استفاده از شبکه های کامپیوتری از چندین سال قبل رایج و در سالیان اخیر روندی تصاعدی پیدا کرده است .اکثر شبکه های پیاده سازی شده در کشور مبتنی برسیستم عامل شبکه ای ویندوز می باشند . شبکه های کامپیوتری، بستر و زیر ساخت مناسب برای سازمان ها و موسسات را در رابطه با تکنولوژی اطلاعات فراهم می نماید . امروزه اطلاعات دارای ارزش خاص خود بوده و تمامی ارائه دهندگان اطلاعات با استفاده از شبکه های کامپیوتری زیر ساخت لازم را برای عرضه اطلاعات بدست آورده اند . عرضه اطلاعات توسط سازمان ها و موسسات می تواند بصورت محلی ویا جهانی باشد. با توجه به جایگاه والای اطلاعات از یکطرف و نقش شبکه های کامپیوتری ( اینترانت و یا اینترنت ) از طرف دیگر ، لازم است به مقوله امنیت در شبکه های کامپیوتری توجه جدی شده و هر سازمان با تدوین یک سیاست امنیتی مناسب ، اقدام به پیاده سازی سیستم امنیتی نماید . مقوله تکنولوژی اطلاعات به همان اندازه که جذاب و موثر است ، در صورت عدم رعایت اصول اولیه به همان میزان و یا شاید بیشتر ، نگران کننده و مسئله آفرین خواهد بود . بدون تردید امنیت در شبکه های کامپیوتری ، یکی از نگرانی های بسیار مهم در رابطه با تکنولوژی اطلاعات بوده که متاسفانه کمتر به آن بصورت علمی پرداخته شده است . در صورتیکه دارای اطلاعاتی با ارزش بوده و قصد ارائه آنان را بموقع و در سریعترین زمان ممکن داشته باشیم ، همواره می بایست به مقوله امنیت، نگرشی عمیق داشته و با یک فرآیند مستمر آن را دنبال نمود .
اغلب سازمان های دولتی و خصوصی در کشور، دارای وب سایت اختصاصی خود در اینترنت می باشند . سازمان ها و موسسات برای ارائه وب سایت ، یا خود امکانات مربوطه را فراهم نموده و با نصب تجهیزات سخت افزاری و تهیه پهنای باند لازم، اقدام به عرضه سایت خود در اینترنت نموده و یا از امکانات مربوط به شرکت های ارائه دهنده خدمات میزبانی استفاده می نمایند . وجه اشتراک دو سناریوی فوق و یا سایر سناریوهای دیگر، استفاده از یک سرویس دهنده وب است . بدون تردید سرویس دهنده وب یکی از مهمترین نرم افزارهای موجود در دنیای اینترنت محسوب می گردد . کاربرانی که به سایت یک سازمان و یا موسسه متصل و درخواست اطلاعاتی را می نمایند ، خواسته آنان در نهایت در اختیار سرویس دهنده وب گذاشته می شود . سرویس دهنده وب، اولین نقطه ورود اطلاعات و آخرین نقطه خروج اطلاعات از یک سایت است . بدیهی است نصب و پیکربندی مناسب چنین نرم افزار مهمی ، بسیار حائز اهمیت بوده و تدابیرامنیتی خاصی را طلب می نماید .در ادامه به بررسی نحوه پیکربندی سرویس دهنده وب IIS در شبکه های مبتنی بر ویندوز با تمرکز بر مسائل امنیتی ، خواهیم پرداخت .
IIS)Internet Information services) ، یکی از سرویس دهندگان وب است که از آن برای برای نشر و توزیع سریع محتویات مبتنی بر وب ، برای مرورگرهای استاندارد استفاده می شود . نسخه پنج IIS ، صرفا” برای سیستم های مبتنی بر ویندوز ۲۰۰۰ قابل استفاده است . نسخه های ویندوز ۲۰۰۰ Server و Advanced server بمنظور نصب IIS ، مناسب و بهینه می باشند . نسخه پنج برای استفاده در نسخه های قدیمی ویندوز طراحی نشده است . امکان نصب IIS نسخه پنج ، بهمراه ویندوز Professional نیز وجود داشته ولی برخی از امکانات آن نظیر : میزبان نمودن چندین وب سایت ، اتصال به یک بانک اطلاعاتی ODBC و یا محدودیت در دستیابی از طریق IP در آن لحاظ نشده است .
نسخه پنج IIS ، سرویس های WWW ، FTP، SMTP و NNTP را ارائه می نماید . سه نرم افزار و سرویس دیگر نیز با IIS در گیر می شوند : Certificate Server , Index server و Transaction server .
امنیت در IIS متاثر از سیستم عامل است . مجوزهای فایل ها ، تنظیمات ریجستری ، استفاده از رمزعبور، حقوق کاربران و سایر موارد مربوطه ارتباط مستقیم و نزدیکی با امنیت در IIS دارند .
قبل از پیکربندی مناسب IIS ، لازم است که نحوه استفاده از سرویس دهنده دقیقا” مشخص گردد . پیکربندی دایرکتوری های IIS ، فایل ها ، پورت های TCP/IP و Account کاربران نمونه هائی در این زمینه بوده که پاسخ مناسب به سوالات زیر در این رابطه راهگشا خواهد بود :



آیا سرویس دهنده از طریق اینترنت قابل دستیابی است ؟
آیا سرویس دهنده از طریق اینترانت قابل دستیابی است ؟
چه تعداد وب سایت بر روی سرویس دهنده میزبان خواهند شد ؟
آیا وب سایت ها نیازمند استفاده از محتویات بصورت اشتراکی می باشند ؟
آیا سرویس دهنده امکان دستیابی را برای افراد ناشناس ( هر فرد ) فراهم نموده و یا صرفا” افراد مجاز حق استفاده از سرویس دهنده را خواهند داشت ؟ و یا هر دو ؟
آیا امکان استفاده و حمایت از SSL)Secure Socket Layer) وجود دارد ؟
آیا سرویس دهنده صرفا” برای دستیابی به وب از طریق HTTP استفاده می گردد ؟
آیا سرویس دهنده ، سرویس FTP را حمایت می نماید ؟
آیا کاربرانی وجود دارد که نیازمند عملیات خاصی نظیر کپی، فعال نمودن، حذف و یا نوشتن فایل هائی بر روی سرویس دهنده باشند ؟

موارد زیر در زمان نصب IIS پیشنهاد می گردد :



کامپیوتری که IIS بر روی آن نصب شده است را در یک محل امن فیزیکی قرار داده و صرفا” افراد مجاز قادر به دستیابی فیزیکی به سرویس دهنده باشند .
در صورت امکان، IIS را بر روی یک سرویس دهنده Standalone نصب نمائید. در صورتیکه IIS بر روی یک سرویس دهنده از نوع Domain Controller نصب گردد و سرویس دهنده وب مورد حمله قرار گیرد، تمام سرویس دهنده بهمراه اطلاعات موجود در معرض آسیب قرار خواهند گرفت . علاوه بر مورد فوق، نصب IIS بر روی یک سرویس دهنده از نوع Domain controller ، باعث افزایش حجم عملیات سرویس دهنده و متعاقبا” کاهش کارآئی سیستم در ارائه سرویس های مربوط به وب خواهد شد .
برنامه های کاربردی و یا ابزارهای پیاده سازی نمی بایست بر روی سرویس دهنده IIS نصب گردند .
کامپیوتر مربوط به نصب IIS را بگونه ای مناسب پارتیشن نموده تا هر یک از سرویس ها نظیر www و یا FTP بر روی پارتیشن های مجزاء قرار گیرند .
IIS امکان نصب برنامه ها را در مکانی دیگر بجز پارتیشن C فراهم نمی نماید ( مگراینکه یک نصب سفارشی داشته باشیم ) .موضوع فوق به عملکرد سیستم عامل مرتبط می گردد . مجوزهای پیش فرض در رابطه با %Systemdrive% اعمال می گردد ( مثلا” درایو C) . موضوع فوق می تواند باعث عدم صحت کارکرد مناسب برخی از سرویس های IIS گردد. می بایست مطمئن شد که مجوزهای سیستم عامل با عملیات مربوط به سرویس های IIS ، رابطه ای ندارند .
تمام پروتکل های پشته ای (Stack) غیر از TCP/IP را از روی سیستم حذف نمائید. ( در مواردیکه برخی از کاربران اینترانت نیازمند برخی از این نوع پروتکل ها می باشند می بایست با دقت اقدام به نصب و پیکربندی مناسب آن نمود ) .
روتینگ IP ، بصورت پیش فرض غیرفعال است و می بایست به همان حالت باقی بماند . در صورت فعال شدن روتینگ ، این امکان وجود خواهد داشت که داده هائی از طریق کاربران اینترانت به اینترنت ارسال گردد .
نصب Client for Microsoft networking ، بمنظور اجرای سرویس های HTTP,FTP,SMTP و NNTP ضروری خواهد بود . در صورتیکه ماژول فوق نصب نگردد، امکان اجرای سرویس های فوق بصورت دستی و یا اتوماتیک وجود نخواهد داشت .
در صورتیکه تمایل به نصب سرویس های NNTP و SMTP ، می بایست سرویس File and Print Sharing for Microsoft نیز نصب گردند .

