Windows - Nem publikus elérésű Web és FTP szerver konfigurálása

Képzeljük el a következő szituációt: egy vállalat dolgozóinak a világ bármely pontjáról el kell érni egy kiszolgálón található fájlokat. Legolcsóbb és legszélesebb körben alkalmazható megoldás az Interneten keresztüli csatlakozás. Azonban a bizalmas adatokat el kell rejteni a nagyközönség elől. Cikkünkben adunk néhány tippet az Internet Information Sevices ( IIS) konfigurálására ennek megvalósítására.
Példáinkban az IIS konfigurálásához a Felügyeleti eszközök > Internet szolgáltatáskezelő (Administrative Tools > Internet Services Manager) MMC konzolt fogjuk használni.
Első tipp
WEB:
Készítsünk egy önálló Web helyet. Ne a cég mindenki által ismerhető Weboldaláról mutasson egy link a bizalmas adatokat tartalmazó oldalakra. Az már fél siker, ha valaki nem tudja az oldal nevét. A nevet csak az elérésre jogosult dolgozók ismerhetik. Ha az adatok csoportosíthatók, netán arra is szükség van, hogy a dolgozók között is különbséget tegyünk, létesítsünk további helyeket. Ez persze csak viszonylag kevés - néhány vagy néhány tíz - példányban célszerű. Ezen felül már nehezen áttekinthető.
Egy új Webhely létrehozásához kattintsunk a konzolban a kiszolgáló nevére a jobb oldali egérgombbal, majd az Új > Web hely (New > Web Site) parancsra. Elindul egy varázsló, továbbiakban ezzel tudjuk a konfigurálást elvégezni. Az első oldalról lépjünk tovább. A következőn adjunk neki nevet. A harmadik oldal beállításainál rögtön elvégezhetjük a második tippünkben foglaltakat.
FTP:
Az FTP hely létrehozásához ugyanígy kell eljárni csak az Új > FTP hely (New > FTP Site) menüsoron kell kattintani.
Második tipp
WEB:
Az egész világon egy Weboldal elérésének alapértelmezett portszáma a 80-as. Függetlenül a kiszolgáló és a kliens operációs rendszerétől. Ha beírunk egy Internet címet (pl.: www.xyz.hu), akkor a kommunikáció ezen a porton keresztül zajlik függetlenül attól, hogy az elérni kíván kiszolgáló helyileg hol található. A publicitás megszüntetésének következő lépése a Webhely alapértelmezett portszámának megváltoztatása. Nem válogathatunk azonban szabadon, mert a szolgáltatásunk ütközhet más szolgáltatásokkal (pl.: Telnet 23-as port). Tudnunk kell, hogy az egyéb szolgáltatásaink milyen portokat használnak és ezeket kerülni kell a Webhely létrehozásánál. Visszatérve a varázslónkhoz, adjuk meg például a 5001-es értéket "A Webhelynek a következő TCP-portot kell használnia" ("TCP port this web site should use") felirat alatti ablakban.
Ezután a Webhely böngészőből a "www.xyz.hu:5001" cím beírásával lesz elérhető. Ha a kettőspontot és a 5001-es számot elhagyjuk a végéről olyan, mint ha nem is létezne az oldal. Mert a 80-ason keresztül kísérli meg a csatlakozást, de ez nem létezik.
FTP:
A leírtak érvényesek az FTP helyekre is, azzal a különbséggel, hogy az alapértelmezett port száma 21. Célszerűen ettől eltérő értékeket használjunk.
Harmadik tipp
WEB:
A varázsló következő oldalán meg kell adnunk a Webhelyet alkotó fájlok kezdőkönyvtárának elérési útvonalát. Ez alatt lévő "Névtelen hozzáférések engedélyezése a webhelyhez" ("Allow anonymous access to this Web site") jelölőnégyzetből is el kell távolítanunk a pipát. Ilyenkor az oldal eléréséhez felhasználói nevet és jelszót kell megadni. Csak az lesz képes bejelentkezni, aki a kiszolgálót belső hálózatról is elérheti, tehát rendelkezik érvényes felhasználói fiókkal. Lépjünk tovább és fejezzük be a varázslóval végzett ténykedésünket.
