ShirazOnline
نمایش نتایج: از شماره 1 تا 1 , از مجموع 1

موضوع: پيکربندی Iis با رعايت مسائل امنيتی ( بخش دوم )

  1. #1
    کاربر مستعد root آواتار ها
    تاریخ عضویت
    Dec 2006
    نوشته ها
    764
    تشکرها / پسندها

    Post پيکربندی Iis با رعايت مسائل امنيتی ( بخش دوم )

    در بخش اول اين مقاله، پيکربندی IIS با رعايت مسائل امنيتی تشريح گرديد . در بخش دوم ، به بررسی نحوه تنظيم خصلت های متفاوت برنامه Internet Services Manager با رعايت مسائل امنيتی خواهيم پرداخت .
    کنسول مديريتی ماکروسافت (Microsoft Management Console :MMC) ، يک برنامه رابط کاربر گرافيکی با نام کنسول را ارائه می نمايد .هدف از ارائه کنسول فوق، ارائه محيط لازم بمنظور انجام تمام عمليات مديريتی از طريق کنسول مديريت است( تمام عمليات قابل دسترس، تابعی از کنسول مديريت می باشند) .اين نوع فرآيند ها، Snap-ins ناميده می شود . MMC خود دارای هيچگونه رفتار مديريتی نبوده ولی محيط لازم برای Snap-ins را فراهم می نمايد.بدين ترتيب کنترل مديريتی و راهبردی محيط مربوطه ، متمرکز می گردد . در زمان نصب برنامه IIS ، يک Snap-ins با نام ISM(Internet Service Manager) ارائه و در اختيار مديران سيستم قرار خواهد گرفت . بمنظور فعال نمودن برنامه ISM از مسير زير استفاده می کنيم :

    Start => Programs => Administrative Tools =>Internet Service Manager
    شکل زيرصفحه اصلی برنامه ISM را نشان می دهد .
    معرفی برنامه ISM)Internet Service Manager)
    زمانيکه برنامه IIS فعاليت خود را آغاز می نمايد، يک کنسول MMC اجرای خود را آغاز و بصورت خودکار Snap-in مربوط به ISM را فعال و در حافظه مستقر می نمايد . صفحه مربوط به Server Properties ، دارای دو گزينه است : Internet Information Services ( که بصورت پيش فرض فعال است ) و Server Extensions . در صفحه مربوط به IIS ، سه جعبه محاوره ای عمده وجود دارد :

    Master Properties , Enable Bandwidth Throttling , Computer MIME Map
    درموارديکه قصد ايجاد چندين وب سايت بر روی سرويس دهنده را داشته باشيم ، تنظيم هر يک از خصلت های فوق، بسيار مفيد خواهد بود . خصلت های تعريف شده، بصورت اتوماتيک به تمام وب سايت های موجود بر روی سرويس دهنده ،نسبت داده می شود( توارث) . بدين ترتيب در زمان مربوط به پيکربندی هر يک از سايت های موجود بر روی سرويس دهنده ،صرفه جوئی خواهد شد . در صورتيکه برخی از سايت ها نيازمند تنظيمات خاص خود باشند ، می توان در زمان پيکربندی هر يک از سايت ها ، موارد دلخواه را اعمال نمود .
    بمنظور دستيابی به جعبه محاوره ای خصلت اصلی مربوط به سرويس دهنده IIS ، مراحل زير را دنبال نمائيد :
    • نام سرويس دهنده IIS را در برنامه ISM ، انتخاب نمائيد .
    • از طريق منوی Action گزينه Properties را انتخاب نمائيد .
    • سرويس WWW و يا FTP را از طريق منوی مربوطه انتخاب و دکمه Edit را بمنظور پيکربندی Master Properties سرويس مربوطه ، فعال نمائيد .
    سرويس WWW
    از جعبه محاوره ای Master Properties ، بمنظور تنظيم مقادير پيش فرض برای تمام سايت های موجود بر روی سرويس دهنده استفاده می شود . با انتخاب گزينه Edit در صفحه Master Properties ، می توان پيکربندی عمومی خصلت های مربوط به وب سايت( وب سايت ها ) را انجام داد . در صفحه فوق، گزينه های متفاوتی وجود دارد . چهار گزينه به خصلت هائی مربوط می گردد که دارای تاثير امنيتی در رابطه با عملکرد يک وب سايت می باشند :

