Skip Navigation Links

BEZPIECZEŃSTWO SYSTEMÓW INFORMATYCZNYCH BEZPIECZEŃSTWO SYSTEMÓW INFORMATYCZNYCH

BEZPIECZEŃSTWO SYSTEMÓW INFORMATYCZNYCH - Bezpieczeństwo systemów informatycznych
http://www.softwarestudio.com.pl/Default.aspx?oprogramowanie=bezpieczenstwo-systemow-informatycznych
http://www.softwarestudio.com.pl/uslugi/informatyczne/Default.aspx
BEZPIECZEŃSTWO SYSTEMÓW INFORMATYCZNYCH - Bezpieczeństwo można by opisać w skrócie za pomocą słów: uwierzytelnienie , autoryzacja i bezpieczna komunikacja.br/>
BEZPIECZEŃSTWO SYSTEMÓW INFORMATYCZNYCH Bezpieczeństwo można by opisać w skrócie za pomocą słów: uwierzytelnienie , autoryzacja i bezpieczna komunikacja.
Uwierzytelnienie (authentication) jest procesem, którego celem jest stwierdzenie czy osoba za którą podaje się dany użytkownik, jest rzeczywiście tą osobą. W tym celu podaje on swój identyfikator (w skrócie login ) no i hasło. Autoryzacja (Authorization) jest kolejnym krokiem w którym następuje sprawdzenie do jakich zasobów ma dostęp uwierzytelniony użytkownik. Bezpieczna komunikacja, czyli w tym przypadku, bezpieczny przesył danych przez sieć, to nic innego jak po prostu szyfrowanie przesyłanej zawartości. W środowisku internetowym zazwyczaj odbywa się to za pomocą technologii SSL (Secure Sockets Layer).

Autoryzacja

Autoryzacja z poziomu ASP .NET konfigurowana jest w pliku Web.config. Są to ustawienia domyślne, które stosowane są do wszystkich stron katalogu wirtualnego. Element „allow” definiuje użytkowników , bądź grupy, które mają prawo do zasobów. Element „deny” definiuje użytkowników , bądź też grupy, które nie mają prawa do zasobów. W szczególności ma to znaczenie w uwierzytelnieniu typu „Windows”, gdyż można tu określić zachowanie się aplikacji w odniesieniu do grup systemowych ( blok „roles”), bądź konkretnych kont. W tym wypadku elementy w bloku „roles” przyjmują postać: NazwaDomeny\NazwaGrupySystemowej, a „users”: NazwaDomeny\NazwaKonta W celu określenia użytkowników, często stosowane są również wartości specjalne, oznaczające odpowiednio:
„*”, wszystkich użytkowników
„?”, użytkowników którzy nie zostali uwierzytelnieni.
Możliwe jest również definiowanie autoryzacji w odniesieniu do konkretnego zasobu. W tym celu w głównym bloku pliku Web.config, należy użyć definicji „location”.
Element “path” służy do definiowania strony, do której odnoszą się ustawienia. W tym wypadku oznacza to iż do podanej strony, będą mieli dostęp wszyscy użytkownicy, bez względu na domyślne ustawienia. W uwierzytelnieniu typu „Forms”, możliwe jest również definiowanie ról i użytkowników w oparciu o zewnętrzne źródło danych. Mechanizm ten dokładniej omówiony zostanie, w opisie załączonego do artykułu przykładu. Kontrola dostępu do zasobów z poziomu systemu może odbywać się również za pomocą uprawnień NTFS, bądź list ACL (Access Control Lists).

Uwierzytelnianie

W aplikacjach ASP .NET tego co kryje się pod hasłem uwierzytelnienia, strzegą dwie „wierze”. Pierwszą z nich jest serwer WWW ( w tym wypadku jest to IIS), oraz sama aplikacja ASP .NET. Pierwszą „wierzą” strzegącą dostępu do zasobów jest IIS. Zapewnia on zasadniczo cztery typy uwierzytelnienia: Anonymous, Basic, Digest oraz Integrated Windows. W skrócie uwierzytelnienie Anonymous oznacza taką konfigurację serwera, aby otworzył swe bramy i przepuszczała każdego, kto tylko zażyczy sobie przez nie przejść. Do uwierzytelnienia typu Basic, wykorzystywane są dane ( login + hasło), istniejących kąt w systemie Windows. Wymagane jest tu więc już, podania danych uwierzytelniających. Problem w tym iż dane te są przesyłane przez sieć w postaci czystego tekstu. Zalecane jest więc stosowanie szyfrowania transmisji . Z kolei uwierzytelnienie Digest likwiduję tą niedogodność, ale za to nie jest obsługiwane przez większość przeglądarek, nie związanych z firmą Microsoft. Integrated Windows oznacza iż uwierzytelnienie jest ściśle związane z kontem, które jest aktualnie w użyciu. Serwer sprawdza tożsamość użytkownika i sam dokonuje weryfikacji czy ma on prawo do użycia danej aplikacji, bez konieczności podawania danych uwierzytelniających. Możliwe jest również stosowanie mieszanych zabezpieczeń., przez zaznaczenie kilku typów zabezpieczeń np. Anonymous i Basic. W tym wypadku zasoby określone w pliku konfiguracyjnym ASP .NET jako zabezpieczone, będą obsługiwane w serwerze IIS przez tryb „Basic”, a pozostałe przez „Anonymous”.
Rodzaj ustawienia można zmienić wybierając „Zarządzaj” z menu kontekstowego znajdującego się pod ikoną „Mój komputer” na pulpicie. Ustawienia aplikacji znajdują się w: Usługi i aplikacje-> Internetowe usługi informacyjne-> Witryny sieci Web-> Domyślna witryna sieci Web-> KatalogWirtualnyAplikacji-> Właściwości. W oknie Właściwości należy wybrać zakładkę „Zabezpieczenia katalogów” a następnie przycisk „Edytuj” z sekcji „Dostęp anonimowy i kontrola uwierzytelnienia”.

Druga z wież, jak już wspomniałem to ASP .NET. Umożliwia ona cztery typy uwierzytelnienia:
- Windows, oznacza iż za uwierzytelnienie odpowiedzialny jest IIS. W tym wypadku wybrany musi być typ Basic, Digest bądź Windows Integrated. To rozwiązanie jest dobre dla aplikacji intranetowych, gdzie wszyscy użytkownicy posiadają konta systemowe. Nie nadaje się jednak do aplikacji internetowych, ze względu na bardzo utrudniony mechanizm tworzenia nowych kont, dla każdego użytkownika chcącego korzystać z zabezpieczanej aplikacji www.
- Forms, oznacza iż uwierzytelnienie odbywa się po stronie ASP
WIRTUALNE BEZPIECZEŃSTWO SYSTEMÓW INFORMATYCZNYCH.
BEZPIECZEŃSTWO SYSTEMÓW INFORMATYCZNYCH - Bezpieczeństwo systemów informatycznych
 
2
V
X
XLS