Trong phần 3 tiếp hai phần đã trình bày tôi giới thiệu với các bạn phần cuối trong bài viết về bảo mật máy chủ IIS Server, với việc thay đổi một số thiết lập mặc định cũng như vị trí của nguồn web site hay các ứng dụng được thay đổi, nơi cất trữ nguồn của web site được bảo mật với NTFS và các cơ chế backup kết hợp với việc sử dụng Web site Permissions nâng cao tính bảo mật cho Web site. Và phần cuối này tôi cũng trình bày với các bạn bảng lọc IPSec filters được khuyến cáo sử dụng trên máy chủ IIS Server đảm bảo tính bảo mật cao nhất.
Chỉ kích hoạt những Web Service Extensions cần thiết
Nhiều Web sites và các ứng dụng chạy trên IIS Server có những thành phần mở rộng từ trang tĩnh, bao gồm những nội dung động. Mọi nội dung động, hay các tính năng mở rộng cung cấp bởi một máy chủ IIS được sử dụng bởi Web Service Extensions
Tối ưu hoá bảo mật các thành phần trong IIS 6.0 cho phép bạn cụ thực hiện độc lập trên từng Web Service Extensions có thể thực hiện Enabled hay Disabled. Sau khi cài đặt, IIS Server sẽ chỉ thực hiện với các nội dung tĩnh. Khi web site hay các ứng dụng của bạn cần các nội dung động (web động) bạn cần phải kích hoạt một số tính năng trong Web Service Extensions trong IIS Manager. Các tính năng mở rộng bao gồm ASP.NET, SSI, WebDAV, và FrontPage Server Extensions.
Khi bạn kích hoạt toàn bộ các Web Service Extensions chắc chắn một điều nó sẽ có khả năng tương thích và hỗ trợ cao nhất cho các ứng dụng, tuy nhiên nó cũng tạo ra một nguy cơ bảo mật bởi toàn bộ các Extensions được kích hoạt. Để đảm bảo hạn chế nguy cơ bảo mật bạn phải hiểu các Extensions và chỉ những Extensions nào cần thiết thì bạn mới kích hoạt nó trên máy chủ IIS Server mà thôi.
Việc chỉ kích hoạt những Extensions cần thiết ngoài việc đáp ứng toàn bộ các ứng dụng cho tổ chức của bạn, đảm bảo việc nâng cao tính bảo mật và nâng cao hiệu năng cho máy chủ IIS với việc chạy ít thành phần hơn, giảm thiểu các cuộc tấn công.
Dưới đây là danh sách các Web Service Extensions, chi tiết tác dụng của từng thành phần
Active Server Pages
Khi một hoặc nhiều Web sites và các ứng dụng chạy trên IIS Server bao gồm các nội dung phát triển bằng ASP
ASP.NET v1.1.4322
Một hoặc nhiều Web sites và các ứng dụng chạy trên IIS Server bao gồm các nội dung phát triển bằng ASP.NET
FrontPage Server Extensions 20002
Một hoặc nhiều Web sites chạy trên IIS Server sử dụng FrontPage Extensions
Internet Data Connector (IDC)
Một hoặc nhiều Web sites và các ứng dụng chạy trên IIS Server sử dụng IDS để hiển thị các thông tin (đuôi mở rộng của các file của nó là dạng *.idc và *.idx)
Web Distributed Authoring and Versioning (WebDAV)
WebDAV cần thiết trên IIS Server để các máy clients có thể publish và quản lý nội dung trên Web.
Chuyển nội dung vào Dedicated Disk Volume
IIS lưu trữ các files cho default Web site tại \inetpub\wwwroot, trong đó là ổ đĩa mà bạn cài đặt Windows Server 2003.
Bạn chuyển tất cả các files và folders để xây dựng Web sites và các ứng dụng vào trong Dedicated Disk Volumes trên IIS Server trong ba môi trường khác nhau. Chuyển các files và folders trên Dedicated Disk Volume - trên một máy chủ IIS vào một vùng an toàn nhằm ngăn chặn việc tấn công và nếu có vấn đề gì xảy ra có thể restore lại một cách dễ dàng. Không để Dedicate Disk Volume trên máy chủ IIS không cùng partion với Windows Server 2003 được cài đặt, và thay đổi đường dẫn mặc định, bởi khi đó việc kẻ tấn công sẽ khó có thể biết được chính xác files và folders của ta ở đâu trên máy chủ IIS Server, từ đó đảm bảo tính bảo mật hơn rất nhiều.