    Web site ,Operators , Home Directory , Directory Security .
    • Web site Tab . در اين جعبه محاوره ای ،Enable Logging تنها آيتمی است که با مسائل امنيتی مرتبط بوده و بصورت پيش فرض نيز فعال می باشد . با فعال بودن ( شدن ) گزينه فوق ، اطلاعات متفاوتی در رابطه با استفاده کنندگان از تمام وب سايت های موجود بر روی سرويس دهنده ثبت می گردد .
    • Operators Tab . با استفاده از امکان فوق، می توان گروهها و يا account هائی با مجوز خاص را بمنظور انجام عمليات مديريتی در رابطه با تمام سايت های موجود بر روی سرويس دهنده ، مشخص کرد . در صورتيکه سرويس دهنده ، مسئوليت پشتيبانی از چندين وب سايت را برعهده داشته باشد،می بايست برای هر وب سايت، يک گروه مجزا بمنظور مديريت محتويات ، ايجاد شود .
    • Home Directory Tab. در اين محل می توان ، گزينه مربوط به ثبت (log) ملاقات های انجام شده در رابطه با سايت های موجود بر روی سرويس دهنده را فعال نمود . با فعال شدن گزينه ثبت ملاقات کنندگان، می توان همواره اين اطمينان را داشت که تمام سايت ها و حتی سايت هائی که بعدا" ايجاد می گردند ، بصورت پيش فرص قادر به ثبت ملاقات کنندگان خود، خواهند بود . ثبت ملاقات کنندگان، از اصول اوليه برای تشخيص رفتار مزاحمين در رابطه با وب سايت ها خواهد بود . با تنظيم گزينه فوق در اين مکان ، مديريت سرويس دهنده وب ضرورتی ندارد که برای هر سايتی که ايجاد می گردد،گزينه ثبت ملاقات کنندگان را فعال نمايد . مجوزهای Read , Write و Directory Browsing می بايست به همان حالت پيش فرض باقيمانده و ضرورتی به تنظيم آنها در اين محل نخواهد بود . (برای هر سايتی که در آينده ايجاد می گردد ، می توان مجوزهای مربوطه را متناسب با سياست های موجود تنظيم و پيکربندی کرد ) . مجوز Read امکان مشاهده سايت را به ملاقات کنندگان ، مجوز Write امکان نوشتن اطلاعات در فهرستی که سايت نصب شده است و مجوز Directory Browsing امکان مشاهده ليستی از تمام فايل های موجود در يک فهرست خاص را برای کاربر، فراهم می نمايد.پيشنهاد می گردد ، در صفحه Master Properties ، تمام گزينه های فوق غير فعال گردند ( عدم انتخاب ) . در صفحه Home Directory ، ليست مربوط به مجوزهای اجراء نيز وجود دارد . پيشنهاد می گردد در اين مقطع مقدار آن None در نظر گرفته شود . در صورت نياز به اختصاص مجوزهای فوق ، می توان اين عمليات را بصورت خاص برای برای هر يک از وب سايت های موجود بر روی سرويس دهنده انجام داد .
    • Directoty Security Tab . روش های تاييد اعتبار با توجه به اينکه محدوده عملياتی و مجاز کاربران ( کنترل دستيابی به فايل هائی خاص ، فهرست ها و اسکريپت ها ) را مشخص می نمايند، دارای اهميت زيادی می باشند .تنظيم و انتخاب روش های تاييد اعتبار کاربران به نوع استفاده از سايت بر می گردد ( آيا سايت بر روی اينترنت و يا اينترانت است ؟) . بمنظور مشاهده صفحه مربوط به Authentication Methods گزينه Edit را از طريق ناحيه Anonymouse access and authentications control ، انتخاب نمائيد . مجوز Anonymous Access ، می تواند به بصورت پيش فرض در اختيار در تمام وب سايت های موجود بر روی سرويس دهنده قرارگرفته و يا اين امکان از آنها سلب گردد. در صورتيکه سايت از طريق اينترانت و يا يک شبکه داخلی ( يک شبکه مبتنی بر ويندوز) استفاده می گردد، می بايست گزينه فوق، غير فعال گردد . بدين ترتيب کاربران شبکه ، می بايست با استفاده از نام و رمز عبور مربوطه به شبکه وارد تا زمينه استفاده آنان از امکانات موجود فراهم گردد . در صورتيکه سرويس دهنده از طريق اينترنت استفاده می گردد، اکثر وب سايت ها امکان دستيابی بصورت Anonymous را فراهم می نمايند . بجزء روش دستيابی Anonymouse ، از سه روش تاييد اعتبار ديگر نيز می توان استفاده کرد :
    توضيحات
    روش
    روش فوق، امکان حرکت و انتقال نام و رمز عبور در طول شبکه را بصورت کاملا" مشخص و متن شفاف فراهم می نمايد . بدين ترتيب يک مزاحم اطلاعاتی قادر به شناسائی account های معتبر، بمنظور نفوذ در سايت خواهد بود.
    Basic Authentication
    روش فوق، برای سرويس دهندگان Windows Domain ، مشابه Basic Authentication با اين تفاوت است که در مقابل استفاده از نام و رمز عبور بصور متن شفاف ، يک رمز عبور Hash شده بمنظور ارتقاء سطح اعتبارسنجی ارسال می گرد .اين روش صرفا" توسط مرورگرهائی که HTTP 1.1 را حمايت می نمايند، قابل استفاده می باشد ( نظير مرورگر IE5 ) .جهت استفاده از روش فوق، سرويس دهنده IIS می بايست در يک Domain ويندوز 2000 قرار داشته و رمزهای عبور در فايل های متنی و بر روی کنتترل کننده Domain ذخيره گردند .بنابراين کنترل کننده Domain ، می بايست بدرستی ايمن و حفاظت گردد .
    Digest authentication
    مشابه روش Challange/Respones در IIS 4.0 مربوط به ويندوز NT است. روش فوق، صرفا" از طريق مرورگرهای وب شرکت ماکروسافت قابل استفاده خواهد بود .
    Integrated windows authentication
    انتخاب يک روش اعتبار سنجی ، مبتنی برسياست های امنيتی تدوين شده بوده و نمی توان يک راه حل جامع را معرفی تا تمام وب سايت ها از آن تبعيت نمايند .
    سرويس FTP
    صفحه اصلی مربوط به تنظيمات خصلت های FTP ، دارای گزينه های بمراتب کمتری نسبت به سرويس WWW است . بمنظور فعال نمودن صفحه فوق ، از طريق IIS Server Properties سرويس FTP را انتخاب و در ادامه دکمه Edit را فعال نمائيد .

