Безопасность IIS

       

Изменение среды сервера IIS по умолчанию


Для обеспечения защищенности веб-сервера не рекомендуется устанавливать ряд параметров конфигурации Windows 2000 по умолчанию. Ниже приводятся инструкции, объясняющие, как внести соответствующие изменения.

Создание нового сайта и корневого каталога для веб-содержимого. Для противостояния атакам типа "прохождение по каталогам" (см. лекции 2) рекомендуется располагать корневой каталог содержимого веб-сайта на диске (или логическом диске), отличном от диска, содержащего операционную систему сервера. Если на сервере будет работать несколько сайтов, желательно располагать каждый веб-сайт на отдельном диске или разделе.

При установке IIS создает веб-сайт по умолчанию. Некоторые специалисты рекомендуют (даже если на сервере будет лишь один сайт) создать новый сайт с другим именем, который будет работать как активный веб-сайт (т.е. не использовать веб-сайт по умолчанию), и использовать другое размещение для корневого каталога сайта. Это дельный совет. С точки зрения безопасности создание другого сайта и неактивное состояние сайта по умолчанию необходимо для предотвращения возможных автоматизированных атак, направленных на веб-сайт по умолчанию.

Совет. Следует оставить настройки по умолчанию в качестве отвлекающего маневра, но нужно создать новый сайт и сделать его активным.

Процедура создания нового сайта с новым размещением корневого каталога заключается в следующем.

  1. Отключите веб-сайт, чтобы изменить его настройки с помощью Internet Services Manager (Диспетчер служб интернета), который находится в окне Start\Administration Tools (Пуск\Администрирование) или в окне My Computer\Control Panel\Administrative Tools (Мой компьютер\Панель управления\Администрирование).
  2. Выберите веб-сайт под именем компьютера в окне Internet Information Services Manager. Если на сервере работает только один сайт, то этим сайтом будет веб-сайт по умолчанию, как показано на рисунке.


    увеличить изображение

  3. Щелкните правой кнопкой на имени сайта и в ниспадающем меню выберите Stop (Стоп), чтобы отключить веб-сайт по умолчанию.
  4. Создайте новый сайт с содержимым, которое хранится в другом каталоге, не в каталоге по умолчанию.
    Будет лучше, если будет заблаговременно создан каталог в соответствующем разделе. Компания Microsoft рекомендует создавать отдельную директорию для файлов каждого типа, чтобы упростить установку разрешения Access Control (Контроль доступа). Рекомендуется использовать этот подход. Например, можно настроить веб-сайт следующим образом:

    Root = D:\my_website D:\my_website\static (.html) D:\my_website\include (.inc) D:\my_website\script (.asp) D:\my_website\executable (.dll) D:\my_website\images (.gif, .jpeg)
Совет. Если не нужно создавать новый сайт, все равно измените содержимое по умолчанию корневого каталога сайта, щелкнув правой кнопкой мыши на имени Default Site (Сайт по умолчанию) в окне Services Manager (Диспетчер служб) и выбрав в ниспадающем меню пункт Properties (Свойства). Каталог по умолчанию можно изменить на вкладке Home Directory (Домашний каталог).

Для создания нового веб-сайта выполните следующие инструкции.

  1. В окне Internet Information Services Manager (Диспетчер IIS) выберите пункт Default Web Site (см. предыдущий рисунок) и щелкните на нем правой кнопкой мыши. В ниспадающем меню выберите New Site (Новый сайт), чтобы запустить Site Creation Wizard (Мастер создания сайта).
  2. В первом окне мастера введите имя веб-сайта в поле Description (Описание), когда этого потребует мастер. Нажмите на кнопку Next (Далее).
  3. Появится окно настроек IP-адреса и портов, показанное на рисунке.



    Выберите заранее сконфигурированный IP-адрес в ниспадающем меню вверху экрана. Выберите адрес, соответствующий пограничному с интернетом интерфейсу (подразумевается, что на сервере установлены две сетевых карты). Можете продолжить работу, выбрав опцию All Unassigned (Отключить все), если сетевые интерфейсы настроены заранее.
  4. Укажите адрес порта TCP для сервера. Если сайт расположен в интернете, то не следует изменять значение порта 80, если только веб-сайт не используется для работы специального приложения. Пропустите информацию о заголовке узла, так как она не требуется. По завершении всех действий нажмите на кнопку Next.
  5. В окне Web Site Home Directory (Домашний каталог веб-сайта) укажите расположение каталога, в котором будет находиться содержимое нового веб-сайта.


