پیکربندی IIS با رعایت مسائل امنیتی ( بخش دوم )

در بخش اول این مقاله، پیکربندی IIS با رعایت مسائل امنیتی تشریح  گردید . در بخش دوم ، به بررسی نحوه تنظیم خصلت های متفاوت برنامه Internet Services Manager با رعایت مسائل امنیتی خواهیم پرداخت .
کنسول مدیریتی ماکروسافت (Microsoft Management Console :MMC) ، یک برنامه رابط کاربر گرافیکی با نام کنسول را ارائه می نماید .هدف از ارائه کنسول فوق، ارائه محیط لازم بمنظور انجام تمام عملیات مدیریتی از طریق کنسول مدیریت است( تمام عملیات قابل دسترس، تابعی از کنسول مدیریت می باشند) .این نوع فرآیند ها، Snap-ins نامیده می شود . MMC خود دارای هیچگونه رفتار مدیریتی نبوده ولی محیط لازم برای Snap-ins را فراهم می نماید.بدین ترتیب کنترل مدیریتی و راهبردی محیط مربوطه ، متمرکز می گردد . در زمان نصب برنامه IIS ، یک Snap-ins با نام ISM(Internet Service Manager)  ارائه و در اختیار مدیران سیستم قرار خواهد گرفت . بمنظور فعال نمودن برنامه ISM از مسیر زیر استفاده می کنیم :

Start => Programs => Administrative Tools =>Internet Service Manager  

  شکل زیرصفحه اصلی برنامه  ISM را نشان می دهد .

معرفی برنامه ISM)Internet Service Manager)
زمانیکه برنامه IIS  فعالیت خود را آغاز می نماید،  یک کنسول MMC  اجرای خود را آغاز و بصورت خودکار Snap-in مربوط به ISM را فعال و در حافظه مستقر می نماید . صفحه مربوط به Server Properties ، دارای دو گزینه است :  Internet Information Services ( که بصورت پیش فرض فعال است ) و Server Extensions . در صفحه مربوط به IIS ، سه جعبه محاوره ای عمده وجود  دارد :

Master Properties , Enable Bandwidth Throttling , Computer MIME Map  

درمواردیکه قصد ایجاد چندین وب سایت بر روی سرویس دهنده را داشته باشیم ، تنظیم هر یک از خصلت های فوق، بسیار مفید خواهد بود . خصلت های تعریف شده، بصورت اتوماتیک به تمام وب سایت های موجود بر روی سرویس دهنده ،نسبت داده می شود( توارث) . بدین ترتیب در زمان مربوط به پیکربندی هر یک از سایت های موجود بر روی سرویس دهنده ،صرفه جوئی خواهد شد . در صورتیکه برخی از سایت ها نیازمند تنظیمات خاص خود  باشند ، می توان در زمان پیکربندی هر یک از سایت ها ، موارد دلخواه را اعمال نمود .
بمنظور دستیابی به جعبه محاوره ای خصلت اصلی مربوط به سرویس دهنده IIS ،  مراحل زیر را دنبال نمائید :

  • نام سرویس دهنده IIS را در برنامه ISM ،  انتخاب نمائید .

  • از طریق منوی Action گزینه Properties را انتخاب نمائید .

  • سرویس WWW و یا FTP را از طریق منوی مربوطه انتخاب و دکمه Edit را بمنظور پیکربندی Master Properties   سرویس مربوطه ، فعال نمائید .

سرویس WWW
از جعبه محاوره ای  Master Properties ، بمنظور تنظیم مقادیر پیش فرض برای تمام سایت های موجود بر روی سرویس دهنده استفاده می شود . با انتخاب گزینه Edit در صفحه  Master Properties ،  می توان پیکربندی عمومی  خصلت های مربوط به وب سایت( وب سایت ها )  را انجام داد . در صفحه فوق، گزینه های متفاوتی وجود دارد . چهار گزینه به خصلت هائی مربوط می گردد که دارای تاثیر امنیتی در رابطه با عملکرد یک وب سایت می باشند :

Web site ,Operators , Home Directory , Directory Security .  

  • Web site Tab . در این جعبه محاوره ای ،Enable Logging تنها آیتمی است  که با مسائل امنیتی مرتبط بوده و بصورت پیش فرض نیز فعال می باشد . با فعال بودن ( شدن ) گزینه فوق ، اطلاعات متفاوتی در رابطه با استفاده کنندگان از  تمام وب سایت های موجود بر روی سرویس دهنده ثبت می گردد .