    • FTP Site Tab . پيشنهاد می گردد که امکان Logging در اين بخش فعال تا اگر در آينده و در رابطه با يک سايت اين موضوع فراموش گرديد، با مشکلاتی مواجه نگرديم .با توجه به نوع سرويس FTP ، تعداد ارتباطات همزمان مجاز بهمراه زمان timeout را می توان در اين بخش تنظيم کرد .
    • Security Tab . مشابه سرويس www ، می توان امکان دستيابی Anonymous را برای سرويس FTP در اين بخش مشخص نمود . در صورتيکه سايت از طريق اينترنت استفاده می گردد وتمايل به فعال شدن مجوز دستيابی anonymous وجود داشته باشد ، می توان آن را در اين بخش تنظيم نمود . پيشنهاد می گردد که امکان Allow only anonymous connection انتخاب گردد . عملکرد Allow IIS to control password مشابه گزينه Enable automatic password synchronization در نسخه شماره چهار IIS است . بدين ترتيب امکان يکسان سازی رمز عبور موجود در اين صفحه با مقدار موجود در Computer Management ، بمنظور کنترل رمز عبور کاربران و گروه ها انجام خواهد شد . account مربوط به IUSR_computername می بايست بر روی ماشينی که بر روی آن IIS نصب شده است موجود باشد .(وضعيت فوق بصورت پيش فرض بوده و نبايد آن را تغيير داد) . از يک نام و رمز عبور تعريف شده در Domain ويندوز بمنظور FTP استفاده نمی گردد . دومين بخش صفحه فوق، شامل ليستی بمنظور مشخص نمودن FTP site operators است . معرفی و مشخص نمودن گروه و يا account مربوطه با مجوزهای لازم بمنظور انجام عمليات مديريتی برای تمام سرويس دهندگان FTP موجود بر روی سرويس دهنده در اين بخش انجام می شود.در زمان پيکربندی يک سايت، گروه و account ايجاد شده، بصورت اتوماتيک مشمول سايت جديد شده ( از ليست گروه و کاربران مجاز که قبلا" ايجاد شده اند ، می توان در رابطه با سايت جديد نيز استفاده کرد ) و می توان به ليست تعريف شده ، گروه و يا کاربران جديدی را اضافه و يا حذف نمود . در صورتيکه سرويس دهنده ، مسئول پاسخگوئی به چندين سايت FTP است ، پيشنهاد می گردد برای هر سايت، يک گروه مديريتی جداگانه ايجاد تا امکان مديريت محتويات سايت برای مسئول مربوطه فراهم گردد .
    • Home Directory Tab . در اين محل صرفا" يک گزينه مرتبط با مسائل امنيتی وجود دارد: Log visits . گزينه فوق، خوشبختانه بصورت پيش فرض فعال است . پيشنهاد می گردد گزينه فوق به همين وضعيت باقی بماند . ثبت ملاقات کنندگان سايت روشی مناسب بمنظور تشخيص رفتار مزاحمين و ساير موارد مشابه در رابطه با مهاجمان اطلاعاتی است . .
    • Directory Security Tab. در اين بخش امکان تعريف محدوديت دستيابی بر اساس TCP/IP ، وجود دارد .در اين راستا می توان، امکان دستيابی به سرويس دهنده را برای تمام کامپيوترها فراهم و يا اين امکان را از آنها سلب نمود. در صورتيکه سرويس دهنده از طريق اينترنت استفاده می گردد، مديريت سايت می بايست امکان دستيابی به تمام کامپيوترها را انتخاب نمايد ( مقدار پيش فرض ) در صورتيکه سايت بصورت اينترانت استفاده می گردد ، می توان از رويکرد اشاره شده در رابطه با اينترنت استفاده و يا ليستی از کاربران و گروهها ی مجاز را بمنظور دستيابی به سايت مشخص نمود . در چنين حالتی، گزينه Denied Access انتخاب و در ليست مربوطه (Except ) ، کاربران و گروه های مجاز مشخص می گردند .
    Server Property Server Extensions
    دومين بخش صفحه Master Properties به Server Extensions بر می گردد . IIS ،امکان نشراطلاعات از راه دور را فراهم می نمايد. ويژگی فوق، برای برنامه FrontPage مناسب است . بدين ترتيب يک مولف، قادر به ايجاد تغييرات لازم در رابطه با يک صفحه وب و ارسال آن بر روی سرويس دهنده ،از راه دور می باشد . وضعيت فوق از لحاظ امنيتی يک ريسک بشمار می رود . در اين بخش می توان تنظيمات لازم را بمنظور بهره برداری از ويژگی فوق، انجام داد . گزينه های موجود در اين بخش که به مسائل امنيتی مرتبط می باشند، در ناحيه Permission قرار دارند.در صورت استفاده از ويژگی فوق، می بايست گزينه های Log authoring actions ,Require SSL for authoring و Manage Permissinos manually فعال گردند .