عملیات قبل از نصب IIS
در زمان نصب IIS ، یک account پیش فرض به منظور ورود کاربران گمنام ( ناشناس ) به شبکه ایجاد می گردد . نام پیش فرض برای account فوق ، IUSER_computername بوده که computername نام کامپیوتری است که IIS بر روی آن نصب شده است . account فوق ، می بایست دارای کمترین حقوق و مجوزهای مربوطه بوده و گزینه ها ی user cannot change password و password Never Expires فعال شده باشد. account فوق همچنین می بایست از نوع local account بوده و domain-wide account را شامل نگردیده و دارای مجور ورود به شبکه بصورت محلی باشد (log on locally) . مجوزهای Access this computer from the network و یا log on as a batch job در رابطه با account ، فوق می بایست غیر فعال گردند . در صورتیکه سیاست ارتباط با وب سایت ، صرفا” کاربران مجاز باشد، پیشنهاد می گردد account فوق ، غیر فعال گردد . بدین ترتیب تمام کاربران با استفاده از نام و رمز عبور مربوطه قادر به ورود به سایت خواهند بود .
گروه هائی برای فایل دایرکتوری و اهداف مدیریتی
حداقل دو گروه جدید که در IIS قصد استفاده از انان را داریم، می بایست ایجاد گردد : گروه WebAdmin ( نام فوق کاملا” اختیاری است ) . در گروه فوق، کاربرانی که مسئولیت مدیریت محتویات WWW/FTP را دارند، تعریف می گردند . در صورتیکه سرویس دهنده ، چندین سایت را میزبان شده است، برای هر سایت یک گروه مدیریتی ایجاد می گردد . گروه WebUser ( نام فوق کاملا” اختیاری است ) . در گروه فوق لیست account افراد مجاز برای ارتباط با سایت ، تعریف می گردد. در حالت اولیه ، گروه فوق صرفا” شامل IUSER_computername است . از گروه های فوق برای تنظیمات مربوط به مجوزهای NTFS استفاده می گردد . IUSER_computername نباید عضو گروهی دیگر باشد . بصورت پیش فرض IUSER_computername عضو گروه های Guests، Everyone و Users است . پیشنهاد می گردد account فوق ، از گروه Guests حذف و به گروه WebUsers اضافه گردد .( امکان حذف account فوق از سایر گروهها وجود ندارد ) . دقت گردد که تمام افراد موجود در گروه WebUsers می بایست صرفا” برای دستیابی به وب سایت تعریف شده باشند و نباید عضوی از سایر گروهها باشند .
مدیریت IIS با چندین گروه
نسخه شماره چهار IIS ، امکان تعریف گروههای محلی بمنظور پیکربندی و تعریف گروههای مدیریتی متفاوت برای سرویس های IIS را فراهم می نمود . رویکرد فوق در نسخه شماره پنج IIS ، تغییر یافته است . گروهها ی محلی می توانند و می بایست برای گروههای مدیریتی متفاوت ایجاد گردند . تفاوت موجود بین گروههای محلی برای سرویس www و FTP صرفا” استفاده از مجوزهای NTFS خواهد بود . سرویس های SMTP و NNTP ، قابلیت تنظیم گروههای محلی را بعنوان اپراتورهای مدیریتی برای سرویس دهنده IIS فراهم می نماید .
نصب تمام Patch ها برای سیستم عامل و IIS
مدیران IIS ، می بایست همواره بررسی های لازم در خصوص آخرین نسخه های fixes و patch را انجام داده و پس از تهیه ، اقدام به نصب آنان نمایند . بدین منظور می توان از بخش Security سایت ماکروسافت ملاقات و برنامه های جدید را اخذ و نصب نمود .
دایرکتوری پیش فرض نصب IIS
پس از نصب IIS ، می بایست تغییرات لازم در خصوص مجوزهای دستیابی NTFS را در رابطه با دایرکتوری هائی که IIS نصب شده است ، انجام داد . گروه های Everyone و Guests بهمراه account مربوط به Guest می بایست حذف گردند . گروه Everyone بصورت پیش فرض دارای تمامی مجوزهای لازم در رابطه با دایرکتوری Inetpub است . کاربران غیر مجاز با استفاده از ویژگی گروه فوق قادر به دستیابی به سیستم خواهند بود، بنابراین لازم است در این راستا اقدام لازم ( حذف ) صورت پذیرد . دایرکتوری Inetpub ، بر روی درایو پیش فرض نصب می گردد . ( مثلا” درایو C ) . دایرکتوری جدید و یا ساختار موجود می بایست به پارتیشن دیگر منتقل و عملا” تمایزی بین سایت های در دسترس از محل سیستم های عملیاتی را بوجود آورد . پیشنهاد می گردد Inetpub به نام دلخواه دیگری تغییر یابد .
دایرکتوری های IIS نسخه پنج را می توان در یک محل خاص ( سفارشی ) دیگر نیز نصب نمود( تحقق خواسته فوق صرفا” از طریق یک نصب سفارشی میسر می گردد ) . بدین منظور از یک فایل پاسخ استفاده می شود. فایل پاسخ ( مثلا” iis5.txt) می بایست دارای اطلاعات زیر باشد :


اطلاعات ضروری در فایل پاسخ بمنظور تغییر محل نصب IIS

[Components]
iis_common = on
iis_inetmgr = on
iis_www = on
iis_ftp = on
iis_htmla = on
iis_doc = on
iis_pwmgr = on
iis_smtp = on
iis_smtp_docs = on
mts_core = on
msmq = off
[InternetServer]
PathFTPRoot={put your drive and install location here, i.e. f:\FTPROOT}
PathWWWRoot={put your drive and install location here, i.e. f:\WWWRoot}

در ادامه از دستور زیر برای نصب استفاده می گردد . ( از طریق خط دستور )
Sysocmgr/I:%windir%\inf\sysoc.inf /u:a:\iis5.txt

جدول زیر مجوزهای لازم NTFS و IIS در رابطه با دایرکتوری های مربوطه را نشان می دهد :


Type of
Data
Example Directories
Data Examples
NTFS File Permissions
IIS 5.0
Permissions

Static Content
\Inetpub\wwwroot\images
\Inetpub\wwwroot\home
\Inetpub\ftproot\ftpfiles
HTML, images, FTP
downloads, etc.
Administrators (Full Control)
System (Full Control)
WebAdmins (Read & Execute
,Write, Modify)
Authenticated Users (Read)
Anonymous (Read)
Read FTP Uploads
(if required) \Inetpub\ftproot\dropbox
Directory used as a
place for users to store
documents for review
prior to the Admin
making them available
to everyone
Administrators (Full Control)
WebAdmins or FTPAdmins
(Read & Execute, Write, Modify)
Specified Users (Write)
Write Script Files \Inetpub\wwwroot\scripts
.ASP
Administrators (Full Control)
System (Full Control)
WebAdmins(Read & Execute,
Write, Modify)
Authenticated Users: special
access (Execute)
Anonymous: special access
(Execute)
Scripts only Other
Executable and
Include Files \WebScripts\executables
\WebScripts\include
.exe, .dll, .cmd, .pl
.inc, .shtml, .shtm
Administrators (Full Control)
System (Full Control)
WebAdmins (Read & Execute,
Write, Modify)
Authenticated Users: special
access (Execute)
Anonymous: special access
(Execute)
Scripts only
Or
Scripts and
Executables**
**(Depending on
necessity)
Metabase \WINNT\system32\inetsrv
MetaBase.bin
Administrators (Full Control)
System (Full Control)
N/A
دایرکتوری ها ئی که شامل فایل های فقط خواندنی هستند ( فایل های Html ، تصاویر، فایل های آماده برای Download توسط FTP و … ) ، می بایست دارای مجوز فقط خواندنی بمنظور دستیابی گروه WebUsers باشند . هر نوع از فایل های فوق می تواند دارای دایرکتوری اختصاصی خود با مجوز فقط خواندنی باشند . مجوزهای لازم Read&Execute write و Modify را می بایست به گروهی که مسئولیت مدیریت محتویات وب را برعهده دارد اعطاء گردد ( مثلا” گروه WebAdmin) . برای فایل های اجرائی ( اسکریپت ها ، فایل های batch و … ) ، می بایست یک دایرکتوری اختصاصی ایجاد کرد . دایرکتوری های فوق صرفا” دارای مجوز Travesr Folder/Execute مربوط به NTFS برای کاربرانی می باشند که مجوز لازم بمنظور دستیابی به سایت را دارا می باشند ( کاربر IUSER_computername و سایر کاربران تعریف شده در گروه WebUsers ) . دایرکتوری فوق همچنین می بایست دارای مجوز های مربوط به IIS و از نوع Script only باشد. مجوز Scripts and Executables مربوط به IIS ، می بایست صرفا” به دایرکتوری هائی که به این مجوز نیاز دارند اعطاء گردد. مثلا” یک دایرکتوری که شامل فایل های باینری بوده و می بایست این فایل ها توسط سرویس دهنده وب اجراء گردند .
تمام دایرکتوریهائی که دارای نمونه مثال هائی بوده و یا هر اسکریپت استفاده شده بمنظور اجرای برنامه های نمونه را می بایست حذف و یا انتقال داد . در زمان نصب IIS دایرکتوری های متعددی ایجاد که در آنها فایل های نمونه بهمراه اسکریپت ها قرار می گیرد. پیشنهاد می گردد دایرکتوری های فوق حذف و یا مکان آنها تغییر یابد . دایرکتوری های زیر نمونه هائی در این زمینه می باشند :
\InetPub\iissamples
\InetPub\AdminScripts

سرویس های IIS
در زمان نصب IIS ، چهار سرویس بر روی سیستم نصب خواهد شد :



www . سرویس فوق،بمنظور ایجاد یک سرویس دهنده وب و سرویس دهی لازم به درخواست سرویس گیرندگان برای صفحات وب استفاده می گردد .
FTP . سرویس فوق، بمنظور ارائه خدمات لازم در خصوص ارسال و دریافت فایل بر روی سرویس دهنده برای کاربران استفاده می گردد .
SMTP . سرویس فوق،امکان ارسال و دریافت نامه الکترونیکی برای سرویس گیرندگان را در پاسخ به فرم ها و برنامه های خاص دیگر فراهم می نماید .
NNTP . سرویس فوق، بمنظور میزبانی یک سرویس دهنده خبری USENET استفاده می گردد .

در زمان نصب IIS ، می توان تصمیم به نصب برخی از سرویس ها و یا همه آنها گرفت . پس از نصب IIS ، در صورتیکه به وجود برخی از سرویس ها نیاز نباشد، می توان آنها را غیر فعال نمود. بدین منظور می بایست مراحل زیر را دنبال کرد :



انتخاب گزینه Services از طریق مسیر زیر :

Programs => Administrative Tools => Services




انتخاب سرویسی که قصد غیر فعال کردن آن را داریم . در ادامه با فعال کردن کلید سمت راست موس ، گزینه Stop را بمنظور توقف سرویس فعال نمائید .
بمنظور اطمینان از عدم اجرای سرویس غیر فعال شده در زمان راه اندازی مجدد سیستم، سرویس را مشخص و پس از فعال کردن کلید سمت راست موس، گزینه Properties را انتخاب ودر بخش Startup type وضعیت اجرای سرویس را از حالت Automatic به Disable تغییر دهید . شکل زیر نحوه غیر فعال نمودن سرویس www را نشان می دهد .


