جستجو در محصولات

گالری پروژه های افتر افکت
گالری پروژه های PSD
جستجو در محصولات


پيکربندي IIS با رعايت مسائل امنيتي ( بخش چهارم )
-(0 Body) 
پيکربندي IIS با رعايت مسائل امنيتي ( بخش چهارم )
Visitor 99
Category: دنياي فن آوري
آنچه تاکنون گفته شده است :
بخش اول : پيکربنديIIS
بخش دوم : نحوه تنظيم خصلت هاي متفاوت برنامه Internet Services Manager
بخش سوم : روش هاي کنترل دستيابي به سرويس دهنده
در بخش چهارم به بررسي نحوه تنظيم و پيکربندي سرويس وب خواهيم پرداخت .
بمنظور پيکربندي وب سايت ، برنامه ISM را فعال و در ادامه بر روي وب سايت مورد نظر مستقر و با فشردن دکمه سمت راست موس ، گزينه Properties را انتخاب نمائيد . در ادامه جعبه محاوره اي مربوط به پيکربندي وب سايت نمايش و امکان انجام تنظيمات مورد نظر فراهم خواهد شد . در ادامه به تشريح هر يک از امکانات موجود در اين بخش خواهيم پرداخت .

Web site Tab :

در اين بخش مي توان تنظيمات زير را انجام داد :
• Web site Identification . در اين بخش مي توان يک مشخصه ( نام نسبت داده شده به وب سايت قابل استفاده در زمان نمايش درخت ISM ) را براي وب سايت تعريف نمود. همچنين در اين بخش مي توان آدرس IP مربوط به اينترفيس کارت شبکه مسئول پاسخگوئي به سايت ، يک پورت TCP و پورت SSL را مشخص نمود. در بخش Advanced options ، مي توان چندين نام domain و يا host header را به يک آدرس IP ، نسبت داد ( mapping ) .
• Connections . گزينه فوق، امکان اعمال محدوديت در رابطه با تعداد دستيابي همزمان به يک وب سايت را فراهم مي نمايد . با استفاده از گزينه هاي موجود در اين بخش مي توان، يک زمان Timeout را مشخص کرد. پيشنهاد مي گردد ، گزينه فوق انتخاب و مقدار مورد نظر به آن نسبت داده شود تا پيشگيري لازم در خصوص تهاجم اطلاعاتي از نوع غير فعال کردن سرويس ، ايجاد گردد.
• Enable Logging .پيشنهاد مي گردد که گزينه فوق ، فعال گردد. پس از فعال شدن گزينه فوق،اطلاعات مربوط به ملاقات کنندگان سايـت،ثبت خواهد شد.

Operators Tab

. در اين بخش مي توان تنظيمات زير را انجام داد :
• Web Site Operators . از امکانات موجود در اين بخش مي توان بمنظور مشخص نمودن گروه / کاربران مورد نظر ، جهت مديريت وب سايت، استفاده کرد. Account فوق ، مي بايست يک گروه باشد ( در صورتيکه سرويس دهنده در يک domain باشد ) . account هاي موجود در گروه ضرورتي به دارا بودن مجوزهاي مديريتي نخواهند داشت . اپراتورها ، صرفا" قادر به اعمال تغييرات در رابطه با خصلت هائي مي باشند که محدوده اثر آنان همان وب سايت ، خواهد بود . اين نوع کاربران قادر به دستيابي به خصلت هائي که مربوط به عملکرد تمام IIS ،سرويس دهنده ويندوز 2000 که IIS را ميزبان نموده و يا شبکه اي که سيستم بر روي آن اجراء مي گردد ، نخواهند بود. نمونه عملياتي را که يک اپراتور وب مي تواند انجام دهد ، عبارتند از :
- مديريت محتويات وب ( تغيير ، اضافه و حذف )
- فعال نمودن Logging
- تغيير اسناد پيش فرض وب
- تنظيم مجوزهاي دستيابي سرويس دهنده وب
کاربراني که عضوء گروه Administrators ويندوز 2000 مي باشند ، قادر به انجام عمليات مرتبط با IIS ، زير خواهند بود :
- تغيير در ايزولاسيون برنامه ( جدا سازي برنامه )
- ايجاد دايرکتوري هاي مجازي و يا تغيير مسير آنان
- تغيير نام و رمز عبور Anonymous
- تغيير مشخصه و يا پيکربندي يک وب سايـت