    • Log authoring actions . با انتخاب و فعال نمودن گزينه فوق ، اطلاعات متنوعی در رابطه با فرد ارسال کننده اطلاعات ، نظير: نام ارسال کننده ، زمان ارسال، نام وب ميزبان از راه دور و موارد ديگر، ثبت می گردد .
    • Manage permissions manually . تنظيمات مربوط به ابزارهای مديريتی FrontPage server extension ( نظير FronPage MMC) را غير فعال می نمايد . بنابراين ابزارهای فوق ، قادر به تغيير و اصلاح تنظيمات امنيتی مربوط به سايت انتخاب شده نخواهند بود. بمنظور اطمينان از اينکه افراد ديگر ( مديريت و يا ساير کاربران ) امکان تغيير تنظيمات امنيتی را نخواهند داشت ، توصيه می گردد حتما" گزينه فوق، فعال تا امکان تنظيمات امنيتی سيستم از برنامه های مربوطه، سلب گردد .
    • Require SSL for authoring . با انتخاب گزينه فوق ، نشر اطلاعات برروی سايت، با استفاده از پروتکل SSL انجام و يک سطح اميدوارکننده از لحاظ امنيتی را شاهد خواهيم بود .
    • Allow authors to upload Executables . اين امکان را به مديران مربوطه خواهد داد که اسکريپت ها و يا فايل های اجرائی را برای اجراء بر روی سرويس دهنده ، ارسال نمايند . گزينه فوق می بايست غير فعال شده باقی بماند .
    خلاصه
    جدول زير خلاصه تنظيمات Master Properties در رابطه با سرويس WWW ,FTP و Server Extension را با رعايت مسائل ايمنی نشان می دهد :
    تنظيمات پيشنهادی برای خصلت های اصلی WWW
    Web site Tab
    Enable logging
    Home directory Tab
    Disable Read, Write, Directory browsing options
    Enable Log visits
    None = Execute Permissions drop down box

