|
عنوان
|
نويسنده
|
مشاهده
|
تعداد
آراء |
امتياز
|
|
پيکربندی IIS با رعايت مسائل امنيتی ( بخش دوم ) |
مديريت شبکه |
24142 |
54 |
3.7 |
|
با توجه به جایگاه داده در عصر حاضر و لزوم نگاه جامع به این مقوله مهم ، بر آن شدیم تا محوریت فعالیت های خود را بر روی این موضوع متمرکز نمائیم . از این رو گروه فابک با شعار فناوری اطلاعات برای کسب وکار شکل گرفت و خدمات خود را از طریق سایت www.fabak.ir به مخاطبان محترم عرضه می نماید
 |
پيکربندی IIS با رعايت مسائل امنيتی ( بخش دوم )
پيکربندی IIS با رعايت
مسائل امنيتی ( بخش دوم )
در
بخش اول
اين مقاله، پيکربندی IIS
با رعايت مسائل امنيتی تشريح گرديد . در بخش دوم
، به بررسی نحوه تنظيم خصلت های متفاوت برنامه Internet Services
Manager با رعايت مسائل امنيتی خواهيم پرداخت .
کنسول مديريتی ماکروسافت (Microsoft Management Console :MMC)
، يک برنامه رابط کاربر گرافيکی با نام کنسول
را ارائه می نمايد .هدف از ارائه کنسول فوق،
ارائه محيط لازم بمنظور انجام تمام عمليات مديريتی از طريق کنسول مديريت است( تمام
عمليات قابل دسترس، تابعی از کنسول مديريت می
باشند) .اين نوع فرآيند
ها، Snap-ins
ناميده می شود . MMC خود دارای هيچگونه رفتار مديريتی
نبوده ولی محيط لازم برای Snap-ins را فراهم می
نمايد.بدين ترتيب کنترل مديريتی و راهبردی محيط مربوطه
، متمرکز می گردد . در زمان نصب برنامه
IIS ، يک
Snap-ins با نام ISM(Internet
Service Manager) ارائه و در اختيار مديران سيستم قرار خواهد گرفت .
بمنظور فعال نمودن برنامه ISM از مسير زير استفاده می
کنيم :
|
Start => Programs =>
Administrative Tools =>Internet Service Manager |
شکل
زيرصفحه اصلی برنامه ISM را نشان می دهد .
معرفی
برنامه ISM)Internet Service Manager)
زمانيکه برنامه IIS فعاليت خود را آغاز
می نمايد، يک
کنسول MMC اجرای خود را آغاز و بصورت خودکار
Snap-in مربوط به ISM را فعال
و در حافظه مستقر می نمايد . صفحه مربوط به Server Properties
، دارای دو گزينه است : Internet Information Services ( که بصورت پيش
فرض فعال است ) و Server Extensions . در صفحه مربوط به
IIS ، سه جعبه
محاوره ای عمده وجود دارد :
|
Master Properties ,
Enable Bandwidth Throttling , Computer MIME Map
|
درموارديکه قصد ايجاد چندين وب سايت
بر روی سرويس دهنده را داشته باشيم
، تنظيم هر يک از خصلت های فوق،
بسيار مفيد خواهد بود . خصلت های تعريف شده،
بصورت اتوماتيک به تمام وب سايت های موجود بر روی سرويس دهنده
،نسبت داده می شود( توارث)
. بدين ترتيب در زمان مربوط به پيکربندی هر يک
از سايت های موجود بر روی سرويس دهنده ،صرفه
جوئی خواهد شد . در صورتيکه برخی از سايت ها نيازمند تنظيمات خاص خود باشند
، می توان در زمان پيکربندی هر يک از سايت ها
، موارد دلخواه را اعمال نمود .
بمنظور دستيابی به جعبه محاوره ای خصلت اصلی مربوط به
سرويس دهنده IIS ، مراحل زير را دنبال
نمائيد :
-
نام سرويس دهنده IIS را در
برنامه ISM ، انتخاب نمائيد .
