پیکربندی IIS با رعایت مسائل امنیتی ( بخش چهارم )

آنچه تاکنون گفته شده است :
بخش اول: پیکربندیIIS
بخش دوم : نحوه تنظیم خصلت های متفاوت برنامه Internet Services Manager
بخش سوم: روش های  کنترل دستیابی به سرویس دهنده 
در بخش چهارم به بررسی نحوه تنظیم و پیکربندی سرویس وب خواهیم پرداخت .
بمنظور پیکربندی وب سایت ، برنامه
ISM را فعال و در ادامه بر روی وب سایت مورد نظر مستقر و با فشردن دکمه سمت راست موس ، گزینه Properties را انتخاب نمائید . در ادامه جعبه محاوره ای  مربوط به پیکربندی  وب سایت نمایش  و امکان انجام تنظیمات مورد نظر فراهم خواهد شد . در ادامه به تشریح هر یک از امکانات موجود در این بخش خواهیم پرداخت .

- Web site Tab : در این بخش می توان تنظیمات زیر را انجام داد :

  • Web site Identification . در این بخش می توان یک مشخصه ( نام نسبت داده شده به وب سایت قابل استفاده در زمان نمایش  درخت ISM ) را برای وب سایت تعریف نمود. همچنین در این بخش می توان آدرس IP مربوط به اینترفیس کارت شبکه  مسئول پاسخگوئی به سایت ، یک پورت TCP و پورت SSL  را مشخص نمود. در بخش Advanced options ، می توان چندین نام domain و یا host header را به یک آدرس IP ، نسبت داد ( mapping ) .

  • Connections . گزینه فوق، امکان اعمال محدودیت در رابطه با تعداد دستیابی همزمان به یک وب سایت را فراهم می نماید . با استفاده از گزینه های موجود در این بخش می توان، یک زمان Timeout را مشخص کرد. پیشنهاد می گردد ، گزینه فوق انتخاب و مقدار مورد نظر به آن نسبت داده شود تا پیشگیری لازم در خصوص تهاجم اطلاعاتی از نوع غیر فعال کردن سرویس ، ایجاد گردد.

  • Enable Logging .پیشنهاد می گردد که  گزینه فوق ، فعال گردد. پس از فعال شدن گزینه فوق،اطلاعات مربوط به ملاقات کنندگان سایـت،ثبت خواهد شد.

Operators Tab . در این بخش می توان تنظیمات زیر را انجام داد :

  • Web Site Operators . از امکانات موجود در این بخش می توان  بمنظور مشخص نمودن گروه / کاربران  مورد نظر ، جهت مدیریت وب سایت، استفاده کرد. Account فوق ، می بایست یک گروه باشد ( در صورتیکه سرویس دهنده در یک domain باشد ) . account های موجود  در گروه ضرورتی به  دارا بودن مجوزهای مدیریتی نخواهند داشت . اپراتورها ، صرفا"  قادر به اعمال تغییرات  در رابطه با خصلت هائی می باشند که  محدوده اثر آنان همان وب سایت ، خواهد بود . این نوع کاربران قادر به دستیابی به خصلت هائی که مربوط به عملکرد تمام IIS ،سرویس دهنده ویندوز 2000 که IIS را میزبان نموده و یا شبکه ای که سیستم بر روی آن اجراء می گردد  ، نخواهند بود.  نمونه عملیاتی را که یک اپراتور وب می تواند انجام دهد ، عبارتند از :
    - مدیریت محتویات وب ( تغییر ، اضافه و حذف )
    - فعال نمودن
    Logging
    - تغییر اسناد پیش فرض وب
    - تنظیم مجوزهای دستیابی سرویس دهنده وب
    کاربرانی که عضوء گروه
    Administrators ویندوز 2000 می باشند ، قادر به انجام عملیات مرتبط با IIS ، زیر خواهند بود :
    - تغییر در ایزولاسیون برنامه  ( جدا سازی برنامه )
    - ایجاد دایرکتوری های مجازی و یا تغییر مسیر آنان
    - تغییر نام و رمز عبور
    Anonymous
    - تغییر مشخصه و یا پیکربندی یک وب سایـت