Home Directory Tab

با استفاده از امکانات موجود در اين بخش مي توان ، تنظيمات متعددي را انجام داد . تنظيمات مربوط به کنترل عرضه محتويات وب ، مجوزهاي دستيابي ، پيکربندي و اشکال زدائي ASP ، نمونه هائي در اين زمينه مي باشند. تمامي تنظيمات مرتبط با امنيت از طريق A directory located on this computer ، پوشش داده مي شوند.
Access Permissions . مجموعه مجوزهاي موجود در اين محل مي بايست با مجوزهاي NTFS مطابقت نمايند . عمليات مربوط به پيکربندي دايرکتوري ها و تعريف مجوزهاي مناسب براي سايت ها ، با عنوان :" عمليات قبل ازنصب " در بخش اول اين مقاله اشاره گرديد .
کنترل محتويات : در اين رابطه مي توان تنظيمات زيررا انجام داد :
• Script Source access . با انتخاب گزينه فوق ، کاربران قادر به دريافت فايل هاي Source خواهند بود. در صورتيکه گزينه Read انتخاب گردد ، کاربران قادر به خواندن Source و در صورتيکه Write انتخاب گردد ، امکان بازنويسي Source در اختيار کاربران قرار خواهد گرفت . Script Source access ، شامل دستيابي به Source اسکريپت ها نظير اسکريپت هاي استفاده شده در يک برنامه ASP است . پيشنهاد مي گردد ، گزينه فوق به همان صورت پيش فرض ( انتخاب نشده ) باقي بماند . ويژگي فوق، صرفا" در زمانيکه قصد نشر و ارائه اطلاعات از راه دور را داشته باشيم ، مفيد و ضروري خواهد بود ( نظير WebDAV )
• Directory browsing . با انتخاب گزينه فوق ، ليستي از دايرکتوري ها و فايل هاي موجود بر روي سيستم بصورت hypertext ، براي کاربران نمايش داده خواهد شد.پيشنهاد مي شود ، گزينه فوق فعال نگردد.
• Log visits . پيشنهاد مي گردد ، گزينه فوق فعال باشد( بصورت پيش فرض فعال است) . با فعال شدن گزينه فوق ، اطلاعات مربوط به تمامي کاربران ( ملاقات کنندگان سايت ) ثبت خواهد شد.
- Application Settings . يک برنامه ، دايرکتوري ها و فايل هاي موجود بهمراه يک دايرکتوري است که نقطه شروع برنامه را مشخص مي نمايد.در اين بخش مي توان تنظيمات زير را انجام داد :
• Application protection . گزينه فوق باعث ايزوله نمودن يک برنامه مبتني بر وب از طريق استقرار آن در مکاني متمايز از ساير برنامه ها و سرويس دهنده وب ، مي گردد . پيشنهاد مي گردد ، مقدار گزينه فوق ، medium و يا high در نظر گرفته شود. در صورتيکه مقدار medium انتخاب گردد ، حفاظت اعمال شده باعث پيشگيري برنامه ها از مسائل بوجود آمده تصادفي و سهوي مرتبط با نرم افزار سرويس دهنده وب ، خواهد شد. در صورتيکه مقدار گزينه فوق ، high در نظر گرفته شود ، برنامه بطورکامل در فضائي جداگانه از حافظه اجراء و در اين حالت بر روي ساير برنامه ها تاثير نخواهد گذاشت .
• Execute Permissions . تنظيمات موجود در اين بخش ، اجراء برنامه هاي موجود در دايرکتوري را کنترل مي نمايند . در اين رابطه مي توان از تنظيمات زير استفاده کرد :
- none . باعث ممانعت در اجراي برنامه ها و يا اسکريپت ها مي گردد .