http://www.irandevelopers.com/wp-content/uploads/2009/10/iis1.jpg

ایمن سازی متابیس
متابیس (Metabase) ، مقادیر مربوط به پارامترهای پیکربندی برنامه IIS را ذخیره می نماید . متابیس بمنظور استفاده در IIS طراحی و بمراتب سریعتر و انعطاف پذیرترنسبت به ریجستری ویندوز ۲۰۰۰ است . هر گره در ساختار متابیس ، یک کلید (key) نامیده شده و می تواند دارای یک و یا چندین مقدار مربوط به پیکربندی بوده که خصلت نامیده می شوند . کلیدهای متابیس IIS به عناصر و قابلیت های مربوط به IIS اختصاص داده شده و هر کلید شامل خصلت هائی است که تاثیر مستقیمی بر روی سرویس و پتانسیل مربوطه ، خواهد داشت . ساختار استفاده شده در متابیس بصورت سلسله مراتبی بوده و تصویری مناسب از ساختار IIS است که بر روی سیستم نصب شده است . اکثر کلیدهای پیکربندی IIS بهمراه مقادیر مربوطه در نسخه های قبلی IIS ، در ریجستری سیستم ذخیره می گردیدند. در نسخه پنج ، تمام مقادیر فوق در متابیس ذخیره می گردند . کلیدهای دیگری نیز بمنظور افزایش کنترل انعطاف پذیری IIS در متابیس ذخیره می گردد . یکی از مزایای ساختار استفاده شده در متابیس ، اختصاص تنظمیات متفاوت یک خصلت خاص برای نمونه های متفاوتی از کلید ها ی مشابه است . مثلا” خصلت MaxBandwidth ،حداکثر پهنای باند قابل دسترس را برای یک سرویس دهنده مشخص و می تواند به تراکنش های متعدد وب تعمیم یابد . متابیس ، قادر به نگهداری مقادیر متفاوت MaxBandwidth برای هر یک از سایت های وب می باشد .
متابیس در یک فایل خاص با نام Metabase.bin و در آدرس winnt\system32\ineterv \ ذخیره می گردد . پس از استقرار IIS در حافظه ، متابیس نیز از روی دیسک خوانده شده و در حافظه مستقر می گردد . پس از غیرفعال شدن IIS ، متابیس مجددا” بر روی دیسک ذخیره خواهد شد . ( متابیس بدفعاتی که IIS اجراء خواهد شد بر روی دیسک ذخیره می گردد) . با توجه به نقش حیاتی فایل فوق برای برنامه IIS ، حفاظت و کنترل دستیابی به آن دارای اهمیت فراوان است . در صورتیکه فایل فوق ، با یک فایل دیگر ( نامعتبر) جایگزین گردد، عملکرد صحیح برنامه IIS بمخاطره خواهد افتاد . برنامه IIS سریعا” متاثر از تغییرات خواهد شد . (اولین مرتبه ای که IIS پس از اعمال تغییرات اجراء می گردد ) . در چنین مواردی ممکن است سرویس مربوطه از طریق سرویس دهنده ، اجراء نشود. پیشنهاد می گردد که فایل Metabsat.bin بر روی پارتیشننی از نوع NTFS ذخیره و با استفاده از امکانات امنیتی ویندوز ۲۰۰۰ آن را حفاظت کرد . مجوزهای پیش فرض برای فایل فوق ، System و Administrator Full Access می باشد . محدودیت دستیابی به System و local Administrators امنیتی قابل قبول در رابطه با فایل فوق را ایجاد و ضرورتی به تغییر و یا اضافه نمودن تنظیمات جدیدی نخواهد بود .
بمنظورایجاد پوسته حفاظتی مطلوبتر امنیتی در رابطه با فایل فوق ، پیشنهاد می گردد فایل فوق برای کاربران غیر مجاز مخفی شود . انتقال و یا تغییر نام فایل نیز می تواند امنیت فایل فوق ر ا مضاعف نما ید . بدین منظور می بایست در ابتدا برنامه IIS متوقف و پس از تغییر نام و یا انتقال فایل فوق ، تغییرات لازم را در کلید ریجستری زیر اعمال نمود .
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InetMgr\Para meters

در ادامه یک مقدار جدید REG_SZ برای کلید فوق با نام MetadataFile ایجاد و مسیر کامل فایل را که شامل نام درایو و نام فایل است ، بعنوان نام جدید فایل متابیس معرفی نمائیم . بدین ترتیب برنامه IIS آگاهی لازم در خصوص نام و آدرس فایل متابیس را پیدا و در زمان را اندازی از آن استفاده خواهد کرد .
پیشنهادات تکمیلی در رابطه با امنیت برنامه IIS
<li dir="rtl"> بر روی سرویس دهنده IIS صرفا” IIS و عناصر مورد نیاز را نصب و از نصب برنامه ها و ابزارهای پیاده سازی ممانعت بعمل آید .
<li dir="rtl"> تمام سرویس های غیر ضروری را غیر فعال نمائید .
<li dir="rtl"> در رابطه با IUSER_Computername account ، گزینه های User cannot change password و Password Never Expires را انتخاب و فعال نمائید .
<li dir="rtl"> در صورتیکه تمایلی به ورود افراد گمنام (anonymous) به شبکه وجود نداشته باشد ، می بایست account مربوطه را غیر فعال نمود (IUSER_Computername) .
<li dir="rtl"> برای هر وب سایت local admin groups ایجاد و account مربوطه را مشخص نمائید .
<li dir="rtl"> برای کاربران وب یک local group ایجاد و صرفا” account های مورد نیاز و مجاز نظیر IUSER_Computername را در آن فعال نمائید .
<li dir="rtl"> از تمام گروه های دیگر، account مربوط به IUSER_Computername را حذف نمائید .
<li dir="rtl"> تمام مجوزهای NTFS مربوط به دایرکتوری Inetpub را حذف و صرفا” گروه ها و account های مجاز را به آن نسبت دهید .
<li dir="rtl"> یک ساختار منطقی برای دایرکتوری ایجاد نمائید . مثلا” برای محتویات ایستا ، فایل های asp ، scripts و Html ، اسامی دایرکتوری دیگری ایجاد و با یک ساختار مناسب بیکدیگر مرتبط گردند.
<li dir="rtl"> مجوزهای لازم NTFS بر روی ساختار دایرکتوری ها را در صورت نیاز اعمال نمائید .
<li dir="rtl"> تمام دایرکتوری های نمونه و اسکریپت هائی که نمونه برنامه هائی را اجراء می نمایند ، حذف نمائید .
<li dir="rtl"> مجوز Log on locally به کاربر اعطاء و امکان log on as a batch service و Access this computer from the network از کاربر سلب گردد

کنسول مدیریتی ماکروسافت (Microsoft Management Console :MMC) ، یک برنامه رابط کاربر گرافیکی با نام کنسول را ارائه می نماید .هدف از ارائه کنسول فوق، ارائه محیط لازم بمنظور انجام تمام عملیات مدیریتی از طریق کنسول مدیریت است( تمام عملیات قابل دسترس، تابعی از کنسول مدیریت می باشند) .این نوع فرآیند ها، Snap-ins نامیده می شود . MMC خود دارای هیچگونه رفتار مدیریتی نبوده ولی محیط لازم برای Snap-ins را فراهم می نماید.بدین ترتیب کنترل مدیریتی و راهبردی محیط مربوطه ، متمرکز می گردد . در زمان نصب برنامه IIS ، یک Snap-ins با نام ISM(Internet Service Manager) ارائه و در اختیار مدیران سیستم قرار خواهد گرفت . بمنظور فعال نمودن برنامه ISM از مسیر زیر استفاده می کنیم : Start => Programs => Administrative Tools =>Internet Service Manager

شکل زیرصفحه اصلی برنامه ISM را نشان می دهد .

http://www.irandevelopers.com/wp-content/uploads/2009/10/iis2.jpg

معرفی برنامه ISM)Internet Service Manager)
زمانیکه برنامه IIS فعالیت خود را آغاز می نماید، یک کنسول MMC اجرای خود را آغاز و بصورت خودکار Snap-in مربوط به ISM را فعال و در حافظه مستقر می نماید . صفحه مربوط به Server Properties ، دارای دو گزینه است : Internet Information Services ( که بصورت پیش فرض فعال است ) و Server Extensions . در صفحه مربوط به IIS ، سه جعبه محاوره ای عمده وجود دارد :
Master Properties , Enable Bandwidth Throttling , Computer MIME Map

درمواردیکه قصد ایجاد چندین وب سایت بر روی سرویس دهنده را داشته باشیم ، تنظیم هر یک از خصلت های فوق، بسیار مفید خواهد بود . خصلت های تعریف شده، بصورت اتوماتیک به تمام وب سایت های موجود بر روی سرویس دهنده ،نسبت داده می شود( توارث) . بدین ترتیب در زمان مربوط به پیکربندی هر یک از سایت های موجود بر روی سرویس دهنده ،صرفه جوئی خواهد شد . در صورتیکه برخی از سایت ها نیازمند تنظیمات خاص خود باشند ، می توان در زمان پیکربندی هر یک از سایت ها ، موارد دلخواه را اعمال نمود .
بمنظور دستیابی به جعبه محاوره ای خصلت اصلی مربوط به سرویس دهنده IIS ، مراحل زیر را دنبال نمائید :




نام سرویس دهنده IIS را در برنامه ISM ، انتخاب نمائید .
از طریق منوی Action گزینه Properties را انتخاب نمائید .
سرویس WWW و یا FTP را از طریق منوی مربوطه انتخاب و دکمه Edit را بمنظور پیکربندی Master Properties سرویس مربوطه ، فعال نمائید .


http://www.irandevelopers.com/wp-content/uploads/2009/10/iis3.jpg

سرویس WWW
از جعبه محاوره ای Master Properties ، بمنظور تنظیم مقادیر پیش فرض برای تمام سایت های موجود بر روی سرویس دهنده استفاده می شود . با انتخاب گزینه Edit در صفحه Master Properties ، می توان پیکربندی عمومی خصلت های مربوط به وب سایت( وب سایت ها ) را انجام داد . در صفحه فوق، گزینه های متفاوتی وجود دارد . چهار گزینه به خصلت هائی مربوط می گردد که دارای تاثیر امنیتی در رابطه با عملکرد یک وب سایت می باشند :
Web site ,Operators , Home Directory , Directory Security .


http://www.irandevelopers.com/wp-content/uploads/2009/10/iis4.jpg





Web site Tab . در این جعبه محاوره ای ،Enable Logging تنها آیتمی است که با مسائل امنیتی مرتبط بوده و بصورت پیش فرض نیز فعال می باشد . با فعال بودن ( شدن ) گزینه فوق ، اطلاعات متفاوتی در رابطه با استفاده کنندگان از تمام وب سایت های موجود بر روی سرویس دهنده ثبت می گردد .
Operators Tab . با استفاده از امکان فوق، می توان گروهها و یا account هائی با مجوز خاص را بمنظور انجام عملیات مدیریتی در رابطه با تمام سایت های موجود بر روی سرویس دهنده ، مشخص کرد . در صورتیکه سرویس دهنده ، مسئولیت پشتیبانی از چندین وب سایت را برعهده داشته باشد،می بایست برای هر وب سایت، یک گروه مجزا بمنظور مدیریت محتویات ، ایجاد شود .
Home Directory Tab. در این محل می توان ، گزینه مربوط به ثبت (log) ملاقات های انجام شده در رابطه با سایت های موجود بر روی سرویس دهنده را فعال نمود . با فعال شدن گزینه ثبت ملاقات کنندگان، می توان همواره این اطمینان را داشت که تمام سایت ها و حتی سایت هائی که بعدا” ایجاد می گردند ، بصورت پیش فرص قادر به ثبت ملاقات کنندگان خود، خواهند بود . ثبت ملاقات کنندگان، از اصول اولیه برای تشخیص رفتار مزاحمین در رابطه با وب سایت ها خواهد بود . با تنظیم گزینه فوق در این مکان ، مدیریت سرویس دهنده وب ضرورتی ندارد که برای هر سایتی که ایجاد می گردد،گزینه ثبت ملاقات کنندگان را فعال نماید . مجوزهای Read , Write و Directory Browsing می بایست به همان حالت پیش فرض باقیمانده و ضرورتی به تنظیم آنها در این محل نخواهد بود . (برای هر سایتی که در آینده ایجاد می گردد ، می توان مجوزهای مربوطه را متناسب با سیاست های موجود تنظیم و پیکربندی کرد ) . مجوز Read امکان مشاهده سایت را به ملاقات کنندگان ، مجوز Write امکان نوشتن اطلاعات در فهرستی که سایت نصب شده است و مجوز Directory Browsing امکان مشاهده لیستی از تمام فایل های موجود در یک فهرست خاص را برای کاربر، فراهم می نماید.پیشنهاد می گردد ، در صفحه Master Properties ، تمام گزینه های فوق غیر فعال گردند ( عدم انتخاب ) . در صفحه Home Directory ، لیست مربوط به مجوزهای اجراء نیز وجود دارد . پیشنهاد می گردد در این مقطع مقدار آن None در نظر گرفته شود . در صورت نیاز به اختصاص مجوزهای فوق ، می توان این عملیات را بصورت خاص برای برای هر یک از وب سایت های موجود بر روی سرویس دهنده انجام داد .
Directoty Security Tab . روش های تایید اعتبار با توجه به اینکه محدوده عملیاتی و مجاز کاربران ( کنترل دستیابی به فایل هائی خاص ، فهرست ها و اسکریپت ها ) را مشخص می نمایند، دارای اهمیت زیادی می باشند .تنظیم و انتخاب روش های تایید اعتبار کاربران به نوع استفاده از سایت بر می گردد ( آیا سایت بر روی اینترنت و یا اینترانت است ؟) . بمنظور مشاهده صفحه مربوط به Authentication Methods گزینه Edit را از طریق ناحیه Anonymouse access and authentications control ، انتخاب نمائید . مجوز Anonymous Access ، می تواند به بصورت پیش فرض در اختیار در تمام وب سایت های موجود بر روی سرویس دهنده قرارگرفته و یا این امکان از آنها سلب گردد. در صورتیکه سایت از طریق اینترانت و یا یک شبکه داخلی ( یک شبکه مبتنی بر ویندوز) استفاده می گردد، می بایست گزینه فوق، غیر فعال گردد . بدین ترتیب کاربران شبکه ، می بایست با استفاده از نام و رمز عبور مربوطه به شبکه وارد تا زمینه استفاده آنان از امکانات موجود فراهم گردد . در صورتیکه سرویس دهنده از طریق اینترنت استفاده می گردد، اکثر وب سایت ها امکان دستیابی بصورت Anonymous را فراهم می نمایند . بجزء روش دستیابی Anonymouse ، از سه روش تایید اعتبار دیگر نیز می توان استفاده کرد :