-
از طريق منوی Action گزينه
Properties را انتخاب نمائيد .
-
سرويس WWW و يا
FTP را از طريق منوی مربوطه انتخاب و دکمه
Edit را بمنظور پيکربندی Master
Properties سرويس مربوطه ، فعال نمائيد .
سرويس WWW
از جعبه محاوره ای Master Properties
، بمنظور تنظيم مقادير پيش فرض برای تمام سايت
های موجود بر روی سرويس دهنده استفاده می شود . با انتخاب گزينه Edit در
صفحه Master Properties
، می توان پيکربندی عمومی خصلت
های مربوط به وب سايت( وب سايت ها )
را انجام داد . در صفحه فوق، گزينه های
متفاوتی وجود دارد . چهار گزينه به خصلت هائی مربوط می گردد که دارای تاثير امنيتی
در رابطه با عملکرد يک وب سايت می باشند :
|
Web site ,Operators , Home
Directory , Directory Security .
|
-
Web site Tab
. در اين جعبه محاوره ای ،Enable Logging
تنها آيتمی است که با مسائل امنيتی مرتبط بوده و بصورت پيش فرض نيز فعال می
باشد . با فعال بودن ( شدن ) گزينه فوق ،
اطلاعات متفاوتی در رابطه با استفاده کنندگان از تمام وب سايت های موجود بر
روی سرويس دهنده ثبت می گردد .
-
Operators Tab . با استفاده
از امکان فوق، می توان گروهها و يا account
هائی با مجوز خاص را بمنظور انجام عمليات مديريتی در رابطه با تمام سايت های موجود
بر روی سرويس دهنده ، مشخص کرد . در صورتيکه سرويس
دهنده ، مسئوليت پشتيبانی از چندين وب سايت را
برعهده داشته باشد،می بايست برای هر وب سايت، يک
گروه مجزا بمنظور مديريت محتويات ، ايجاد شود .
-
Home Directory Tab
. در اين محل می توان ، گزينه مربوط به ثبت
(log) ملاقات های انجام شده در رابطه با
سايت های موجود بر روی سرويس دهنده را فعال نمود . با فعال شدن گزينه ثبت ملاقات کنندگان،
می توان همواره اين اطمينان را داشت که تمام سايت ها و حتی سايت هائی که بعدا"
ايجاد می گردند ، بصورت پيش فرص قادر
به ثبت ملاقات کنندگان خود، خواهند بود . ثبت ملاقات کنندگان،
از اصول اوليه برای تشخيص رفتار مزاحمين در رابطه با وب سايت ها خواهد بود . با تنظيم
گزينه فوق در اين
مکان ، مديريت سرويس دهنده وب ضرورتی ندارد که
برای هر سايتی که ايجاد می گردد،گزينه
ثبت ملاقات کنندگان را فعال نمايد . مجوزهای Read , Write
و Directory Browsing می بايست به همان حالت پيش
فرض باقيمانده و ضرورتی به تنظيم آنها در اين محل نخواهد بود . (برای هر
سايتی که در آينده ايجاد می گردد ، می توان
مجوزهای مربوطه را متناسب با سياست های موجود تنظيم و پيکربندی کرد ) . مجوز Read
امکان مشاهده سايت را به ملاقات کنندگان ، مجوز Write
امکان نوشتن اطلاعات در فهرستی که سايت نصب شده است و مجوز
Directory Browsing امکان مشاهده ليستی از تمام
فايل های موجود در يک فهرست خاص را برای کاربر،
فراهم می نمايد.پيشنهاد می گردد ، در صفحه
Master Properties ،
تمام گزينه های فوق غير فعال گردند ( عدم انتخاب ) . در صفحه Home Directory ،
ليست مربوط به مجوزهای اجراء نيز وجود دارد . پيشنهاد می گردد در اين مقطع
مقدار آن
None در نظر گرفته شود . در صورت نياز به اختصاص مجوزهای
فوق ، می توان اين عمليات را بصورت خاص برای
برای هر يک از وب سايت های موجود بر روی سرويس دهنده انجام داد .
