پيکربندی IIS با رعايت مسائل امنيتی ( بخش چهارم )

آنچه تاکنون گفته شده است :
بخش اول : پيکربندیIIS
بخش دوم : نحوه تنظيم خصلت های متفاوت برنامه Internet Services Manager
بخش سوم : روش های کنترل دستيابی به سرويس دهنده
در بخش چهارم به بررسی نحوه تنظيم و پيکربندی سرويس وب خواهيم پرداخت .
بمنظور پيکربندی وب سايت ، برنامه ISM را فعال و در ادامه بر روی وب سايت مورد نظر مستقر و با فشردن دکمه سمت راست موس ، گزينه Properties را انتخاب نمائيد . در ادامه جعبه محاوره ای مربوط به پيکربندی وب سايت نمايش و امکان انجام تنظيمات مورد نظر فراهم خواهد شد . در ادامه به تشريح هر يک از امکانات موجود در اين بخش خواهيم پرداخت .

Web site Tab :

در اين بخش می توان تنظيمات زير را انجام داد :
• Web site Identification . در اين بخش می توان يک مشخصه ( نام نسبت داده شده به وب سايت قابل استفاده در زمان نمايش درخت ISM ) را برای وب سايت تعريف نمود. همچنين در اين بخش می توان آدرس IP مربوط به اينترفيس کارت شبکه مسئول پاسخگوئی به سايت ، يک پورت TCP و پورت SSL را مشخص نمود. در بخش Advanced options ، می توان چندين نام domain و يا host header را به يک آدرس IP ، نسبت داد ( mapping ) .
• Connections . گزينه فوق، امکان اعمال محدوديت در رابطه با تعداد دستيابی همزمان به يک وب سايت را فراهم می نمايد . با استفاده از گزينه های موجود در اين بخش می توان، يک زمان Timeout را مشخص کرد. پيشنهاد می گردد ، گزينه فوق انتخاب و مقدار مورد نظر به آن نسبت داده شود تا پيشگيری لازم در خصوص تهاجم اطلاعاتی از نوع غير فعال کردن سرويس ، ايجاد گردد.
• Enable Logging .پيشنهاد می گردد که گزينه فوق ، فعال گردد. پس از فعال شدن گزينه فوق،اطلاعات مربوط به ملاقات کنندگان سايـت،ثبت خواهد شد.

Operators Tab

. در اين بخش می توان تنظيمات زير را انجام داد :
• Web Site Operators . از امکانات موجود در اين بخش می توان بمنظور مشخص نمودن گروه / کاربران مورد نظر ، جهت مديريت وب سايت، استفاده کرد. Account فوق ، می بايست يک گروه باشد ( در صورتيکه سرويس دهنده در يک domain باشد ) . account های موجود در گروه ضرورتی به دارا بودن مجوزهای مديريتی نخواهند داشت . اپراتورها ، صرفا" قادر به اعمال تغييرات در رابطه با خصلت هائی می باشند که محدوده اثر آنان همان وب سايت ، خواهد بود . اين نوع کاربران قادر به دستيابی به خصلت هائی که مربوط به عملکرد تمام IIS ،سرويس دهنده ويندوز 2000 که IIS را ميزبان نموده و يا شبکه ای که سيستم بر روی آن اجراء می گردد ، نخواهند بود. نمونه عملياتی را که يک اپراتور وب می تواند انجام دهد ، عبارتند از :
- مديريت محتويات وب ( تغيير ، اضافه و حذف )
- فعال نمودن Logging
- تغيير اسناد پيش فرض وب
- تنظيم مجوزهای دستيابی سرويس دهنده وب
کاربرانی که عضوء گروه Administrators ويندوز 2000 می باشند ، قادر به انجام عمليات مرتبط با IIS ، زير خواهند بود :
- تغيير در ايزولاسيون برنامه ( جدا سازی برنامه )
- ايجاد دايرکتوری های مجازی و يا تغيير مسير آنان
- تغيير نام و رمز عبور Anonymous
- تغيير مشخصه و يا پيکربندی يک وب سايـت

