مدیریت سرویس های IIS با رعایت مسائل امنیتی

در بخش اول این مقاله، پیکربندیIIS و در بخش دوم، نحوه تنظیم خصلت های متفاوت برنامه Internet Services Manager، با رعایت مسائل امنیتی تشریح گردید. در این بخش به بررسی بررسی نحوه پیکربندی و مدیریت سرویس های IIS یا (www,FTP,SMTP,NNTP)، قابل استفاده خواهد بود، پرداخته می گردد.

مدیریت سرویس های IIS

اولین سطح ایمنی در مدیریت سرویس های IIS ، امکان دستیابی به سرویس دهنده وب بر اساس آدرس های IP و یا Internet Domain Name  مربوط به درخواست های سرویس گیرندگان است. در این راستا می توان، آدرس های IP و یا اسامی ماشین هائی خاص را مشخص،  تا زمینه دستیابی آنان به سرویس دهنده وب فراهم و یا امکان دستیابی از آنان سلب گردد. در زمان دریافت هر یک از بسته های اطلاعاتی، آدرس IP و یا نام آنان با توجه به پیکربندی انجام شده در بخش “IP address and Domain name Restrictions”، بررسی و بر اساس سیاست های تعریف شده، عکس العمل لازم ارائه خواهد شد. (گزینه فوق در بخش Directory Security Tab مربوط به جعبه محاوره ای خصلت های سرویس www، وجود دارد). زمانیکه از آدرس های IP بمنظور کنترل دستیابی استفاده می گردد، برخی از سرویس گیرندگان وب، ممکن است از طریق یک سرویس دهنده Proxy و یا فایروال، به سرویس دهنده وب دستیابی پیدا می نمایند، در چنین شرایطی آدرس های IP بسته های اطلاعاتی دریافتی برای سرویس دهنده Proxy و یا فایروال، ارسال خواهند شد.

بمنظور پیاده سازی برخی از روش های مدیریت سرویس های IIS ، می توان  از تکنولوژی هائی نظیر SSL)Secure Sockets Layer) و امضاء الکترونیکی، نیز استفاده کرد. SSL، یک کانال ارتباطی نقطه به نقطه خصوصی، یکپارچه و معتبر را ایجاد می نماید. از امضاء الکترونیکی، بمنظور بررسی هویت یک کاربر و یا یک سرویس دهنده و یا سرویس دهندگان وب و مرورگرها بمنظور معتبر سازی دو سویه (متقابل)، تضمین صحت در ارسال صفحات و یکپارچگی اطلاعات موجود در آنها، استفاده می گردد.

مدیریت سرویس های IIS – شناسائی و تائید

بمنظور شناسائی و تائید کاربران، می توان از چهار گزینه موجود در IIS استفاده کرد.

۱٫IIS

Anonymouse Access. روش فوق در مدیریت سرویس های IIS ،متداولترین گزینه برای دستیابی به یک سرویس دهنده وب است. IIS، بدین منظور account هائی با نام IUSR_Computername و IWAM_Computername را بصورت پیش فرض، ایجاد می نماید. account فوق، دارای مجوزهای زیر خواهد بود:

Log on locally , access this computer from network  and  log as a  batch job

کاربران در زمان دستیابی به منابع سرویس دهنده بر روی وب در مدیریت سرویس های IIS ، بصورت اتوماتیک توسط account فوق، به شبکه وارد خواهند شد. در ادامه کاربران با توجه به مجوزهای تعریف شده در مدیریت سرویس های IIS در رابطه با account فوق، قادر به دستیابی منابع موجود خواهند بود. نام account در نظر گرفته شده را می توان با استفاده از گزینه Edit تغییر داد. پیشنهاد می گردد، مجوزهای Log on as a batch job و access this computer from network، در رابطه با account فوق حذف گردد (در صورتیکه ضرورتی به استفاده از آنان وجود ندارد).