Ngoài ra bạn có thể bảo mật folder hay các directory chứa Dedicated Disk Volume, và hạn chế truy cập theo NTFS và một số cơ chế bảo khác.
Bên trên ta đã nói vấn đề phải chuyển nơi lưu trữ mặc định các files và folder nội dung của web sites và application, trong phần tiếp theo này tôi giới thiệu cách bạn bảo mật folder đó với NTFS Permissions
Thiết lập NTFS Permissions.
Windows Server 2003 hỗ trợ NTFS File System permissions để quyết định files và folders nào được quyền truy cập dựa trên users và groups - Nói một cách khác Windows Server 2003 có cơ chế access control cho các files và folders dựa trên users và groups
NTFS Permissions có thể gán cho phép hay cấm truy cập cho cụ thể những users cho quá trình truy cập web sites trên IIS Server.
NTFS Permissions có thể sử dụng kết hợp với Web Permissions, không phải là một phần của Web Permissions. NTFS Permissions chỉ ảnh hưởng tới các accounts đã được gán cho quyền truy cập hay bị cấm truy cập vào web sites hay các nội dung khác. Web site permissions ảnh hưởng tới toàn bộ các user truy cập tới web site hay các ứng dụng. Nếu Web permissions xung đột với NTFS permissions trên một file hay một folder, thì sẽ có nhiều thiết lập bị hạn chế đuợc áp dụng.
Sử dụng tài khoản anonymous để truy cập vào các web site hay các ứng dụng có thể sẽ bị deny một cách dễ dàng, anonymous là bạn sử dụng tài khoản người dùng không cần xác thực để truy cập vào các nội dung của web site hay các ứng dụng. Anonymous bao gồm các tài khoản: Guest account, Guests group và IIS Anonymous accounts. Thêm vào nữa bạn cần phải thiết lập rằng sẽ cấm toàn bộ tất cả các users loại trừ IIS Administrators có quyền ghi, chỉnh sửa trên các file hay folders của IIS Server.
Dưới đây là thiết lập NTFS Permissions được khuyến cáo bảo đảm tính bảo mật cũng như việc đảm bảo tính thuận nợi cho quá trình truy cập.
Trên ta thực hiện NTFS Permissions với thiết lập chỉ ảnh hưởng tới các accounts đã được gán quyền truy cập hay cấm truy cập, dưới đây ta thực hiện thiết lập IIS Web Site Permissions thực hiện với mức độ ảnh hưởng tới toàn bộ ai truy cập vào web sites cũng như ứng dụng khác.
Thiết lập IIS Web Site Permissions.
IIS có khả năng thiết lập Web site permissions để quyết định cho phép hay cấm những hành động nào truy cập vào web site, ví dụ như cho phép truy cập vào các nguồn script hay directory browing. Web site permissions có thể thực hiện để bảo mật Web sites trên IIS Server.
Web site permissions có thể sử dụng kết hợp với NTFS permissions. Chúng có thể cấu hình cho những trang cụ thể, những directories, và files. Không như NTFS Permissions, Web site permissions ảnh hưởng tới tất cả những ai truy cập tới web site trên một IIS Server. Web site permissions có thể cung cấp bằng việc sử dụng IIS Manager snap-in.
Dưới đây là miêu tả chi tiết các quyền bạn có thể gán trong Web Site Permissions
Read
Users có thể xem các nội dung và các thuộc tính của các directories hay các files. Đây là thiết lập mặc định.
Write
Users có khả năng thay đổi nội dung và thuộc tính của directories hay các files.
Script Source Access
Users có thể truy cập tới "source files, nếu quyền Read được cho phép, sau đó source có thể được đọc, nếu quyền Write được cho phép thì sau đó "script source code" có thể bị thay đổi. Script Source Access bao gồm "source code - mã nguồn" cho các đoạn script. Nếu Read hay Write đều không được cho phép thì Script Source Access không được phép truy cập.
Một điều quan trọng đó là nếu Script Source Access được cho phép, user có thể xem các thong tin, như tên và password. Và khi họ có thể thay đổi được mã nguồn chạy trên IIS Server thì bảo mật trên toàn máy chủ sẽ bị ảnh hưởng.
Directory browing
User có thể xem danh sách các files.
Log Visits
Toàn bộ log ghi lại quá trình truy cập của người dùng vào web site
Index this Resource
Cho phép Indexing Service có khả năng index resource. Nó cho phép tìm kiếm và thực hiện một số tác vụ khác với tài nguyên trên IIS Server.
Excuted.
