جستجو در محصولات

گالری پروژه های افتر افکت
گالری پروژه های PSD
جستجو در محصولات


تبلیغ بانک ها در صفحات
ربات ساز تلگرام در صفحات
ایمن نیوز در صفحات
.. سیستم ارسال پیامک ..
پيکربندي IIS با رعايت مسائل امنيتي ( بخش دوم )
-(2 Body) 
پيکربندي IIS با رعايت مسائل امنيتي ( بخش دوم )
Visitor 490
Category: دنياي فن آوري
در بخش اول اين مقاله، پيکربندي IIS با رعايت مسائل امنيتي تشريح گرديد . در بخش دوم ، به بررسي نحوه تنظيم خصلت هاي متفاوت برنامه Internet Services Manager با رعايت مسائل امنيتي خواهيم پرداخت .
کنسول مديريتي ماکروسافت (Microsoft Management Console :MMC) ، يک برنامه رابط کاربر گرافيکي با نام کنسول را ارائه مي نمايد .هدف از ارائه کنسول فوق، ارائه محيط لازم بمنظور انجام تمام عمليات مديريتي از طريق کنسول مديريت است( تمام عمليات قابل دسترس، تابعي از کنسول مديريت مي باشند) .اين نوع فرآيند ها، Snap-ins ناميده مي شود . MMC خود داراي هيچگونه رفتار مديريتي نبوده ولي محيط لازم براي Snap-ins را فراهم مي نمايد.بدين ترتيب کنترل مديريتي و راهبردي محيط مربوطه ، متمرکز مي گردد . در زمان نصب برنامه IIS ، يک Snap-ins با نام ISM(Internet Service Manager) ارائه و در اختيار مديران سيستم قرار خواهد گرفت . بمنظور فعال نمودن برنامه ISM از مسير زير استفاده مي کنيم :

Start => Programs => Administrative Tools =>Internet Service Manager  


معرفي برنامه ISM)Internet Service Manager)

زمانيکه برنامه IIS فعاليت خود را آغاز مي نمايد، يک کنسول MMC اجراي خود را آغاز و بصورت خودکار Snap-in مربوط به ISM را فعال و در حافظه مستقر مي نمايد . صفحه مربوط به Server Properties ، داراي دو گزينه است : Internet Information Services ( که بصورت پيش فرض فعال است ) و Server Extensions . در صفحه مربوط به IIS ، سه جعبه محاوره اي عمده وجود دارد :

Master Properties , Enable Bandwidth Throttling , Computer MIME Map  


درموارديکه قصد ايجاد چندين وب سايت بر روي سرويس دهنده را داشته باشيم ، تنظيم هر يک از خصلت هاي فوق، بسيار مفيد خواهد بود . خصلت هاي تعريف شده، بصورت اتوماتيک به تمام وب سايت هاي موجود بر روي سرويس دهنده ،نسبت داده مي شود( توارث) . بدين ترتيب در زمان مربوط به پيکربندي هر يک از سايت هاي موجود بر روي سرويس دهنده ،صرفه جوئي خواهد شد . در صورتيکه برخي از سايت ها نيازمند تنظيمات خاص خود باشند ، مي توان در زمان پيکربندي هر يک از سايت ها ، موارد دلخواه را اعمال نمود .
بمنظور دستيابي به جعبه محاوره اي خصلت اصلي مربوط به سرويس دهنده IIS ، مراحل زير را دنبال نمائيد :
• نام سرويس دهنده IIS را در برنامه ISM ، انتخاب نمائيد .
• از طريق منوي Action گزينه Properties را انتخاب نمائيد .
• سرويس WWW و يا FTP را از طريق منوي مربوطه انتخاب و دکمه Edit را بمنظور پيکربندي Master Properties سرويس مربوطه ، فعال نمائيد .

سرويس WWW

از جعبه محاوره اي Master Properties ، بمنظور تنظيم مقادير پيش فرض براي تمام سايت هاي موجود بر روي سرويس دهنده استفاده مي شود . با انتخاب گزينه Edit در صفحه Master Properties ، مي توان پيکربندي عمومي خصلت هاي مربوط به وب سايت( وب سايت ها ) را انجام داد . در صفحه فوق، گزينه هاي متفاوتي وجود دارد . چهار گزينه به خصلت هائي مربوط مي گردد که داراي تاثير امنيتي در رابطه با عملکرد يک وب سايت مي باشند :

Web site ,Operators , Home Directory , Directory Security .  


