Построение защищенных Web-приложений на основе IIS и MS SQL Server

Заключение

В ходе выполнения данной курсовой работы было изучено построение защищенных Веб-приложений с использованием Interner Information Server 7 и Microsoft SQL Server 2008.

Были рассмотрены такие функции серверов, как аутентификация, олицетворение, безопасное взаимодействие сервера и клиента, основные атаки на серверы и методы противодействия данным атакам. Также было рассмотрено взаимодействие IIS 7 и MS SQL Server 2008 на примере веб-синхронизации.

В целом можно сделать вывод, что IIS 7 является достаточно защищенным Веб-сервером. Он имеет модульную структуру. Можно устанавливать только те модули, которые необходимы. Это значительно сокращает поверхность атак. IIS 7 является Веб-сервером с закрытым кодом, но компания Microsoft обеспечивает своевременную поддержку данного продукта. Все известные уязвимости Веб-сервера были устранены в соответствующих патчах. Веб сервер IIS 7 является наиболее защищенным веб-сервером по сравнению с другими предлагаемыми на рынке вариантами (Apache).

MS SQL Server 2008 также обладает неплохими средствами защиты. Главный недостаток SQL Server состоит в том, что его достаточно сложно настраивать. Те администраторы, у которых недостаточно опыта работы с SQL Server, очень часто допускают пробелы в безопасности, которыми и пользуются злоумышленники.

Список  использованных источников

1. Усовершенствования системы  безопасности IIS 7 [Электронный ресурс] // Technet: [сайт]. URL: http://technet.microsoft.com/ru-ru/iis/gg288137 (дата обращения: 30.04.2012).
2. Стандартные возможности аутентификации Internet Information Server (IIS) [Электронный ресурс] // Академия специальных курсов по компьютерным технологиям: [сайт]. [2004]. URL: http://www.askit.ru/custom/win2003_sec/m4/04_04_01_iis_authentification.htm (дата обращения: 30.04.2012).
3. Защита контента в IIS с помощью ACL файловой системы [Электронный ресурс] // Technet: [сайт]. URL: http://technet.microsoft.com/ru-ru/iis/gg288136 (дата обращения: 30.04.2012).
4. Использование проверки подлинности IIS с олицетворением ASP.NET [Электронный ресурс] // MSDN: [сайт]. [2007].  URL: http://msdn.microsoft.com/ru-ru/library/134ec8tc(v=vs.90).aspx (дата обращения: 30.04.2012).
5. Как установить SSL на IIS 7 [Электронный ресурс] // Technet: [сайт]. URL: http://technet.microsoft.com/ru-ru/iis/gg288139 (дата обращения: 01.05.2012).
6. Уязвимость при обработке Telnet IAC символов в Microsoft IIS FTP Server [Электронный ресурс] // Информационный портал по безопасности SecurityLab.ru: [сайт]. [2011].  URL: http://www.securitylab.ru/vulnerability/403769.php (дата обращения: 01.05.2012).
7. Уязвимость в IIS 6 ставит под угрозу данные [Электронный ресурс] // Xakep Online: [сайт]. [2009].  URL: http://www.xakep.ru/post/48250/ (дата обращения: 01.05.2012).
8. Атаки по раскрытию исходного кода [Электронный ресурс] // MegaHack | Все о хакерах, хакинге и защите информации: [сайт]. URL: http://www.supermegayo.ru/winserv/55.html (дата обращения: 01.05.2012).
9. Семенов Ю.А. DoS-атаки. Фильтрация на входе сети: Отражение атак DoS, которые используют подмену IP-адреса отправителя (RFC-2827) [Электронный ресурс] // Сервер book.itep.ru : [сайт]. URL: http://book.itep.ru/6/rfc2827.htm (дата обращения: 01.05.2012).
10. Microsoft выпускает бета-версию инструментария для борьбы с DoS-атаками [Электронный ресурс] // Xakep Online: [сайт]. [2009].  URL: http://www.xakep.ru/post/47204/ (дата обращения: 01.05.2012).
11. Основные сведения об олицетворении [Электронный ресурс] // MSDN: [сайт]. [2008].  URL: http://msdn.microsoft.com/ru-ru/library/ms161965(v=sql.105).aspx (дата обращения: 01.05.2012).
12. Расширение олицетворения базы данных с помощью инструкции EXECUTE AS [Электронный ресурс] // MSDN: [сайт]. [2008].  URL: http://msdn.microsoft.com/ru-ru/library/ms188304(v=sql.105).aspx (дата обращения: 01.05.2012).
13. Безопасность взаимодействия клиентов с экземпляром служб Analysis Services [Электронный ресурс] // Technet: [сайт]. URL: http://technet.microsoft.com/ru-ru/library/ms174756(v=sql.100).aspx (дата обращения: 01.05.2012).
14. Взлом SQL-сервера [Электронный ресурс] // MegaHack | Все о хакерах, хакинге и защите информации: [сайт]. URL: http://www.supermegayo.ru/winserv/58.html (дата обращения: 01.05.2012).
15. Меры противодействия рассмотренной атаке // MegaHack | Все о хакерах, хакинге и защите информации: [сайт]. URL: http://www.supermegayo.ru/winserv/59.html (дата обращения: 01.05.2012).
16. Средства и методы хакинга SQL Server // MegaHack | Все о хакерах, хакинге и защите информации: [сайт]. URL: http://www.supermegayo.ru/winserv/61.html (дата обращения: 01.05.2012).
17. Перехват паролей для SQL Server // MegaHack | Все о хакерах, хакинге и защите информации: [сайт]. URL: http://www.supermegayo.ru/winserv/62.html (дата обращения: 01.05.2012).
18. Репликация через Интернет [Электронный ресурс] // MSDN: [сайт]. [2012].  URL: http://msdn.microsoft.com/ru-ru/library/ms151319.aspx (дата обращения: 08.05.2012).
19. Настройка веб-синхронизации [Электронный ресурс] // MSDN: [сайт]. [2012].  URL: http://msdn.microsoft.com/ru-ru/library/ms151255.aspx aspx (дата обращения: 08.05.2012).