-
Directoty Security Tab
. روش های تاييد اعتبار با توجه به اينکه محدوده عملياتی و مجاز کاربران (
کنترل دستيابی به فايل هائی خاص ، فهرست ها و
اسکريپت ها ) را مشخص می نمايند،
دارای اهميت زيادی می باشند .تنظيم و انتخاب روش های تاييد اعتبار کاربران به
نوع استفاده از سايت بر می گردد ( آيا سايت بر روی اينترنت و يا اينترانت است ؟) .
بمنظور مشاهده صفحه مربوط به Authentication Methods
گزينه Edit را از طريق ناحيه
Anonymouse access and authentications control ، انتخاب نمائيد . مجوز
Anonymous Access ،
می تواند به بصورت پيش فرض در اختيار در تمام وب سايت های موجود بر روی سرويس
دهنده قرارگرفته و يا اين امکان از آنها
سلب گردد. در صورتيکه سايت از طريق اينترانت و يا يک شبکه داخلی ( يک شبکه
مبتنی بر ويندوز) استفاده می گردد، می
بايست گزينه فوق، غير فعال گردد . بدين
ترتيب کاربران شبکه ، می بايست با استفاده از
نام و رمز عبور مربوطه به شبکه وارد تا زمينه استفاده آنان از امکانات موجود فراهم
گردد . در صورتيکه سرويس دهنده از طريق اينترنت استفاده می گردد،
اکثر وب سايت ها امکان دستيابی بصورت Anonymous را
فراهم می نمايند . بجزء روش دستيابی Anonymouse
، از سه روش تاييد اعتبار ديگر نيز می توان
استفاده کرد :
|
توضيحات
|
روش |
|
روش فوق،
امکان حرکت و انتقال نام و رمز عبور در طول شبکه را بصورت کاملا"
مشخص و متن شفاف فراهم می نمايد . بدين ترتيب يک مزاحم اطلاعاتی
قادر به شناسائی account های
معتبر، بمنظور نفوذ در سايت خواهد بود.
|
Basic Authentication |
|
روش فوق،
برای سرويس دهندگان Windows Domain
، مشابه Basic
Authentication با اين تفاوت است که در مقابل استفاده از نام و رمز عبور
بصور متن شفاف ، يک رمز عبور Hash شده بمنظور
ارتقاء سطح اعتبارسنجی ارسال می گرد .اين روش صرفا" توسط مرورگرهائی که
HTTP 1.1 را حمايت می نمايند، قابل استفاده
می باشد ( نظير
مرورگر IE5 ) .جهت استفاده از روش فوق، سرويس دهنده
IIS می بايست در يک Domain
ويندوز 2000 قرار داشته و رمزهای عبور در فايل های متنی و بر روی
کنتترل کننده Domain ذخيره گردند .بنابراين کنترل کننده
Domain ، می
بايست بدرستی ايمن و حفاظت گردد . |
Digest authentication |
|
مشابه روش Challange/Respones
در IIS 4.0 مربوط به ويندوز NT
است. روش فوق، صرفا" از طريق مرورگرهای وب
شرکت ماکروسافت قابل استفاده خواهد بود . |
Integrated windows
authentication |
انتخاب يک روش اعتبار سنجی
، مبتنی برسياست های امنيتی تدوين شده
بوده و نمی توان يک راه حل جامع
را معرفی تا تمام وب سايت ها از آن تبعيت نمايند .
سرويس FTP
صفحه اصلی مربوط به تنظيمات خصلت های FTP ،
دارای گزينه های بمراتب کمتری نسبت به سرويس WWW
است . بمنظور فعال نمودن صفحه فوق ، از طريق
IIS Server Properties سرويس
FTP را انتخاب و در ادامه دکمه Edit را فعال
نمائيد .