    Выберите место размещения в другом разделе, не в разделе с операционной системой сервера! Совет. Убедитесь в том, что выбранное имя отличается от имени по умолчанию Inetpub. Зачем облегчать задачу хакеру, осуществляющему автоматизированную атаку?
  6. Если сайт находится в интернете, оставьте выделенной опцию Allow Anonymous Access To This Web Site (Разрешить анонимный вход на этот веб-сайт). Это исключит вход в систему пользователей, посещающих сайт. Отключите опцию, если необходима авторизация пользователей при входе на сайт. Довольно распространенным решением является авторизация пользователей на сервере в интранет-сети. Нажмите на кнопку Next.
  7. Установите разрешения для нового каталога в окне Web Site Access Permissions (Разрешения на доступ к веб-сайту), показанном на рисунке. Установите разрешения на самый ограниченный уровень. Если на сайте не будет использоваться технология ASP, то не включайте разрешение для страниц этого типа. То же самое относится к программам общего шлюзового интерфейса (CGI). Если планируется включить их в содержимое сайта в будущем, установите их позже, когда это будет необходимо.



  8. Нажмите на кнопку Next, чтобы применить изменения, после чего нажмите на Finish (Готово), чтобы закрыть мастер. Повторите все приведенные выше (и последующие) шаги для остальных веб-сайтов на сервере IIS. Совет. Теперь, когда создан новый веб-сайт, удалите веб-сайт по умолчанию Default Web Site из диспетчера IIS. Однако, как уже говорилось ранее, его можно оставить в качестве обманного маневра, но при перезагрузке следите, чтобы сайт по умолчанию не включился снова.




К сожалению, это опасно с точки зрения защиты информации и сильно облегчает хакеру задачу по написанию автоматизированного эксплоита, который осуществляет проход вверх по каталогам до корневого каталога раздела и затем выполняет атаки на другие ресурсы. Именно поэтому следует отключать родительские пути.

Родительские пути отключаются в окне Web Site Properties (Свойства веб-сайта). Выполните следующее.

  1. Запустите IIS Manager. В левой панели окна Internet Information Servces (IIS), показанном на рисунке, щелкните правой кнопкой на имени веб-сайта и выберите пункт Properties (Свойства).



  2. Откройте вкладку Home Directory (Домашний каталог) в окне Web Site Properties (Свойства веб-сайта), показанном на рисунке, после чего нажмите на кнопку Configuration (Настройка) для открытия окна Configuration.



  3. В окне Application Configuration (Настройка приложений) имеется набор вкладок. Во вкладке App Options (Свойства приложения) имеется опция Enable Parent Paths (Включить родительские пути), как показано на рисунке. Отключите данную опцию и нажмите на OK.



  4. Если установлены другие службы IIS (IIS Help или FTP), то примите решение о наследовании отключенных родительских путей. В этом случае после закрытия окна Application Configuration отобразится диалоговое окно Inheritance (Наследование) с вопросом о том, нужно ли применить опцию родительских путей ко всем службам, связанным с веб-сайтом. Следует положительно ответить на этот вопрос и нажать на OK для закрытия окна и подтверждения указанных настроек.


Отключение поддержки ненужных приложений. По умолчанию IIS настроен на поддержку многих файловых расширений. Например, файл .idc представляет собой соединитель с базой данных, используемый для передачи данных между базой данных и службой или формой интернета. При настройке приложений, связывающих файл .idc с поддерживающим HTTP драйвером IIS ODBC httpodbc.dll, IIS считывает информацию о формате из соединителя с базой данных для правильной передачи данных.

Информация в таблице 3.3 взята из руководства NSA по защите IIS.


Здесь приведены данные о поддержке некоторых общих файловых расширений приложений, описание каждого расширения.



Таблица 3.3. Общие параметры поддержки приложенийРасширениеОписание
.aspСтраницы Active Server Page (ASP).
.htrВосстановление паролей в интернете.
.idcПодключение баз данных в интернете.
.stm, .shtm, .shtmlКод серверной части.
.printerПечать в интернете.
.cerСертификат.
.cdxФайл определения активного канала.
.asaПриложение активного сервера.
.htw, .ida, .idqСервер индексации.
На некоторых веб-сайтах не используются многие возможности IIS, например, подключение к базам данных и включение поддержки неиспользуемых возможностей. Ненужные расширения приложений также следует отключить в целях безопасности.

Процедура отключения поддержки приложений состоит в следующем.

  1. Откройте Internet Information Services Manager (Диспетчер IIS).
  2. В левой панели щелкните правой кнопкой мыши на имени веб-сайта и выберите пункт Properties (Свойства). Откройте вкладку Home Directory (Домашний каталог) в окне Web Site Properties (Свойства веб-сайта) и нажмите на кнопку Configuration (Настройка), чтобы открыть диалоговое окно Application Configuration (Настройка приложений).
  3. Откройте вкладку App Mappings (Поддержка приложений), показанную на рисунке. Она содержит перечень поддерживаемых по умолчанию приложений. Если перечисленные в табл. 3.3 возможности не используются, отключите поддержку соответствующих приложений, выделив нужный пункт и нажав на кнопку Remove (Удалить). Нажмите на OK для закрытия окно и сохранения изменений.





Содержание раздела