Home Directory Tab

با استفاده از امکانات موجود در اين بخش می توان ، تنظيمات متعددی را انجام داد . تنظيمات مربوط به کنترل عرضه محتويات وب ، مجوزهای دستيابی ، پيکربندی و اشکال زدائی ASP ، نمونه هائی در اين زمينه می باشند. تمامی تنظيمات مرتبط با امنيت از طريق A directory located on this computer ، پوشش داده می شوند.
Access Permissions . مجموعه مجوزهای موجود در اين محل می بايست با مجوزهای NTFS مطابقت نمايند . عمليات مربوط به پيکربندی دايرکتوری ها و تعريف مجوزهای مناسب برای سايت ها ، با عنوان :" عمليات قبل ازنصب " در بخش اول اين مقاله اشاره گرديد .
کنترل محتويات : در اين رابطه می توان تنظيمات زيررا انجام داد :
• Script Source access . با انتخاب گزينه فوق ، کاربران قادر به دريافت فايل های Source خواهند بود. در صورتيکه گزينه Read انتخاب گردد ، کاربران قادر به خواندن Source و در صورتيکه Write انتخاب گردد ، امکان بازنويسی Source در اختيار کاربران قرار خواهد گرفت . Script Source access ، شامل دستيابی به Source اسکريپت ها نظير اسکريپت های استفاده شده در يک برنامه ASP است . پيشنهاد می گردد ، گزينه فوق به همان صورت پيش فرض ( انتخاب نشده ) باقی بماند . ويژگی فوق، صرفا" در زمانيکه قصد نشر و ارائه اطلاعات از راه دور را داشته باشيم ، مفيد و ضروری خواهد بود ( نظير WebDAV )
• Directory browsing . با انتخاب گزينه فوق ، ليستی از دايرکتوری ها و فايل های موجود بر روی سيستم بصورت hypertext ، برای کاربران نمايش داده خواهد شد.پيشنهاد می شود ، گزينه فوق فعال نگردد.
• Log visits . پيشنهاد می گردد ، گزينه فوق فعال باشد( بصورت پيش فرض فعال است) . با فعال شدن گزينه فوق ، اطلاعات مربوط به تمامی کاربران ( ملاقات کنندگان سايت ) ثبت خواهد شد.
- Application Settings . يک برنامه ، دايرکتوری ها و فايل های موجود بهمراه يک دايرکتوری است که نقطه شروع برنامه را مشخص می نمايد.در اين بخش می توان تنظيمات زير را انجام داد :
• Application protection . گزينه فوق باعث ايزوله نمودن يک برنامه مبتنی بر وب از طريق استقرار آن در مکانی متمايز از ساير برنامه ها و سرويس دهنده وب ، می گردد . پيشنهاد می گردد ، مقدار گزينه فوق ، medium و يا high در نظر گرفته شود. در صورتيکه مقدار medium انتخاب گردد ، حفاظت اعمال شده باعث پيشگيری برنامه ها از مسائل بوجود آمده تصادفی و سهوی مرتبط با نرم افزار سرويس دهنده وب ، خواهد شد. در صورتيکه مقدار گزينه فوق ، high در نظر گرفته شود ، برنامه بطورکامل در فضائی جداگانه از حافظه اجراء و در اين حالت بر روی ساير برنامه ها تاثير نخواهد گذاشت .
• Execute Permissions . تنظيمات موجود در اين بخش ، اجراء برنامه های موجود در دايرکتوری را کنترل می نمايند . در اين رابطه می توان از تنظيمات زير استفاده کرد :
- none . باعث ممانعت در اجرای برنامه ها و يا اسکريپت ها می گردد .
- Scripts . محدوديت اجراء در رابطه با اسکريپت ها اعمال خواهد شد ( انشعابات فايلی که قبلا" به برنامه های اسکريپت ، نسبت داده شده اند ) . دايرکتوری هائی که مجوز فوق ، به آنها داده می شود، می بايست ، امکان Read مربوط به کاربران ناشناس ( Anonymouse ) ، از آنها سلب گردد. در صورتيکه مجوز Read به account فوق ، داده شود، امکان مشاهده اطلاعات همراه در اسکريپت ها ، برای کاربران فراهم خواهد شد.( برخی از اطلاعات ممکن است حساس باشند نظير : رمز عبور )
- Scripts and Executables . گزينه فوق، امکان اجرای هر نوع برنامه ای ( اسکريپت و فايل های باينری نظير فايل های exe . و يا dll .) را فراهم می نمايد . در زمان واگذاری مجوز فوق ، می بايست حساسيت خاصی را مد نظر داشت . مجوز فوق، صرفا" می بايست در رابطه با دايرکتوری هائی واگذار گردد که از فايل های باينری موجود در آنان سرويس دهنده وب استفاده می نمايد. در صورتيکه کاربران سايت نيازمند مجوز فوق در رابطه با يک دايرکتوری خاص می باشند ، مطمئن شويد که آنان دارای مجوز write مربوط به NTFS در ارتباط با کاربران anonymous سايت مورد نظر نخواهند بود . مجوز فوق ، شرايط لازم برای استقرار کدهای اجرائی بر روی سرويس دهنده را فراهم و ممکن است کدهای فوق ، کدهای مخربی باشند که زمينه شروع يک تهاجم اطلاعاتی را فراهم نمايند.
- Application Configuration . برای تنظيم جزئيات بيشتر مرتبط با برنامه ها ، می توان از امکان ( دکمه ) Configuration استفاده کرد . در ادامه يک جعبه محاوره ای جداگانه نمايش که دارای گزينه های :App Mappings , App Options , App Debugging و Process Options ( در صورتيکه مقدار High در رابطه با application protection انتخاب شده باشد ) . است .
• App options Tab . از طريق امکانات موجود در اين بخش می توان ، اقدام به پيکربندی وب سايت ، دايرکتوری مجازی و level دايرکتوری نمود .
- Enable session state و Session timeout . با انتخاب گزينه فوق ، ASP برای هر کاربری که به برنامه ASP دستيابی پيدا می نمايد يک Session ايجاد می نمايد . بدين ترتيب امکان تشخيص کاربر در بين چندين صفحه ASP موجود در برنامه ، فراهم می گردد . زمانيکه کاربر صفحه ای را درخواست ننمايد و يا صفحه را در مدت زمان تعريف شده ( Session timeout ) ، بازخوانی ( Refresh ) ننمايد ، Session متوقف خواهد شد .
- با مقداردهی ASP Script timeout ، در صورتيکه يک اسکريپت در زمان تعريف شده اجرای خود را به اتمام نرساند ، يک entry در Event log ويندوز 2000 ايجاد و به اجرای اسکريپت خاتمه داده می شود . تنظيم مقدار Timeout باعث پيشگيری از بروز تهاجم اطلاعاتی از نوع غير فعال نمودن سرويس می گردد ( انکار سرويس )
- پيشنهاد می گردد ، گزينه Enable parent paths ، غير فعال باشد . بدين ترتيب اسکريپت های ASP امکان استفاده از مسيرهای Relative نسبت به دايرکتوری مادر دايرکتوری جاری را نخواهند داشت . ( گرامر " .. " ) . در صورتيکه دايرکتوری مادر امکان Execute را فراهم نموده باشد ، يک اسکريپت می تواند تلاشی را در جهت اجرای يک برنامه غير مجاز در دايرکتوری مادر ، آغاز نمايد..
• Process Options Tab . در اين رابطه گزينه Write Unsuccessful client requests to event log ( صرفا" در حالتيکه ايزولاسيون High در رابطه با حفاظت برنامه انتخاب شده باشد) ، ارائه خواهد شد .

