پيکربندی IIS با رعايت مسائل امنيتی ( بخش دوم )
دهلران پی سی
سایت جامع علمی ,آموزشی,فرهنگی و تفریحی

در بخش اول اين مقاله، پيکربندی IIS با رعايت مسائل امنيتی تشريح  گرديد . در بخش دوم ، به بررسی نحوه تنظيم خصلت های متفاوت برنامه Internet Services Manager با رعايت مسائل امنيتی خواهيم پرداخت .
کنسول مديريتی ماکروسافت (Microsoft Management Console :MMC) ، يک برنامه رابط کاربر گرافيکی با نام کنسول را ارائه می نمايد .هدف از ارائه کنسول فوق، ارائه محيط لازم بمنظور انجام تمام عمليات مديريتی از طريق کنسول مديريت است( تمام عمليات قابل دسترس، تابعی از کنسول مديريت می باشند) .اين نوع فرآيند ها، Snap-ins ناميده می شود . MMC خود دارای هيچگونه رفتار مديريتی نبوده ولی محيط لازم برای Snap-ins را فراهم می نمايد.بدين ترتيب کنترل مديريتی و راهبردی محيط مربوطه ، متمرکز می گردد . در زمان نصب برنامه IIS ، يک Snap-ins با نام ISM(Internet Service Manager)  ارائه و در اختيار مديران سيستم قرار خواهد گرفت . بمنظور فعال نمودن برنامه ISM از مسير زير استفاده می کنيم :

Start => Programs => Administrative Tools =>Internet Service Manager  

  شکل زيرصفحه اصلی برنامه  ISM را نشان می دهد .

معرفی برنامه ISM)Internet Service Manager)
زمانيکه برنامه IIS  فعاليت خود را آغاز می نمايد،  يک کنسول MMC  اجرای خود را آغاز و بصورت خودکار Snap-in مربوط به ISM را فعال و در حافظه مستقر می نمايد . صفحه مربوط به Server Properties ، دارای دو گزينه است :  Internet Information Services ( که بصورت پيش فرض فعال است ) و Server Extensions . در صفحه مربوط به IIS ، سه جعبه محاوره ای عمده وجود  دارد :

Master Properties , Enable Bandwidth Throttling , Computer MIME Map  

درموارديکه قصد ايجاد چندين وب سايت بر روی سرويس دهنده را داشته باشيم ، تنظيم هر يک از خصلت های فوق، بسيار مفيد خواهد بود . خصلت های تعريف شده، بصورت اتوماتيک به تمام وب سايت های موجود بر روی سرويس دهنده ،نسبت داده می شود( توارث) . بدين ترتيب در زمان مربوط به پيکربندی هر يک از سايت های موجود بر روی سرويس دهنده ،صرفه جوئی خواهد شد . در صورتيکه برخی از سايت ها نيازمند تنظيمات خاص خود  باشند ، می توان در زمان پيکربندی هر يک از سايت ها ، موارد دلخواه را اعمال نمود .
بمنظور دستيابی به جعبه محاوره ای خصلت اصلی مربوط به سرويس دهنده IIS ،  مراحل زير را دنبال نمائيد :

  • نام سرويس دهنده IIS را در برنامه ISM ،  انتخاب نمائيد .

  • از طريق منوی Action گزينه Properties را انتخاب نمائيد .

  • سرويس WWW و يا FTP را از طريق منوی مربوطه انتخاب و دکمه Edit را بمنظور پيکربندی Master Properties   سرويس مربوطه ، فعال نمائيد .

سرويس WWW
از جعبه محاوره ای  Master Properties ، بمنظور تنظيم مقادير پيش فرض برای تمام سايت های موجود بر روی سرويس دهنده استفاده می شود . با انتخاب گزينه Edit در صفحه  Master Properties ،  می توان پيکربندی عمومی  خصلت های مربوط به وب سايت( وب سايت ها )  را انجام داد . در صفحه فوق، گزينه های متفاوتی وجود دارد . چهار گزينه به خصلت هائی مربوط می گردد که دارای تاثير امنيتی در رابطه با عملکرد يک وب سايت می باشند :

Web site ,Operators , Home Directory , Directory Security .  