• Web site Tab . در اين جعبه محاوره اي ،Enable Logging تنها آيتمي است که با مسائل امنيتي مرتبط بوده و بصورت پيش فرض نيز فعال مي باشد . با فعال بودن ( شدن ) گزينه فوق ، اطلاعات متفاوتي در رابطه با استفاده کنندگان از تمام وب سايت هاي موجود بر روي سرويس دهنده ثبت مي گردد .
• Operators Tab . با استفاده از امکان فوق، مي توان گروهها و يا account هائي با مجوز خاص را بمنظور انجام عمليات مديريتي در رابطه با تمام سايت هاي موجود بر روي سرويس دهنده ، مشخص کرد . در صورتيکه سرويس دهنده ، مسئوليت پشتيباني از چندين وب سايت را برعهده داشته باشد،مي بايست براي هر وب سايت، يک گروه مجزا بمنظور مديريت محتويات ، ايجاد شود .
• Home Directory Tab . در اين محل مي توان ، گزينه مربوط به ثبت (log) ملاقات هاي انجام شده در رابطه با سايت هاي موجود بر روي سرويس دهنده را فعال نمود . با فعال شدن گزينه ثبت ملاقات کنندگان، مي توان همواره اين اطمينان را داشت که تمام سايت ها و حتي سايت هائي که بعدا" ايجاد مي گردند ، بصورت پيش فرص قادر به ثبت ملاقات کنندگان خود، خواهند بود . ثبت ملاقات کنندگان، از اصول اوليه براي تشخيص رفتار مزاحمين در رابطه با وب سايت ها خواهد بود . با تنظيم گزينه فوق در اين مکان ، مديريت سرويس دهنده وب ضرورتي ندارد که براي هر سايتي که ايجاد مي گردد،گزينه ثبت ملاقات کنندگان را فعال نمايد . مجوزهاي Read , Write و Directory Browsing مي بايست به همان حالت پيش فرض باقيمانده و ضرورتي به تنظيم آنها در اين محل نخواهد بود . (براي هر سايتي که در آينده ايجاد مي گردد ، مي توان مجوزهاي مربوطه را متناسب با سياست هاي موجود تنظيم و پيکربندي کرد ) . مجوز Read امکان مشاهده سايت را به ملاقات کنندگان ، مجوز Write امکان نوشتن اطلاعات در فهرستي که سايت نصب شده است و مجوز Directory Browsing امکان مشاهده ليستي از تمام فايل هاي موجود در يک فهرست خاص را براي کاربر، فراهم مي نمايد.پيشنهاد مي گردد ، در صفحه Master Properties ، تمام گزينه هاي فوق غير فعال گردند ( عدم انتخاب ) . در صفحه Home Directory ، ليست مربوط به مجوزهاي اجراء نيز وجود دارد . پيشنهاد مي گردد در اين مقطع مقدار آن None در نظر گرفته شود . در صورت نياز به اختصاص مجوزهاي فوق ، مي توان اين عمليات را بصورت خاص براي براي هر يک از وب سايت هاي موجود بر روي سرويس دهنده انجام داد .
• Directoty Security Tab . روش هاي تاييد اعتبار با توجه به اينکه محدوده عملياتي و مجاز کاربران ( کنترل دستيابي به فايل هائي خاص ، فهرست ها و اسکريپت ها ) را مشخص مي نمايند، داراي اهميت زيادي مي باشند .تنظيم و انتخاب روش هاي تاييد اعتبار کاربران به نوع استفاده از سايت بر مي گردد ( آيا سايت بر روي اينترنت و يا اينترانت است ؟) . بمنظور مشاهده صفحه مربوط به Authentication Methods گزينه Edit را از طريق ناحيه Anonymouse access and authentications control ، انتخاب نمائيد . مجوز Anonymous Access ، مي تواند به بصورت پيش فرض در اختيار در تمام وب سايت هاي موجود بر روي سرويس دهنده قرارگرفته و يا اين امکان از آنها سلب گردد. در صورتيکه سايت از طريق اينترانت و يا يک شبکه داخلي ( يک شبکه مبتني بر ويندوز) استفاده مي گردد، مي بايست گزينه فوق، غير فعال گردد . بدين ترتيب کاربران شبکه ، مي بايست با استفاده از نام و رمز عبور مربوطه به شبکه وارد تا زمينه استفاده آنان از امکانات موجود فراهم گردد . در صورتيکه سرويس دهنده از طريق اينترنت استفاده مي گردد، اکثر وب سايت ها امکان دستيابي بصورت Anonymous را فراهم مي نمايند . بجزء روش دستيابي Anonymouse ، از سه روش تاييد اعتبار ديگر نيز مي توان استفاده کرد :

توضيحات

روش

روش فوق، امکان حرکت و انتقال نام و رمز عبور در طول شبکه را بصورت کاملا" مشخص و متن شفاف فراهم مي نمايد . بدين ترتيب يک مزاحم اطلاعاتي قادر به شناسائي  accountهاي معتبر، بمنظور نفوذ در سايت خواهد بود.