نکته : زمانیکه سرویس IIS، متوقف و مجددا” راه اندازی و یا سیستم راه اندازی مجدد (Reboot) می گردد، مجوزهای Log on as a batch job و access this computer from the network، برای account های IUSR_Computername و IWAM_Computername، مجددا” در نظر گرفته خواهد شد (Restore). در صورتیکه تاکید بر حذف مجوزهای فوق وجود داشته باشد، می توان یک Local user account جدید را ایجاد و آن را بعنوان account پیش فرض Anonymouse برای سرویس IIS در نظر گرفت. (بخش Anonymouse access and authentication control مربوط به Directory Security Tab سرویس www و یا Account Tab مربوط به سرویس FTP). پس از انجام عملیات فوق، می توان IUSR_Computername، را حذف کرد.

Basic Authentication، تقریبا” تمامی مرورگرهای وب موجود، از روش فوق حمایت می نمایند. در این روش، نام و رمز عبور کاربر بصورت متن (Clear text)، ارسال می گردد. بدیهی است در چنین مواردی امکان تشخیص و کشف اطلاعات ارسالی برای افرادیکه ترافیک موجود در شبکه را مانیتور می نمایند، وجود خواهد داشت. در صورتیکه در مدیریت سرویس های IIS تاکید بر استفاده از روش فوق وجود داشته باشد، پیشنهاد می گردد که به همراه آن از SSL استفاده گردد. ترکیب SSL با روش Basic Authentication، امکان رهگیری و کشف اطلاعات ارسالی را کاهش خواهد داد. بدین منظور لازم است مراحل زیر دنبال گردد:

  • مرحله اول : استفاده از یک Server Certificate
  • مرحله دوم : استفاده از یک کانال ایمن در زمان دستیابی به منابع
  • مرحله سوم : فعال نمودن Basic authentication و غیرفعال نمودن Anonymouse و Integrated Windows authentication برای سایت مورد نظر.

Digest Authentication، روش فوق در مدیریت سرویس های IIS امکاناتی مشابه Basic Authentication را ارائه ولی از روش متفاوتی بمنظور ارسال اطلاعات حساس و معتبر، استفاده می نماید. سرویس دهنده، اطلاعاتی را شامل نام و رمز عبور کاربر بهمراه اطلاعات اضافه دیگر و یک Hash (محاسبه می گردد) را برای سرویس گیرنده  ارسال می دارد. در ادامه  Hash، بهمراه سایر اطلاعات اضافه برای سرویس دهنده ارسال می گردد. زمانیکه سرویس دهنده اطلاعات را دریافت می نماید، آنان را با نام و رمز عبور ترکیب و یک Hash را بدست می آورد. در صورتیکه hash های مربوطه با یکدیگر مطابقت نمایند، کاربر تائید می گردد. در صورتیکه روش فوق فعال و سایر روش ها غیر فعال گردند، یک pop up box، نمایش و کاربر می بایست نام و رمز عبور خود را جهت ورود به سایت مشخص نماید. اطلاعات فوق، بصورت رمزشده و وارونه ذخیره خواهند شد. بمنظور فعال نمودن ویژگی فوق در مدیریت سرویس های IIS ،مدیران شبکه می بایست یک password policy را در این رابطه تعریف تا امکان استفاده از روش فوق، فراهم گردد. در صورت عدم تعریف Password policy، امکان استفاده از روش فوق، وجود نخواهد داشت. بمنظور فعال نمودن Password Policy می بایست:

در ویندوز ۲۰۰۰، Computer Configuration|Windows Settings | Security Settings | Account Policies | Password policy را انتخاب و گزینه Store Passwords using reversible encryption for all users in the domain، فعال گردد. (گزینه فوق بصورت پیش فرض غیر فعال است). پس از فعال شدن سیاست فوق در مدیریت سرویس های IIS و زمانیکه کاربر رمز عبور و یا نام خود را تغییر و یا یک Account جدید ایجاد گردد، رمز عبور بصورت رمز شده و وارونه ذخیره می گردد.

Integrated Windows Authentication، روش در فوق مدیریت سرویس های IIS از رمزنگاری مبتنی بر Hashing بمنظور تائید رمز عبور استفاده می نماید. نام و رمز عبور واقعی هرگز در شبکه ارسال نخواهد شد، بنابراین امکان کشف و تشخیص آن توسط یک منبع ناامن و تائید نشده، وجود نخواهد داشت. تائید کاربران می تواند با استفاده از پروتکل Kerberos V5 و پروتکل Challenge/response صورت پذیرد. روش فوق در مدیریت سرویس های IIS ،گزینه ای مناسب برای استفاده در اکسترانت ها نخواهد بود، (امکان فعالیت آن از طریق یک سرویس دهنده Proxy و یا سایر برنامه های فایروال وجود نخواهد داشت). از روش فوق در مدیریت سرویس های IIS بمنظور برپاسازی اینترانت های ایمن، استفاده می گردد.

