عنوان
|
نويسنده
|
مشاهده
|
تعداد
آراء |
امتياز
|
پيکربندی IIS با رعايت مسائل امنيتی ( بخش پنجم ) |
مديريت شبکه |
23465 |
42 |
3.2 |
با توجه به جایگاه داده در عصر حاضر و لزوم نگاه جامع به این مقوله مهم ، بر آن شدیم تا محوریت فعالیت های خود را بر روی این موضوع متمرکز نمائیم . از این رو گروه فابک با شعار فناوری اطلاعات برای کسب وکار شکل گرفت و خدمات خود را از طریق سایت www.fabak.ir به مخاطبان محترم عرضه می نماید
 |
پيکربندی IIS با رعايت مسائل امنيتی
پيکربندی IIS با رعايت
مسائل امنيتی ( بخش
پنجم )
آنچه تاکنون گفته شده است :
بخش اول
: پيکربندیIIS
بخش دوم
: نحوه تنظيم خصلت های متفاوت برنامه Internet Services
Manager
بخش سوم
: روش های کنترل دستيابی به سرويس دهنده
بخش چهارم
:نحوه تنظيم و پيکربندی سرويس وب
در اين بخش به نحوه تنظيم و پيکربندی سرويس FTP
خواهيم پرداخت .
با استفاده از سرويس FTP) File Transfer Protocol)
، سرويس گيرندگان قادر به ارسال و يا دريافت اطلاعات به / از يک سرويس دهنده
FTP می باشند . با اينکه
برخی از قابليت ها و توانائی های
FTP بر روی اينترنت، توسط سرويس وب (
www ) ارائه و جايگزين شده است ولی استفاده از سرويس
FTP ، همچنان امری متداول است . پيشنهاد می گردد
، پيکربندی سرويس دهنده
FTP بگونه ای انجام گردد که امکان ارسال فايل توسط سرويس
گيرندگان به سرويس دهنده
( Uploading ) از کاربران سلب و
عملا" امکان چنين فعاليتی وجود نداشته باشد . در صورتيکه با توجه به سياست های
سازمان به پتانسيل اشاره شده نياز باشد ، يک دايرکتوری مجزاء مثلا" با نام
Incoming \ را برای
دريافت فايل های ارسالی توسط سرويس گيرندگان ايجاد و
می بايست تنظيمات امنيتی
خاصی را از منظر نوع دستيابی به آن تعريف و پيکربندی نمود. دايرکتوری فوق ، می
بايست تحت نظارت و مشاهده دائم با توجه به سياست های امنيتی تعريف شده در سازمان
قرار داشته باشد .
سازماندهای
دايرکتورهای FTP
بمنظور کنترل و هدايت مناسب سرويس دهنده FTP
، پيشنهاد می گردد که دايرکتوری ها بر اساس سياست های مشخص شده ای برای
کاربران ايجاد و سازماندهی گردند . برای دريافت فايل ، اسامی دايرکتوری
ها می بايست نشاندهنده محتويات دايرکتوری باشد . مثلا" درايورهای
مربوط به دستگاهها ( Device Drivers ) می توانند بر اساس
دايرکتوری هائی سازماندهی گردند که مرتبط و هماهنگ شده با اسامی سيستم عامل مربوطه
باشد . در رابطه با اين نوع دايرکتوری ها
، می بايست سطح دستيابی مجاز ، فقط خواندنی ( Read only ) در نظر گرفته شود.
برای ذخيره سازی موقت فايل های ارسالی توسط سرويس گيرندگان و قبل از
اينکه آنان را
در دايرکتوری مستقر نمائيم که امکان Download عمومی آنان
فراهم گردد ، می بايست يک دايرکتوری
موقت را ايجاد و
پس از استقرار فايل های ارسالی
توسط کاربران در آن و بررسی مسائل امنيتی ،
فايل های ارسالی تائيد شده را
در دايرکتوری مربوط به Download
عمومی ، مستقر نمود.
دايرکتوری موقت
، می بايست صرفا" دارای مجوز نوشتن (
Write ) برای Account مربوط
به anonymous باشد . دايرکتوری FTP
که برای Download نمودن کاربران پيکربندی می گردد ،
صرفا" می بايست دارای مجوز "فقط خواندنی " باشد . رويکرد فوق ، ممکن است زمينه ساز
مسائل اندکی نيز باشد چراکه کاربران ناشناس ( anonymous
) قادر به مشاهده فايل های Upload شده توسط ساير کاربران
نمی باشند ولی اين امر آنان را در مقابل تغيير و يا حذف فايل ها
،محفاظت خواهد کرد( فايل های ارسالی توسط ساير کاربران در يک دايرکتوری موقت ذخيره
که ساير کاربران امکان مشاهده آن را نخواهند داشت ، پس از بررسی لازم در خصوص فايل
های ارسالی و استقرار آنان توسط مديريت سايت در دايرکتوری عمومی در نظر گرفته شده
برای Download ، امکان استفاده از آنان برای ساير
کاربران نيز فراهم خواهد شد ) . رويکرد فوق ، همچنين سايت
FTP را در مقابل کاربران غير مجازی که اقدام به
ارسال و ذخيره سازی نرم افزارهای غيرقانونی و يا ابزارهای
hacking می نمايند ، حفاظت می نمايد . مديريت سايت
، می بايست
بصورت مستمر فايل های ارسالی توسط کاربران به
دايرکتوری موقت
را بررسی و پس از اطمينان از مسائل امنيتی وساير موارد مورد نظر ، آنان را
دايرکتوری مختص Download، مستقر نمايد . دايرکتوری
فوق ، صرفا" می بايست دارای مجوز فقط خواندنی
باشد .
FTP site Tab
خصلت های موجود در اين بخش مشابه خصلت های موجود در
web site Tab می باشند ولی کاربرد آنان در رابطه با
سرويس FTP خواهد بود .در
اين رابطه مديريت سايت می تواند ، مشخصه
ای را برای سايت FTP ، کنترل تعداد اتصالات و تنظيم يک
زمان ارتباط Timeout تعريف و مشخص نمايد . توصيه می گردد
که گزينه Enable logging انتخاب و برای مشخص نمودن زمان
Timeout ، مقداری در نظر گرفته شود که اولا" باعث
استفاده مطلوب و بهينه از سايت شده و ثانيا" بتوان حملات از نوع Denial of
Service : DoS ( غيرفعال نمودن و ايجاد
اختلال در ارائه سرويس و خدمات به کاربران مجاز) را کنترل و تشخيص داد
.

