Одна из причин, по которым защита в Интернете так сложна, - отсутствие единого руководящего центра. В результате человеку, имеющему соответствующие знания, очень легко обмануть систему, заставив ее думать, что он тот, кем на самом деле не является. Такой метод атаки называется имитацией (spoofing). Кроме того, зачастую невозможно отследить местонахождение хакера в Интернете.

Рекомендации по выбору пароля.

· не разрешайте изменять пароль через Интернет: новый пароль может быть легко перехвачен;

· не допускайте пустых паролей - это делает аутентификацию бессмысленной;

· не используйте в качестве пароля Ваше имя, имя супруги/супруга и детей, даты рождения или любую другую общедоступную информацию о Вас;

· применяйте для пароля не обычные слова, а набор букв, цифр, знаков препинания: это затруднит взлом;

· чем длиннее пароль, тем лучше: используйте не менее 6 символов;

· изменяйте свой пароль регулярно, по крайней мере через каждые 60 дней, даже если система защиты Вашей системы этого не требует;

· никогда не записывайте свои пароли и не сообщайте их кому-либо другому: если Вы не в состоянии запомнить свой пароль, не записывая его, то не помечайте его как “пароль” и не храните рядом с компьютером;

· никогда не пересылайте пароли по Интернету: их могут перехватить.

Очень трудно сделать имена пользователей и пароли и недоступными для взлома и запоминаемыми, то есть защитить систему, не слишком затруднив ее нормальное использование.

К выбору имен учетных записей (оригинальный идентификатор пользователя или группы пользователей - Administrator, Backup operators, Guests и др.) применимы те же правила, что и к выбору паролей. Любому, кто захочет проникнуть в систему, обязательно придется обозначить в качестве цели некоторую учетную запись, поэтому не надо назначать ей очевидные имена. Если, например, хакеру известно, что некий Bill Smith имеет на некоем сервере учетную запись, то он попытается начать атаку с учетных записей Bsmith или BillS. Поэтому лучше задать имя BillS1. Это не избыточная предосторожность, но действенная мера защиты.

Брандмауэры. Брандмауэры (firewall) нужны только для сети компьютеров, но не для одиночной машины. Это устройство, размещаемое между сетью пользователя и Интернетом, служит для защиты от несанкционированного доступа из Интернета. Он сравнивает все поступающие пакеты со списком типов пакетов и мест отправления и назначения, чтобы определить степень их безопасности. Этот полупрозрачный барьер эффективно блокирует доступ потенциальных хакеров. Критерии доступа устанавливает администратор.

Данный метод также абсолютно ненадежен. Так как в основе работы брандмауэров лежит аутентификация, то, узнав пароль, можно проникнуть и за брандмауэр. Для увеличения надежности защиты не стоит использовать протокол TCP/IP на внутренних серверах, особенно если на них хранится важная информация. В результате, проникнув сквозь брандмауэр в сеть, чужак не получит доступ к внутренним серверам, так как они “говорят” не на общем языке.

Сценарии и защита. Сценарии (scripts) расширяют функциональные возможности сервера Интернета. Это небольшие программы, которые применяют для часто повторяемых действий, например: для записи данных в форму HTML и в базу данных SQL Server или для отправления последней информации о ценах. К некоторым распространенным формам сценариев относятся программы, использующие средства CGI (Common Gateway Inter-face), ISAPI (Internet Server API), и сценарии PERL (Practical Extraction and Report Language). Так как сценарий - это процесс или программа, выполняющиеся на сервере Интернета, то его неправильное поведение вызывает проблемы.

Защита линий связи. Для большинства владельцев простых узлов Интернета вряд ли имеет значение, что их данные увидят посторонние. Однако, при передаче электронных транзакций или какой-нибудь конфиденциальной информации, необходимо обязательно учесть возможность их перехвата. Дабы этого не случилось, надо применять либо шифрование, либо альтернативные методы обмена важными данными типа клирингового центра.

Шифрование и сертификаты. Шифрование не предотвращает перехват и просмотр пакетов, но делает данные нечитаемыми и, таким образом, бесполезными для постороннего. Адресат же, используя специальный ключ, может дешифровать информацию. Применение шифрования, осуществляемого сложными математическими алгоритмами, требует соответствующего программного обеспечения и согласованного метода кодирования информации и на сервере и у клиента

Протокол SSL. Протокол SSL (Secure Sockets Layer) используется для шифрования данных, пересылаемых по Интернету, и поддерживается IIS. Защита SSL замедляет передачу данных, поэтому ее применяют, как правило, не для всего сервера, но лишь для некоторых каталогов. Все ссылки из общедоступных данных на область, защищенную SSL, начинаются с https://, а не с http://. Чтобы воспользоваться SSL, необходимо получить сертификат в компании VeriSign.

Протокол PCT. Расширенный протокол PCT (Private Communications Technology) очень похож на SSL. Главное преимущество PCT в том, что его алгоритм шифрования информации, аутентифицирующей пользователя, весьма сложен и отличается от алгоритма шифрования данных. Это гарантирует защиту не только данных, но и аутентифицирующей информации, которая должна быть секретной. Но следует учесть, что защиту PCT используют не так часто, потому что она замедляет работу системы.

Протокол SET. Протокол защиты SET (Secure Electronic Transactions) - это скорее метод безопасной обработки финансовых транзакций. Многие не покупают товары через Интернет либо из-за боязни обнародовать номера своих кредитных карточек и адреса, либо из-за того, что им не знакомы поставщики. При покупке чего-либо, протокол SET посылает банку покупателя данные об объеме транзакции и номер поставщика товара. Далее банк уведомляет поставщика о совершении транзакции и перечислении денег. “Используя SET, Вы никогда не передаете продавцу номер своей кредитной карточки”, - пишет Лаура Логан, один из авторов книги “Мой узел Web”. Следует заметить, что IIS сам по себе не поддерживает SET.

Борьба с вирусами. Вирус - это нежелательная саморепродуцирующаяся программа, способная приписывать весь свой код (или участок кода) к другим программам (т.е. “заражать” их), проникающая в вычислительную систему с гибкого диска или через сеть, и способная выполнять различные нежелательные действия на компьютере. Вирусы создают люди, по некоторой непостижимой причине получающие удовольствие от инфицирования посторонних компьютеров. При некоторых условиях вирус активизируется. Некоторые из них крайне разрушительны (вирус “666” может убить человека). По сети вирусы распространяются, как ветрянка по детскому саду.

Лучшее средство борьбы с вирусами - профилактика: контроль доступа к системе. Не надо использовать гибкий диск, который побывал вне дома. В связи с совершенствованием технологии создания вирусов некоторые большие компании не разрешают сотрудникам приносить гибкие диски “с улицы”.