Home Directory Tab . با استفاده از امکانات موجود در این بخش می توان ، تنظیمات متعددی را انجام داد . تنظیمات مربوط به  کنترل عرضه محتویات وب  ، مجوزهای دستیابی ، پیکربندی و اشکال زدائی ASP ، نمونه هائی در این زمینه می باشند. تمامی تنظیمات مرتبط با امنیت از طریق A directory located on this computer  ، پوشش داده می شوند.

Access Permissions . مجموعه مجوزهای موجود در این محل می بایست با مجوزهای NTFS  مطابقت نمایند . عملیات مربوط به پیکربندی دایرکتوری ها و تعریف مجوزهای مناسب برای سایت ها ، با عنوان :" عملیات قبل ازنصب " در  بخش  اول این مقاله اشاره گردید .
کنترل محتویات : در این رابطه می توان تنظیمات زیررا انجام داد :

  • Script Source access . با انتخاب گزینه فوق ، کاربران قادر به دریافت فایل های Source خواهند بود.  در صورتیکه گزینه Read انتخاب گردد ، کاربران قادر به خواندن Source  و در صورتیکه Write انتخاب گردد ، امکان بازنویسی Source در اختیار کاربران قرار خواهد گرفت  . Script Source access  ، شامل دستیابی به Source  اسکریپت ها نظیر اسکریپت های استفاده شده در یک برنامه ASP است . پیشنهاد می گردد ، گزینه فوق به همان صورت پیش فرض ( انتخاب نشده ) باقی بماند . ویژگی فوق،  صرفا" در زمانیکه قصد نشر و ارائه اطلاعات از راه دور را داشته باشیم ، مفید و ضروری خواهد بود ( نظیر WebDAV )

  • Directory browsing . با انتخاب گزینه فوق ، لیستی از دایرکتوری ها و فایل های موجود بر روی سیستم  بصورت hypertext  ، برای کاربران نمایش داده خواهد شد.پیشنهاد می شود ، گزینه فوق فعال نگردد.

  • Log visits . پیشنهاد می گردد ، گزینه فوق فعال باشد( بصورت پیش فرض فعال است) . با فعال شدن گزینه فوق ، اطلاعات مربوط به  تمامی کاربران ( ملاقات کنندگان سایت )   ثبت خواهد شد.

- Application Settings . یک برنامه ، دایرکتوری ها و فایل های موجود بهمراه  یک دایرکتوری  است که  نقطه شروع برنامه  را مشخص می نماید.در این بخش می توان تنظیمات زیر را انجام داد :

  • Application protection . گزینه فوق باعث ایزوله نمودن یک برنامه مبتنی بر وب از طریق استقرار آن در مکانی متمایز از سایر برنامه ها و سرویس دهنده وب ، می گردد . پیشنهاد می گردد ، مقدار گزینه فوق ، medium و یا high در نظر گرفته شود. در صورتیکه مقدار medium انتخاب گردد ، حفاظت اعمال شده باعث پیشگیری برنامه ها از مسائل بوجود آمده تصادفی و سهوی مرتبط  با نرم افزار سرویس دهنده وب ، خواهد شد. در صورتیکه مقدار گزینه فوق ، high در نظر گرفته شود ، برنامه بطورکامل در فضائی جداگانه از حافظه اجراء و در این حالت بر روی سایر برنامه ها تاثیر نخواهد گذاشت .

