Опубликован: 20.02.2006 | Доступ: свободный | Студентов: 3425 / 400 | Оценка: 4.34 / 3.99 | Длительность: 21:22:00
ISBN: 978-5-9570-0022-1
Лекция 6:

Безопасность

Обеспечение безопасности IIS

Теперь, после знакомства с обновлениями и уязвимым местами, давайте подумаем о том, как обеспечить безопасность IIS. Раньше IIS был довольно открытым для общего доступа компонентом, что послужило причиной возникновения проблем, связанных с нарушением безопасности. IIS 6 по умолчанию устанавливается в заблокированном виде. Тем не менее, некоторые шаги помогут сделать IIS более защищенным компонентом.

Не устанавливайте ненужные компоненты

Вам не нужна служба FTP? Так не устанавливайте ее! Вы не будете использовать серверные расширения BITS? Не устанавливайте их только из-за красивого названия! Чем больше компонентов установлено, тем больше уязвимых мест появится на сайте, особенно, если компоненты не будут как следует настроены.

Не включайте просмотр каталогов

Включение этой функции разрешит любому пользователю просматривать список файлов в каталоге, если на сайте не установлена страница по умолчанию. Излишне говорить о том, что это представляет собой угрозу безопасности.

Блокировка cmd.exe

Для захвата контроля над системой хакеры обычно используют командную строку. Каталог system32 располагается не в папке веб-сайта, однако уязвимость, связанная с переполнением буфера, позволяет хакерам запустить файл cmd.exe. Защита файлов (Windows File Protection) затрудняет удаление и переименование этого файла. Если файл не нужен, просто измените разрешения для каждого пользователя, чтобы ни у кого не было доступа к файлу, вплоть до игнорирования анонимной учетной записи. В случае необходимости администратор присвоит разрешения заново. Такие действия затруднят работу хакера по захвату контроля над системой.

Установите на сайте разрешения на выполнение

Существуют три вида разрешений на выполнение: None (Нет), Scripts (Сценарии) и Execute (Выполнение). Убедитесь, что для сайта выбраны наиболее ограничительные разрешения, обеспечивающие максимальный уровень безопасности. Если вы используете страницы ASP или статическое содержимое (не приложения CGI), то выберите разрешение Scripts (Сценарии). Если на сайте не используются даже сценарии ASP, выберите опцию None (Нет).

Опция None (Нет)

Позволяет открывать только статические страницы и запрещает выполнение сценариев. Такой подход запрещает выполнение любых приложений серверной части. По умолчанию параметр None установлен для всех веб-сайтов.

Scripts (Сценарии)

Позволяет выполнять сценарии ASP с помощью ISAPI. Поскольку сценарии выполняются на сервере, при разрешении их выполнения возрастает угроза безопасности.

Execute (Выполнение)

Разрешает выполнение всех элементов, допускает доступ и выполнение файлов любого типа. Параметр Execute является самым разрешительным.

Примечание. Поскольку стандартным разрешением для всех веб-сайтов является None (Нет), без определенной настройки параметров не будут работать страницы ASP. Для запуска сценариев ASP установите разрешение Scripts (Сценарии). Если вы занимаетесь разработками в Visual Studio, то разрешения установятся автоматически; в противном случае придется сделать это вручную. Не забудьте включить ASP в области Service Extensions (Расширения сервера) консоли IIS MMC.

Не устанавливайте на сайте разрешения Write (Запись)

При наличии на сайте разрешений на выполнение не включайте разрешение на запись. В этом случае любой пользователь сможет отгрузить на сайт исполняемый файл и запустить его на сервере! Если пользователям нужно разрешить запись содержимого на веб-сайт, найдите для этого другой способ. Разрешения на запись не нужны, если пользователи не отгружают файлы на сайт с помощью протокола HTTP.

Избегайте использования базовой аутентификации

При базовой аутентификации имя пользователя и пароль передаются по сети в открытом виде. Это очень небезопасно, поскольку любой пользователь, прослушивающий сеть, сможет перехватить соответствующий пакет и раскрыть имя пользователя и пароль. Для устранения данной проблемы применяется шифрование трафика, однако рекомендуется более мощная защита, такая как Windows Integrated Authentification (Интегрированная аутентификация Windows), с шифруемым обменом данных при проверке подлинности пользователей. Не забудьте про аутентификацию Digest Authentification (Аналитическая аутентификация), которая работает с учетной записью Active Directory. В качестве альтернативы применяется новый тип аутентификации от Microsoft – при помощи .NET Passport (см. "Аутентификация" ).

Настройка журналов

Рекомендуется вести журналы для записи событий сайта. Журналы отслеживают и фиксируют IP-адреса и имена всех пользователей, подключающихся к сайту. Журналы позволяют выявлять злоумышленников, проникших на сайт.

Отключите ненужные расширения приложений ISAPI

WS03 поставляется с ограниченным числом включенных приложений ISAPI. Это показано во вкладке Mappings (Связи) диалогового окна Application Configuration (Настройка приложений) (см. рис. 6.2). Проблемные расширения .htr исключены из IIS 6, в чем также можно убедиться по рисунку. Расширения .htr разрешали пользователям изменять свои пароли через интернет. Эти сценарии были связаны с библиотекой ISM.DLL, в которой присутствовали некоторые уязвимые места. Раньше Microsoft рекомендовала отключить эти расширения, теперь от них полностью отказались, и файл ISM.DLL более не существует.

