پیکربندی IIS با رعایت مسائل امنیتی ( بخش پنجم )

آنچه تاکنون گفته شده است :
بخش اول : پیکربندیIIS
بخش دوم : نحوه تنظیم خصلت های متفاوت برنامه Internet Services Manager
بخش سوم : روش های  کنترل دستیابی به سرویس دهنده 
بخش چهارم:نحوه تنظیم و پیکربندی سرویس وب
در این بخش به نحوه تنظیم و پیکربندی سرویس 
FTP خواهیم پرداخت .
با استفاده از سرویس
FTP) File Transfer Protocol) ، سرویس گیرندگان قادر به ارسال و یا دریافت اطلاعات به / از یک سرویس دهنده FTP می باشند . با اینکه برخی از قابلیت ها و توانائی های FTP بر روی اینترنت،  توسط سرویس وب ( www ) ارائه و جایگزین شده است ولی استفاده از سرویس FTP  ، همچنان امری متداول است . پیشنهاد می گردد ، پیکربندی سرویس دهنده FTP بگونه ای انجام گردد که امکان ارسال فایل توسط سرویس گیرندگان  به سرویس دهنده ( Uploading ) از کاربران  سلب و عملا" امکان چنین فعالیتی وجود نداشته باشد . در صورتیکه با توجه به سیاست های سازمان به پتانسیل  اشاره شده نیاز باشد ، یک دایرکتوری مجزاء مثلا" با نام Incoming \  را برای دریافت فایل های ارسالی توسط سرویس گیرندگان  ایجاد و می بایست  تنظیمات  امنیتی خاصی را از منظر نوع دستیابی به آن تعریف و پیکربندی نمود. دایرکتوری فوق ، می بایست تحت نظارت و مشاهده دائم با توجه به سیاست های امنیتی تعریف شده در سازمان  قرار داشته باشد .

سازماندهای دایرکتورهای FTP
بمنظور کنترل و هدایت مناسب سرویس دهنده FTP ، پیشنهاد می گردد که دایرکتوری ها بر اساس سیاست های مشخص شده ای  برای کاربران ایجاد و سازماندهی گردند . برای دریافت فایل ، اسامی دایرکتوری ها  می بایست نشاندهنده محتویات دایرکتوری باشد . مثلا" درایورهای مربوط به دستگاهها ( Device Drivers ) می توانند بر اساس  دایرکتوری هائی سازماندهی گردند که مرتبط و هماهنگ شده با اسامی سیستم عامل مربوطه باشد . در رابطه با این نوع دایرکتوری ها ، می بایست سطح دستیابی مجاز ، فقط خواندنی ( Read only ) در نظر گرفته شود.  برای ذخیره سازی موقت فایل های ارسالی توسط سرویس گیرندگان و قبل از اینکه آنان را در دایرکتوری مستقر نمائیم که امکان Download عمومی آنان فراهم گردد ، می بایست یک دایرکتوری موقت را  ایجاد و پس از استقرار فایل های ارسالی  توسط کاربران در آن  و بررسی مسائل امنیتی ، فایل های ارسالی تائید شده  را در دایرکتوری مربوط به Download  عمومی ، مستقر نمود. دایرکتوری  موقت ،  می بایست  صرفا" دارای  مجوز نوشتن ( Write ) برای  Account مربوط به anonymous باشد . دایرکتوری FTP که برای Download نمودن کاربران پیکربندی می گردد ، صرفا" می بایست دارای مجوز "فقط خواندنی " باشد . رویکرد فوق ، ممکن است زمینه ساز مسائل اندکی نیز باشد چراکه کاربران ناشناس ( anonymous ) قادر به مشاهده فایل های Upload شده توسط سایر کاربران نمی باشند ولی این امر آنان را در مقابل تغییر و یا حذف فایل ها ،محفاظت خواهد کرد( فایل های ارسالی توسط سایر کاربران در یک دایرکتوری موقت ذخیره که سایر کاربران امکان مشاهده آن را نخواهند داشت ، پس از بررسی لازم در خصوص فایل های ارسالی و استقرار آنان توسط مدیریت سایت در دایرکتوری عمومی در نظر گرفته شده برای Download ، امکان استفاده از آنان برای سایر کاربران نیز فراهم خواهد شد )   . رویکرد فوق ، همچنین سایت FTP را در مقابل  کاربران غیر مجازی که اقدام به ارسال و ذخیره سازی نرم افزارهای غیرقانونی  و یا ابزارهای hacking  می نمایند ، حفاظت می نماید  . مدیریت سایت ، می بایست بصورت مستمر فایل های ارسالی توسط کاربران به دایرکتوری موقت  را بررسی و پس از اطمینان از مسائل امنیتی وسایر موارد مورد نظر ، آنان را دایرکتوری مختص Download، مستقر نماید . دایرکتوری فوق ، صرفا" می بایست دارای مجوز فقط خواندنی باشد  .