Security Accounts Tab
با استفاده از امکانات موجود در اين بخش ، می
توان دستيابی
anonymous و اپراتورهای سايت
FTP را مشخص و پيکربندی نمود.
پيشنهاد می گردد که Allow only
anonymous connections ، انتخاب تا محدوديت
دستيابی صرفا" مرتبط با اتصالات anonymous گردد .
پس از انتخاب گزينه فوق ، کاربران قادر به log on
نمودن با نام و رمز عبور واقعی خود نخواهند بود
( در چنين حالتی
اطلاعات مربوط به account کاربر بصورت شفاف و بدون رمزنگاری ارسال
خواهد شد ) . بدين ترتيب ،
سرويس دهنده FTP در مقابل برخی حملات که ممکن است از account مديريت سيستم و يا يکی از کاربران
مجاز سوءاستفاده
گردد ، محفاظت خواهد شد ( account های فوق، می
توانند دارای مجوزهای خاصی در ارتباط با دستيابی به سرويس دهنده باشند ) . در اين رابطه
لازم است به اين
نکته نيز اشاره گردد
که حتی با انتخاب گزينه فوق ، محدوديتی در رابطه با
log on نمودن کاربران مجاز با استفاده از نام و رمز
عبور مربوطه
بوجود نخواهد آمد . کاربری که به براساس عادت در مواجهه با نمايش پيام
FTP ، نام و رمز عبور خود را برای ورود به سايت
وارد می نمايد ، می بايست به اين مسئله توجه نمايد که حتی اگر درخواست وی
پذيرفته نگردد ، ولی با توجه به ارسال اطلاعات مرتبط با account
وی بصورت شفاف و بدون اعمال هرگونه رمزنگاری، می تواند زمينه بروز مشکلات
امنيتی در ارتباط با سرويس دهنده FTP را بدنبال داشته
باشد.زمانيکه کاربران بعنوان anonymous به سايت
log on می نمايند ، از آدرس پست الکترونيکی آنان بعنوان
رمز عبور استفاده
می گردد . سرويس دهنده FTP در
ادامه از account با نام IUSR_computername
بعنوان logon account
بمنظور بررسی مجوزهای مورد نظر ، استفاده
خواهد کرد . لازم است به اين نکته نيز اشاره گردد که Integrated windows authentication در
رابطه با سرويس FTP وجود ندارد.
در قسمت پائين
پنجره مربوط به Security Accounts Tab ، امکانات لازم بمنظور مشخص نمودن
account مربوطه به
مديريت سايت
FTP وجود دارد .