  • Web site Tab . در اين جعبه محاوره ای ،Enable Logging تنها آيتمی است  که با مسائل امنيتی مرتبط بوده و بصورت پيش فرض نيز فعال می باشد . با فعال بودن ( شدن ) گزينه فوق ، اطلاعات متفاوتی در رابطه با استفاده کنندگان از  تمام وب سايت های موجود بر روی سرويس دهنده ثبت می گردد .

  • Operators Tab . با استفاده از امکان فوق، می توان گروهها و يا account هائی با مجوز خاص را بمنظور انجام عمليات مديريتی در رابطه با تمام سايت های موجود بر روی سرويس دهنده ، مشخص کرد .  در صورتيکه سرويس دهنده ، مسئوليت پشتيبانی از چندين وب سايت را برعهده داشته باشد،می بايست برای هر وب سايت، يک گروه مجزا بمنظور مديريت محتويات ، ايجاد شود .

  • Home Directory Tab . در اين محل می توان ، گزينه مربوط به ثبت (log)  ملاقات های انجام شده در رابطه با  سايت های موجود بر روی سرويس دهنده را فعال نمود . با فعال شدن  گزينه ثبت ملاقات کنندگان، می توان همواره اين اطمينان را داشت که تمام سايت ها و حتی سايت هائی که بعدا" ايجاد می گردند ، بصورت پيش فرص قادر به ثبت ملاقات کنندگان خود، خواهند بود . ثبت ملاقات کنندگان، از اصول اوليه برای تشخيص رفتار مزاحمين در رابطه با وب سايت ها خواهد بود . با تنظيم گزينه فوق در اين مکان ، مديريت سرويس دهنده وب ضرورتی ندارد که برای هر سايتی که ايجاد می گردد،گزينه  ثبت ملاقات کنندگان را فعال نمايد . مجوزهای Read , Write و Directory Browsing  می بايست به همان حالت پيش فرض باقيمانده و ضرورتی به  تنظيم آنها در اين محل نخواهد بود . (برای هر سايتی که در آينده ايجاد می گردد ، می توان مجوزهای مربوطه را متناسب با سياست های موجود تنظيم و پيکربندی کرد ) . مجوز Read  امکان مشاهده سايت را به ملاقات کنندگان ، مجوز Write امکان نوشتن اطلاعات در فهرستی که سايت نصب شده است و مجوز Directory Browsing  امکان مشاهده ليستی از تمام فايل های موجود در يک فهرست خاص را برای کاربر، فراهم می نمايد.پيشنهاد می گردد ، در صفحه Master Properties ، تمام گزينه های فوق غير فعال گردند ( عدم انتخاب ) . در صفحه Home Directory ، ليست مربوط به مجوزهای اجراء  نيز وجود دارد . پيشنهاد می گردد در اين مقطع مقدار آن None در نظر گرفته شود . در صورت نياز به اختصاص مجوزهای فوق ، می توان اين عمليات را بصورت خاص برای برای هر يک از وب سايت های موجود بر روی سرويس دهنده انجام داد .