FTP site Tab
خصلت های موجود در این بخش مشابه خصلت های موجود در web site Tab می باشند ولی کاربرد آنان در رابطه با سرویس FTP خواهد بود .در این رابطه مدیریت سایت  می تواند ، مشخصه ای را برای سایت FTP ، کنترل تعداد اتصالات و تنظیم یک زمان ارتباط Timeout تعریف و مشخص نماید . توصیه می گردد که گزینه Enable logging انتخاب و برای مشخص نمودن زمان Timeout ، مقداری در نظر گرفته شود که اولا" باعث استفاده مطلوب و بهینه از سایت شده و ثانیا" بتوان حملات از نوع  Denial of Service  :  DoS ( غیرفعال نمودن و ایجاد اختلال در ارائه  سرویس و خدمات به کاربران مجاز) را کنترل و  تشخیص داد .

Security Accounts Tab
با استفاده از امکانات موجود در این بخش ، می توان دستیابی anonymous  و اپراتورهای سایت FTP را  مشخص و پیکربندی نمود. پیشنهاد می گردد که Allow only anonymous connections   ، انتخاب تا محدودیت دستیابی صرفا" مرتبط با اتصالات anonymous گردد . پس از انتخاب گزینه فوق ، کاربران قادر به log on نمودن با نام و رمز عبور واقعی خود نخواهند بود ( در چنین حالتی اطلاعات مربوط به account کاربر  بصورت شفاف و بدون رمزنگاری ارسال خواهد شد ) . بدین ترتیب ، سرویس دهنده FTP در مقابل برخی حملات که ممکن است از account مدیریت سیستم و یا یکی از کاربران مجاز سوءاستفاده گردد ، محفاظت خواهد شد ( account های فوق، می توانند  دارای مجوزهای خاصی در ارتباط با دستیابی به سرویس دهنده باشند ) . در این رابطه لازم است به این نکته نیز اشاره گردد که حتی با انتخاب گزینه فوق ، محدودیتی در رابطه با log on نمودن کاربران مجاز با استفاده از نام و رمز عبور مربوطه  بوجود نخواهد آمد . کاربری که به  براساس عادت  در مواجهه با نمایش پیام FTP  ، نام و رمز عبور خود را برای ورود به سایت وارد می نماید ، می بایست به این مسئله توجه نماید که حتی اگر درخواست  وی پذیرفته نگردد ، ولی با توجه به ارسال اطلاعات مرتبط با account وی بصورت شفاف و بدون اعمال هرگونه رمزنگاری،  می تواند زمینه بروز مشکلات امنیتی در ارتباط با سرویس دهنده FTP را بدنبال داشته باشد.زمانیکه کاربران بعنوان  anonymous به سایت log on می نمایند ، از آدرس پست الکترونیکی آنان بعنوان رمز عبور استفاده می گردد . سرویس دهنده FTP در ادامه از account با نام  IUSR_computername  بعنوان logon account بمنظور بررسی مجوزهای مورد نظر ، استفاده خواهد کرد . لازم است به این نکته نیز اشاره گردد که Integrated windows authentication در رابطه با سرویس FTP  وجود ندارد. در قسمت پائین پنجره مربوط به Security Accounts Tab ، امکانات لازم  بمنظور مشخص نمودن account مربوطه به مدیریت سایت FTP وجود دارد .

در این رابطه لازم است گزینه Allow IIS to control password ، بمنظور تطبیق account مربوط به anonymous و رمز عبور ( عموما" بصورت IUSR_computername ) با account ایجاد شده در بخش users مربوط به Computer management  ، انتخاب گردد . در صورتیکه IUSR_computername شامل account مربوط به anonymous نباشد ، می بایست مطمئن گردید که  account تعریف شده یک account  بر روی کامپیوتر محلی ( local computer ) است . بدین ترتیب ، در صورت عدم دستیابی به  Domain controller   ، سرویس دهنده وب قابل دسترس  خواهد بود .(در صورتیکه  account مربوط به anonymous یک domain account در نظر گرفته شده باشد ) .

