Примеры протоколов транспортного уровня:
• UDP – простой и быстрый протокол, не обрабатывающий ошибок;
• TCP - сложный протокол, следящий за прохождением потока пакетов и
обрабатывающий ошибки.
Атаки:
• перехват (sniffering) и подмена пакетов;
• навязывание ложных ответов (например, от DNS-сервера);
• принудительное нарушение работы TCP-протокола.
Активизация IIS
Компонент IIS по умолчанию в ОС Windows Server 2003 не установлен, целью данного этапа является его установка и проверка его функционирования с автоматически генерируемой web-страницей.
ВЫПОЛНИТЬ!
1.Установить компонент Internet Information Services (Control Panel Administrative Tools Manage Your Server).
Воткрывшемся диалоговом окне необходимо выбрать пункт «Add or remove a role», после чего ОС автоматически определит текущие сетевые настройки и отобразит диалоговое окно со списком возможных задач, выполняемых сервером (рис. 5.39). В этом списке необходимо выбрать пункт
«Application servers (IIS, ASP.NET)». Установка дополнительных компонентов сервера FrontPage Extensions и ASP.NET не является обязательной, поэтому может быть пропущена. В результате указанных действий будут установлены компоненты, необходимые, в том числе для запуска web-сервера.Процесс установки может занять несколько минут, и для его успешного завершения понадобится дистрибутив Windows Server 2003.После установки и перезагрузки web-серверIIS автоматически запускается, в качестве стартовой используется автоматически генерируемая webстраница (рис. 5.40). Отображение этой страницы при обращении к серверу по егоIP-адресус указанием протокола HTTP говорит о том, что сервер отвечает наHTTP-запросыклиента (программы Internet Explorer). В результате выполнения данного этапа мы получили функционирующийweb-серверпод управлением IIS.
ВЫПОЛНИТЬ!
2.Запустить анализатор сетевого трафика и просмотреть содержимое передаваемой между клиентом и сервером информации. Убедиться, что HTTPзапрос и HTTP-ответпередаются в открытом виде.
5.11.2.Генерация сертификата открытого ключа для web-сервера
Как указывалось выше, для шифрования передаваемой информации клиент и сервер должны получить общий ключ симметричного шифрования. В протоколе транспортного уровня данный ключ генерирует клиент и отправляет серверу. Однако для отправки ключа клиент применяет его зашифрование с использованием открытого ключа сервера, который должен быть известен клиенту. Для передачи открытого ключа применяется механизм сертификатов, цель которого обеспечить подлинность передаваемого открытого ключа. Таким образом, сервер должен иметь сертификат своего открытого ключа, который в общем случае должен быть подписан одним из доверенных центров сертификации.
В связи с тем, что мы организуем VPN-соединениев локальной сети учебного компьютерного класса, то в процессе работы самостоятельно сгенерируем сертификат открытого ключа и создадим его ЭЦП. Для этой цели нам понадобится Центр сертификации, для работы с которым необходимо добавить компонент Certificate Services (Службы сертификации). В процессе установки необходимо будет указать имя Центра сертификации (например, «Mycompany»), остальные настройки можно оставить по умолчанию.
После установки Центра сертификации необходимо от имени webсервера выполнить запрос на получение нового сертификата.
ВЫПОЛНИТЬ!
3.Установить компонент Certificate Services (Control Panel Add or Remove Programs Add/Remove Windows Components,рис. 5.41).
4.Запустить оснастку Internet Information Services (IIS) Manager (Control Panel Administrative Tools Internet Information Services (IIS) Manager).5.В разделе «Web Sites») выбрать компонент «Default Web Site»,
щелкнуть на нем правой кнопкой и выбрать пункт «Properties» в контекстном меню. Далее выбрать вкладку «Directory Security» и нажать кнопку
«Server Certificate…» в открывшемся окне
Будет запущен «мастер», позволяющий сформировать запрос на выдачу сертификата открытого ключа к Центру сертификации (Certification Authority). Необходимо выбрать опцию «Create a new certificate» (создать новый серти-
фикат), а затем «Prepare the request, but send it later» (подготовить запрос, но отправить его позже). Будет предложено заполнить исходные данные, на основании которых будет выдан сертификат, в том числе наименования организации (Organization) и организационного подразделения (Organizational unit). Кроме того, необходимо указать доменное имя web-сайта(например, «www.mycompany.com») и его географическое местонахождение. Затем будет предложено сохранить текст запроса в виде текстового файла (рис. 5.44), содержимое которого необходимо отправить в Центр сертификации. Данный файл содержит открытый ключweb-сервераи заполненные сведения.
Так как Центром сертификации также является наш узел, то процесс отправки полученного текстового файла упрощается и заключается лишь в обработке данного файла с использованием оснастки Certification Authority Результатом обработки будет созданиефайла-сертификатаоткрытого ключа в формате X.509.
ВЫПОЛНИТЬ!
6.Запустить оснастку Certification Authority (Control Panel Administrative Tools Certification Authority).
Для добавления запроса необходимо из контекстного меню компонента «Mycompany» (в рассматриваемом примере) выбрать пункт All Tasks Submit new request… Будет предложено выбрать файл с текстом запроса (он был создан ранее). Запрос добавляется в каталог «Pending Requests», чтобы обработать его, нужно из контекстного меню его записи выбрать пункт