  • Execute Permissions . تنظیمات موجود در این بخش ، اجراء برنامه های موجود در دایرکتوری را کنترل می نمایند . در این رابطه می توان از تنظیمات زیر استفاده کرد :
    -
    none . باعث ممانعت در اجرای  برنامه ها و یا اسکریپت ها می گردد .
    -
    Scripts . محدودیت اجراء در رابطه با اسکریپت ها اعمال خواهد شد ( انشعابات فایلی که قبلا" به برنامه های اسکریپت ، نسبت داده شده اند ) . دایرکتوری هائی که مجوز فوق ، به آنها داده می شود، می بایست ، امکان  Read  مربوط به  کاربران ناشناس ( Anonymouse ) ، از آنها سلب گردد. در صورتیکه مجوز Read به account فوق ، داده شود، امکان مشاهده اطلاعات همراه در اسکریپت ها ، برای کاربران فراهم خواهد شد.( برخی از اطلاعات ممکن است حساس باشند نظیر : رمز عبور )
    -
    Scripts and Executables . گزینه فوق، امکان اجرای هر نوع برنامه ای ( اسکریپت و فایل های باینری نظیر فایل های exe . و یا dll .) را فراهم می نماید . در زمان واگذاری مجوز فوق ، می بایست حساسیت خاصی را مد نظر داشت . مجوز فوق، صرفا" می بایست در رابطه با دایرکتوری هائی واگذار گردد  که از فایل های باینری موجود  در آنان سرویس دهنده وب استفاده می نماید. در صورتیکه کاربران سایت نیازمند مجوز فوق در رابطه با یک دایرکتوری خاص می باشند ، مطمئن شوید که آنان دارای مجوز write مربوط به NTFS در ارتباط با کاربران anonymous سایت مورد نظر نخواهند بود  . مجوز فوق ، شرایط لازم برای استقرار کدهای اجرائی بر روی سرویس دهنده را فراهم و ممکن است کدهای فوق ، کدهای مخربی باشند که زمینه  شروع یک تهاجم اطلاعاتی را فراهم نمایند.

- Application Configuration  . برای تنظیم جزئیات بیشتر مرتبط با  برنامه ها ، می توان از امکان ( دکمه ) Configuration  استفاده کرد . در ادامه یک جعبه محاوره ای جداگانه نمایش که دارای گزینه های :App Mappings , App Options , App Debugging و Process Options ( در صورتیکه مقدار High در رابطه با application protection انتخاب شده باشد ) .  است .

  • App options Tab . از طریق امکانات موجود در این بخش می توان ، اقدام به پیکربندی وب سایت ، دایرکتوری مجازی و  level دایرکتوری نمود . 
    -
    Enable session state  و Session timeout  . با  انتخاب گزینه فوق ، ASP برای هر کاربری که به برنامه ASP دستیابی پیدا می نماید یک Session ایجاد می نماید . بدین ترتیب امکان تشخیص  کاربر در بین چندین صفحه ASP موجود در برنامه ، فراهم می گردد . زمانیکه کاربر صفحه ای را درخواست ننماید و یا صفحه را در مدت زمان تعریف شده ( Session timeout ) ، بازخوانی ( Refresh )  ننماید ، Session  متوقف خواهد شد .
    - با مقداردهی
    ASP Script timeout ، در صورتیکه یک اسکریپت در زمان تعریف شده اجرای خود را به اتمام نرساند ، یک entry در Event log ویندوز 2000 ایجاد و به اجرای اسکریپت خاتمه داده می شود . تنظیم مقدار Timeout باعث پیشگیری از بروز تهاجم اطلاعاتی از نوع غیر فعال نمودن سرویس می گردد ( انکار سرویس )
    - پیشنهاد می گردد ، گزینه
    Enable parent paths ، غیر فعال باشد . بدین ترتیب اسکریپت های ASP امکان استفاده از مسیرهای Relative نسبت به دایرکتوری مادر دایرکتوری جاری را نخواهند داشت . ( گرامر " .. " ) . در صورتیکه  دایرکتوری مادر امکان Execute را فراهم نموده باشد ، یک اسکریپت می تواند تلاشی را در جهت اجرای یک برنامه غیر مجاز در دایرکتوری مادر ، آغاز نماید..

