Защита серверов Adobe Connect и баз данных

Для подключений Adobe Connect используется несколько закрытых служб TCP/IP. Эти службы открывают несколько портов и каналов, которые должны быть защищены от внешних пользователей. Для работы Adobe Connect необходимо, чтобы важные порты были защищены брандмауэром. Брандмауэр должен поддерживать проверку пакетов с сохранением информации о них (не ограничиваясь только фильтрацией пакетов). В брандмауэре отклоните все службы по умолчанию за исключением тех, которые разрешены в явной форме. Брандмауэр должен быть, по крайней мере, двухканальным (иметь два или более сетевых интерфейса). Такая архитектура помогает предотвратить обход защиты брандмауэра, осуществляемый несанкционированными пользователями.

Самым простым способом защиты Adobe Connect является блокировка всех портов сервера за исключением портов 80, 1935 и 443. Внешнее аппаратное устройство брандмауэра обеспечивает защиту от пробелов в операционной системе. Можно настроить слои аппаратных брандмауэров на формирование демилитаризованных зон. При обновлении сервера вашим ИТ-отделом с помощью новейших исправлений для обеспечения безопасности Microsoft можно настроить программный брандмауэр на включение специальной защиты.

Доступ к интрасети

При необходимости предоставления для пользователей доступа к Adobe Connect в интрасети разместите серверы Adobe Connect и базу данных Adobe Connect в отдельной подсети, отделенной брандмауэром. Сегмент внутренней сети, в котором установлен Adobe Connect, должен использовать закрытые IP-адреса (10.0.0.0/8, 172.16.0.0/12 или 192.168.0.0/16), чтобы еще больше усложнить для злоумышленника задачу направления трафика к открытому IP-адресу и отслеживания внутреннего IP-адреса, полученного с помощью NAT. Дополнительные сведения см. в серии документов RFC 1918 («Рабочее предложение»). При данной конфигурации брандмауэра должны учитываться все порты Adobe Connect и наличие у них настройки для входящего и исходящего трафика.

Защита сервера базы данных

Если для базы данных и Adobe Connect роль ведущего узла выполняет один и тот же сервер, убедитесь, что база данных защищена. Компьютеры, выполняющие роль ведущего узла для базы данных, должны находиться в защищенном месте. К особым мерам предосторожности относятся следующие.

• Установите базу данных в защищенной зоне интрасети.

• Никогда не подключайте базу данных напрямую к Интернету.

• Регулярно создавайте резервные копии данных и храните их в защищенном местоположении вне рабочего места.

• Установите новейшие «заплаты» для сервера базы данных.

• Используйте надежные подключения SQL.

Сведения о защите SQL Server см. на веб-сайте обеспечения безопасности Microsoft SQL.

Создание учетных записей службы

Создание учетной записи службы для Adobe Connect позволяет повысить уровень защиты Adobe Connect при его использовании. Компания Adobe рекомендует создать учетную запись службы, а также учетную запись SQL Server Express Edition для Adobe Connect. Дополнительные сведения приведены в статьях компании Microsoft «Изменение учетной записи службы SQL Server или агента SQL Server без использования SQL Enterprise Manager в SQL Server 2000 или диспетчера конфигурации SQL Server в SQL Server 2008» и «Защита служб и учетных записей служб и инструкции по планированию».

Создание учетной записи службы

Создание учетной записи службы SQL Server Express Edition

Обеспечение защиты установок одиночного сервера

Следующая процедура объединяет в себе процессы установки и обеспечения защиты Adobe Connect на одиночном компьютере. Предполагается, что база данных устанавливается на тот же компьютер, и что пользователи осуществляют доступ к Adobe Connect через Интернет.

Установка брандмауэра.

Поскольку пользователям разрешено подключаться к Adobe Connect через Интернет, сервер открыт для атак со стороны злоумышленников. С помощью брандмауэра можно блокировать доступ к серверу и управлять процессом взаимодействия между Интернетом и сервером.

Настройка брандмауэра.

Установив брандмауэр, настройте его следующим образом.

• Порты для адаптеров телефонии Arkadin или InterCall: 9080 или 9443.

• Входящие порты (из Интернета): 80, 443, 1935.

• Исходящие порты (к почтовому серверу): 25.

• Используйте только протокол TCP/IP.

  Поскольку база данных расположена на том же сервере, что и Adobe Connect, нет необходимости открывать в брандмауэре порт 1434.

Установка Adobe Connect.

Проверка работы приложений Adobe Connect.

Установив систему Adobe Connect, убедитесь, что она работает должным образом как из Интернета, так и из локальной сети.

Проверка брандмауэра.

Установив и настроив брандмауэр, удостоверьтесь, что он работает надлежащим образом. Проверьте брандмауэр, сделав попытку использовать заблокированные порты.

Обеспечение защиты кластеров

(Многосерверные) системы кластеров по своему существу сложнее односерверных конфигураций. Кластер Adobe Connect можно разместить в центре обработки данных или в нескольких территориально распределенных центрах сетевых операций. Можно установить и настроить серверы, выполняющие роль ведущего узла для Adobe Connect, в нескольких местоположениях и синхронизировать их посредством репликации базы данных.

Далее приведены важные замечания, касающиеся обеспечения защиты кластеров.

Самым простым решением для кластеров, расположенных в одном месте, является создание для системы Adobe Connect дополнительной подсети. Это направление предлагает высокий уровень защиты.

Для серверов Adobe Connect, расположенных в кластере, но совместно с другими серверами использующих открытую сеть, может быть целесообразным наличие на каждом отдельном сервере программного брандмауэра.

В многосерверных установках, выполняющих роль ведущего узла для Adobe Connect в разных физических местоположениях, для взаимодействия с удаленными серверами может потребоваться использование зашифрованного канала. Многие поставщики программного и аппаратного обеспечения для обеспечения защиты взаимодействия с отдаленными серверами предлагают технологию виртуальной частной сети. Adobe Connect полагается на эту внешнюю защиту, когда трафик данных должен быть зашифрован.