-
FTP Site Tab
. پيشنهاد می گردد که امکان Logging در اين بخش فعال تا اگر در آينده
و در رابطه با يک سايت اين موضوع فراموش گرديد،
با مشکلاتی مواجه نگرديم .با توجه به نوع سرويس FTP
، تعداد ارتباطات همزمان مجاز بهمراه زمان
timeout را می توان در اين بخش تنظيم کرد .
-
Security Tab . مشابه سرويس
www ، می توان
امکان دستيابی Anonymous را برای سرويس FTP
در اين بخش مشخص نمود . در صورتيکه سايت از طريق اينترنت استفاده می گردد وتمايل به
فعال شدن مجوز دستيابی anonymous
وجود داشته باشد ، می توان آن را
در اين بخش تنظيم نمود . پيشنهاد می گردد که امکان Allow only anonymous connection
انتخاب گردد . عملکرد Allow IIS to control password
مشابه گزينه Enable automatic password synchronization
در نسخه شماره چهار IIS است . بدين ترتيب امکان يکسان
سازی رمز عبور موجود در اين صفحه با مقدار موجود در Computer
Management ، بمنظور کنترل رمز عبور کاربران و گروه ها
انجام خواهد شد .
account مربوط به IUSR_computername
می بايست بر روی ماشينی که بر روی آن IIS نصب شده است
موجود باشد .(وضعيت فوق بصورت پيش فرض بوده و نبايد آن را تغيير داد) . از
يک نام و رمز عبور تعريف شده در Domain ويندوز بمنظور
FTP استفاده نمی گردد . دومين بخش صفحه فوق،
شامل ليستی بمنظور مشخص نمودن FTP site operators است .
معرفی و مشخص نمودن گروه و يا account
مربوطه با مجوزهای لازم بمنظور انجام عمليات مديريتی برای تمام سرويس دهندگان FTP
موجود بر روی سرويس دهنده در اين بخش انجام می شود.در زمان پيکربندی يک سايت،
گروه و account ايجاد شده،
بصورت اتوماتيک مشمول
سايت جديد شده ( از ليست گروه و کاربران مجاز که قبلا" ايجاد شده اند
، می توان در رابطه با سايت جديد نيز استفاده کرد )
و می توان به ليست تعريف شده ، گروه و يا
کاربران جديدی را اضافه و يا حذف نمود . در صورتيکه سرويس دهنده
، مسئول پاسخگوئی به چندين سايت
FTP است ، پيشنهاد می گردد
برای هر سايت، يک گروه
مديريتی جداگانه ايجاد تا امکان مديريت محتويات سايت برای مسئول مربوطه فراهم گردد
.
-
Home Directory Tab
. در اين محل صرفا" يک گزينه مرتبط با مسائل امنيتی وجود دارد: Log visits
. گزينه فوق، خوشبختانه بصورت پيش فرض فعال
است . پيشنهاد می گردد گزينه فوق به همين وضعيت باقی بماند . ثبت ملاقات کنندگان
سايت روشی مناسب بمنظور
تشخيص رفتار مزاحمين و ساير موارد مشابه در رابطه با مهاجمان اطلاعاتی است . .
-
Directory Security Tab
. در
اين بخش امکان تعريف محدوديت دستيابی بر اساس TCP/IP
، وجود
دارد .در اين راستا می توان، امکان
دستيابی به سرويس دهنده را برای تمام کامپيوترها فراهم و يا اين امکان را از
آنها سلب نمود. در صورتيکه سرويس دهنده از طريق اينترنت استفاده می گردد،
مديريت سايت می بايست امکان دستيابی به تمام کامپيوترها را انتخاب نمايد ( مقدار پيش فرض )
در صورتيکه سايت بصورت اينترانت استفاده می گردد ، می
توان از رويکرد اشاره شده در رابطه با اينترنت استفاده و يا ليستی از
کاربران و گروهها ی مجاز را بمنظور دستيابی به سايت مشخص نمود . در چنين حالتی، گزينه Denied Access انتخاب و
در ليست مربوطه (Except )
، کاربران و گروه های مجاز مشخص می
گردند .