Có những tuỳ chọn các mức độ chạy scipt cho từng users
none-- không cho chạy các script trên server
scripts only-- chỉ cho phép các scripts chạy trên server
scripts and executables-- cho phép cả scripts và executables trên server.
Việc truy cập vào web site của các user cần phải được lưu lại bởi quá trình đó cho phép nhà quản trị phân tích quá trình truy cập bất hợp pháp và có những biện pháp cụ thể.
Thiết lập cấu hình IIS Logging.
Dưới đây là khuyến cáo kích hoạt IIS Logging trên IIS Server.
Bạn có thể thiết lập cụ thể quá trình ghi lại quá trình truy cập cho mỗi web site hay ứng dụng cụ thể. IIS ghi lại các thông tin như các event logging hay performance log cung cấp bởi Microsoft Windows. IIS có thể ghi lại quá trình ai truy cập vào một trang web, và những tài nguyên nào được người đó truy cập, lần truy cập sau cùng là bao giờ... IIS có thể sử dụng để phân tích các quá trình truy cập bất hợp pháp, xác định những tính huống bị tắc nghẽn hay các vụ tấn công khác.
IIS Manager snap-in có thể sử đụng dể thiết lập dạng file log, lên lịch cho việc log và chính xác những thông tin nào cần được log như các directory cụ thể cho web site trên IIS Manager. Để nâng cao hiệu năng, logs có thể không được lưu lại trên các ổ hỗ trợ RAID 0, 5 với tốc độ ghi dữ liệu được nhanh hơn.
Khi IIS logging được kích hoạt, IIS sử dụng W3C Exended Log File Format để ghi lại các thao tác cụ thể trong từng ngày và được lưu lại trên directory cụ thể mà bạn thiết lập trên IIS Manager. Để nâng cao hiệu năng logs có thể không được lưu lại trên các ổ hỗ trợ RAID 0, 5 với tốc độ ghi dữ liệu được nhanh hơn.
Hơn nữa logs có thể ghi lại các các dữ liệu được chia sẻ từ các máy tính khác trên mạng. Remote logging cho phép người quản trị hệ thống có thể tập trung được các file log để có chính sách cụ thể lưu lại. Tuy nhiên việc ghi lại trên các máy tính từ xa có thể ảnh hưởng tới hiệu năng của hệ thống.
IIS logging có thể được thiết lập sử dụng bảng mã ASCII hay Open Database Connectivity (ODBC) file format. Định dạng ODBC logging được kích hoạt trên IIS và lưu lại các thông tin trong dữ liệu của SQL. Tuy nhiên cần phải chú ý là phải kích hoạt tính năng ODBC Logging, IIS tắt "kernal -mode cache". Để nâng cao hiệu năng logging hệ thống cho phép lưu lại dưới dạng số nhị phân và hỗ trợ "remote logging" bằng "Centralized Binary Logging".
Khi IIS logs được lưu lại trên IIS Server với mặc định thì chỉ quản trị máy chủ đó mới có quyền truy cập vào chúng. Nếu một file log ở trong một directory không nằm trên máy chủ IIS thì thông qua HTTP.sys --kernel - mode driver trong IIS 6.0 ghi lại NT Event log.
Thực hiện bảo mật máy chủ IIS thật thiếu sót nếu không nhắc tới việc đưa ra những chính sách bảo mật cụ thể.
Việc thay đổi tên của user administrator là cần thiết, cũng như việc disable user guest.
Password cần phải phức tạp và khó đoán với các tài khoản thông thường cung cấp cho người dùng truy cập vào web site.
Lưu lại quá trình thay đổi bảo mật trong một vùng được bảo mật cao
Thực hiện bảo mật máy chủ IIS bằng IPSec
Blocking Ports với IPSec Filters
Internet Protocol Security (IPSec) Filters có thể cung cấp khả năng tối hưu hoá bảo mật máy chủ ở mức độ rất cao, và là một mức độ bảo mật cần thiết trên các máy chủ. Với thiết lập được khuyến cáo hướng dẫn bạn có một môi trường bảo mật cao hơn, hạn chế các vụ tấn công.
Dưới đây là bảng danh sách toàn bộ IPSec filters có thể tạo ra đảm bảo tính bảo mật cao trên máy chủ IIS Server.
Danh sách bộ lọc IPSec nâng cao tính bảo mật cho máy chủ IIS Server
Toàn bộ 3 phần là kiến thức tổng hợp từ Microsoft Windows Server 2003 Security
Bình luận (0)
Add Comment