Усовершенствования iis 7.0: безопасность
DESCRIPTION
Усовершенствования IIS 7.0: безопасность. Александр Шаповал Эксперт по информационной инфраструктуре Microsoft. Содержание. Модульная архитектура IIS7 Анонимный доступ Изоляция приложений Фильтрация запросов URL -авторизация Делегирование и удаленное администрирование. - PowerPoint PPT PresentationTRANSCRIPT
Microsoft TechDayshttp://www.techdays.ru
Усовершенствования IIS 7.0: безопасность
Александр ШаповалЭксперт по информационной инфраструктуре Microsoft
Microsoft TechDayshttp://www.techdays.ru
Содержание
Модульная архитектура IIS7Анонимный доступИзоляция приложенийФильтрация запросовURL-авторизацияДелегирование и удаленное администрирование
Microsoft TechDayshttp://www.techdays.ru
Фундамент безопасности
В IIS6 обнаружены 5 уязвимостей, все устранены
http://secunia.com/product/1438/?task=advisories
В Apache 2.0 обнаружены более 35 уязвимостей, 10% из них еще не исправлены*
http://secunia.com/product/73/?task=advisories
* - по состоянию на август 2008
Microsoft TechDayshttp://www.techdays.ru
Новая модульная архитектура
IIS7 не устанавливается по умолчанию Только 10 модулей устанавливаются при развертывании роли Web Server Сокращается поверхность для потенциальных атак Снижаются требования к памяти Обеспечивается более гранулированный контроль
Microsoft TechDayshttp://www.techdays.ru
Application Development
.NET Extensibility
ISAPIFilter
ISAPIExtension
CGI
FastCGI
ServerSideIncludes
ASP
ASP.Net
.Net Extensibility
Компоненты IIS 7.0
Security
AnonymousAuthentication
BasicAuthentication
DigestAuthentication
WindowsAuthentication
UrlAuthorization
CertificateMappingADCertificateMappi
ngRequestFiltering
IPRestriction
Health and Diagnostics
HttpLogging
CustomLogging
RequestMonitor
HttpTracing
ODBCLogging
LoggingLibraries
PublishingFTPServer
FTP Management
WebDavModule
PerformanceStaticCompression
DynamicCompression
Management
Management Console
Management Scripting
Mgmt Service (WMSVC)
IIS6 Config (Metabase)
IIS6 WMI Provider
IIS6ScriptingIIS6 Management
Snap-in
Core HTTP Server ComponentsDirBrowsing
Process Model (Windows Process Activation Service) ProcessModel
Нет в Server Core
ASP.Net
.Net Environment Configuration API
Management Console
Management Scripting
Mgmt Service (WMSVC)
Microsoft TechDayshttp://www.techdays.ru
Контроль доступа
Ограничения по IP и доменным именам
Не устанавливается по умолчанию Фильтрация запросов (Request Filtering)
Устанавливается по умолчанию Аутентификация
По умолчанию доступна только анонимная аутентификация
Авторизация По умолчанию доступна только авторизация на основе разрешений NTFS
Microsoft TechDayshttp://www.techdays.ru
Анонимный доступ
Новая учетная запись IUSRВместо IUSR_<имя компьютера>
IUSR – встроенная учетная запись Нельзя использовать для входа в системуНе требует смены пароля Имеет одинаковый SID на всех серверах
Не требует переназначения разрешений
Новая встроенная группа IIS_IUSRSВместо IIS_WPGSID этой группы автоматически добавляется в маркер доступа каждого Worker Process
Microsoft TechDayshttp://www.techdays.ru
Изоляция приложений
Application Pool Identity По умолчанию Network Service Для анонимной аутентификации можно использовать учетную запись пула
Доступ к любым ресурсам в контексте записи пула приложения
Application Pool SIDДля каждого пула генерируется уникальный SID IIS APPPOOL\<имя пула>Это SID используется для изоляции
ресурсов приложения на основе NTFS-разрешений (настраивается вручную) конфигурационной информации из ApplicationHost.config (автоматически в %SystemDrive%\Inetpub\Temp\Apppools)
Microsoft TechDayshttp://www.techdays.ru
Анонимный доступ и изоляция приложений
Александр ШаповалMicrosoft
Демонстрация
Microsoft TechDayshttp://www.techdays.ru
Фильтрация запросов
Интегрирована в IIS7, базируется на URLScanЗадает ограничения на URL-запросы
Блокировать запросы, содержащие “string”Блокировать запросы длиннее “X”Блокировать запросы к определенному содержимому (“.config”, “/bin”)
Хранит настройки в секции system.webServer/security/requestFiltering на уровне сайта, приложения, URL Настраивается из командной строки
Графический интерфейс доступен в Administration Pack for IIS 7.0
Microsoft TechDayshttp://www.techdays.ru
Фильтрация запросов
Александр ШаповалMicrosoft
Демонстрация
Microsoft TechDayshttp://www.techdays.ru
URL-авторизация
Контроль доступа к сайтам, папкам, файлам без использования NTFS ACL Использует механизм, схожий с ASP.NET URL AuthorizationМогут применяться маркеры Windows и .NET-провайдеров Правила хранятся в файлах .config
Легко переносятся на другой сервер Не установлена по умолчанию
Microsoft TechDayshttp://www.techdays.ru
URL-авторизация
Александр ШаповалMicrosoft
Демонстрация
Microsoft TechDayshttp://www.techdays.ru
Удаленное администрирование
Реализуется службой Web Management Service (WMSvc)Использует HTTPS Только администратор может подключиться на уровне всего сервера
Доступны все настройки Не требуются явные разрешения
Не администраторы могут подключаться только на уровне сайта или приложения
Требуются явные разрешения
Microsoft TechDayshttp://www.techdays.ru
Делегирование
Обеспечивает требуемый уровень доступа владельцам сайтов и разработчикам Поддерживаются учетные записи Windows и IIS Manager Настройки, к которым нет доступа, не видныПриложения – самый низкий уровень настроек
Microsoft TechDayshttp://www.techdays.ru
Делегирование и удаленное администрирование
Александр ШаповалMicrosoft
Демонстрация
Microsoft TechDayshttp://www.techdays.ru
Рекомендации
Удалите все ненужные модули IISРассмотрите возможность использования Server CoreНастройте делегирование для более четкого контроля прав доступаИспользуйте возможности .NET для аутентификации и авторизации Выделяйте каждому приложению отдельный пул
Microsoft TechDayshttp://www.techdays.ru
Итоги
Надежный фундамент и расширенная защита веб-серверовСокращение поверхности для атак за счет модульной архитектуры Повышение уровня изоляции приложений, благодаря встроенным учетным записям и SIDНовые возможности удаленного администрирования и делегирования
Microsoft TechDayshttp://www.techdays.ru
Блог
http://blogs.technet.com/ashapo