Trong phần 3 tiếp hai
phần đã trình bày tôi giới thiệu với các bạn phần cuối trong bài viết về
bảo mật máy chủ IIS Server, với việc thay đổi một số thiết lập mặc định
cũng như vị trí của nguồn web site hay các ứng dụng được thay đổi, nơi
cất trữ nguồn của web site được bảo mật với NTFS và các cơ chế backup
kết hợp với việc sử dụng Web site Permissions nâng cao tính bảo mật cho
Web site. Và phần cuối này tôi cũng trình bày với các bạn bảng lọc IPSec
filters được khuyến cáo sử dụng trên máy chủ IIS Server đảm bảo tính
bảo mật cao nhất.
.jpg)
Chỉ kích hoạt những Web Service Extensions cần thiết
Nhiều Web sites và các ứng dụng chạy trên IIS Server
có những thành phần mở rộng từ trang tĩnh, bao gồm những nội dung động.
Mọi nội dung động, hay các tính năng mở rộng cung cấp bởi một máy chủ
IIS được sử dụng bởi Web Service Extensions
Tối ưu hoá bảo mật các thành phần trong IIS 6.0 cho
phép bạn cụ thực hiện độc lập trên từng Web Service Extensions có thể
thực hiện Enabled hay Disabled. Sau khi cài đặt, IIS Server sẽ chỉ thực
hiện với các nội dung tĩnh. Khi web site hay các ứng dụng của bạn cần
các nội dung động (web động) bạn cần phải kích hoạt một số tính năng
trong Web Service Extensions trong IIS Manager.
Các tính năng mở rộng
bao gồm ASP.NET, SSI, WebDAV, và FrontPage Server Extensions.
Khi bạn kích hoạt toàn bộ các Web Service Extensions
chắc chắn một điều nó sẽ có khả năng tương thích và hỗ trợ cao nhất cho
các ứng dụng, tuy nhiên nó cũng tạo ra một nguy cơ bảo mật bởi toàn bộ
các Extensions được kích hoạt. Để đảm bảo hạn chế nguy cơ bảo mật bạn
phải hiểu các Extensions và chỉ những Extensions nào cần thiết thì bạn
mới kích hoạt nó trên máy chủ IIS Server mà thôi.
Việc chỉ kích hoạt những Extensions cần thiết ngoài
việc đáp ứng toàn bộ các ứng dụng cho tổ chức của bạn, đảm bảo việc nâng
cao tính bảo mật và nâng cao hiệu năng cho máy chủ IIS với việc chạy ít
thành phần hơn, giảm thiểu các cuộc tấn công.
Dưới đây là danh sách các Web Service Extensions, chi tiết tác dụng của từng thành phần
Active Server Pages
Khi một hoặc nhiều Web sites và các ứng dụng chạy trên IIS Server bao gồm các nội dung phát triển bằng ASP
ASP.NET v1.1.4322
Một hoặc nhiều Web sites và các ứng dụng chạy trên IIS Server bao gồm các nội dung phát triển bằng ASP.NET
FrontPage Server Extensions 20002
Một hoặc nhiều Web sites chạy trên IIS Server sử dụng FrontPage Extensions
Internet Data Connector (IDC)
Một hoặc nhiều Web sites và các ứng dụng chạy trên
IIS Server sử dụng IDS để hiển thị các thông tin (đuôi mở rộng của các
file của nó là dạng *.idc và *.idx)
Web Distributed Authoring and Versioning (WebDAV)
WebDAV cần thiết trên IIS Server để các máy clients có thể publish và quản lý nội dung trên Web.
Chuyển nội dung vào Dedicated Disk Volume
IIS lưu trữ các files cho default Web site tại \inetpub\wwwroot, trong đó là ổ đĩa mà bạn cài đặt Windows Server 2003.
Bạn chuyển tất cả các files và folders để xây dựng
Web sites và các ứng dụng vào trong Dedicated Disk Volumes trên IIS
Server trong ba môi trường khác nhau. Chuyển các files và folders trên
Dedicated Disk Volume - trên một máy chủ IIS vào một vùng an toàn nhằm
ngăn chặn việc tấn công và nếu có vấn đề gì xảy ra có thể restore lại
một cách dễ dàng. Không để Dedicate Disk Volume trên máy chủ IIS không
cùng partion với Windows Server 2003 được cài đặt, và thay đổi đường dẫn
mặc định, bởi khi đó việc kẻ tấn công sẽ khó có thể biết được chính xác
files và folders của ta ở đâu trên máy chủ IIS Server, từ đó đảm bảo
tính bảo mật hơn rất nhiều.
