Ввести идентификатор получателя с паролем для данного вида документов.

Ограничения доступа в WWW серверах

Защита WEB-серверов

Сервер Web организации обеспечивает ее присутствие в Internet. Однако распространяемые этим сервером данные могут содержать сведения частного характера, не предназначенные для чужих глаз.

Очевидно, что серверы Web защищены далеко не так надежно, как хотелось бы. В некоторых простых случаях все дело в незаметных, но небезопасных огрехах в сценариях CGI. В других ситуациях угрозу представляет недостаточная защита операционной системы хоста.

Лучшие варианты защиты:

Ø Размещение сервера Web в его собственной сет;

Ø Запрет внешних соединений или ограничение доступа к внутренним серверам;

Ø Разграничение доступа к объектам Web-сервиса.

В Web-серверах объектами доступа выступают универсальные локаторы ресурсов (URL - Uniform (Universal) Resource Locator). За этими локаторами могут стоять различные сущности - HTML-файлы, CGI-процедуры и т.п.

Как правило, субъекты доступа идентифицируются по IP-адресам и/или именам компьютеров и областей управления. Кроме того, может использоваться парольная аутентификация пользователей или более сложные схемы, основанные на криптографических технологиях.

В большинстве Web-серверов права разграничиваются с точностью до каталогов (директорий) с применением произвольного управления доступом. Могут предоставляться права на чтение HTML-файлов, выполнение CGI-процедур и т.д.

Ø Регулярный анализ регистрационной информации;

Ø Максимальное упрощение.

Все ненужные сервисы, файлы, устройства должны быть удалены. Число пользователей, имеющих прямой доступ к серверу, должно быть сведено к минимуму, а их привилегии - упорядочены в соответствии со служебными обязанностями.

Ø Минимизировать объем информации о сервере, которую могут получить пользователи.

Многие серверы в случае обращения по имени каталога и отсутствия файла index.HTML в нем, выдают HTML-вариант оглавления каталога. В этом оглавлении могут встретиться имена файлов с исходными текстами CGI-процедур или с иной конфиденциальной информацией. Такого рода “дополнительные возможности” целесообразно отключать.

Рассмотрим два из них:

Ограничить доступ по IP адресам клиентских машин;

Ø Ограничения по IP адресам:

Доступ к приватным документам можно разрешить, либо наоборот запретить используя IP адреса конкретных машин или сеток, например:

123.456.78.9

123.456.79.

В этом случае доступ будет разрешен (или запрещен в зависимости от контекста) для машины с IP адресом 123.456.78.9 и для всех машин подсетки 123.456.79.

Ø Ограничения по идентификатору получателя:

Доступ к приватным документам можно разрешить, либо наоборот запретить используя присвоенное имя и пароль конкретному пользователю, причем пароль в явном виде нигде не хранится.

Рассмотрим такой пример: Агентство печати предоставляет свою продукцию, только своим подписчикам, которые заключили договор и оплатили подписку. WWW Сервер находится в сети Internet и общедоступен.

 

Рис.9 Пример списка вестников издательства

 

Выберем Вестник предоставляемый конкретному подписчику. На клиентском месте подписчик получает сообщение:

 

 

Рис.10 Окно ввода пароля

Если он правильно написал свое имя и пароль, то он допускается до документа, в противном случае - получает сообщение:

 

 

Рис.11. Окно неправильного ввода пароля