Опубликован: 10.03.2009 | Уровень: специалист | Доступ: свободно
Лекция 14:

Проектирование защиты Web-сервера

< Лекция 13 || Лекция 14
Аннотация: В лекции рассмотрены базовые принципы защиты Web-сервера под управлением WS2003, созданного на базе технологии IIS 6.0.

Web-сервера в корпоративных сетях часто становятся первым объектом для атаки, потому как они доступны не только внутренним пользователям, но и из внешнего Интернета. Поэтому нужно уделять особое внимание проектированию их защиты. Во-первых, нужно стараться, чтобы Web-сервер не выполнял никаких других серверных ролей, в полном объеме использовать принцип наименьших привилегий, и использовать на этом сервере только необходимые приложения и службы.

В дальнейшем рассмотрим базовые принципы защиты Web-сервера под управлением WS2003, созданного на базе технологии IIS 6.0. Для того чтобы свести к минимуму возможность атаки Web-сервера необходимо отключить ряд служб операционной системы, в частности:

  • службу автоматического обновления и BITC (обновление может вызвать перебои в работе системы, а отключение Web-сервера недопустимо также как сбой контроллера домена. Для обновления Web-серверов рекомендуется использовать специальные механизмы, а не указанные службы),
  • службу удаленного управления реестром,
  • службу терминалов (с точки зрения удаленного администрирования эту службу не стоит отключать полностью, необходимо не устанавливать ее в режиме приложений),
  • SMTP (если Web-сервер не предполагается использовать для управления почтовой рассылкой, эту службу нужно отключить).

Отключение указанных служб позволит сократить количество открытых портов в системе и уменьшить количество работающих процессов, что, в общем, повысит уровень безопасности сервера. Аналогичных рекомендаций нужно придерживаться при выборе наполнения самой службы IIS.

Необходимо ограничить набор функций, устанавливаемых на Web-сервер по умолчанию. Например, если Web-сервер не выполняет других серверных ролей, то можно не устанавливать консоль Сервер приложений (ее заменит Диспетчер IIS, а если администрировать Web-сервер предполагается удаленно, можно не устанавливать и его). Если на сервере нет распределенных приложений, можно не устанавливать Поддержку объектов COM+. Таким образом, однозначно установленными и включенными должны быть: служба Интернета и служба доступа к общим файлам..

Для ограничения доступа к размещенным на сервере Web-сайтам и прочим ресурсам можно ограничивать по IP-адресам и доменным именам. Это актуально для пользователей беспроводных сетей, которым, вполне возможно, потребуется запретить доступ к корпоративному сайту. При проектировании Web-сайта необходимо пользоваться следующими рекомендациями:

  1. содержимое Web-сервера нужно хранить на диске отдельно от системного диска (это предотвратит атаку directory traversal );
  2. настроить разрешения участников безопасности на доступ к корневому Web-каталогу;
  3. размещать папки Web-сайтов в папках верхнего уровня;
  4. размещать каждый Web-сайт в отдельном каталоге;
  5. если для доступа к Web-сайту используются анонимные учетные записи, необходимо ограничить их доступ к другим частям сервера (это же касается всех учетных записей);
  6. согласовать разрешения на доступ к файлам и папкам с разрешениями на доступ через Web.

Из последнего элемента списка следует, что при определении действующих разрешений для пользователя при доступе к Web-сайтам используются не только разрешения файловой системы NTFS (на томе которой расположен сайт), но и Web-разрешения. Как и при доступе к общим папкам действуют самые жесткие разрешения из пересечений разрешений указанных двух видов.

Данные Web-сервера также нуждаются в защите при передаче. В зависимости от типа канала их можно защищать с помощью SSL, IPSec, VPN. SSL использует сертификаты для аутентификации и шифрования данных, передаваемых между клиентами сервера. Если в организации внедрена система Открытых ключей, SSL рекомендуется для защиты клиент-серверных приложений (например, взаимодействие между SQL Server и IIS) или для создания прямого туннеля между IIS-сервером и брандмауэром, который будет передавать Web-данные клиенту. Для защиты канала связи, который использует администратор для управления Web-сервером, применяют IPSec. В случае если корпоративная сеть имеет несколько географически удаленных сегментов с распределенными по ним web-серверами для доступа к корпоративным клиентов к web-серверу компании выгодно использовать VPN. В этом случае можно будет организовать аутентификацию пользователей средствами активного каталога и безопасную передачу данных через туннель.

Технологии IIS поддерживают несколько методов аутентификации пользователей:

  1. анонимная (доступ осуществляется без паролей и логина, доступ к сайтам осуществляется на основании разрешений NTFS и web-разрешений для учетной записи пользователя, с реквизитами которой он вошел в домен. Разрешение анонимного доступа проверяются первыми, даже если для web-сайта выбраны другие методы аутентификации);
  2. встроенная проверка Windows (не поддерживается через прокси-сервер, основана на обмене данными по протоколу NTNL);
  3. краткая проверка Windows (требует от пользователя логии и пароль, которые передаются серверу в зашифрованном виде по протоколу MD5);
  4. базовая (требует логин и пароль, передаваемый по сети открытым текстом);
  5. проверка с использованием паспорта .NET (используются реквизиты действующей учетной записи паспорта .NET).

В случае если для сайта назначены несколько методов аутентификации, IIS выберет самый защищенный. Однако если в числе прочих выбран анонимный доступ, он будет использоваться в первую очередь, а если выбрана аутентификация по паспорту .NET, другие методы будут недоступны.

Если Web-сервис требует надежной аутентификации, можно настроить службы IIS на использование сертификатов. Службы IIS имеют собственные хранилища сертификатов. Каждый Web-сайт располагает собственным списком доверенных сертификатов. Поэтому при использовании системы открытых ключей для доступа к web-сайту, для каждого из размещенных на сервере сайтов необходимо устанавливать свои сертификаты и управлять их списками отдельно. А вот список отозванных сертификатов в IIS общий.

В случае если доступ к Web-сайту осуществляется посредством VPN или по коммутируемой линии, для аутентификации применяют технологию RADIUS. При использовании этой технологии нужно пользоваться следующими рекомендациями:

  1. в свойствах учетных записей пользователей на вкладке Входящие звонки необходимо настроить управление подключением на основе политики удаленного доступа ;
  2. для доступа к Web-сайтам спроектировать специальные группы безопасности в зависимости от ролей пользователей;
  3. для разработанных групп создать политики удаленного доступа ;
  4. необходимо шифровать данные, которыми обмениваются клиенты и сервис RADIUS;
  5. необходимо вести анализ журналов безопасности сервиса RADIUS.

Мониторинг web-сервера должен быть основан на базовых принципах мониторинга производительности и безопасности для серверов. Количество записей в журнале безопасности на этом сервере, как и на любом другом, зависит от его загруженности и действующей политики аудита. Однако необходимо учесть, что служба IIS ведет собственные файлы журналов, для работы с которыми встроенной группе SYSTEM необходимо дать Полный доступ, Администраторам – разрешение на чтение, изменение и удаление, а группе Все полностью запретить доступ.

< Лекция 13 || Лекция 14
Евгений Виноградов
Евгений Виноградов
Экстернат
Илья Сидоркин
Илья Сидоркин
Как получить диплом?
Сергей Мясников
Сергей Мясников
Россия
Евгений Абдраимов
Евгений Абдраимов
Россия