  • Operators Tab . با استفاده از امکان فوق، می توان گروهها و یا account هائی با مجوز خاص را بمنظور انجام عملیات مدیریتی در رابطه با تمام سایت های موجود بر روی سرویس دهنده ، مشخص کرد .  در صورتیکه سرویس دهنده ، مسئولیت پشتیبانی از چندین وب سایت را برعهده داشته باشد،می بایست برای هر وب سایت، یک گروه مجزا بمنظور مدیریت محتویات ، ایجاد شود .

  • Home Directory Tab . در این محل می توان ، گزینه مربوط به ثبت (log)  ملاقات های انجام شده در رابطه با  سایت های موجود بر روی سرویس دهنده را فعال نمود . با فعال شدن  گزینه ثبت ملاقات کنندگان، می توان همواره این اطمینان را داشت که تمام سایت ها و حتی سایت هائی که بعدا" ایجاد می گردند ، بصورت پیش فرص قادر به ثبت ملاقات کنندگان خود، خواهند بود . ثبت ملاقات کنندگان، از اصول اولیه برای تشخیص رفتار مزاحمین در رابطه با وب سایت ها خواهد بود . با تنظیم گزینه فوق در این مکان ، مدیریت سرویس دهنده وب ضرورتی ندارد که برای هر سایتی که ایجاد می گردد،گزینه  ثبت ملاقات کنندگان را فعال نماید . مجوزهای Read , Write و Directory Browsing  می بایست به همان حالت پیش فرض باقیمانده و ضرورتی به  تنظیم آنها در این محل نخواهد بود . (برای هر سایتی که در آینده ایجاد می گردد ، می توان مجوزهای مربوطه را متناسب با سیاست های موجود تنظیم و پیکربندی کرد ) . مجوز Read  امکان مشاهده سایت را به ملاقات کنندگان ، مجوز Write امکان نوشتن اطلاعات در فهرستی که سایت نصب شده است و مجوز Directory Browsing  امکان مشاهده لیستی از تمام فایل های موجود در یک فهرست خاص را برای کاربر، فراهم می نماید.پیشنهاد می گردد ، در صفحه Master Properties ، تمام گزینه های فوق غیر فعال گردند ( عدم انتخاب ) . در صفحه Home Directory ، لیست مربوط به مجوزهای اجراء  نیز وجود دارد . پیشنهاد می گردد در این مقطع مقدار آن None در نظر گرفته شود . در صورت نیاز به اختصاص مجوزهای فوق ، می توان این عملیات را بصورت خاص برای برای هر یک از وب سایت های موجود بر روی سرویس دهنده انجام داد .

  • Directoty Security Tab . روش های تایید اعتبار با توجه به اینکه محدوده عملیاتی و مجاز کاربران  ( کنترل دستیابی به فایل هائی خاص ، فهرست ها و اسکریپت ها  )  را مشخص می نمایند، دارای  اهمیت زیادی می باشند .تنظیم و انتخاب روش های تایید اعتبار کاربران به نوع استفاده از سایت بر می گردد ( آیا سایت بر روی اینترنت و یا اینترانت است ؟) . بمنظور مشاهده صفحه مربوط به Authentication Methods  گزینه Edit  را از طریق ناحیه  Anonymouse access and authentications control ، انتخاب نمائید . مجوز Anonymous Access  ، می تواند  به بصورت پیش فرض در اختیار در تمام وب سایت های موجود بر روی سرویس دهنده قرارگرفته  و یا  این امکان از آنها سلب گردد. در صورتیکه سایت از طریق اینترانت و یا یک شبکه داخلی  ( یک شبکه مبتنی بر ویندوز)  استفاده می گردد، می بایست گزینه فوق، غیر فعال گردد . بدین ترتیب کاربران شبکه ، می بایست با استفاده از نام و رمز عبور مربوطه به شبکه وارد تا زمینه استفاده آنان از امکانات موجود فراهم گردد . در صورتیکه سرویس دهنده از طریق اینترنت استفاده می گردد، اکثر وب سایت ها امکان دستیابی بصورت  Anonymous را فراهم می نمایند . بجزء روش دستیابی Anonymouse ، از سه روش تایید اعتبار دیگر نیز می توان استفاده کرد :

توضیحات

روش

روش فوق، امکان حرکت و انتقال نام و رمز عبور در طول شبکه را بصورت کاملا" مشخص و متن شفاف فراهم می نماید . بدین ترتیب یک مزاحم اطلاعاتی قادر به شناسائی  account های معتبر، بمنظور نفوذ در سایت خواهد بود.