توضیحات

روش
روش فوق، امکان حرکت و انتقال نام و رمز عبور در طول شبکه را بصورت کاملا” مشخص و متن شفاف فراهم می نماید . بدین ترتیب یک مزاحم اطلاعاتی قادر به شناسائی account های معتبر، بمنظور نفوذ در سایت خواهد بود.
Basic Authentication
روش فوق، برای سرویس دهندگان Windows Domain ، مشابه Basic Authentication با این تفاوت است که در مقابل استفاده از نام و رمز عبور بصور متن شفاف ، یک رمز عبور Hash شده بمنظور ارتقاء سطح اعتبارسنجی ارسال می گرد .این روش صرفا” توسط مرورگرهائی که HTTP 1.1 را حمایت می نمایند، قابل استفاده می باشد ( نظیر مرورگر IE5 ) .جهت استفاده از روش فوق، سرویس دهنده IIS می بایست در یک Domain ویندوز ۲۰۰۰ قرار داشته و رمزهای عبور در فایل های متنی و بر روی کنتترل کننده Domain ذخیره گردند .بنابراین کنترل کننده Domain ، می بایست بدرستی ایمن و حفاظت گردد .
Digest authentication
مشابه روش Challange/Respones در IIS 4.0 مربوط به ویندوز NT است. روش فوق، صرفا” از طریق مرورگرهای وب شرکت ماکروسافت قابل استفاده خواهد بود .
Integrated windows authentication

انتخاب یک روش اعتبار سنجی ، مبتنی برسیاست های امنیتی تدوین شده بوده و نمی توان یک راه حل جامع را معرفی تا تمام وب سایت ها از آن تبعیت نمایند .
سرویس FTP
صفحه اصلی مربوط به تنظیمات خصلت های FTP ، دارای گزینه های بمراتب کمتری نسبت به سرویس WWW است . بمنظور فعال نمودن صفحه فوق ، از طریق IIS Server Properties سرویس FTP را انتخاب و در ادامه دکمه Edit را فعال نمائید .

http://www.irandevelopers.com/wp-content/uploads/2009/10/iis5.jpg





FTP Site Tab . پیشنهاد می گردد که امکان Logging در این بخش فعال تا اگر در آینده و در رابطه با یک سایت این موضوع فراموش گردید، با مشکلاتی مواجه نگردیم .با توجه به نوع سرویس FTP ، تعداد ارتباطات همزمان مجاز بهمراه زمان timeout را می توان در این بخش تنظیم کرد .
Security Tab . مشابه سرویس www ، می توان امکان دستیابی Anonymous را برای سرویس FTP در این بخش مشخص نمود . در صورتیکه سایت از طریق اینترنت استفاده می گردد وتمایل به فعال شدن مجوز دستیابی anonymous وجود داشته باشد ، می توان آن را در این بخش تنظیم نمود . پیشنهاد می گردد که امکان Allow only anonymous connection انتخاب گردد . عملکرد Allow IIS to control password مشابه گزینه Enable automatic password synchronization در نسخه شماره چهار IIS است . بدین ترتیب امکان یکسان سازی رمز عبور موجود در این صفحه با مقدار موجود در Computer Management ، بمنظور کنترل رمز عبور کاربران و گروه ها انجام خواهد شد . account مربوط به IUSR_computername می بایست بر روی ماشینی که بر روی آن IIS نصب شده است موجود باشد .(وضعیت فوق بصورت پیش فرض بوده و نباید آن را تغییر داد) . از یک نام و رمز عبور تعریف شده در Domain ویندوز بمنظور FTP استفاده نمی گردد . دومین بخش صفحه فوق، شامل لیستی بمنظور مشخص نمودن FTP site operators است . معرفی و مشخص نمودن گروه و یا account مربوطه با مجوزهای لازم بمنظور انجام عملیات مدیریتی برای تمام سرویس دهندگان FTP موجود بر روی سرویس دهنده در این بخش انجام می شود.در زمان پیکربندی یک سایت، گروه و account ایجاد شده، بصورت اتوماتیک مشمول سایت جدید شده ( از لیست گروه و کاربران مجاز که قبلا” ایجاد شده اند ، می توان در رابطه با سایت جدید نیز استفاده کرد ) و می توان به لیست تعریف شده ، گروه و یا کاربران جدیدی را اضافه و یا حذف نمود . در صورتیکه سرویس دهنده ، مسئول پاسخگوئی به چندین سایت FTP است ، پیشنهاد می گردد برای هر سایت، یک گروه مدیریتی جداگانه ایجاد تا امکان مدیریت محتویات سایت برای مسئول مربوطه فراهم گردد .
Home Directory Tab . در این محل صرفا” یک گزینه مرتبط با مسائل امنیتی وجود دارد: Log visits . گزینه فوق، خوشبختانه بصورت پیش فرض فعال است . پیشنهاد می گردد گزینه فوق به همین وضعیت باقی بماند . ثبت ملاقات کنندگان سایت روشی مناسب بمنظور تشخیص رفتار مزاحمین و سایر موارد مشابه در رابطه با مهاجمان اطلاعاتی است . .
Directory Security Tab. در این بخش امکان تعریف محدودیت دستیابی بر اساس TCP/IP ، وجود دارد .در این راستا می توان، امکان دستیابی به سرویس دهنده را برای تمام کامپیوترها فراهم و یا این امکان را از آنها سلب نمود. در صورتیکه سرویس دهنده از طریق اینترنت استفاده می گردد، مدیریت سایت می بایست امکان دستیابی به تمام کامپیوترها را انتخاب نماید ( مقدار پیش فرض ) در صورتیکه سایت بصورت اینترانت استفاده می گردد ، می توان از رویکرد اشاره شده در رابطه با اینترنت استفاده و یا لیستی از کاربران و گروهها ی مجاز را بمنظور دستیابی به سایت مشخص نمود . در چنین حالتی، گزینه Denied Access انتخاب و در لیست مربوطه (Except ) ، کاربران و گروه های مجاز مشخص می گردند .

Server Property Server Extensions
دومین بخش صفحه Master Properties به Server Extensions بر می گردد . IIS ،امکان نشراطلاعات از راه دور را فراهم می نماید. ویژگی فوق، برای برنامه FrontPage مناسب است . بدین ترتیب یک مولف، قادر به ایجاد تغییرات لازم در رابطه با یک صفحه وب و ارسال آن بر روی سرویس دهنده ،از راه دور می باشد . وضعیت فوق از لحاظ امنیتی یک ریسک بشمار می رود . در این بخش می توان تنظیمات لازم را بمنظور بهره برداری از ویژگی فوق، انجام داد . گزینه های موجود در این بخش که به مسائل امنیتی مرتبط می باشند، در ناحیه Permission قرار دارند.در صورت استفاده از ویژگی فوق، می بایست گزینه های Log authoring actions ,Require SSL for authoring و Manage Permissinos manually فعال گردند .

http://www.irandevelopers.com/wp-content/uploads/2009/10/iis6.jpg





Log authoring actions . با انتخاب و فعال نمودن گزینه فوق ، اطلاعات متنوعی در رابطه با فرد ارسال کننده اطلاعات ، نظیر: نام ارسال کننده ، زمان ارسال، نام وب میزبان از راه دور و موارد دیگر، ثبت می گردد .
Manage permissions manually . تنظیمات مربوط به ابزارهای مدیریتی FrontPage server extension ( نظیر FronPage MMC) را غیر فعال می نماید . بنابراین ابزارهای فوق ، قادر به تغییر و اصلاح تنظیمات امنیتی مربوط به سایت انتخاب شده نخواهند بود. بمنظور اطمینان از اینکه افراد دیگر ( مدیریت و یا سایر کاربران ) امکان تغییر تنظیمات امنیتی را نخواهند داشت ، توصیه می گردد حتما” گزینه فوق، فعال تا امکان تنظیمات امنیتی سیستم از برنامه های مربوطه، سلب گردد .
Require SSL for authoring . با انتخاب گزینه فوق ، نشر اطلاعات برروی سایت، با استفاده از پروتکل SSL انجام و یک سطح امیدوارکننده از لحاظ امنیتی را شاهد خواهیم بود .
Allow authors to upload Executables . این امکان را به مدیران مربوطه خواهد داد که اسکریپت ها و یا فایل های اجرائی را برای اجراء بر روی سرویس دهنده ، ارسال نمایند . گزینه فوق می بایست غیر فعال شده باقی بماند .


خلاصه
جدول زیر خلاصه تنظیمات Master Properties در رابطه با سرویس WWW ,FTP و Server Extension را با رعایت مسائل ایمنی نشان می دهد :


تنظیمات پیشنهادی برای خصلت های اصلی WWW

Web site Tab
Enable logging

Home directory Tab
Disable Read, Write, Directory browsing options
Enable Log visits
None = Execute Permissions drop down box

Directory security Tab
If will NOT allow Anonymous access, Disable
Anonymous access Else Enable it.



تنظیمات پیشنهادی برای خصلت های اصلی FTP

FTP site Tab
Set number of connections for max users on FTP server
Set maximum seconds for timeout , 600 seconds is reasonable
Enable logging

Home directory Tab
Enable Log visits

Security Accounts Tab
Enable Allow Anonymous Connections
Enable Allow only anonymous connections



تنظیمات پیشنهادی برای خصلت های اصلی Server Extensions

Enable Log authoring actions
Enable Require SSL for authoring
Enable manage permissions manually
Disable Allow authors to upload executable


در بخش سوم این مقاله به بررسی نحوه پیکربندی و مدیریت سرویس های متفاوت IIS با رعایت مسائل امنیتی خواهیم پرداخت .

