамилию и инициалы принимающего преподавателя. Основная часть лабораторной работы должна содержать следующие элементы.
1.Название лабораторной работы.
2.Цель и содержание лабораторной работы.
3. Описание процедур начтройки работы через https-протокол. 4. Выводы по проделанной работе.
Вопросы для защиты работы
1.Что такое Apache?
2.Какие достоинства и недостатки имеет Apache?
3.Перечислите основные особенности Apache.
4.Как настроить https с использованием сертификатов?
5.Что такое mod_ssl?
6.С помощью какой команды можно сгенерировать сертификаты?
7.Для чего предназначен ключ –DSSL?
8.Как настроить https с использованием .htaccess?
209
9.Как с помощью .htaccess установить запрет по маске файла?
10.Как с помощью .htaccess установить запкрыть каталог паролем?
Лабораторная работа 17
Настройка персонального межсетевого экрана Windows
Цель работы и содержание: получить теоретические знания и практические навыки работы с персональным межсетевым экраном
(брандмауэром) Windows.
1.Описание возможностей брандмауэра Windows.
2.Настройка брандмауэра.
3.Создание исключения.
4.Настройка исключения для Internet Explorer.
Теоретическая часть
17.1. Описание возможностей брандмауэра Windows
Брандмауэр – программное или аппаратное обеспечение, помогающее защитить компьютер от хакеров или вредоносных программ. Брандмауэр помогает предотвратить доступ к компьютеру вредоносных программ
(например, червей) через сеть или Интернет, а также помогает предотвратить рассылку вредоносных программ с компьютера на другие компьютеры.
Таблица 17.1 – Особенности брандмауэра Windows
Он может: |
Он не может: |
Обнаружить или обезвредить компьютерных
вирусов и «червей», если они уже попали на
Блокировать
компьютер. По этой причине необходимо также
компьютерным
установить антивирусное программное обеспечение
вирусам и «червям»
и своевременно обновлять его, чтобы предотвратить
доступ на компьютер.
повреждение компьютера вирусами, «червями» и
другими опасными объектами, а также не допустить
210