Basic Authentication

 روش فوق، برای سرویس دهندگان Windows Domain ، مشابه Basic Authentication با این تفاوت است که در مقابل استفاده از نام و رمز عبور بصور متن شفاف ، یک رمز عبور Hash شده  بمنظور ارتقاء سطح اعتبارسنجی ارسال می گرد .این روش صرفا" توسط مرورگرهائی  که HTTP 1.1 را حمایت می نمایند، قابل استفاده می باشد  ( نظیر مرورگر IE5 ) .جهت استفاده از روش فوق،  سرویس دهنده IIS  می بایست در یک Domain  ویندوز 2000 قرار داشته و رمزهای عبور در فایل های متنی و بر روی کنتترل کننده Domain  ذخیره گردند .بنابراین کنترل کننده Domain  ، می بایست بدرستی ایمن و حفاظت گردد .

Digest authentication

مشابه روش  Challange/Respones در IIS 4.0 مربوط به ویندوز NT است. روش فوق، صرفا" از طریق مرورگرهای وب شرکت ماکروسافت قابل استفاده خواهد بود .

Integrated windows authentication

انتخاب یک روش اعتبار سنجی ، مبتنی برسیاست های امنیتی تدوین شده  بوده  و نمی توان یک راه حل جامع را معرفی  تا تمام وب سایت ها از آن تبعیت نمایند .

سرویس FTP
صفحه اصلی مربوط به تنظیمات خصلت های FTP  ، دارای گزینه های بمراتب کمتری نسبت به سرویس WWW است . بمنظور فعال نمودن صفحه فوق ، از طریق IIS Server Properties  سرویس FTP را انتخاب و در ادامه دکمه Edit را فعال نمائید .

  • FTP Site Tab . پیشنهاد می گردد که امکان Logging در این بخش فعال تا اگر در آینده و در رابطه با یک سایت این موضوع فراموش گردید، با مشکلاتی مواجه نگردیم .با توجه به نوع سرویس FTP ، تعداد ارتباطات همزمان مجاز بهمراه زمان timeout را می توان در این بخش تنظیم کرد .

  • Security Tab . مشابه سرویس www ، می توان امکان دستیابی Anonymous را برای سرویس FTP در این بخش مشخص نمود . در صورتیکه سایت از طریق اینترنت استفاده می گردد وتمایل به فعال شدن مجوز دستیابی anonymous وجود داشته باشد ،  می توان آن را در این بخش تنظیم نمود . پیشنهاد می گردد که امکان Allow only anonymous connection  انتخاب گردد . عملکرد Allow IIS to control password مشابه گزینه Enable automatic password synchronization در نسخه شماره چهار IIS است . بدین ترتیب امکان یکسان سازی رمز عبور موجود در این صفحه با مقدار موجود در Computer Management ، بمنظور کنترل رمز عبور کاربران  و گروه ها انجام خواهد شد . account مربوط به IUSR_computername می بایست بر روی ماشینی که بر روی آن IIS نصب شده است موجود باشد .(وضعیت  فوق بصورت پیش فرض بوده و نباید آن را  تغییر داد)  . از یک نام و رمز عبور تعریف شده در Domain ویندوز بمنظور FTP استفاده نمی گردد . دومین بخش صفحه فوق، شامل لیستی بمنظور مشخص نمودن FTP site operators است . معرفی و مشخص نمودن گروه و یا  account  مربوطه با مجوزهای لازم بمنظور انجام عملیات مدیریتی برای تمام سرویس دهندگان FTP موجود بر روی سرویس دهنده در این بخش انجام می شود.در زمان پیکربندی یک سایت، گروه و account  ایجاد شده،  بصورت اتوماتیک مشمول سایت جدید شده  ( از لیست گروه و کاربران مجاز که قبلا" ایجاد شده اند ، می توان در رابطه با سایت جدید نیز استفاده کرد ) و می توان به لیست تعریف شده ، گروه و یا کاربران جدیدی را اضافه و یا حذف نمود . در صورتیکه سرویس دهنده ، مسئول پاسخگوئی به چندین سایت FTP است ، پیشنهاد می گردد  برای هر سایت،  یک گروه مدیریتی جداگانه ایجاد تا امکان مدیریت محتویات سایت برای مسئول مربوطه فراهم گردد .

  • Home Directory Tab . در این محل صرفا" یک گزینه مرتبط با مسائل امنیتی وجود دارد:  Log visits . گزینه فوق، خوشبختانه بصورت پیش فرض فعال است . پیشنهاد می گردد گزینه فوق به همین وضعیت باقی بماند . ثبت ملاقات کنندگان سایت روشی مناسب بمنظور تشخیص رفتار مزاحمین و سایر موارد مشابه در رابطه با مهاجمان اطلاعاتی است . .