روش های کنترل دستیابی اولین سطح ایمنی در مدل امنیتی IIS ، امکان دستیابی به سرویس دهنده وب بر اساس آدرس های IP و یا Internet Domain Name مربوط به درخواست های سرویس گیرندگان است. در این راستا می توان ، آدرس های IP و یا اسامی ماشین هائی خاص را مشخص ، تا زمینه دستیابی آنان به سرویس دهنده وب فراهم و یا امکان دستیابی از آنان سلب گردد. در زمان دریافت هر یک از بسته های اطلاعاتی ، آدرس IP و یا نام آنان با توجه به پیکربندی انجام شده در بخش “IP address and Domain name Restrictions ” ، بررسی و بر اساس سیاست های تعریف شده ، عکس العمل لازم ارائه خواهد شد . ( گزینه فوق در بخش Directory Security Tab مربوط به جعبه محاوره ای خصلت های سرویس www ، وجود دارد ). زمانیکه از آدرس های IP بمنظور کنترل دستیابی استفاده می گردد ، برخی از سرویس گیرندگان وب ، ممکن است از طریق یک سرویس دهنده Proxy و یا فایروال ، به سرویس دهنده وب دستیابی پیدا می نمایند، در چنین شرایطی آدرس های IP بسته های اطلاعاتی دریافتی برای سرویس دهنده Proxy و یا فایروال ، ارسال خواهند شد .
بمنظور پیاده سازی برخی از روش های کنترل دستیابی به سرویس دهنده وب ، می توان از تکنولوژی هائی نظیر SSL)Secure Sockets Layer) و امضاء الکترونیکی ، نیز استفاده کرد . SSL ، یک کانال ارتباطی نقطه به نقطه خصوصی ، یکپارچه و معتبر را ایجاد می نماید . از امضاء الکترونیکی ، بمنظور بررسی هویت یک کاربر و یا یک سرویس دهنده و یا سرویس دهندگان وب و مرورگرها بمنظور معتبر سازی دوسویه ( متقابل ) ، تضمین صحت در ارسال صفحات و یکپارچگی اطلاعات موجود در آنها ، استفاده می گردد .
شناسائی و تائید
بمنظور شناسائی و تائید کاربران ، می توان از چهار گزینه موجود در IIS استفاده کرد .

http://www.irandevelopers.com/wp-content/uploads/2009/10/iis7.jpg





Anonymouse Access . روش فوق ، متداولترین گزینه برای دستیابی به یک سرویس دهنده وب است. IIS ، بدین منظور account هائی با نام IUSR_Computername و IWAM_Computername را بصورت پیش فرض، ایجاد می نماید. account فوق ، دارای مجوزهای زیر خواهد بود :
Log on locally , access this computer from network and log as a batch job
کاربران در زمان دستیابی به منابع سرویس دهنده بر روی وب،بصورت اتوماتیک توسط account فوق ، به شبکه وارد خواهند شد. در ادامه کاربران با توجه به مجوزهای تعریف شده در رابطه با account فوق ، قادر به دستیابی منابع موجود خواهند بود. نام account در نظر گرفته شده را می توان با استفاده از گزینه Edit تغییر داد . پیشنهاد می گردد ، مجوزهای Log on as a batch job و access this computer from network ، در رابطه با account فوق حذف گردد ( در صورتیکه ضرورتی به استفاده از آنان وجود ندارد ) .
نکته : زمانیکه سرویس IIS ، متوقف و مجددا” راه اندازی و یا سیستم راه اندازی مجدد (Reboot ) می گردد ، مجوزهای Log on as a batch job و access this computer from the network ، برای accout های IUSR_Computername و IWAM_Computername ، مجددا” در نظر گرفته خواهد شد (Restore ) . در صورتیکه تاکید بر حذف مجوزهای فوق وجود داشته باشد ، می توان یک Local user account جدید را ایجاد و آن را بعنوان account پیش فرض Anonymouse برای سرویس IIS در نظر گرفت .( بخش Anonymouse access and authentication control مربوط به Directory Security Tab سرویس www و یا Account Tab مربوط به سرویس FTP ) . پس از انجام عملیات فوق ، می توان IUSR_Computername ، را حذف کرد.





Basic Authentication ، تقریبا” تمامی مرورگرهای وب موجود ، از روش فوق حمایت می نمایند . در این روش ، نام و رمز عبور کاربر بصورت متن (Clear text ) ، ارسال می گردد . بدیهی است در چنین مواردی امکان تشخیص و کشف اطلاعات ارسالی برای افرادیکه ترافیک موجود در شبکه را مانیتور می نمایند ، وجود خواهد داشت . در صورتیکه تاکید بر استفاده از روش فوق وجود داشته باشد ، پیشنهاد می گردد که بهمراه آن از SSL استفاده گردد . ترکیب SSL با روش Basic Authentication ، امکان رهگیری و کشف اطلاعات ارسالی را کاهش خواهد داد . بدین منظور لازم است مراحل زیر دنبال گردد :
مرحله اول : استفاده از یک Server Certificate
مرحله دوم : استفاده از یک کانال ایمن در زمان دستیابی به منابع
مرحله سوم : فعال نمودن Basic authentication و غیرفعال نمودن Anonymouse و Integrated Windows authentication برای سایت مورد نظر.
Digest Authentication ، روش فوق امکاناتی مشابه Basic Authentication را ارائه ولی از روش متفاوتی بمنظور ارسال اطلاعات حساس و معتبر ، استفاده می نماید . سرویس دهنده ، اطلاعاتی را شامل نام و رمز عبور کاربر بهمراه اطلاعات اضافه دیگر و یک Hash ( محاسبه می گردد ) را برای سرویس گیرنده ارسال می دارد . در ادامه Hash ، بهمراه سایر اطلاعات اضافه برای سرویس دهنده ارسال می گردد . زمانیکه سرویس دهنده اطلاعات را دریافت می نماید ، آنان را با نام و رمز عبور ترکیب و یک Hash را بدست می آورد . در صورتیکه hash های مربوطه با یکدیگر مطابقت نمایند ، کاربر تائید می گردد. در صورتیکه روش فوق فعال و سایر روش ها غیر فعال گردند ، یک pop up box ، نمایش و کاربر می بایست نام و رمز عبور خود را جهت ورود به سایت مشخص نماید . اطلاعات فوق ، بصورت رمزشده و وارونه ذخیره خواهند شد . بمنظور فعال نمودن ویژگی فوق ، مدیران شبکه می بایست یک password policy را در این رابطه تعریف تا امکان استفاده از روش فوق ، فراهم گردد . در صورت عدم تعریف Password policy ، امکان استفاده از روش فوق، وجود نخواهد داشت . بمنظور فعال نمودن Password Policy می بایست :
در ویندوز ۲۰۰۰ ، Computer Configuration|Windows Settings | Security Settings | Account Policies | Password policy را انتخاب و گزینه Store Passwords using reversible encryption for all users in the domain ، فعال گردد. ( گزینه فوق بصورت پیش فرض غیر فعال است ) . پس از فعال شدن سیاست فوق و زمانیکه کاربر رمز عبور و یا نام خود را تغییر و یا یک Account جدید ایجاد گردد ، رمز عبور بصورت رمز شده و وارونه ذخیره می گردد .
Integrated Windows Authentication ، روش فوق از رمزنگاری مبتنی بر Hashing بمنظور تائید رمز عبور استفاده می نماید . نام و رمز عبور واقعی هرگز در شبکه ارسال نخواهد شد ، بنابراین امکان کشف و تشخیص آن توسط یک منبع ناامن و تائید نشده ، وجود نخواهد داشت . تائید کاربران می تواند با استفاده از پروتکل Kerberos V5 و پروتکل Challenge/response صورت پذیرد . روش فوق، گزینه ای مناسب برای استفاده در اکسترانت ها نخواهد بود ، (امکان فعالیت آن از طریق یک سرویس دهنده Proxy و یا سایر برنامه های فایروال وجود نخواهد داشت) . از روش فوق بمنظور برپاسازی اینترانت های ایمن ، استفاده می گردد.

پیکربندی IIS می تواند بگونه ای صورت پذیرد که امکان استفاده از ترکیب روش های تائید اعتبار و Anonymouse در آن پیش بینی گردد . در چنین مواردی ، می توان این امکان را برای یک سایت فراهم آورد که دارای بخش های متفاوت ایمن و غیرحساس باشد . زمانیکه از یک مدل Authentication بهمراه Anonymouse استفاده می گردد ، کاربران همواره و در حالت اولیه با استفاده از IUSR_Computername به سایت Log on خواهند نمود . زمانیکه درخواستی Fail گردد ( با توجه به عدم وجود مجوزهای لازم بمنظور دستیابی به یک منبع ) ، پاسخی برای سرویس گیرنده ارسال که نشاندهنده عدم وجود مجوز لازم برای دستیابی به منبع مورد نظر است . همراه با اطلاعات فوق ، لیستی از مدل های متفاوت تائید اعتبار که توسط سرویس دهنده حمایت می گردد، نیز ارسال خواهد شد . مرورگر سرویس گیرنده در این راستا به کاربر پیامی را نمایش و از وی درخواست نام و رمز عبور را خواهد کرد . در ادامه اطلاعات مورد نظر ( نام و رمز عبور کاربر ) برای سرویس دهنده ارسال خواهد شد ، در صورتیکه کاربر دارای مجوز لازم باشد ، امکان استفاده از منبع مورد نظر برای وی فراهم خواهد شد .
مدیریت فهرست (Directory )
علاوه بر مجوزهای مربوط به فایل و فهرست ها که در سطح سیستم عامل برقرار می گردد ، IIS ، امکانی با نام Application level Permission را ارائه نموده است . در این راستا ، امکان انتخاب گزینه هائی نظیر : Read , Write , Directory Browsing ,Scripts only و Scripts and executables وجود داشته و می توان از آنان بهمراه فهرست های شامل محتویات مربوط به سرویس های www و FTP استفاده کرد .





Read . مجوز فوق ،امکان مشاهده و ارسال محتویات برای مرورگر سرویس گیرنده را فراهم می نماید .
Write . مجوز فوق، به کاربرانی که مرورگرآنان دارای ویژگی PUT ( مربوط به پروتکل استاندارد HTTP 1.1 ) است ، امکان Upload نمودن فایل هائی برای سرویس دهنده و یا تغییر محتویات یک فایل write-enabled را خواهد داد . گزینه فوق ، در اختیار کاربران قرار داده نمی شود و صرفا” مدیریت مربوطه به نوع خاص و محدودی از مجوز فوق ، نیاز خواهد داشت .
Directory Browsing ، مجوز فوق ، به یک سرویس گیرنده امکان مشاهده تمامی فایل های موجود در یک فهرست را خواهد داد . از مجوز فوق صرفا” در رابطه با سرویس دهندگان عمومی FTP استفاده و در سایر موارد ، استفاده ازمجوز فوق ، توصیه نمی گردد .
Scripts . مجوز فوق ، امکان اجراء را در سطح اسکریپت ها محدود خواهد کرد . در مواردیکه از برنامه های CGI و یا ASP استفاده می گردد ، استفاده از مجوز فوق ، لازم خواهد بود. انشعاب فایل های مربوط به اسکریپت ها می بایست قبلا” به برنامه های Scripting مربوطه ، map شده باشد .
Scripts and Executables . مجوز فوق ، امکان اجرای برنامه های EXE و یا DLL را فراهم خواهد کرد( علاوه بر امکان اجرای فایل های ASP و CGI ) . با توجه به حساس بودن مجوز فوق ، استفاده از آن بجزء در موارد خاص و کاملا” کنترل شده ، توصیه نمی گردد .