  • Process Options Tab . در این رابطه گزینه Write Unsuccessful client requests to event log  ( صرفا" در حالتیکه ایزولاسیون High در رابطه با حفاظت برنامه انتخاب شده باشد) ، ارائه خواهد شد .

- Documents Tab . پیشنهاد می گردد ، مدیریت سیستم ( شبکه ) همواره یک سند پیش فرض را مشخص تا تمامی کاربران در زمان دستیابی به سایت آن را مشاهده نمایند. بدین ترتیب از نمایش ناخودآگاه ساختار دایرکتوری ، پیشگیری بعمل می آید . وضعیت فوق زمانی انجام خواهد شد که گزینه Directory browsing فعال شده باشد .

- Directory Security Tab . خصلت های امنیتی را می توان در رابطه با وب سایت ، دایرکتوری ، دایرکتوری مجازی و یا Level  فایل ، اعمال نمود.

  • Anonymous access and Authenticated access ، در رابطه با گزینه فوق در بخش دوم مقاله ، توضیحاتی ارائه گردیده است .

  • IP Address and Domain Name Restrictions ، مدیران سیستم می توانند با استفاده از گزینه فوق ، کاربران مجاز به  استفاده از وب سایت را  بر اساس آدرس IP مربوطه ، مشخص نمایند. در این رابطه دو گزینه ارائه می گردد : Granted Access و Denied Access . با انتخاب گزینه Gtanted Access ، تمامی کامپیوترها،  مجاز به استفاده از منابع موجود بر روی سیستم خواهند بود بجزء آنهائیکه آدرس IP آنان مشخص شده است . Denied Access ، امکان  دستیابی به منابع سیستم را صرفا" ( فقط) برای کامپیوترهائی که آدرس IP آنان مشخص شده است ، میسر می سازد . در چنین حالتی درخواست های دریافتی از سایر کامپیوترها ، نادیده گرفته خواهد شد . زمانیکه آدرس های IP  را مشخص می نمائیم ، دارای سه گزینه دیگر خواهیم بود: Single Computer ، در این حالت مدیریت شبکه ( سیستم ) صرفا" یک آدرس IP را مشحص می نماید . Group of computers ، در این حالت مدیریت network ID و Sbunet mask را مشخص و در زمانیکه Domain name انتخاب می گردد ، یک پیام هشداردهنده نمایش داده می شود . (انتخاب فوق باعث کاهش کارآئی سیستم خواهد شد) . در چنین حالتی برای هر درخواست اتصال ، می بایست از DNS Reverse lookup ، استفاده گردد .

  • Secure Communications ، از گزینه فوق ، بمنظور پیکربندی ویژگی های SSL قابل دسترس بر روی سرویس دهنده وب ، استفاده می گردد . با انتخاب گزینه فوق ، تمامی ترافیک بین سرویس گیرنده و سرویس دهنده بصورت رمز شده انجام خواهد شد . پس از پیکربندی لازم ، ملاقات کنندگان سایت ، می بایست از مرورگرهائی استفاده نمایند که از Secure Communications ، حمایت می نمایند. ( جزئیات مربوطه در مقالات آتی ارائه می گردد ) .

- Server Extensions Tab .  برنامه IIS 5.0 ، امکان تولید و نشر اطلاعات از راه دور را فراهم می نماید. پیشنهاد می گردد ، برای هر یک از وب سایت های موجود بر روی سرویس دهنده IIS ،  گزینه enable authoring ، غیر فعال گردد . ویژگی فوق ، امکان تغییر در یک صفحه وب و در نهایت Upload نمودن آن  بر روی وب سایت را  در اختیار برنامه  Frontpage  ، قرار خواهد داد .

در بخش پنجم این مقاله ، به بررسی سرویس FTP ، خواهیم پرداخت

  
نویسنده : ali gooliof ; ساعت ۱٢:٤۸ ‎ق.ظ روز ۱۳۸٧/٢/٢
تگ ها :