FTP:
Az FTP hely létrehozásánál ez a menüpont hiányzik, de megtalálható egy már létrehozott hely tulajdonságlapjának "Biztonsági fiókok" ("Security Accounts") oldalán, "Névtelen kapcsolatok engedélyezése" ("Allow Anonymous Connections") címszóval.
Negyedik tipp
WEB:
Kattintsuk a konzolban újonnan létrejött Webhelyre a jobb oldali egérgombbal és válasszuk a "Tulajdonságok" ("Properties") menüt. Győződjünk meg róla, hogy a "Webhely" ("Web Site") oldalon valóban az általunk beállított "TCP-port" cím szerepel, ha nem, módosítsuk. Ugyanitt kapott helyet annak a beállítása, hogy egy időben maximálisan hány kliens csatlakozhat a szerverre. Ha tudjuk, hogy csak 10, akkor célszerű a "Legfeljebb" ("Limited To") rádiógombot aktivizálni és az utána található mezőbe ezt beírni.
FTP:
Különbség csak annyi, hogy "FTP-hely" ("FTP Site") az oldal címe.
Ötödik tipp
WEB:
Lépjünk a "Könyvtárbiztonság" ("Directory Security") oldalra és bizonyosodjunk meg a "Névtelen hozzáférés és hitelesítés" ("Anonymous access and authentication control"), "Szerkesztés" ("Edit") gombjára kattintva afelől, hogy a "Névtelen hozzáférés" ("Anonymous access") jelölőnégyzet nincs aktív állapotban.
Az "IP-cím és tartománynév korlátozása" ("IP address and domain name restricton") szekció szerkesztés gombjának lenyomására megjelenik egy listát tartalmazó ablak. Itt megadható egy számítógép, alhálózat vagy egy tartomány, amelyről engedélyezett a Webhely elérése. Minden más helyről történő próbálkozást eleve kizár a rendszer. Nem minden esetben élhetünk ezzel a módszerrel. Ha nem határolható be, hogy a dolgozó milyen IP címről vagy tartományból fog bejelentkezni, akkor nem használhatjuk a korlátozás eme lehetőségét. Ha igen, akkor aktivizáljuk a "hozzáférése tiltott" ("Denied Access") rádiógombot, majd kattintsunk a "Hozzáadás" ("Add") gombra. Határozzuk meg az engedélyezett gépet-gépeket. Ezen lépések ismétlésével több gépet vagy gépcsoportot is megadhatunk.
FTP:
Különbség csak annyi, hogy nincs "Szerkesztés" ("Edit") gomb. Minden további beállítás változatlan.
Hatodik tipp
WEB:
Használjunk a két részből álló Secure Sockets Layer (SSL) biztonsági protokollt. Az egyik a felhasználónál fut, a web böngésző részeként (Internet Explorer 3.0 vagy újabb verziók kezelik). A másik pedig a webszerveren (pl.: IIS 5.0), ezek összetettebb funkciókat látnak el. A titkosítási eljárás a nyilvános kulcsú titkosításon alapszik. Létezik egy nyilvános kulcs (a böngészőben), amivel kódolják az adatokat és egy privát kulcs (a szerverben) amivel pedig visszafejtik. A nyilvános kulcsot bárki használhatja, de a dekódolás csak a privát kulccsal lehetséges. Így a küldő (nyilvános kulcs) biztos lehet abban, hogy csak a fogadó képes elolvasni az üzenetet. Visszafelé pedig a nyilvános kulcsot használó biztos lehet abban, hogy a privát kulcs tulajdonosa küldte az adatokat. A kiszolgáló oldali bizonyítvány megszerzéséhez fel kell vennünk a kapcsolatot egy ezzel foglalkozó szervezettel. A "Könyvtárbiztonság" ("Directory Security") oldal "Kiszolgáló bizonyítványa" ("Server Certificate") gomb futtat egy varázslót, amely a kért adatokat összegyűjti és kérésre eljuttatja egy ilyen szervezethez.
Titkosított adatátvitel céljából kialakíthatunk Virtual Private Networking (VPN) összeköttetést is. Erről kapcsolódó cikkekben áll rendelkezésre bővebb információ.
FTP: FTP kapcsolat alatt nem használható az SSL titkosítás a VPN viszont igen.