مجوزهای فوق را می توان همزمان با نمایش جعبه محاوره ای مربوط به خصلت های www و FTP ، تنظیم نمود .
اعمال محدودیت در رابطه با سرویس دهندگان و فهرست های مجازی
سرویس دهندگان مجازی ،این امکان را فراهم می آورند که کامپیوتری که بر روی آن IIS اجراء شده است، قادر به حمایت از چندین Domain Names ( وب سایت ) باشد.در زمان پیکربندی یک سرویس دهنده مجازی برای ایجادسرویس دهنده Primary و هر یک از سرویس دهندگان مجازی ، به اطلاعاتی نظیر:
( Host Header Names(NHN و یا آدرس های IP ، نیاز خواهد بود. بدین ترتیب ، یک سرویس دهنده که بر روی آن IIS نصب و شامل صرفا” یک کارت شبکه است ، قادر به مدیریت سایت های متعدد خواهد بود.
IIS ، امکان تعریف یک نام مستعار برای فهرست های حاوی اطلاعات مورد نیاز برای انتشار بر روی سایت را خواهد داد . نام فوق ، بعنوان یک دایرکتوری مجازی شناخته شده و در آدرس های URL می توان از آنان استفاده کرد. دایرکتوری های مجازی از منظر ملاقات کننده سایت ، فهرست هائی هستند که از دایرکتوری اصلی wwwroot / ، انشعاب شده اند . در رابطه با دایرکتوری های مجازی نیز می توان سیاست های امنیتی خاصی را اعمال نمود. در این راستا می توان از مجوزهای Read,Write,Directory Browsing,Script only و Scripts and executables ، استفاده کرد. مجوز Read ، این امکان را به یک سرویس گیرنده خواهد داد تا فایل های ذخیره شده در یک دایرکتوری مجازی و یا زیرفهرست مربوطه را Download نماید . صرفا” دایرکتوری هائی که شامل اطلاعات مورد نیاز برای نشر و یا Download می باشند ، می بایست دارای مجوز Read باشند . بمنظور ممانعت از Download نمودن فایل ها ی اجرائی و یا اسکریپت ها ، توصیه می گردد که آنان در دایرکتوری های مجزاء بدون در نظرگرفتن مجوز Read ، مستقر گردند، این نوع دایرکتوری ها ی مجازی می بایست دارای مجوز Scripts only و یا Scripts and executables بوده تا سرویس گیرندگان وب قادر به اجرای آنان گردند .
خلاصه
در زمان پیکربندی سرویس دهنده وب ، موارد زیر پیشنهاد می گردد :

<li dir="rtl"> در رابطه با نوع دستیابی به سایت ، تصمیم مناسب اتخاذ و متناسب با آن ، محدودیت های لازم بر اساس آدرس های IP و یا Internet Domains ، اعمال گردد .
<li dir="rtl"> مشخص نمائید که آیا ضرورتی به استفاده از SSL و Certificates در محیط مورد نظر، وجود دارد .
<li dir="rtl"> یک روش موجود را برای ” تائید اعتبار ” ، کاربران انتخاب نمائید . روش Anonymouse متداولترین گزینه در این زمینه است . در صورتی از Basic authentication استفاده گردد که سایت مورد نظر تکنولوژی SSL را حمایت می نماید .
<li dir="rtl"> دایرکتوری هائی را با مجوز Read ( از مجموعه مجوزهای NTFS ) ، برای گروه کاربران عمومی ( Webusers ) ایجاد نمائید. این دایرکتوری ها ، همچنین می بایست دارای مجوز Read only مربوط به IIS در زمان تنظیم سایت های FTP و www باشند . دایرکتوری ها ی فوق ، شامل اطلاعات لازم برای سرویس گیرندگان بمنظور مشاهده و یا Download ، خواهند بود.
<li dir="rtl"> یک دایرکتوری با مجوز Read&Execute ( از مجموعه مجوزهای NTFS ) صرفا” در رابطه با گروه کاربران عمومی (Webusers ) ایجاد گردد . این دایرکتوری همچنین می بایست دارای مجوز Script only ( مربوط به مجوزهای IIS ) در زمان پیکربندی سایت www گردد . دایرکتوری فوق ، شامل فایل های اجرائی نظیر اسکریپت ها ، می باشد .

آنچه تاکنون گفته شده است :
بخش اول : پیکربندیIIS
بخش دوم : نحوه تنظیم خصلت های متفاوت برنامه Internet Services Manager
بخش سوم : روش های کنترل دستیابی به سرویس دهنده
در بخش چهارم به بررسی نحوه تنظیم و پیکربندی سرویس وب خواهیم پرداخت .
بمنظور پیکربندی وب سایت ، برنامه ISM را فعال و در ادامه بر روی وب سایت مورد نظر مستقر و با فشردن دکمه سمت راست موس ، گزینه Properties را انتخاب نمائید . در ادامه جعبه محاوره ای مربوط به پیکربندی وب سایت نمایش و امکان انجام تنظیمات مورد نظر فراهم خواهد شد . در ادامه به تشریح هر یک از امکانات موجود در این بخش خواهیم پرداخت .

http://www.irandevelopers.com/wp-content/uploads/2009/10/iisweb1.jpg


- Web site Tab: در این بخش می توان تنظیمات زیر را انجام داد :


Web site Identification . در این بخش می توان یک مشخصه ( نام نسبت داده شده به وب سایت قابل استفاده در زمان نمایش درخت ISM ) را برای وب سایت تعریف نمود. همچنین در این بخش می توان آدرس IP مربوط به اینترفیس کارت شبکه مسئول پاسخگوئی به سایت ، یک پورت TCP و پورت SSL را مشخص نمود. در بخش Advanced options ، می توان چندین نام domain و یا host header را به یک آدرس IP ، نسبت داد ( mapping ) .


Connections . گزینه فوق، امکان اعمال محدودیت در رابطه با تعداد دستیابی همزمان به یک وب سایت را فراهم می نماید . با استفاده از گزینه های موجود در این بخش می توان، یک زمان Timeout را مشخص کرد. پیشنهاد می گردد ، گزینه فوق انتخاب و مقدار مورد نظر به آن نسبت داده شود تا پیشگیری لازم در خصوص تهاجم اطلاعاتی از نوع غیر فعال کردن سرویس ، ایجاد گردد.


Enable Logging .پیشنهاد می گردد که گزینه فوق ، فعال گردد. پس از فعال شدن گزینه فوق،اطلاعات مربوط به ملاقات کنندگان سایـت،ثبت خواهد شد.



- Operators Tab . در این بخش می توان تنظیمات زیر را انجام داد :

http://www.irandevelopers.com/wp-content/uploads/2009/10/iisweb2.jpg



Web Site Operators . از امکانات موجود در این بخش می توان بمنظور مشخص نمودن گروه / کاربران مورد نظر ، جهت مدیریت وب سایت، استفاده کرد. Account فوق ، می بایست یک گروه باشد ( در صورتیکه سرویس دهنده در یک domain باشد ) . account های موجود در گروه ضرورتی به دارا بودن مجوزهای مدیریتی نخواهند داشت . اپراتورها ، صرفا” قادر به اعمال تغییرات در رابطه با خصلت هائی می باشند که محدوده اثر آنان همان وب سایت ، خواهد بود . این نوع کاربران قادر به دستیابی به خصلت هائی که مربوط به عملکرد تمام IIS ،سرویس دهنده ویندوز ۲۰۰۰ که IIS را میزبان نموده و یا شبکه ای که سیستم بر روی آن اجراء می گردد ، نخواهند بود. نمونه عملیاتی را که یک اپراتور وب می تواند انجام دهد ، عبارتند از :
- مدیریت محتویات وب ( تغییر ، اضافه و حذف )
- فعال نمودن Logging
- تغییر اسناد پیش فرض وب
- تنظیم مجوزهای دستیابی سرویس دهنده وب
کاربرانی که عضوء گروه Administrators ویندوز ۲۰۰۰ می باشند ، قادر به انجام عملیات مرتبط با IIS ، زیر خواهند بود :
- تغییر در ایزولاسیون برنامه ( جدا سازی برنامه )
- ایجاد دایرکتوری های مجازی و یا تغییر مسیر آنان
- تغییر نام و رمز عبور Anonymous
- تغییر مشخصه و یا پیکربندی یک وب سایـت



- Home Directory Tab . با استفاده از امکانات موجود در این بخش می توان ، تنظیمات متعددی را انجام داد . تنظیمات مربوط به کنترل عرضه محتویات وب ، مجوزهای دستیابی ، پیکربندی و اشکال زدائی ASP ، نمونه هائی در این زمینه می باشند. تمامی تنظیمات مرتبط با امنیت از طریق A directory located on this computer ، پوشش داده می شوند.

http://www.irandevelopers.com/wp-content/uploads/2009/10/iisweb3.jpg


Access Permissions . مجموعه مجوزهای موجود در این محل می بایست با مجوزهای NTFS مطابقت نمایند . عملیات مربوط به پیکربندی دایرکتوری ها و تعریف مجوزهای مناسب برای سایت ها ، با عنوان :” عملیات قبل ازنصب ” در بخش اول این مقاله اشاره گردید .
کنترل محتویات : در این رابطه می توان تنظیمات زیررا انجام داد :


Script Source access . با انتخاب گزینه فوق ، کاربران قادر به دریافت فایل های Source خواهند بود. در صورتیکه گزینه Read انتخاب گردد ، کاربران قادر به خواندن Source و در صورتیکه Write انتخاب گردد ، امکان بازنویسی Source در اختیار کاربران قرار خواهد گرفت . Script Source access ، شامل دستیابی به Source اسکریپت ها نظیر اسکریپت های استفاده شده در یک برنامه ASP است . پیشنهاد می گردد ، گزینه فوق به همان صورت پیش فرض ( انتخاب نشده ) باقی بماند . ویژگی فوق، صرفا” در زمانیکه قصد نشر و ارائه اطلاعات از راه دور را داشته باشیم ، مفید و ضروری خواهد بود ( نظیر WebDAV )

Directory browsing . با انتخاب گزینه فوق ، لیستی از دایرکتوری ها و فایل های موجود بر روی سیستم بصورت hypertext ، برای کاربران نمایش داده خواهد شد.پیشنهاد می شود ، گزینه فوق فعال نگردد.

Log visits . پیشنهاد می گردد ، گزینه فوق فعال باشد( بصورت پیش فرض فعال است) . با فعال شدن گزینه فوق ، اطلاعات مربوط به تمامی کاربران ( ملاقات کنندگان سایت ) ثبت خواهد شد.