Ngoài ra bạn có thể bảo mật folder hay các directory
chứa Dedicated Disk Volume, và hạn chế truy cập theo NTFS và một số cơ
chế bảo khác.
Bên trên ta đã nói vấn đề phải chuyển nơi lưu trữ mặc
định các files và folder nội dung của web sites và application, trong
phần tiếp theo này tôi giới thiệu cách bạn bảo mật folder đó với NTFS
Permissions
Thiết lập NTFS Permissions.
Windows Server 2003 hỗ trợ NTFS File System
permissions để quyết định files và folders nào được quyền truy cập dựa
trên users và groups - Nói một cách khác Windows Server 2003 có cơ chế
access control cho các files và folders dựa trên users và groups
NTFS Permissions có thể gán cho phép hay cấm truy cập cho cụ thể những users cho quá trình truy cập web sites trên IIS Server.
NTFS Permissions có thể sử dụng kết hợp với Web
Permissions, không phải là một phần của Web Permissions. NTFS
Permissions chỉ ảnh hưởng tới các accounts đã được gán cho quyền truy
cập hay bị cấm truy cập vào web sites hay các nội dung khác. Web site
permissions ảnh hưởng tới toàn bộ các user truy cập tới web site hay các
ứng dụng. Nếu Web permissions xung đột với NTFS permissions trên một
file hay một folder, thì sẽ có nhiều thiết lập bị hạn chế đuợc áp dụng.
Sử dụng tài khoản anonymous để truy cập vào các web
site hay các ứng dụng có thể sẽ bị deny một cách dễ dàng, anonymous là
bạn sử dụng tài khoản người dùng không cần xác thực để truy cập vào các
nội dung của web site hay các ứng dụng. Anonymous bao gồm các tài khoản:
Guest account, Guests group và IIS Anonymous accounts. Thêm vào nữa bạn
cần phải thiết lập rằng sẽ cấm toàn bộ tất cả các users loại trừ IIS
Administrators có quyền ghi, chỉnh sửa trên các file hay folders của IIS
Server.
Dưới đây là thiết lập NTFS Permissions được khuyến
cáo bảo đảm tính bảo mật cũng như việc đảm bảo tính thuận nợi cho quá
trình truy cập.
Trên ta thực hiện NTFS Permissions với thiết lập chỉ
ảnh hưởng tới các accounts đã được gán quyền truy cập hay cấm truy cập,
dưới đây ta thực hiện thiết lập IIS Web Site Permissions thực hiện với
mức độ ảnh hưởng tới toàn bộ ai truy cập vào web sites cũng như ứng dụng
khác.
Thiết lập IIS Web Site Permissions.
IIS có khả năng thiết lập Web site permissions để
quyết định cho phép hay cấm những hành động nào truy cập vào web site,
ví dụ như cho phép truy cập vào các nguồn script hay directory browing.
Web site permissions có thể thực hiện để bảo mật Web sites trên IIS
Server.
Web site permissions có thể sử dụng kết hợp với NTFS
permissions. Chúng có thể cấu hình cho những trang cụ thể, những
directories, và files. Không như NTFS Permissions, Web site permissions
ảnh hưởng tới tất cả những ai truy cập tới web site trên một IIS Server.
Web site permissions có thể cung cấp bằng việc sử dụng IIS Manager
snap-in.
Dưới đây là miêu tả chi tiết các quyền bạn có thể gán trong Web Site Permissions
Read
Users có thể xem các nội dung và các thuộc tính của các directories hay các files. Đây là thiết lập mặc định.
Write
Users có khả năng thay đổi nội dung và thuộc tính của directories hay các files.
Script Source Access
Users có thể truy cập tới "source files, nếu quyền
Read được cho phép, sau đó source có thể được đọc, nếu quyền Write được
cho phép thì sau đó "script source code" có thể bị thay đổi. Script
Source Access bao gồm "source code - mã nguồn" cho các đoạn script. Nếu
Read hay Write đều không được cho phép thì Script Source Access không
được phép truy cập.
Một điều quan trọng đó là nếu Script Source Access
được cho phép, user có thể xem các thong tin, như tên và password. Và
khi họ có thể thay đổi được mã nguồn chạy trên IIS Server thì bảo mật
trên toàn máy chủ sẽ bị ảnh hưởng.
Directory browing
User có thể xem danh sách các files.
Log Visits
Toàn bộ log ghi lại quá trình truy cập của người dùng vào web site
Index this Resource
Cho phép Indexing Service có khả năng index resource.
Nó cho phép tìm kiếm và thực hiện một số tác vụ khác với tài nguyên
trên IIS Server.
Excuted.