Basic Authentication

 روش فوق، براي سرويس دهندگان WindowsDomain، مشابه BasicAuthenticationبا اين تفاوت است که در مقابل استفاده از نام و رمز عبور بصور متن شفاف ، يک رمز عبور Hashشده  بمنظور ارتقاء سطح اعتبارسنجي ارسال مي گرد .اين روش صرفا" توسط مرورگرهائي  که HTTP 1.1 را حمايت مي نمايند، قابل استفاده مي باشد  ( نظير مرورگر IE5 ) .جهت استفاده از روش فوق،  سرويس دهنده IIS مي بايست در يک Domain  ويندوز 2000 قرار داشته و رمزهاي عبور در فايل هاي متني و بر روي کنتترل کننده Domain  ذخيره گردند .بنابراين کنترل کننده Domain  ، مي بايست بدرستي ايمن و حفاظت گردد .

Digest authentication

مشابه روش  Challange/Responesدر IIS 4.0 مربوط به ويندوز NTاست. روش فوق، صرفا" از طريق مرورگرهاي وب شرکت ماکروسافت قابل استفاده خواهد بود .

Integrated windows authentication


انتخاب يک روش اعتبار سنجي ، مبتني برسياست هاي امنيتي تدوين شده بوده و نمي توان يک راه حل جامع را معرفي تا تمام وب سايت ها از آن تبعيت نمايند .

سرويس FTP

صفحه اصلي مربوط به تنظيمات خصلت هاي FTP ، داراي گزينه هاي بمراتب کمتري نسبت به سرويس WWW است . بمنظور فعال نمودن صفحه فوق ، از طريق IIS Server Properties سرويس FTP را انتخاب و در ادامه دکمه Edit را فعال نمائيد .
• FTP Site Tab . پيشنهاد مي گردد که امکان Logging در اين بخش فعال تا اگر در آينده و در رابطه با يک سايت اين موضوع فراموش گرديد، با مشکلاتي مواجه نگرديم .با توجه به نوع سرويس FTP ، تعداد ارتباطات همزمان مجاز بهمراه زمان timeout را مي توان در اين بخش تنظيم کرد .
• Security Tab . مشابه سرويس www ، مي توان امکان دستيابي Anonymous را براي سرويس FTP در اين بخش مشخص نمود . در صورتيکه سايت از طريق اينترنت استفاده مي گردد وتمايل به فعال شدن مجوز دستيابي anonymous وجود داشته باشد ، مي توان آن را در اين بخش تنظيم نمود . پيشنهاد مي گردد که امکان Allow only anonymous connection انتخاب گردد . عملکرد Allow IIS to control password مشابه گزينه Enable automatic password synchronization در نسخه شماره چهار IIS است . بدين ترتيب امکان يکسان سازي رمز عبور موجود در اين صفحه با مقدار موجود در Computer Management ، بمنظور کنترل رمز عبور کاربران و گروه ها انجام خواهد شد . account مربوط به IUSR_computername مي بايست بر روي ماشيني که بر روي آن IIS نصب شده است موجود باشد .(وضعيت فوق بصورت پيش فرض بوده و نبايد آن را تغيير داد) . از يک نام و رمز عبور تعريف شده در Domain ويندوز بمنظور FTP استفاده نمي گردد . دومين بخش صفحه فوق، شامل ليستي بمنظور مشخص نمودن FTP site operators است . معرفي و مشخص نمودن گروه و يا account مربوطه با مجوزهاي لازم بمنظور انجام عمليات مديريتي براي تمام سرويس دهندگان FTP موجود بر روي سرويس دهنده در اين بخش انجام مي شود.در زمان پيکربندي يک سايت، گروه و account ايجاد شده، بصورت اتوماتيک مشمول سايت جديد شده ( از ليست گروه و کاربران مجاز که قبلا" ايجاد شده اند ، مي توان در رابطه با سايت جديد نيز استفاده کرد ) و مي توان به ليست تعريف شده ، گروه و يا کاربران جديدي را اضافه و يا حذف نمود . در صورتيکه سرويس دهنده ، مسئول پاسخگوئي به چندين سايت FTP است ، پيشنهاد مي گردد براي هر سايت، يک گروه مديريتي جداگانه ايجاد تا امکان مديريت محتويات سايت براي مسئول مربوطه فراهم گردد .
• Home Directory Tab . در اين محل صرفا" يک گزينه مرتبط با مسائل امنيتي وجود دارد: Log visits . گزينه فوق، خوشبختانه بصورت پيش فرض فعال است . پيشنهاد مي گردد گزينه فوق به همين وضعيت باقي بماند . ثبت ملاقات کنندگان سايت روشي مناسب بمنظور تشخيص رفتار مزاحمين و ساير موارد مشابه در رابطه با مهاجمان اطلاعاتي است . .
• Directory Security Tab . در اين بخش امکان تعريف محدوديت دستيابي بر اساس TCP/IP ، وجود دارد .در اين راستا مي توان، امکان دستيابي به سرويس دهنده را براي تمام کامپيوترها فراهم و يا اين امکان را از آنها سلب نمود. در صورتيکه سرويس دهنده از طريق اينترنت استفاده مي گردد، مديريت سايت مي بايست امکان دستيابي به تمام کامپيوترها را انتخاب نمايد ( مقدار پيش فرض ) در صورتيکه سايت بصورت اينترانت استفاده مي گردد ، مي توان از رويکرد اشاره شده در رابطه با اينترنت استفاده و يا ليستي از کاربران و گروهها ي مجاز را بمنظور دستيابي به سايت مشخص نمود . در چنين حالتي، گزينه Denied Access انتخاب و در ليست مربوطه (Except ) ، کاربران و گروه هاي مجاز مشخص مي گردند .