پیکربندی IIS می تواند بگونه ای صورت پذیرد که امکان استفاده از ترکیب روش های تائید اعتبار و Anonymouse در آن پیش بینی گردد. در چنین مواردی، می توان این امکان را برای یک سایت فراهم آورد که دارای بخش های متفاوت ایمن و غیرحساس باشد. زمانیکه از یک مدل Authentication بهمراه Anonymouse استفاده می گردد، کاربران همواره و در حالت اولیه با استفاده از IUSR_Computername  به سایت Log on خواهند نمود. زمانیکه درخواستی Fail گردد (با توجه به عدم وجود مجوزهای لازم بمنظور دستیابی به یک منبع)، پاسخی برای سرویس گیرنده ارسال که نشاندهنده عدم وجود مجوز لازم برای دستیابی به منبع مورد نظر است. همراه با اطلاعات فوق، لیستی از مدل های متفاوت تائید اعتبار که توسط سرویس دهنده مدیریت سرویس های IIS حمایت می گردد، نیز ارسال خواهد شد. مرورگر سرویس گیرنده در این راستا به کاربر پیامی را نمایش و از وی درخواست نام و رمز عبور را خواهد کرد. در ادامه اطلاعات مورد نظر (نام و رمز عبور کاربر) برای سرویس دهنده ارسال خواهد شد، در صورتیکه کاربر دارای مجوز لازم باشد، امکان استفاده از منبع مورد نظر برای وی فراهم خواهد شد.

مدیریت فهرست (Directory) در مدیریت سرویس های IIS

علاوه بر مجوزهای مربوط به فایل و فهرست ها که در سطح سیستم عامل برقرار می گردد، IIS، امکانی با نام Application level Permission را ارائه نموده است. در این راستا، امکان انتخاب گزینه هائی نظیر: Read ,Write ,Directory Browsing ,Scripts only و Scripts and executables وجود داشته و می توان از آنان بهمراه فهرست های شامل محتویات مربوط به سرویس های www و FTP استفاده کرد.

  • Read. مجوز فوق در مدیریت سرویس های IIS ،امکان مشاهده و ارسال محتویات برای مرورگر سرویس گیرنده را فراهم می نماید.
  • Write. مجوز فوق، به کاربرانی که مرورگرآنان دارای ویژگی PUT (مربوط به پروتکل استاندارد HTTP 1.1) است، امکان Upload نمودن فایل هائی برای سرویس دهنده و یا تغییر محتویات یک فایل write-enabled را خواهد داد. گزینه فوق، در اختیار کاربران قرار داده نمی شود و صرفا” مدیریت مربوطه به نوع خاص و محدودی از مجوز فوق، نیاز خواهد داشت.
  • Directory Browsing، مجوز فوق، به یک سرویس گیرنده امکان مشاهده تمامی فایل های موجود در یک فهرست را خواهد داد. از مجوز فوق صرفا” در رابطه با سرویس دهندگان عمومی FTP استفاده و در سایر موارد، استفاده ازمجوز فوق، توصیه نمی گردد.
  • Scripts. مجوز فوق، امکان اجراء را در سطح اسکریپت ها محدود خواهد کرد. در مواردیکه از برنامه های CGI و یا ASP استفاده می گردد، استفاده از مجوز فوق، لازم خواهد بود. انشعاب فایل های مربوط به اسکریپت ها می بایست قبلا” به برنامه های Scripting مربوطه، map شده باشد.
  • Scripts and Executables. مجوز فوق، امکان اجرای برنامه های EXE و یا DLL را فراهم خواهد کرد (علاوه بر امکان اجرای فایل های ASP و CGI). با توجه به حساس بودن مجوز فوق، استفاده از آن بجزء در موارد خاص و کاملا” کنترل شده، توصیه نمی گردد.

مجوزهای فوق را می توان همزمان با نمایش جعبه محاوره ای مربوط به خصلت های www و FTP، تنظیم نمود.