Documents Tab

پيشنهاد می گردد ، مديريت سيستم ( شبکه ) همواره يک سند پيش فرض را مشخص تا تمامی کاربران در زمان دستيابی به سايت آن را مشاهده نمايند. بدين ترتيب از نمايش ناخودآگاه ساختار دايرکتوری ، پيشگيری بعمل می آيد . وضعيت فوق زمانی انجام خواهد شد که گزينه Directory browsing فعال شده باشد .

Directory Security Tab

خصلت های امنيتی را می توان در رابطه با وب سايت ، دايرکتوری ، دايرکتوری مجازی و يا Level فايل ، اعمال نمود.
• Anonymous access and Authenticated access ، در رابطه با گزينه فوق در بخش دوم مقاله ، توضيحاتی ارائه گرديده است .
• IP Address and Domain Name Restrictions ، مديران سيستم می توانند با استفاده از گزينه فوق ، کاربران مجاز به استفاده از وب سايت را بر اساس آدرس IP مربوطه ، مشخص نمايند. در اين رابطه دو گزينه ارائه می گردد : Granted Access و Denied Access . با انتخاب گزينه Gtanted Access ، تمامی کامپيوترها، مجاز به استفاده از منابع موجود بر روی سيستم خواهند بود بجزء آنهائيکه آدرس IP آنان مشخص شده است . Denied Access ، امکان دستيابی به منابع سيستم را صرفا" ( فقط) برای کامپيوترهائی که آدرس IP آنان مشخص شده است ، ميسر می سازد . در چنين حالتی درخواست های دريافتی از ساير کامپيوترها ، ناديده گرفته خواهد شد . زمانيکه آدرس های IP را مشخص می نمائيم ، دارای سه گزينه ديگر خواهيم بود: Single Computer ، در اين حالت مديريت شبکه ( سيستم ) صرفا" يک آدرس IP را مشحص می نمايد . Group of computers ، در اين حالت مديريت network ID و Sbunet mask را مشخص و در زمانيکه Domain name انتخاب می گردد ، يک پيام هشداردهنده نمايش داده می شود . (انتخاب فوق باعث کاهش کارآئی سيستم خواهد شد) . در چنين حالتی برای هر درخواست اتصال ، می بايست از DNS Reverse lookup ، استفاده گردد .
• Secure Communications ، از گزينه فوق ، بمنظور پيکربندی ويژگی های SSL قابل دسترس بر روی سرويس دهنده وب ، استفاده می گردد . با انتخاب گزينه فوق ، تمامی ترافيک بين سرويس گيرنده و سرويس دهنده بصورت رمز شده انجام خواهد شد . پس از پيکربندی لازم ، ملاقات کنندگان سايت ، می بايست از مرورگرهائی استفاده نمايند که از Secure Communications ، حمايت می نمايند. ( جزئيات مربوطه در مقالات آتی ارائه می گردد ) .

Server Extensions Tab

برنامه IIS 5.0 ، امکان توليد و نشر اطلاعات از راه دور را فراهم می نمايد. پيشنهاد می گردد ، برای هر يک از وب سايت های موجود بر روی سرويس دهنده IIS ، گزينه enable authoring ، غير فعال گردد . ويژگی فوق ، امکان تغيير در يک صفحه وب و در نهايت Upload نمودن آن بر روی وب سايت را در اختيار برنامه Frontpage ، قرار خواهد داد .
در بخش پنجم اين مقاله ، به بررسی سرويس FTP ، خواهيم پرداخت .