  • Directoty Security Tab . روش های تاييد اعتبار با توجه به اينکه محدوده عملياتی و مجاز کاربران  ( کنترل دستيابی به فايل هائی خاص ، فهرست ها و اسکريپت ها  )  را مشخص می نمايند، دارای  اهميت زيادی می باشند .تنظيم و انتخاب روش های تاييد اعتبار کاربران به نوع استفاده از سايت بر می گردد ( آيا سايت بر روی اينترنت و يا اينترانت است ؟) . بمنظور مشاهده صفحه مربوط به Authentication Methods  گزينه Edit  را از طريق ناحيه  Anonymouse access and authentications control ، انتخاب نمائيد . مجوز Anonymous Access  ، می تواند  به بصورت پيش فرض در اختيار در تمام وب سايت های موجود بر روی سرويس دهنده قرارگرفته  و يا  اين امکان از آنها سلب گردد. در صورتيکه سايت از طريق اينترانت و يا يک شبکه داخلی  ( يک شبکه مبتنی بر ويندوز)  استفاده می گردد، می بايست گزينه فوق، غير فعال گردد . بدين ترتيب کاربران شبکه ، می بايست با استفاده از نام و رمز عبور مربوطه به شبکه وارد تا زمينه استفاده آنان از امکانات موجود فراهم گردد . در صورتيکه سرويس دهنده از طريق اينترنت استفاده می گردد، اکثر وب سايت ها امکان دستيابی بصورت  Anonymous را فراهم می نمايند . بجزء روش دستيابی Anonymouse ، از سه روش تاييد اعتبار ديگر نيز می توان استفاده کرد :

توضيحات

روش

روش فوق، امکان حرکت و انتقال نام و رمز عبور در طول شبکه را بصورت کاملا" مشخص و متن شفاف فراهم می نمايد . بدين ترتيب يک مزاحم اطلاعاتی قادر به شناسائی  account های معتبر، بمنظور نفوذ در سايت خواهد بود.

Basic Authentication

 روش فوق، برای سرويس دهندگان Windows Domain ، مشابه Basic Authentication با اين تفاوت است که در مقابل استفاده از نام و رمز عبور بصور متن شفاف ، يک رمز عبور Hash شده  بمنظور ارتقاء سطح اعتبارسنجی ارسال می گرد .اين روش صرفا" توسط مرورگرهائی  که HTTP 1.1 را حمايت می نمايند، قابل استفاده می باشد  ( نظير مرورگر IE5 ) .جهت استفاده از روش فوق،  سرويس دهنده IIS  می بايست در يک Domain  ويندوز 2000 قرار داشته و رمزهای عبور در فايل های متنی و بر روی کنتترل کننده Domain  ذخيره گردند .بنابراين کنترل کننده Domain  ، می بايست بدرستی ايمن و حفاظت گردد .

Digest authentication

مشابه روش  Challange/Respones در IIS 4.0 مربوط به ويندوز NT است. روش فوق، صرفا" از طريق مرورگرهای وب شرکت ماکروسافت قابل استفاده خواهد بود .

Integrated windows authentication

انتخاب يک روش اعتبار سنجی ، مبتنی برسياست های امنيتی تدوين شده  بوده  و نمی توان يک راه حل جامع را معرفی  تا تمام وب سايت ها از آن تبعيت نمايند .

سرويس FTP
صفحه اصلی مربوط به تنظيمات خصلت های FTP  ، دارای گزينه های بمراتب کمتری نسبت به سرويس WWW است . بمنظور فعال نمودن صفحه فوق ، از طريق IIS Server Properties  سرويس FTP را انتخاب و در ادامه دکمه Edit را فعال نمائيد .

  • FTP Site Tab . پيشنهاد می گردد که امکان Logging در اين بخش فعال تا اگر در آينده و در رابطه با يک سايت اين موضوع فراموش گرديد، با مشکلاتی مواجه نگرديم .با توجه به نوع سرويس FTP ، تعداد ارتباطات همزمان مجاز بهمراه زمان timeout را می توان در اين بخش تنظيم کرد .