Ниже приведены приложения ISAPI, имеющиеся в IIS 6, с описанием их функций.

  • .asa. Расширение связано с файлом asp.dll и предназначено для файлов ASP, имеющих глобальное значение или же используемых конкретным приложением. Эти файлы необходимы для большинства сайтов ASP.
  • .asp. ASP является самым главным элементом сайтов Microsoft, выполняющихся на серверной части.
  • .cdx. Позволяют использовать файлы определения каналов. Понятие каналов внедрено в IE 4 и под этим термином обычно подразумеваются веб-страницы с файлом определения канала, устанавливающим структуру страницы.
  • .cer. Дают возможность осуществлять работу с сертификатами для ASP посредством сервера сертификатов.
  • .idc. Используются для подключений к базам данных интернет; поддерживаются библиотекой httpodbc.dll.
  • .shtm, .shtml, .stm. Предназначены для включений серверной части, связаны с файлом ssinc.dll, обрабатывающим включения.
Вкладка Mappings (Связи), отображающая расширения приложений ISAPI

Рис. 6.2. Вкладка Mappings (Связи), отображающая расширения приложений ISAPI

Скрывайте использование сценариев

Хороший способ спрятать использование сценариев ASP заключается в следующем. Свяжите файлы .htm с ASP.dll. IIS особо не выделяет отдельные расширения, а просто нуждается в информации о том, что делать с конкретным файлом. Каждый файл .htm будет выполняться через asp.dll, с обработкой содержимого ASP. Несмотря ни на что, пользователь увидит конечный результат в виде обычной страницы HTML.

Используйте SSL на веб-сайтах с секретными данными

Протокол защищенных сокетов SSL позволяет шифровать данные между браузером и веб-сервером, что исключает возможность их просмотра кем-либо. Личность клиентов подтверждается клиентским сертификатом. О технологии SSL и сертификатах вы узнаете в "Шифрование" .

Всегда используйте разрешения NTFS

Эта рекомендация не подлежит обсуждению! Файловая система NTFS обеспечивает безопасность, а системы FAT и FAT32 – нет. Всегда размещайте веб-сайты в разделах NTFS и блокируйте разрешения. Полезной настройкой WS03 является то, что по умолчанию никому не предоставляются права полного доступа. Определите анонимного пользователя интернета на данном компьютере и обеспечьте максимальную блокировку учетной записи на уровне файловой системы. К сожалению, его нельзя полностью заблокировать, запретив выполнение всех действий, так как некоторые программы размещают в папке system32 файлы DLL-библиотек, которые нужны пользователю для работы. Выход из данного положения – использование для таких программ только аутентифицируемых учетных записей.

Постоянно ожидайте вторжения хакеров

Сетевые экраны и узловые системы обнаружения вторжений (IDS) помогают выявлять злоумышленников, пытающихся проникнуть на сайт, в режиме реального времени. Эти меры достаточно дороги, и их установка занимает много времени. Однако, если рассматриваемый сайт является серьезным проектом, игра стоит свеч. Сетевые экраны, помимо ограничений проходящего через них трафика, также уведомляют о подозрительной активности. Узловые системы обнаружения вторжений работают непосредственно на сервере и генерируют уведомления при появлении подозрительного трафика. Средства защиты обоих типов помогают пресечь несанкционированные действия, что называется, "по горячим следам".

Попытайтесь взломать свой сайт

Попробуйте взломать свой собственный веб-сайт и выясните, что из этого получится. Есть приложения, которые помогут определить уязвимые места сайта. Создайте тестовый сервер, настроенный так же, как и основной, запустите программу взлома и выясните наличие уязвимых мест, снижающих уровень защищенности сайта. Вы так же узнаете, насколько легко (или трудно) осуществить несанкционированный доступ к сайту.

Обеспечьте контроль серверов IIS

Наконец, одним из лучших способов обеспечения надежной защиты серверов IIS является их контроль специальной группой лиц, в достаточной степени осведомленных в области повышения стойкости серверов IIS, их блокировки и обновлений. Зачастую легкомысленно созданные серверы IIS являются целью самых последних червей, которые с их помощью распространяются в интернете. Настройка всех серверов одними и теми же лицами обеспечивает слаженность действий, благодаря которой снижается возможность успешной реализаций действий по взлому. Опять-таки, многие черви атакуют хорошо известные уязвимые места, для которых уже существуют "заплатки".

Александр Тагильцев
Александр Тагильцев

Где проводится профессиональная переподготовка "Системное администрирование Windows"? Что-то я не совсем понял как проводится обучение.

Владимир Кирин
Владимир Кирин
Неполодки на ресурсе.При сдаче 7 теста, открывается пустое окно, и ничего не происходит.Поправте пожалуйста. При этом попытка считается защитана, перездача только через 30 мин. Использую браузер опера.
Александр Климов
Александр Климов
Россия, Московское высшее техническое училище им. Н. Э. Баумана, 1989
Александр Титов
Александр Титов
Россия, Москва