Có những tuỳ chọn các mức độ chạy scipt cho từng users
none-- không cho chạy các script trên server
scripts only-- chỉ cho phép các scripts chạy trên server
scripts and executables-- cho phép cả scripts và executables trên server.
Việc truy cập vào web site của các user cần phải được
lưu lại bởi quá trình đó cho phép nhà quản trị phân tích quá trình truy
cập bất hợp pháp và có những biện pháp cụ thể.
Thiết lập cấu hình IIS Logging.
Dưới đây là khuyến cáo kích hoạt IIS Logging trên IIS Server.
Bạn có thể thiết lập cụ thể quá trình ghi lại quá
trình truy cập cho mỗi web site hay ứng dụng cụ thể. IIS ghi lại các
thông tin như các event logging hay performance log cung cấp bởi
Microsoft Windows. IIS có thể ghi lại quá trình ai truy cập vào một
trang web, và những tài nguyên nào được người đó truy cập, lần truy cập
sau cùng là bao giờ... IIS có thể sử dụng để phân tích các quá trình
truy cập bất hợp pháp, xác định những tính huống bị tắc nghẽn hay các vụ
tấn công khác.
IIS Manager snap-in có thể sử đụng dể thiết lập dạng
file log, lên lịch cho việc log và chính xác những thông tin nào cần
được log như các directory cụ thể cho web site trên IIS Manager. Để nâng
cao hiệu năng, logs có thể không được lưu lại trên các ổ hỗ trợ RAID 0,
5 với tốc độ ghi dữ liệu được nhanh hơn.
Khi IIS logging được kích hoạt, IIS sử dụng W3C
Exended Log File Format để ghi lại các thao tác cụ thể trong từng ngày
và được lưu lại trên directory cụ thể mà bạn thiết lập trên IIS Manager.
Để nâng cao hiệu năng logs có thể không được lưu lại trên các ổ hỗ trợ
RAID 0, 5 với tốc độ ghi dữ liệu được nhanh hơn.
Hơn nữa logs có thể ghi lại các các dữ liệu được chia
sẻ từ các máy tính khác trên mạng. Remote logging cho phép người quản
trị hệ thống có thể tập trung được các file log để có chính sách cụ thể
lưu lại. Tuy nhiên việc ghi lại trên các máy tính từ xa có thể ảnh hưởng
tới hiệu năng của hệ thống.
IIS logging có thể được thiết lập sử dụng bảng mã
ASCII hay Open Database Connectivity (ODBC) file format. Định dạng ODBC
logging được kích hoạt trên IIS và lưu lại các thông tin trong dữ liệu
của SQL. Tuy nhiên cần phải chú ý là phải kích hoạt tính năng ODBC
Logging, IIS tắt "kernal -mode cache". Để nâng cao hiệu năng logging hệ
thống cho phép lưu lại dưới dạng số nhị phân và hỗ trợ "remote logging"
bằng "Centralized Binary Logging".
Khi IIS logs được lưu lại trên IIS Server với mặc
định thì chỉ quản trị máy chủ đó mới có quyền truy cập vào chúng. Nếu
một file log ở trong một directory không nằm trên máy chủ IIS thì thông
qua HTTP.sys --kernel - mode driver trong IIS 6.0 ghi lại NT Event log.
Thực hiện bảo mật máy chủ IIS thật thiếu sót nếu không nhắc tới việc đưa ra những chính sách bảo mật cụ thể.
Việc thay đổi tên của user administrator là cần thiết, cũng như việc disable user guest.
Password cần phải phức tạp và khó đoán với các tài khoản thông thường cung cấp cho người dùng truy cập vào web site.
Lưu lại quá trình thay đổi bảo mật trong một vùng được bảo mật cao
Thực hiện bảo mật máy chủ IIS bằng IPSec
Blocking Ports với IPSec Filters
Internet Protocol Security (IPSec) Filters có thể
cung cấp khả năng tối hưu hoá bảo mật máy chủ ở mức độ rất cao, và là
một mức độ bảo mật cần thiết trên các máy chủ. Với thiết lập được khuyến
cáo hướng dẫn bạn có một môi trường bảo mật cao hơn, hạn chế các vụ tấn
công.
Dưới đây là bảng danh sách toàn bộ IPSec filters có thể tạo ra đảm bảo tính bảo mật cao trên máy chủ IIS Server.
Hình 1 bảng danh sách bộ lọc IPSec nâng cao tính bảo mật cho máy chủ IIS Server
Toàn bộ 3 phần là kiến thức tổng hợp từ Microsoft Windows Server 2003 Security
0 nhận xét:
Đăng nhận xét