  • Security Tab . مشابه سرويس www ، می توان امکان دستيابی Anonymous را برای سرويس FTP در اين بخش مشخص نمود . در صورتيکه سايت از طريق اينترنت استفاده می گردد وتمايل به فعال شدن مجوز دستيابی anonymous وجود داشته باشد ،  می توان آن را در اين بخش تنظيم نمود . پيشنهاد می گردد که امکان Allow only anonymous connection  انتخاب گردد . عملکرد Allow IIS to control password مشابه گزينه Enable automatic password synchronization در نسخه شماره چهار IIS است . بدين ترتيب امکان يکسان سازی رمز عبور موجود در اين صفحه با مقدار موجود در Computer Management ، بمنظور کنترل رمز عبور کاربران  و گروه ها انجام خواهد شد . account مربوط به IUSR_computername می بايست بر روی ماشينی که بر روی آن IIS نصب شده است موجود باشد .(وضعيت  فوق بصورت پيش فرض بوده و نبايد آن را  تغيير داد)  . از يک نام و رمز عبور تعريف شده در Domain ويندوز بمنظور FTP استفاده نمی گردد . دومين بخش صفحه فوق، شامل ليستی بمنظور مشخص نمودن FTP site operators است . معرفی و مشخص نمودن گروه و يا  account  مربوطه با مجوزهای لازم بمنظور انجام عمليات مديريتی برای تمام سرويس دهندگان FTP موجود بر روی سرويس دهنده در اين بخش انجام می شود.در زمان پيکربندی يک سايت، گروه و account  ايجاد شده،  بصورت اتوماتيک مشمول سايت جديد شده  ( از ليست گروه و کاربران مجاز که قبلا" ايجاد شده اند ، می توان در رابطه با سايت جديد نيز استفاده کرد ) و می توان به ليست تعريف شده ، گروه و يا کاربران جديدی را اضافه و يا حذف نمود . در صورتيکه سرويس دهنده ، مسئول پاسخگوئی به چندين سايت FTP است ، پيشنهاد می گردد  برای هر سايت،  يک گروه مديريتی جداگانه ايجاد تا امکان مديريت محتويات سايت برای مسئول مربوطه فراهم گردد .

  • Home Directory Tab . در اين محل صرفا" يک گزينه مرتبط با مسائل امنيتی وجود دارد:  Log visits . گزينه فوق، خوشبختانه بصورت پيش فرض فعال است . پيشنهاد می گردد گزينه فوق به همين وضعيت باقی بماند . ثبت ملاقات کنندگان سايت روشی مناسب بمنظور تشخيص رفتار مزاحمين و ساير موارد مشابه در رابطه با مهاجمان اطلاعاتی است . .

  • Directory Security Tab . در اين بخش امکان تعريف محدوديت دستيابی بر اساس  TCP/IP ،  وجود دارد .در اين راستا می توان،  امکان دستيابی به سرويس دهنده را برای تمام کامپيوترها فراهم  و يا اين امکان را از آنها سلب نمود. در صورتيکه سرويس دهنده از طريق اينترنت استفاده می گردد، مديريت سايت می بايست امکان دستيابی به تمام کامپيوترها  را انتخاب نمايد ( مقدار پيش فرض ) در صورتيکه سايت بصورت اينترانت استفاده می گردد ، می توان از رويکرد اشاره شده در رابطه با اينترنت استفاده و يا ليستی از کاربران و گروهها ی مجاز را بمنظور دستيابی به سايت مشخص نمود . در چنين حالتی، گزينه Denied Access انتخاب و در ليست مربوطه (Except ) ،  کاربران و گروه های مجاز مشخص می گردند .

Server Property Server Extensions 
دومين بخش صفحه Master Properties به Server Extensions بر می گردد . IIS ،امکان نشراطلاعات از راه دور را فراهم می نمايد. ويژگی فوق،  برای برنامه FrontPage مناسب است . بدين ترتيب  يک مولف، قادر به ايجاد تغييرات لازم در رابطه با يک صفحه وب و ارسال آن بر روی سرويس دهنده ،از راه دور می باشد . وضعيت فوق از لحاظ امنيتی يک ريسک بشمار می رود . در اين بخش می توان تنظيمات لازم را بمنظور  بهره برداری از ويژگی فوق، انجام داد . گزينه های موجود در اين بخش که به مسائل امنيتی مرتبط می باشند، در ناحيه Permission قرار دارند.در صورت استفاده از  ويژگی فوق، می بايست گزينه های Log authoring actions  ,Require SSL for authoring و Manage Permissinos manually فعال گردند .