    Directory security Tab
    If will NOT allow Anonymous access, Disable
    Anonymous access
    Else Enable it.
    تنظيمات پيشنهادی برای خصلت های اصلی FTP
    FTP site Tab
    Set number of connections for max users on FTP server
    Set maximum seconds for timeout , 600 seconds is reasonable
    Enable logging

    Home directory Tab
    Enable Log visits
    Security Accounts Tab
    Enable Allow Anonymous Connections
    Enable Allow only anonymous connections

    تنظيمات پيشنهادی برای خصلت های اصلی Server Extensions
    Enable Log authoring actions
    Enable Require SSL for authoring
    Enable manage permissions manually
    Disable Allow authors to upload executable
    در بخش سوم اين مقاله به بررسی نحوه پيکربندی و مديريت سرويس های متفاوت IIS با رعايت مسائل امنيتی خواهيم پرداخت .
    ویرایش توسط root : 2007/07/04 در ساعت 06:27 PM


  2. # ADS
    Circuit advertisement
    تاریخ عضویت
    Always
    نوشته ها
    Many
     

اطلاعات موضوع

کاربرانی که در حال مشاهده این موضوع هستند

در حال حاضر 1 کاربر در حال مشاهده این موضوع است. (0 کاربران و 1 مهمان ها)

علاقه مندی ها (Bookmarks)

علاقه مندی ها (Bookmarks)

مجوز های ارسال و ویرایش

  • شما نمیتوانید موضوع جدیدی ارسال کنید
  • شما امکان ارسال پاسخ را ندارید
  • شما نمیتوانید فایل پیوست کنید.
  • شما نمیتوانید پست های خود را ویرایش کنید
  •