در اين رابطه لازم است گزينه Allow
IIS to control password ، بمنظور تطبيق account مربوط
به anonymous و رمز عبور ( عموما" بصورت
IUSR_computername ) با account ايجاد شده در بخش
users مربوط به Computer management
، انتخاب گردد . در صورتيکه IUSR_computername شامل
account مربوط به anonymous نباشد ،
می بايست مطمئن گرديد که account تعريف شده يک account
بر روی کامپيوتر محلی ( local computer ) است .
بدين ترتيب ، در صورت عدم دستيابی به
Domain controller ، سرويس دهنده وب قابل دسترس
خواهد بود .(در صورتيکه
account مربوط به anonymous
يک domain account در نظر گرفته شده باشد )
.
Messages Tab
با استفاده از امکانات موجود در اين بخش می توان سه نوع پيام
را بمنظور نمايش برای کاربران
مشخص نمود:
Welcome ( ورود به سايت FTP )
، پيام Exit بمنظور خروج يک کاربر از سايـت و پيام
حداکثر تعداد ارتباطات ( Maximum Connections ) .
پيشنهاد می گردد که از يک پيام خوش آمد
گوئی که به شکل يک Banner
امنيتی می باشد ،استفاده گردد .از پيام های خروجی
می توان بمنظور نمايش هشدارها ئی بر اساس توقف ارتباط کاربر استفاده گردد . در
موارديکه حداکثر تعداد ارتباط
به سايت FTP محقق می گردد ،
می توان با ارائه يک پيام مناسب کاربران را نسبت به وضعيت بوجود آمده ، آگاه
نمود .

Home
Directory Tab
از امکانات موجود در اين بخش بمنظور مشخص نمودن مکان ( آدرس ) محتويات
ارائه شده ( يک دايرکتوری بر روی کامپيوتر
، يک فولدر به اشتراک
گذاشته شده در شبکه و يا يک URL redircetions ) استفاده
می گردد. مسير محلی دايرکتوری ، مجوزهای دستيابی و سبک نمايش ليست دايرکتوری
که IIS برای سرويس گيرنده ارسال می نمايد را
نيز می توان
در اين بخش مشخص نمود. پيشنهاد می گردد که دايرکتوری
فوق ، صرفا" دارای مجوز "فقط خواندنی" باشد. در صورتيکه
ضروری است که امکان ارسال فايل ( Upload ) در اختيار
کاربران قرار گيرد،پيشنهاد می گردد دو دايرکتوری
مجزای ديگر تحت دايرکتوری ftproot ،
ايجاد گردد . يکی از
دايرکتوری ها دارای مجوز دستيابی "فقط خواندنی "
در ارتباط با ذخيره اطلاعات قابل دسترس برای تمامی کاربران بمنظور download
و دايرکتوری ديگر
، دارای مجوز صرفا" " فقط نوشتن " برای ارسال فايل های کاربران بر روی
سرويس دهنده FTP
باشد . ( دايرکتوری دوم صرفا" محلی موقت برای استقرار فايل های ارسالی کاربران
خواهد بود ) . در
ادامه يکی از مديران سيستم ( و يا web operator ) می
تواند دارای مسئوليت
بررسی داده و فايل های ارسالی در دايرکتوری فوق شده و پس از
حصول اطمينان از عدم وجود مسائل امنيتی و ساير موارد مرتبط ، اقدام به استقرار فايل
های ارسالی در دايرکتوری اول بمنظور در اختيار گذاشتن آنان برای
Download توسط ساير کاربران
نمايد .

Directory
Security Tab
با استفاده از امکانات موجود در اين بخش می توان
سياست دستيابی به سايت FTP را بر اساس آدرس های
IP مشخص نمود. در اين رابطه دو گزينه وجود دارد : Granted Access و Denied Access . با انتخاب
گزينه Granted Access ، تمامی کامپيوترها قادر به دستيابی
به منابع موجود
خواهند شد ، بجزء کامپيوترهائی که آدرس
IP آنان
مشخص شده است . با انتخاب گزينه Denied Access ، صرفا" آندسته از کامپيوترهائی که
آدرس IP آنان مشخص خواهد شد ، قادر به دستيابی به منابع
موجود بوده و تمامی درخواست های ديگر ناديده گرفته خواهد شد . در موادريکه آدرس های
IP مشخص می گردد ، سه گزينه ديگر نيز موجود می باشد :
single computer و group of computers ( در اين حالت
network ID و Subnet mask مشخص خواهد شد )
و يا Domain Name ( درانتخاب گزينه فوق ، می بايست دقت
لازم را انجام داد. پس از انتخاب اين گزينه ، يک
پيام هشداردهنده
مبنی بر کاهش کارآئی سرويس دهنده با توجه به ضرورت انجام يک DNS reverse lookup در ارتباط با
هر درخواست اتصال،
نمايش داده خواهد شد) . در صورتيکه مجموعه
ای تعريف شده از کاربران وجود دارد که می
بايست به آنان مجوز دستيابی به دايرکتوری ftp داده شود ،
پيشنهاد می گردد، گزينه Denied Access انتخاب گردد
. بدين ترتيب ، صرفا" کامپيوترهای مشخص شده قادر به دستيابی به داده موجود بر روی
دايرکتوری ftp
بوده و از دستيابی ديگران جلوگيری بعمل خواهد آمد.

در بخش
ششم اين مقاله
، به بررسی سرويس
Simple Mail Transfer Protocol ) SMTP) ، خواهيم پرداخت .