Server Property Server Extensions
دومين بخش صفحه Master Properties
به Server Extensions بر می گردد .
IIS ،امکان نشراطلاعات از راه دور را
فراهم می نمايد. ويژگی فوق، برای برنامه
FrontPage مناسب است . بدين ترتيب يک
مولف، قادر به ايجاد تغييرات لازم در رابطه با
يک صفحه وب و ارسال آن بر روی سرويس دهنده ،از
راه دور می باشد . وضعيت فوق از لحاظ امنيتی يک ريسک بشمار می رود . در اين بخش می
توان تنظيمات لازم را بمنظور بهره برداری از ويژگی فوق،
انجام داد . گزينه های موجود در اين بخش که به مسائل امنيتی مرتبط می باشند،
در ناحيه
Permission قرار دارند.در صورت استفاده از ويژگی
فوق، می بايست گزينه های Log authoring
actions ,Require SSL for authoring و Manage
Permissinos manually فعال گردند .
-
Log authoring actions
. با انتخاب و فعال نمودن گزينه فوق ، اطلاعات
متنوعی در رابطه با فرد ارسال کننده اطلاعات ،
نظير: نام ارسال کننده ، زمان ارسال،
نام وب ميزبان از راه دور و موارد ديگر،
ثبت می گردد .
-
Manage permissions manually
. تنظيمات مربوط به ابزارهای مديريتی FrontPage server
extension ( نظير FronPage MMC) را غير فعال می
نمايد . بنابراين ابزارهای فوق ، قادر به
تغيير و اصلاح تنظيمات امنيتی مربوط به سايت انتخاب شده نخواهند بود. بمنظور
اطمينان از اينکه افراد ديگر ( مديريت و يا ساير کاربران ) امکان تغيير تنظيمات
امنيتی را نخواهند داشت ، توصيه می گردد حتما"
گزينه فوق، فعال تا امکان تنظيمات
امنيتی سيستم از برنامه های مربوطه، سلب
گردد .
-
Require SSL for authoring .
با انتخاب گزينه فوق ، نشر اطلاعات برروی سايت، با استفاده از پروتکل
SSL انجام و يک سطح اميدوارکننده از لحاظ امنيتی را شاهد
خواهيم بود .
-
Allow authors to upload
Executables . اين امکان را به مديران مربوطه
خواهد داد که اسکريپت ها و يا فايل های اجرائی را برای اجراء بر روی سرويس دهنده
، ارسال نمايند . گزينه فوق می بايست غير فعال
شده باقی بماند .
خلاصه
جدول زير خلاصه تنظيمات Master Properties در رابطه با سرويس
WWW ,FTP و Server Extension
را با رعايت مسائل ايمنی نشان می دهد :
|
تنظيمات
پيشنهادی برای خصلت های اصلی WWW
|
|
Web site Tab |
Enable logging |
|
Home directory Tab |
Disable Read, Write,
Directory browsing options
Enable Log visits
None = Execute Permissions drop down box |
|
Directory security Tab |
If will NOT allow
Anonymous access, Disable
Anonymous access
Else Enable it. |
|
تنظيمات
پيشنهادی برای خصلت های اصلی FTP
|
|
FTP site Tab |
Set number of connections
for max users on FTP server
Set maximum seconds for timeout ,
600 seconds is reasonable
Enable logging |
|
Home directory Tab |
Enable
Log visits |
|
Security Accounts Tab |
Enable
Allow Anonymous Connections
Enable Allow only
anonymous connections |
|
تنظيمات
پيشنهادی برای خصلت های اصلی Server
Extensions |
|
Enable Log authoring
actions
Enable Require SSL for authoring
Enable manage permissions manually
Disable Allow authors to upload executable
|
در بخش سوم اين مقاله به
بررسی نحوه پيکربندی و مديريت سرويس های متفاوت IIS با
رعايت مسائل امنيتی خواهيم پرداخت .