  • Log authoring actions . با انتخاب و فعال نمودن گزينه فوق ، اطلاعات متنوعی در رابطه با فرد ارسال کننده اطلاعات ، نظير: نام ارسال کننده ، زمان ارسال،  نام وب ميزبان از راه دور و موارد ديگر، ثبت می گردد .

  • Manage permissions manually . تنظيمات مربوط به ابزارهای مديريتی FrontPage server extension ( نظير FronPage MMC) را غير فعال می نمايد . بنابراين ابزارهای فوق ، قادر به تغيير و اصلاح تنظيمات امنيتی مربوط به سايت انتخاب شده نخواهند بود. بمنظور اطمينان از اينکه افراد ديگر ( مديريت و يا ساير کاربران ) امکان تغيير تنظيمات امنيتی را نخواهند داشت ، توصيه می گردد حتما" گزينه فوق،  فعال تا امکان تنظيمات امنيتی سيستم از برنامه های مربوطه،  سلب گردد . 

  • Require SSL for authoring . با انتخاب گزينه فوق ، نشر اطلاعات برروی سايت، با استفاده از پروتکل SSL انجام و يک سطح اميدوارکننده از لحاظ امنيتی را شاهد خواهيم بود .

  • Allow authors to upload Executables . اين امکان را به مديران مربوطه  خواهد داد که اسکريپت ها و يا فايل های اجرائی را برای اجراء بر روی سرويس دهنده ، ارسال نمايند . گزينه فوق می بايست غير فعال شده باقی بماند .

خلاصه
جدول زير خلاصه تنظيمات Master Properties  در رابطه با سرويس WWW ,FTP و Server Extension را با رعايت مسائل ايمنی نشان می دهد :

تنظيمات پيشنهادی برای خصلت های اصلی WWW

Web site Tab

Enable logging

Home directory Tab

Disable  Read, Write, Directory browsing options
Enable Log visits
None = Execute Permissions drop down box

Directory security Tab

If  will NOT allow Anonymous access, Disable
Anonymous access
Else Enable it.

تنظيمات پيشنهادی برای خصلت های اصلی FTP

FTP site Tab

Set  number of connections for max users on FTP server
Set maximum seconds for timeout , 600 seconds is reasonable
Enable logging

Home directory Tab

Enable  Log visits

Security Accounts  Tab

Enable  Allow Anonymous Connections
Enable  Allow only anonymous connections

تنظيمات پيشنهادی برای خصلت های اصلی Server Extensions

Enable Log authoring actions
Enable Require SSL for authoring
Enable manage permissions manually
Disable Allow authors to upload executable

در بخش سوم اين مقاله  به بررسی نحوه پيکربندی و مديريت سرويس های متفاوت IIS با رعايت مسائل امنيتی خواهيم پرداخت .

srco.ir


نظرات شما عزیزان:

نام :
آدرس ایمیل:
وب سایت/بلاگ :
متن پیام:
:) :( ;) :D
;)) :X :? :P
:* =(( :O };-
:B /:) =DD :S
-) :-(( :-| :-))
نظر خصوصی

 کد را وارد نمایید:

 

 

 

عکس شما

آپلود عکس دلخواه:








تاریخ: دو شنبه 27 خرداد 1392برچسب:,
ارسال توسط هادی احمدی

آرشیو مطالب
پيوند هاي روزانه
امکانات جانبی

آمار وب سایت:  

بازدید امروز : 115
بازدید دیروز : 99
بازدید هفته : 217
بازدید ماه : 613
بازدید کل : 204601
تعداد مطالب : 736
تعداد نظرات : 23
تعداد آنلاین : 1

Google

در اين وبلاگ
در كل اينترنت
 <-PostTitle-> <-PostContent-> 1 <-PostLink->