- Application Settings . یک برنامه ، دایرکتوری ها و فایل های موجود بهمراه یک دایرکتوری است که نقطه شروع برنامه را مشخص می نماید.در این بخش می توان تنظیمات زیر را انجام داد :


Application protection . گزینه فوق باعث ایزوله نمودن یک برنامه مبتنی بر وب از طریق استقرار آن در مکانی متمایز از سایر برنامه ها و سرویس دهنده وب ، می گردد . پیشنهاد می گردد ، مقدار گزینه فوق ، medium و یا high در نظر گرفته شود. در صورتیکه مقدار medium انتخاب گردد ، حفاظت اعمال شده باعث پیشگیری برنامه ها از مسائل بوجود آمده تصادفی و سهوی مرتبط با نرم افزار سرویس دهنده وب ، خواهد شد. در صورتیکه مقدار گزینه فوق ، high در نظر گرفته شود ، برنامه بطورکامل در فضائی جداگانه از حافظه اجراء و در این حالت بر روی سایر برنامه ها تاثیر نخواهد گذاشت .

Execute Permissions . تنظیمات موجود در این بخش ، اجراء برنامه های موجود در دایرکتوری را کنترل می نمایند . در این رابطه می توان از تنظیمات زیر استفاده کرد :
- none . باعث ممانعت در اجرای برنامه ها و یا اسکریپت ها می گردد .
- Scripts . محدودیت اجراء در رابطه با اسکریپت ها اعمال خواهد شد ( انشعابات فایلی که قبلا” به برنامه های اسکریپت ، نسبت داده شده اند ) . دایرکتوری هائی که مجوز فوق ، به آنها داده می شود، می بایست ، امکان Read مربوط به کاربران ناشناس ( Anonymouse ) ، از آنها سلب گردد. در صورتیکه مجوز Read به account فوق ، داده شود، امکان مشاهده اطلاعات همراه در اسکریپت ها ، برای کاربران فراهم خواهد شد.( برخی از اطلاعات ممکن است حساس باشند نظیر : رمز عبور )
- Scripts and Executables . گزینه فوق، امکان اجرای هر نوع برنامه ای ( اسکریپت و فایل های باینری نظیر فایل های exe . و یا dll .) را فراهم می نماید . در زمان واگذاری مجوز فوق ، می بایست حساسیت خاصی را مد نظر داشت . مجوز فوق، صرفا” می بایست در رابطه با دایرکتوری هائی واگذار گردد که از فایل های باینری موجود در آنان سرویس دهنده وب استفاده می نماید. در صورتیکه کاربران سایت نیازمند مجوز فوق در رابطه با یک دایرکتوری خاص می باشند ، مطمئن شوید که آنان دارای مجوز write مربوط به NTFS در ارتباط با کاربران anonymous سایت مورد نظر نخواهند بود . مجوز فوق ، شرایط لازم برای استقرار کدهای اجرائی بر روی سرویس دهنده را فراهم و ممکن است کدهای فوق ، کدهای مخربی باشند که زمینه شروع یک تهاجم اطلاعاتی را فراهم نمایند.



- Application Configuration . برای تنظیم جزئیات بیشتر مرتبط با برنامه ها ، می توان از امکان ( دکمه ) Configuration استفاده کرد . در ادامه یک جعبه محاوره ای جداگانه نمایش که دارای گزینه های :App Mappings , App Options , App Debugging و Process Options ( در صورتیکه مقدار High در رابطه با application protection انتخاب شده باشد ) . است .

http://www.irandevelopers.com/wp-content/uploads/2009/10/iisweb4.jpg



App options Tab . از طریق امکانات موجود در این بخش می توان ، اقدام به پیکربندی وب سایت ، دایرکتوری مجازی و level دایرکتوری نمود .
- Enable session state و Session timeout . با انتخاب گزینه فوق ، ASP برای هر کاربری که به برنامه ASP دستیابی پیدا می نماید یک Session ایجاد می نماید . بدین ترتیب امکان تشخیص کاربر در بین چندین صفحه ASP موجود در برنامه ، فراهم می گردد . زمانیکه کاربر صفحه ای را درخواست ننماید و یا صفحه را در مدت زمان تعریف شده ( Session timeout ) ، بازخوانی ( Refresh ) ننماید ، Session متوقف خواهد شد .
- با مقداردهی ASP Script timeout ، در صورتیکه یک اسکریپت در زمان تعریف شده اجرای خود را به اتمام نرساند ، یک entry در Event log ویندوز ۲۰۰۰ ایجاد و به اجرای اسکریپت خاتمه داده می شود . تنظیم مقدار Timeout باعث پیشگیری از بروز تهاجم اطلاعاتی از نوع غیر فعال نمودن سرویس می گردد ( انکار سرویس )
- پیشنهاد می گردد ، گزینه Enable parent paths ، غیر فعال باشد . بدین ترتیب اسکریپت های ASP امکان استفاده از مسیرهای Relative نسبت به دایرکتوری مادر دایرکتوری جاری را نخواهند داشت . ( گرامر ” .. ” ) . در صورتیکه دایرکتوری مادر امکان Execute را فراهم نموده باشد ، یک اسکریپت می تواند تلاشی را در جهت اجرای یک برنامه غیر مجاز در دایرکتوری مادر ، آغاز نماید..

Process Options Tab . در این رابطه گزینه Write Unsuccessful client requests to event log ( صرفا” در حالتیکه ایزولاسیون High در رابطه با حفاظت برنامه انتخاب شده باشد) ، ارائه خواهد شد .


- Documents Tab . پیشنهاد می گردد ، مدیریت سیستم ( شبکه ) همواره یک سند پیش فرض را مشخص تا تمامی کاربران در زمان دستیابی به سایت آن را مشاهده نمایند. بدین ترتیب از نمایش ناخودآگاه ساختار دایرکتوری ، پیشگیری بعمل می آید . وضعیت فوق زمانی انجام خواهد شد که گزینه Directory browsing فعال شده باشد .

http://www.irandevelopers.com/wp-content/uploads/2009/10/iisweb5.jpg


- Directory Security Tab. خصلت های امنیتی را می توان در رابطه با وب سایت ، دایرکتوری ، دایرکتوری مجازی و یا Level فایل ، اعمال نمود.

http://www.irandevelopers.com/wp-content/uploads/2009/10/iisweb6.jpg




Anonymous access and Authenticated access ، در رابطه با گزینه فوق در بخش دوم (http://www.srco.ir/Articles/DocView.asp?ID=95) مقاله ، توضیحاتی ارائه گردیده است .

IP Address and Domain Name Restrictions ، مدیران سیستم می توانند با استفاده از گزینه فوق ، کاربران مجاز به استفاده از وب سایت را بر اساس آدرس IP مربوطه ، مشخص نمایند. در این رابطه دو گزینه ارائه می گردد : Granted Access و Denied Access . با انتخاب گزینه Gtanted Access ، تمامی کامپیوترها، مجاز به استفاده از منابع موجود بر روی سیستم خواهند بود بجزء آنهائیکه آدرس IP آنان مشخص شده است . Denied Access ، امکان دستیابی به منابع سیستم را صرفا” ( فقط) برای کامپیوترهائی که آدرس IP آنان مشخص شده است ، میسر می سازد . در چنین حالتی درخواست های دریافتی از سایر کامپیوترها ، نادیده گرفته خواهد شد . زمانیکه آدرس های IP را مشخص می نمائیم ، دارای سه گزینه دیگر خواهیم بود: Single Computer ، در این حالت مدیریت شبکه ( سیستم ) صرفا” یک آدرس IP را مشحص می نماید . Group of computers ، در این حالت مدیریت network ID و Sbunet mask را مشخص و در زمانیکه Domain name انتخاب می گردد ، یک پیام هشداردهنده نمایش داده می شود . (انتخاب فوق باعث کاهش کارآئی سیستم خواهد شد) . در چنین حالتی برای هر درخواست اتصال ، می بایست از DNS Reverse lookup ، استفاده گردد .



http://www.irandevelopers.com/wp-content/uploads/2009/10/iisweb7.jpg



Secure Communications ، از گزینه فوق ، بمنظور پیکربندی ویژگی های SSL قابل دسترس بر روی سرویس دهنده وب ، استفاده می گردد . با انتخاب گزینه فوق ، تمامی ترافیک بین سرویس گیرنده و سرویس دهنده بصورت رمز شده انجام خواهد شد . پس از پیکربندی لازم ، ملاقات کنندگان سایت ، می بایست از مرورگرهائی استفاده نمایند که از Secure Communications ، حمایت می نمایند. ( جزئیات مربوطه در مقالات آتی ارائه می گردد ) .


- Server Extensions Tab . برنامه IIS 5.0 ، امکان تولید و نشر اطلاعات از راه دور را فراهم می نماید. پیشنهاد می گردد ، برای هر یک از وب سایت های موجود بر روی سرویس دهنده IIS ، گزینه enable authoring ، غیر فعال گردد . ویژگی فوق ، امکان تغییر در یک صفحه وب و در نهایت Upload نمودن آن بر روی وب سایت را در اختیار برنامه Frontpage ، قرار خواهد داد .