اعمال محدودیت در رابطه با سرویس دهندگان و فهرست های مجازی

سرویس دهندگان مجازی، این امکان را فراهم می آورند که کامپیوتری که بر روی آن IIS اجراء شده است، قادر به حمایت از چندین Domain Names (وب سایت) باشد. در زمان پیکربندی یک سرویس دهنده مجازی برای ایجادسرویس دهنده Primary و هر یک از سرویس دهندگان مجازی، به اطلاعاتی نظیر:

(Host Header Names (NHN و یا آدرس های IP، نیاز خواهد بود. بدین ترتیب، یک سرویس دهنده که بر روی آن IIS نصب و شامل صرفا” یک کارت شبکه است، قادر به مدیریت سایت های متعدد خواهد بود.

IIS، امکان تعریف یک نام مستعار برای فهرست های حاوی اطلاعات مورد نیاز برای انتشار بر روی سایت را خواهد داد. نام فوق، بعنوان یک دایرکتوری مجازی شناخته شده و در آدرس های URL می توان از آنان استفاده کرد. دایرکتوری های مجازی از منظر ملاقات کننده سایت، فهرست هائی هستند که از دایرکتوری اصلی wwwroot/، انشعاب شده اند. در رابطه با دایرکتوری های مجازی نیز می توان سیاست های امنیتی خاصی را اعمال نمود. در این راستا می توان از مجوزهای Read,Write,Directory Browsing,Script only و Scripts and executables، استفاده کرد. مجوز Read، این امکان را به یک سرویس گیرنده خواهد داد تا فایل های ذخیره شده در یک دایرکتوری مجازی و یا زیرفهرست مربوطه را Download نماید. صرفا” دایرکتوری هائی که شامل اطلاعات مورد نیاز برای نشر و یا Download می باشند، می بایست دارای مجوز Read باشند. بمنظور ممانعت از Download نمودن فایل های اجرائی و یا اسکریپت ها، توصیه می گردد که آنان در دایرکتوری های مجزاء بدون در نظرگرفتن مجوز Read، مستقر گردند، این نوع دایرکتوری های مجازی می بایست دارای مجوز Scripts only و یا Scripts and executables بوده تا سرویس گیرندگان وب قادر به اجرای آنان گردند.

خلاصه

در زمان پیکربندی سرویس دهنده وب، موارد زیر پیشنهاد می گردد:

  • در رابطه با نوع دستیابی به سایت، تصمیم مناسب اتخاذ و متناسب با آن، محدودیت های لازم بر اساس آدرس های IP و یا Internet Domains، اعمال گردد.
  • مشخص نمائید که آیا ضرورتی به استفاده از SSL و Certificates در محیط مورد نظر، وجود دارد.
  • یک روش موجود را برای “تائید اعتبار”، کاربران انتخاب نمائید. روش Anonymouse متداولترین گزینه در این زمینه است. در صورتی از Basic authentication استفاده گردد که سایت مورد نظر تکنولوژی SSL را حمایت می نماید.
  • دایرکتوری هائی را با مجوز Read (از مجموعه مجوزهای NTFS)، برای گروه کاربران عمومی (Webusers) ایجاد نمائید. این دایرکتوری ها، همچنین می بایست دارای مجوز Read only مربوط به IIS در زمان تنظیم سایت های FTP و www باشند. دایرکتوری های فوق، شامل اطلاعات لازم برای سرویس گیرندگان بمنظور مشاهده و یا Download، خواهند بود.
  • یک دایرکتوری با مجوز Read&Execute (از مجموعه مجوزهای NTFS) صرفا” در رابطه با گروه کاربران عمومی (Webusers) ایجاد گردد. این دایرکتوری همچنین می بایست دارای مجوز Script only (مربوط به مجوزهای IIS) در زمان پیکربندی سایت www گردد. دایرکتوری فوق، شامل فایل های اجرائی نظیر اسکریپت ها، می باشد.

در بخش چهارم این مقاله به بررسی نحوه پیکربندی سرویس های www و FTP خواهیم پرداخت.

ما را در اینستاگرام دنبال کنید: @mashhadit_group

به نقل از سایت (srco) – باز نشر گروه فناوری اطلاعات مشهد آی تی

ارسال پاسخ