Jak zabezpečit web na lokále proti přístupu ze sítě (IIS)
Zdravím, používám na lokále web s dosti citlivými daty (web-based aplikace) a nechci, aby se na to někdo připojil ze sítě. Kromě firewallu na routeru a v systému (ZoneAlarm Pro) to chci ještě nějak zabezpečit ve webserveru IIS, je to na NTB a občas se s tím připojuji v cizích sítích (např. škola), takže, kdyby sw firewall nějak selhal...
Je to na stroji s Win XP Pro SP2, IIS verze 5.1, NTFS.
V ISS jsem vypnul anonymní přihlašování v daném virtuálním adresáři a chtěl dát integrované ověřování, ale nevím proč, přes to mi to nejde (chyba 'Server nebyl nalezen'). Tak jsem dal základní ověřování, to je OK, ale obtěžuje to dialogem jménem/heslem, který se musí odklepnout (to je samozřejmě OK, ale chtěl bych, aby lokální uživatel se tam dostal bez ptaní). Jak to nastavit? Napadlo mě, že asi u toho integrovaného přihlašování nemá přihlášený uživatel nějaká práva, ale je ve skupinách Administrators a Debugger Users, což by mohlo být OK...
P.S. Ve firewallu (ZoneAlarmPro) mám všechny zóny jako Internet, kromě vyjmenovaných IP, které mám Trusted (přpojuji se na tento systém ještě z virtuální strojů VMware) a pro program IIS mám zákázán přístup ze zóny Internet. Takže z VM s IP v Trusted se na ten web dostanu. To jen pro upřesnění, jak to je ve firewallu, ale chtěl bych to mít posichrované i v rámci IIS.
To nevím proč nefunguje..
Basic autentikace není NT autentikace (výše), takže to z principu nepůjde.
Mimo firewallu (nevím zda bych personální FW nazval firewallem vhodným na zabezpečení systému, kde je více naslouchajících serverových služeb) se dá další úroveň zabezpečení nastavit pomocí IPSEC pravidel a mimoto ještě v iis lze nastavit rozsah povolených adres pro daný virtuální adresář.
NEvím ale jestli paranoia není na špatné straně - předpokládám že data jsou v databázi ne v souborech na IIS tudíž zabezpečení by mělo proběhnout také na úrovni databáze. Pokud je dazabáze souborová tak musí být zabezpečená služba server a práva na discích.
Díky za odpověď.
To integrované ověřování mi vrtá hlavou, taky jsem si myslel, že by to mělo být v pohodě, kdo ví, čím to je.
ZoneAlarm mám jako zálohu, hlavně pro řízení komunikace programům a pro případy, kdy budu připojen v cizí síti (je to notebook). Drtivou většinu času jsem ale připojen ve vlastní LAN, která je zvenku chráněna firewallem v NAT routeru. Vyjma viditelného (zavřeného) portu 113 (IDENT) u kterého nevím, jak to nastavit na Adaptive stealthing/unstealthing (ZoneAlarm by to měl umět, ale nenašel jsem to tam) jsem dle testů na webu "neviditelný" (např. testy ShieldsUP!).
IPSEC nevím o co jde, ale zkusím se na to podívat.
SQL Server mi běží jen v lokálním režimu přes Shared Memory (roury i TCP/IP vypnuty).
Se zabezpečením práv na discích nevím, používám sdílení ve Win XP, zebezpečení toho sdílení je nastaveno na skupinu Everyone. Účty Guest a HelpAssistant jsou zablokovány.
Speciální práva na adresáře či soubory jsem nikdy nenastavoval.