Server Property Server Extensions

دومين بخش صفحه Master Properties به Server Extensions بر مي گردد . IIS ،امکان نشراطلاعات از راه دور را فراهم مي نمايد. ويژگي فوق، براي برنامه FrontPage مناسب است . بدين ترتيب يک مولف، قادر به ايجاد تغييرات لازم در رابطه با يک صفحه وب و ارسال آن بر روي سرويس دهنده ،از راه دور مي باشد . وضعيت فوق از لحاظ امنيتي يک ريسک بشمار مي رود . در اين بخش مي توان تنظيمات لازم را بمنظور بهره برداري از ويژگي فوق، انجام داد . گزينه هاي موجود در اين بخش که به مسائل امنيتي مرتبط مي باشند، در ناحيه Permission قرار دارند.در صورت استفاده از ويژگي فوق، مي بايست گزينه هاي Log authoring actions ,Require SSL for authoring و Manage Permissinos manually فعال گردند .
• Log authoring actions . با انتخاب و فعال نمودن گزينه فوق ، اطلاعات متنوعي در رابطه با فرد ارسال کننده اطلاعات ، نظير: نام ارسال کننده ، زمان ارسال، نام وب ميزبان از راه دور و موارد ديگر، ثبت مي گردد .
• Manage permissions manually . تنظيمات مربوط به ابزارهاي مديريتي FrontPage server extension ( نظير FronPage MMC) را غير فعال مي نمايد . بنابراين ابزارهاي فوق ، قادر به تغيير و اصلاح تنظيمات امنيتي مربوط به سايت انتخاب شده نخواهند بود. بمنظور اطمينان از اينکه افراد ديگر ( مديريت و يا ساير کاربران ) امکان تغيير تنظيمات امنيتي را نخواهند داشت ، توصيه مي گردد حتما" گزينه فوق، فعال تا امکان تنظيمات امنيتي سيستم از برنامه هاي مربوطه، سلب گردد .
• Require SSL for authoring . با انتخاب گزينه فوق ، نشر اطلاعات برروي سايت، با استفاده از پروتکل SSL انجام و يک سطح اميدوارکننده از لحاظ امنيتي را شاهد خواهيم بود .
• Allow authors to upload Executables . اين امکان را به مديران مربوطه خواهد داد که اسکريپت ها و يا فايل هاي اجرائي را براي اجراء بر روي سرويس دهنده ، ارسال نمايند . گزينه فوق مي بايست غير فعال شده باقي بماند .

خلاصه

جدول زير خلاصه تنظيمات Master Properties در رابطه با سرويس WWW ,FTP و Server Extension را با رعايت مسائل ايمني نشان مي دهد :

تنظيمات پيشنهادي براي خصلت هاي اصلي WWW

Web site Tab

Enable logging

Home directory Tab

Disable  Read, Write, Directory browsing options
Enable Log visits
None = Execute Permissions drop down box

Directory security Tab

If  will NOT allow Anonymous access, Disable
Anonymous access ElseEnable it.

تنظيمات پيشنهادي براي خصلت هاي اصلي FTP

FTP site Tab

Set  number of connections for max users on FTP server
Set maximum seconds for timeout , 600 seconds is reasonable
Enable logging

Home directory Tab

Enable  Log visits

Security Accounts  Tab

Enable  Allow Anonymous Connections
Enable  Allow only anonymous connections

تنظيمات پيشنهادي براي خصلت هاي اصلي Server Extensions

Enable Log authoring actions
Enable Require SSL for authoring
Enable manage permissions manually
Disable Allow authors to upload executable


در بخش سوم اين مقاله به بررسي نحوه پيکربندي و مديريت سرويس هاي متفاوت IIS با رعايت مسائل امنيتي خواهيم پرداخت
Add Comments
Name:
Email:  
User Comments:
SecurityCode: Captcha ImageChange Image