  • Directory Security Tab . در این بخش امکان تعریف محدودیت دستیابی بر اساس  TCP/IP ،  وجود دارد .در این راستا می توان،  امکان دستیابی به سرویس دهنده را برای تمام کامپیوترها فراهم  و یا این امکان را از آنها سلب نمود. در صورتیکه سرویس دهنده از طریق اینترنت استفاده می گردد، مدیریت سایت می بایست امکان دستیابی به تمام کامپیوترها  را انتخاب نماید ( مقدار پیش فرض ) در صورتیکه سایت بصورت اینترانت استفاده می گردد ، می توان از رویکرد اشاره شده در رابطه با اینترنت استفاده و یا لیستی از کاربران و گروهها ی مجاز را بمنظور دستیابی به سایت مشخص نمود . در چنین حالتی، گزینه Denied Access انتخاب و در لیست مربوطه (Except ) ،  کاربران و گروه های مجاز مشخص می گردند .

Server Property Server Extensions 
دومین بخش صفحه Master Properties به Server Extensions بر می گردد . IIS ،امکان نشراطلاعات از راه دور را فراهم می نماید. ویژگی فوق،  برای برنامه FrontPage مناسب است . بدین ترتیب  یک مولف، قادر به ایجاد تغییرات لازم در رابطه با یک صفحه وب و ارسال آن بر روی سرویس دهنده ،از راه دور می باشد . وضعیت فوق از لحاظ امنیتی یک ریسک بشمار می رود . در این بخش می توان تنظیمات لازم را بمنظور  بهره برداری از ویژگی فوق، انجام داد . گزینه های موجود در این بخش که به مسائل امنیتی مرتبط می باشند، در ناحیه Permission قرار دارند.در صورت استفاده از  ویژگی فوق، می بایست گزینه های Log authoring actions  ,Require SSL for authoring و Manage Permissinos manually فعال گردند .

  • Log authoring actions . با انتخاب و فعال نمودن گزینه فوق ، اطلاعات متنوعی در رابطه با فرد ارسال کننده اطلاعات ، نظیر: نام ارسال کننده ، زمان ارسال،  نام وب میزبان از راه دور و موارد دیگر، ثبت می گردد .

  • Manage permissions manually . تنظیمات مربوط به ابزارهای مدیریتی FrontPage server extension ( نظیر FronPage MMC) را غیر فعال می نماید . بنابراین ابزارهای فوق ، قادر به تغییر و اصلاح تنظیمات امنیتی مربوط به سایت انتخاب شده نخواهند بود. بمنظور اطمینان از اینکه افراد دیگر ( مدیریت و یا سایر کاربران ) امکان تغییر تنظیمات امنیتی را نخواهند داشت ، توصیه می گردد حتما" گزینه فوق،  فعال تا امکان تنظیمات امنیتی سیستم از برنامه های مربوطه،  سلب گردد . 

  • Require SSL for authoring . با انتخاب گزینه فوق ، نشر اطلاعات برروی سایت، با استفاده از پروتکل SSL انجام و یک سطح امیدوارکننده از لحاظ امنیتی را شاهد خواهیم بود .

  • Allow authors to upload Executables . این امکان را به مدیران مربوطه  خواهد داد که اسکریپت ها و یا فایل های اجرائی را برای اجراء بر روی سرویس دهنده ، ارسال نمایند . گزینه فوق می بایست غیر فعال شده باقی بماند .

خلاصه
جدول زیر خلاصه تنظیمات Master Properties  در رابطه با سرویس WWW ,FTP و Server Extension را با رعایت مسائل ایمنی نشان می دهد :

تنظیمات پیشنهادی برای خصلت های اصلی WWW

Web site Tab

Enable logging

Home directory Tab

Disable  Read, Write, Directory browsing options
Enable Log visits
None = Execute Permissions drop down box

Directory security Tab

If  will NOT allow Anonymous access, Disable
Anonymous access
Else Enable it.

تنظیمات پیشنهادی برای خصلت های اصلی FTP

FTP site Tab

Set  number of connections for max users on FTP server
Set maximum seconds for timeout , 600 seconds is reasonable
Enable logging

Home directory Tab

Enable  Log visits

Security Accounts  Tab

Enable  Allow Anonymous Connections
Enable  Allow only anonymous connections

تنظیمات پیشنهادی برای خصلت های اصلی Server Extensions

Enable Log authoring actions
Enable Require SSL for authoring
Enable manage permissions manually
Disable Allow authors to upload executable

در بخش سوم این مقاله  به بررسی نحوه پیکربندی و مدیریت سرویس های متفاوت IIS با رعایت مسائل امنیتی خواهیم پرداخت .

  
نویسنده : ali gooliof ; ساعت ۱٢:٤٧ ‎ق.ظ روز ۱۳۸٧/٢/٢
تگ ها :