آنچه تاکنون گفته شده است :
بخش اول : پیکربندیIIS
بخش دوم : نحوه تنظیم خصلت های متفاوت برنامه Internet Services Manager
بخش سوم : روش های کنترل دستیابی به سرویس دهنده
بخش چهارم :نحوه تنظیم و پیکربندی سرویس وب
در این بخش به نحوه تنظیم و پیکربندی سرویس FTP خواهیم پرداخت .
با استفاده از سرویس FTP) File Transfer Protocol) ، سرویس گیرندگان قادر به ارسال و یا دریافت اطلاعات به / از یک سرویس دهنده FTP می باشند . با اینکه برخی از قابلیت ها و توانائی های FTP بر روی اینترنت، توسط سرویس وب ( www ) ارائه و جایگزین شده است ولی استفاده از سرویس FTP ، همچنان امری متداول است . پیشنهاد می گردد ، پیکربندی سرویس دهنده FTP بگونه ای انجام گردد که امکان ارسال فایل توسط سرویس گیرندگان به سرویس دهنده ( Uploading ) از کاربران سلب و عملا” امکان چنین فعالیتی وجود نداشته باشد . در صورتیکه با توجه به سیاست های سازمان به پتانسیل اشاره شده نیاز باشد ، یک دایرکتوری مجزاء مثلا” با نام Incoming \ را برای دریافت فایل های ارسالی توسط سرویس گیرندگان ایجاد و می بایست تنظیمات امنیتی خاصی را از منظر نوع دستیابی به آن تعریف و پیکربندی نمود. دایرکتوری فوق ، می بایست تحت نظارت و مشاهده دائم با توجه به سیاست های امنیتی تعریف شده در سازمان قرار داشته باشد . سازماندهای دایرکتورهای FTP
بمنظور کنترل و هدایت مناسب سرویس دهنده FTP ، پیشنهاد می گردد که دایرکتوری ها بر اساس سیاست های مشخص شده ای برای کاربران ایجاد و سازماندهی گردند . برای دریافت فایل ، اسامی دایرکتوری ها می بایست نشاندهنده محتویات دایرکتوری باشد . مثلا” درایورهای مربوط به دستگاهها ( Device Drivers ) می توانند بر اساس دایرکتوری هائی سازماندهی گردند که مرتبط و هماهنگ شده با اسامی سیستم عامل مربوطه باشد . در رابطه با این نوع دایرکتوری ها ، می بایست سطح دستیابی مجاز ، فقط خواندنی ( Read only ) در نظر گرفته شود. برای ذخیره سازی موقت فایل های ارسالی توسط سرویس گیرندگان و قبل از اینکه آنان را در دایرکتوری مستقر نمائیم که امکان Download عمومی آنان فراهم گردد ، می بایست یک دایرکتوری موقت را ایجاد و پس از استقرار فایل های ارسالی توسط کاربران در آن و بررسی مسائل امنیتی ، فایل های ارسالی تائید شده را در دایرکتوری مربوط به Download عمومی ، مستقر نمود. دایرکتوری موقت ، می بایست صرفا” دارای مجوز نوشتن ( Write ) برای Account مربوط به anonymous باشد . دایرکتوری FTP که برای Download نمودن کاربران پیکربندی می گردد ، صرفا” می بایست دارای مجوز “فقط خواندنی ” باشد . رویکرد فوق ، ممکن است زمینه ساز مسائل اندکی نیز باشد چراکه کاربران ناشناس ( anonymous ) قادر به مشاهده فایل های Upload شده توسط سایر کاربران نمی باشند ولی این امر آنان را در مقابل تغییر و یا حذف فایل ها ،محفاظت خواهد کرد( فایل های ارسالی توسط سایر کاربران در یک دایرکتوری موقت ذخیره که سایر کاربران امکان مشاهده آن را نخواهند داشت ، پس از بررسی لازم در خصوص فایل های ارسالی و استقرار آنان توسط مدیریت سایت در دایرکتوری عمومی در نظر گرفته شده برای Download ، امکان استفاده از آنان برای سایر کاربران نیز فراهم خواهد شد ) . رویکرد فوق ، همچنین سایت FTP را در مقابل کاربران غیر مجازی که اقدام به ارسال و ذخیره سازی نرم افزارهای غیرقانونی و یا ابزارهای hacking می نمایند ، حفاظت می نماید . مدیریت سایت ، می بایست بصورت مستمر فایل های ارسالی توسط کاربران به دایرکتوری موقت را بررسی و پس از اطمینان از مسائل امنیتی وسایر موارد مورد نظر ، آنان را دایرکتوری مختص Download، مستقر نماید . دایرکتوری فوق ، صرفا” می بایست دارای مجوز فقط خواندنی باشد .
FTP site Tabخصلت های موجود در این بخش مشابه خصلت های موجود در web site Tab می باشند ولی کاربرد آنان در رابطه با سرویس FTP خواهد بود .در این رابطه مدیریت سایت می تواند ، مشخصه ای را برای سایت FTP ، کنترل تعداد اتصالات و تنظیم یک زمان ارتباط Timeout تعریف و مشخص نماید . توصیه می گردد که گزینه Enable logging انتخاب و برای مشخص نمودن زمان Timeout ، مقداری در نظر گرفته شود که اولا” باعث استفاده مطلوب و بهینه از سایت شده و ثانیا” بتوان حملات از نوع Denial of Service : DoS ( غیرفعال نمودن و ایجاد اختلال در ارائه سرویس و خدمات به کاربران مجاز) را کنترل و تشخیص داد .

http://www.irandevelopers.com/wp-content/uploads/2009/10/ftp2.jpg

Security Accounts Tab
با استفاده از امکانات موجود در این بخش ، می توان دستیابی anonymous و اپراتورهای سایت FTP را مشخص و پیکربندی نمود. پیشنهاد می گردد که Allow only anonymous connections ، انتخاب تا محدودیت دستیابی صرفا” مرتبط با اتصالات anonymous گردد . پس از انتخاب گزینه فوق ، کاربران قادر به log on نمودن با نام و رمز عبور واقعی خود نخواهند بود ( در چنین حالتی اطلاعات مربوط به account کاربر بصورت شفاف و بدون رمزنگاری ارسال خواهد شد ) . بدین ترتیب ، سرویس دهنده FTP در مقابل برخی حملات که ممکن است از account مدیریت سیستم و یا یکی از کاربران مجاز سوءاستفاده گردد ، محفاظت خواهد شد ( account های فوق، می توانند دارای مجوزهای خاصی در ارتباط با دستیابی به سرویس دهنده باشند ) . در این رابطه لازم است به این نکته نیز اشاره گردد که حتی با انتخاب گزینه فوق ، محدودیتی در رابطه با log on نمودن کاربران مجاز با استفاده از نام و رمز عبور مربوطه بوجود نخواهد آمد . کاربری که به براساس عادت در مواجهه با نمایش پیام FTP ، نام و رمز عبور خود را برای ورود به سایت وارد می نماید ، می بایست به این مسئله توجه نماید که حتی اگر درخواست وی پذیرفته نگردد ، ولی با توجه به ارسال اطلاعات مرتبط با account وی بصورت شفاف و بدون اعمال هرگونه رمزنگاری، می تواند زمینه بروز مشکلات امنیتی در ارتباط با سرویس دهنده FTP را بدنبال داشته باشد.زمانیکه کاربران بعنوان anonymous به سایت log on می نمایند ، از آدرس پست الکترونیکی آنان بعنوان رمز عبور استفاده می گردد . سرویس دهنده FTP در ادامه از account با نام IUSR_computername بعنوان logon account بمنظور بررسی مجوزهای مورد نظر ، استفاده خواهد کرد . لازم است به این نکته نیز اشاره گردد که Integrated windows authentication در رابطه با سرویس FTP وجود ندارد. در قسمت پائین پنجره مربوط به Security Accounts Tab ، امکانات لازم بمنظور مشخص نمودن account مربوطه به مدیریت سایت FTP وجود دارد .

http://www.irandevelopers.com/wp-content/uploads/2009/10/iisftp1.jpg

در این رابطه لازم است گزینه Allow IIS to control password ، بمنظور تطبیق account مربوط به anonymous و رمز عبور ( عموما” بصورت IUSR_computername ) با account ایجاد شده در بخش users مربوط به Computer management ، انتخاب گردد . در صورتیکه IUSR_computername شامل account مربوط به anonymous نباشد ، می بایست مطمئن گردید که account تعریف شده یک account بر روی کامپیوتر محلی ( local computer ) است . بدین ترتیب ، در صورت عدم دستیابی به Domain controller ، سرویس دهنده وب قابل دسترس خواهد بود .(در صورتیکه account مربوط به anonymous یک domain account در نظر گرفته شده باشد ) .
Messages Tabبا استفاده از امکانات موجود در این بخش می توان سه نوع پیام را بمنظور نمایش برای کاربران مشخص نمود: Welcome ( ورود به سایت FTP ) ، پیام Exit بمنظور خروج یک کاربر از سایـت و پیام حداکثر تعداد ارتباطات ( Maximum Connections ) . پیشنهاد می گردد که از یک پیام خوش آمد گوئی که به شکل یک Banner امنیتی می باشد ،استفاده گردد .از پیام های خروجی می توان بمنظور نمایش هشدارها ئی بر اساس توقف ارتباط کاربر استفاده گردد . در مواردیکه حداکثر تعداد ارتباط به سایت FTP محقق می گردد ، می توان با ارائه یک پیام مناسب کاربران را نسبت به وضعیت بوجود آمده ، آگاه نمود .

http://www.irandevelopers.com/wp-content/uploads/2009/10/iisftp2.jpg

Home Directory Tab
از امکانات موجود در این بخش بمنظور مشخص نمودن مکان ( آدرس ) محتویات ارائه شده ( یک دایرکتوری بر روی کامپیوتر ، یک فولدر به اشتراک گذاشته شده در شبکه و یا یک URL redircetions ) استفاده می گردد. مسیر محلی دایرکتوری ، مجوزهای دستیابی و سبک نمایش لیست دایرکتوری که IIS برای سرویس گیرنده ارسال می نماید را نیز می توان در این بخش مشخص نمود. پیشنهاد می گردد که دایرکتوری فوق ، صرفا” دارای مجوز “فقط خواندنی” باشد. در صورتیکه ضروری است که امکان ارسال فایل ( Upload ) در اختیار کاربران قرار گیرد،پیشنهاد می گردد دو دایرکتوری مجزای دیگر تحت دایرکتوری ftproot ، ایجاد گردد . یکی از دایرکتوری ها دارای مجوز دستیابی “فقط خواندنی ” در ارتباط با ذخیره اطلاعات قابل دسترس برای تمامی کاربران بمنظور download و دایرکتوری دیگر ، دارای مجوز صرفا” ” فقط نوشتن ” برای ارسال فایل های کاربران بر روی سرویس دهنده FTP باشد . ( دایرکتوری دوم صرفا” محلی موقت برای استقرار فایل های ارسالی کاربران خواهد بود ) . در ادامه یکی از مدیران سیستم ( و یا web operator ) می تواند دارای مسئولیت بررسی داده و فایل های ارسالی در دایرکتوری فوق شده و پس از حصول اطمینان از عدم وجود مسائل امنیتی و سایر موارد مرتبط ، اقدام به استقرار فایل های ارسالی در دایرکتوری اول بمنظور در اختیار گذاشتن آنان برای Download توسط سایر کاربران نماید .

http://www.irandevelopers.com/wp-content/uploads/2009/10/iisftp3.jpg

Directory Security Tab
با استفاده از امکانات موجود در این بخش می توان سیاست دستیابی به سایت FTP را بر اساس آدرس های IP مشخص نمود. در این رابطه دو گزینه وجود دارد : Granted Access و Denied Access . با انتخاب گزینه Granted Access ، تمامی کامپیوترها قادر به دستیابی به منابع موجود خواهند شد ، بجزء کامپیوترهائی که آدرس IP آنان مشخص شده است . با انتخاب گزینه Denied Access ، صرفا” آندسته از کامپیوترهائی که آدرس IP آنان مشخص خواهد شد ، قادر به دستیابی به منابع موجود بوده و تمامی درخواست های دیگر نادیده گرفته خواهد شد . در موادریکه آدرس های IP مشخص می گردد ، سه گزینه دیگر نیز موجود می باشد : single computer و group of computers ( در این حالت network ID و Subnet mask مشخص خواهد شد ) و یا Domain Name ( درانتخاب گزینه فوق ، می بایست دقت لازم را انجام داد. پس از انتخاب این گزینه ، یک پیام هشداردهنده مبنی بر کاهش کارآئی سرویس دهنده با توجه به ضرورت انجام یک DNS reverse lookup در ارتباط با هر درخواست اتصال، نمایش داده خواهد شد) . در صورتیکه مجموعه ای تعریف شده از کاربران وجود دارد که می بایست به آنان مجوز دستیابی به دایرکتوری ftp داده شود ، پیشنهاد می گردد، گزینه Denied Access انتخاب گردد . بدین ترتیب ، صرفا” کامپیوترهای مشخص شده قادر به دستیابی به داده موجود بر روی دایرکتوری ftp بوده و از دستیابی دیگران جلوگیری بعمل خواهد آمد.

http://www.irandevelopers.com/wp-content/uploads/2009/10/iisftp4.jpg