Messages Tab
با استفاده از امکانات موجود در این بخش می توان سه نوع پیام را بمنظور نمایش برای کاربران  مشخص نمود: Welcome ( ورود به سایت FTP ) ، پیام Exit بمنظور خروج یک کاربر از سایـت و پیام حداکثر تعداد ارتباطات ( Maximum Connections ) . پیشنهاد می گردد که از یک پیام خوش آمد گوئی  که به شکل یک Banner  امنیتی می باشد ،استفاده  گردد .از پیام های خروجی می توان بمنظور نمایش هشدارها ئی بر اساس توقف ارتباط  کاربر استفاده  گردد . در مواردیکه حداکثر تعداد ارتباط به سایت FTP محقق می گردد ، می توان با ارائه یک پیام مناسب کاربران  را نسبت به وضعیت بوجود آمده ، آگاه نمود .

Home Directory Tab 
از امکانات موجود در این بخش بمنظور مشخص نمودن مکان ( آدرس ) محتویات ارائه شده ( یک دایرکتوری بر روی  کامپیوتر ، یک فولدر به اشتراک گذاشته شده در شبکه و یا یک URL redircetions ) استفاده می گردد. مسیر محلی  دایرکتوری ، مجوزهای دستیابی و سبک نمایش  لیست دایرکتوری که IIS برای سرویس گیرنده ارسال می نماید را نیز می توان در این بخش مشخص نمود. پیشنهاد می گردد که دایرکتوری فوق ، صرفا" دارای مجوز "فقط خواندنی"  باشد. در صورتیکه ضروری است که امکان ارسال فایل ( Upload ) در اختیار کاربران قرار گیرد،پیشنهاد می گردد دو دایرکتوری مجزای دیگر تحت دایرکتوری ftproot ، ایجاد گردد . یکی از دایرکتوری ها  دارای مجوز دستیابی "فقط خواندنی " در ارتباط با  ذخیره اطلاعات  قابل دسترس برای تمامی کاربران بمنظور download  و دایرکتوری دیگر ، دارای مجوز صرفا" " فقط نوشتن " برای ارسال فایل های کاربران بر روی سرویس دهنده FTP  باشد . ( دایرکتوری دوم صرفا" محلی موقت برای استقرار فایل های ارسالی کاربران خواهد بود ) . در ادامه یکی از مدیران سیستم ( و یا web operator ) می تواند دارای مسئولیت بررسی داده و فایل های ارسالی در دایرکتوری فوق شده و پس از حصول اطمینان از عدم وجود مسائل امنیتی و سایر موارد مرتبط ، اقدام به استقرار فایل های ارسالی در دایرکتوری اول بمنظور در اختیار گذاشتن آنان برای Download توسط سایر کاربران نماید .

Directory Security Tab
با استفاده از امکانات موجود در این بخش می توان سیاست دستیابی به سایت FTP را بر اساس آدرس های IP مشخص نمود.  در این رابطه دو گزینه وجود دارد : Granted Access و Denied Access . با انتخاب گزینه Granted Access ، تمامی کامپیوترها قادر به دستیابی به منابع موجود خواهند شد ، بجزء کامپیوترهائی  که آدرس IP آنان مشخص شده است . با انتخاب گزینه Denied Access ، صرفا" آندسته از کامپیوترهائی که آدرس IP آنان مشخص خواهد شد ، قادر به دستیابی به منابع موجود بوده و تمامی درخواست های دیگر نادیده گرفته خواهد شد . در موادریکه آدرس های IP مشخص می گردد ، سه گزینه دیگر نیز موجود می باشد : single computer  و group of computers ( در این حالت network ID و Subnet mask مشخص خواهد شد )  و یا Domain Name  ( درانتخاب گزینه فوق ، می بایست  دقت لازم را انجام داد. پس از انتخاب این گزینه ، یک پیام هشداردهنده مبنی بر کاهش کارآئی سرویس دهنده با توجه به ضرورت انجام یک DNS reverse lookup  در ارتباط با هر درخواست اتصال، نمایش داده خواهد شد) . در صورتیکه  مجموعه ای تعریف شده از کاربران وجود دارد که می بایست به آنان مجوز دستیابی به دایرکتوری ftp داده شود ، پیشنهاد می گردد، گزینه Denied Access  انتخاب گردد . بدین ترتیب ، صرفا" کامپیوترهای مشخص شده قادر به دستیابی به داده موجود بر روی دایرکتوری ftp بوده و از دستیابی دیگران جلوگیری بعمل خواهد آمد.

در بخش ششم  این مقاله ، به بررسی سرویس  Simple Mail Transfer Protocol ) SMTP) ، خواهیم پرداخت .

  
نویسنده : ali gooliof ; ساعت ۱٢:٤٩ ‎ق.ظ روز ۱۳۸٧/٢/٢
تگ ها :