- Scripts . محدوديت اجراء در رابطه با اسکريپت ها اعمال خواهد شد ( انشعابات فايلي که قبلا" به برنامه هاي اسکريپت ، نسبت داده شده اند ) . دايرکتوري هائي که مجوز فوق ، به آنها داده مي شود، مي بايست ، امکان Read مربوط به کاربران ناشناس ( Anonymouse ) ، از آنها سلب گردد. در صورتيکه مجوز Read به account فوق ، داده شود، امکان مشاهده اطلاعات همراه در اسکريپت ها ، براي کاربران فراهم خواهد شد.( برخي از اطلاعات ممکن است حساس باشند نظير : رمز عبور )
- Scripts and Executables . گزينه فوق، امکان اجراي هر نوع برنامه اي ( اسکريپت و فايل هاي باينري نظير فايل هاي exe . و يا dll .) را فراهم مي نمايد . در زمان واگذاري مجوز فوق ، مي بايست حساسيت خاصي را مد نظر داشت . مجوز فوق، صرفا" مي بايست در رابطه با دايرکتوري هائي واگذار گردد که از فايل هاي باينري موجود در آنان سرويس دهنده وب استفاده مي نمايد. در صورتيکه کاربران سايت نيازمند مجوز فوق در رابطه با يک دايرکتوري خاص مي باشند ، مطمئن شويد که آنان داراي مجوز write مربوط به NTFS در ارتباط با کاربران anonymous سايت مورد نظر نخواهند بود . مجوز فوق ، شرايط لازم براي استقرار کدهاي اجرائي بر روي سرويس دهنده را فراهم و ممکن است کدهاي فوق ، کدهاي مخربي باشند که زمينه شروع يک تهاجم اطلاعاتي را فراهم نمايند.
- Application Configuration . براي تنظيم جزئيات بيشتر مرتبط با برنامه ها ، مي توان از امکان ( دکمه ) Configuration استفاده کرد . در ادامه يک جعبه محاوره اي جداگانه نمايش که داراي گزينه هاي :App Mappings , App Options , App Debugging و Process Options ( در صورتيکه مقدار High در رابطه با application protection انتخاب شده باشد ) . است .
• App options Tab . از طريق امکانات موجود در اين بخش مي توان ، اقدام به پيکربندي وب سايت ، دايرکتوري مجازي و level دايرکتوري نمود .
- Enable session state و Session timeout . با انتخاب گزينه فوق ، ASP براي هر کاربري که به برنامه ASP دستيابي پيدا مي نمايد يک Session ايجاد مي نمايد . بدين ترتيب امکان تشخيص کاربر در بين چندين صفحه ASP موجود در برنامه ، فراهم مي گردد . زمانيکه کاربر صفحه اي را درخواست ننمايد و يا صفحه را در مدت زمان تعريف شده ( Session timeout ) ، بازخواني ( Refresh ) ننمايد ، Session متوقف خواهد شد .
- با مقداردهي ASP Script timeout ، در صورتيکه يک اسکريپت در زمان تعريف شده اجراي خود را به اتمام نرساند ، يک entry در Event log ويندوز 2000 ايجاد و به اجراي اسکريپت خاتمه داده مي شود . تنظيم مقدار Timeout باعث پيشگيري از بروز تهاجم اطلاعاتي از نوع غير فعال نمودن سرويس مي گردد ( انکار سرويس )
- پيشنهاد مي گردد ، گزينه Enable parent paths ، غير فعال باشد . بدين ترتيب اسکريپت هاي ASP امکان استفاده از مسيرهاي Relative نسبت به دايرکتوري مادر دايرکتوري جاري را نخواهند داشت . ( گرامر " .. " ) . در صورتيکه دايرکتوري مادر امکان Execute را فراهم نموده باشد ، يک اسکريپت مي تواند تلاشي را در جهت اجراي يک برنامه غير مجاز در دايرکتوري مادر ، آغاز نمايد..
• Process Options Tab . در اين رابطه گزينه Write Unsuccessful client requests to event log ( صرفا" در حالتيکه ايزولاسيون High در رابطه با حفاظت برنامه انتخاب شده باشد) ، ارائه خواهد شد .

Documents Tab

پيشنهاد مي گردد ، مديريت سيستم ( شبکه ) همواره يک سند پيش فرض را مشخص تا تمامي کاربران در زمان دستيابي به سايت آن را مشاهده نمايند. بدين ترتيب از نمايش ناخودآگاه ساختار دايرکتوري ، پيشگيري بعمل مي آيد . وضعيت فوق زماني انجام خواهد شد که گزينه Directory browsing فعال شده باشد .

Directory Security Tab

خصلت هاي امنيتي را مي توان در رابطه با وب سايت ، دايرکتوري ، دايرکتوري مجازي و يا Level فايل ، اعمال نمود.
• Anonymous access and Authenticated access ، در رابطه با گزينه فوق در بخش دوم مقاله ، توضيحاتي ارائه گرديده است .
• IP Address and Domain Name Restrictions ، مديران سيستم مي توانند با استفاده از گزينه فوق ، کاربران مجاز به استفاده از وب سايت را بر اساس آدرس IP مربوطه ، مشخص نمايند. در اين رابطه دو گزينه ارائه مي گردد : Granted Access و Denied Access . با انتخاب گزينه Gtanted Access ، تمامي کامپيوترها، مجاز به استفاده از منابع موجود بر روي سيستم خواهند بود بجزء آنهائيکه آدرس IP آنان مشخص شده است . Denied Access ، امکان دستيابي به منابع سيستم را صرفا" ( فقط) براي کامپيوترهائي که آدرس IP آنان مشخص شده است ، ميسر مي سازد . در چنين حالتي درخواست هاي دريافتي از ساير کامپيوترها ، ناديده گرفته خواهد شد . زمانيکه آدرس هاي IP را مشخص مي نمائيم ، داراي سه گزينه ديگر خواهيم بود: Single Computer ، در اين حالت مديريت شبکه ( سيستم ) صرفا" يک آدرس IP را مشحص مي نمايد . Group of computers ، در اين حالت مديريت network ID و Sbunet mask را مشخص و در زمانيکه Domain name انتخاب مي گردد ، يک پيام هشداردهنده نمايش داده مي شود . (انتخاب فوق باعث کاهش کارآئي سيستم خواهد شد) . در چنين حالتي براي هر درخواست اتصال ، مي بايست از DNS Reverse lookup ، استفاده گردد .
• Secure Communications ، از گزينه فوق ، بمنظور پيکربندي ويژگي هاي SSL قابل دسترس بر روي سرويس دهنده وب ، استفاده مي گردد . با انتخاب گزينه فوق ، تمامي ترافيک بين سرويس گيرنده و سرويس دهنده بصورت رمز شده انجام خواهد شد . پس از پيکربندي لازم ، ملاقات کنندگان سايت ، مي بايست از مرورگرهائي استفاده نمايند که از Secure Communications ، حمايت مي نمايند. ( جزئيات مربوطه در مقالات آتي ارائه مي گردد ) .

Server Extensions Tab

برنامه IIS 5.0 ، امکان توليد و نشر اطلاعات از راه دور را فراهم مي نمايد. پيشنهاد مي گردد ، براي هر يک از وب سايت هاي موجود بر روي سرويس دهنده IIS ، گزينه enable authoring ، غير فعال گردد . ويژگي فوق ، امکان تغيير در يک صفحه وب و در نهايت Upload نمودن آن بر روي وب سايت را در اختيار برنامه Frontpage ، قرار خواهد داد .
در بخش پنجم اين مقاله ، به بررسي سرويس FTP ، خواهيم پرداخت .
Add Comments
Name:
Email:  
User Comments:
SecurityCode: Captcha ImageChange Image