uekae bgt-1005 web sunucu (iis 6.0) güvenliği kılavuzu.pdf
TRANSCRIPT
-
Test1234
ULUSAL ELEKTRONK VE KRPTOLOJ
ARATIRMA ENSTTS
Dokman Kodu: BGT-1005
MICROSOFT WEB SUNUCU
(IIS 6.0) GVENL
KILAVUZU
SRM 1.00
5 KASIM 2007
Hazrlayan: nal PEREND
P.K. 74, Gebze, 41470 Kocaeli, TRKYE Tel: (0262) 648 1000
Faks: (0262) 648 1100 http://www.bilgiguvenligi.gov.tr [email protected]
-
MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU NSZ
2 TB TAK UEKAE
NSZ
Ulusal Elektronik ve Kriptoloji Aratrma Enstits (UEKAE)'nn misyonu, "bilgi
gvenlii, haberleme ve ileri elektronik alanlarnda Trkiye'nin teknolojik
bamszln salamak ve srdrmek iin nitelikli insan gc ve uluslararas
dzeyde kabul grm altyaps ile bilimsel ve teknolojik zmler retmek ve
uygulamaktr". Bu ana hedef gz nnde bulundurularak belirlenen "bilgi
gvenlii, haberleme ve ileri elektronik alanlarnda yeni teknolojilerin
gelitirilmesine nclk eden uluslararas bilim, teknoloji ve retim merkezi
olmak" vizyonuna ulalabilmesi ve lkenin ihtiyac olan teknolojilerin
gelitirilmesi iin Enstit'nn akredite test ortam ve laboratuarlarnda temel ve
uygulamal aratrmalar yaplmakta ve ihtiya sahiplerine teknik destek
salanmaktadr.
Bu dokman Ulusal Bilgi Sistemleri Gvenlik Projesi kapsamnda hazrlanm
olup ihtiya sahiplerini bilgi sistemleri gvenlii konusunda bilinlendirmeyi
hedeflemektedir. Tm kurum ve kurulular bu dokmandan faydalanabilir.
Bu dokmanda bahsi geen belirli ticari marka isimleri kendi
zgn sahiplerine aittir. Burada anlatlanlar tamamen tavsiye
niteliinde olup deiik rnler/yaplandrmalar iin farkllk
gsterebilir. UEKAE, yaplan uygulamalardan doabilecek
zararlardan sorumlu deildir. Bu dokman UEKAEnin izni
olmadan deitirilemez.
-
B LG LEND RME MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU
TB TAK UEKAE 3
BLGLENDRME
Bu dokmann oluturulmasnda emei geen A Gvenlii personeline ve dokman gzden
geirip fikirlerini ne srerek dokmann olgunlamasna katkda bulunan Doan
ESKYRKe teekkr bor biliriz.
-
MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU NDEK LER
4 TB TAK UEKAE
NDEKLER
1. GR .................................................................................................................................................... 6
1.1 Ama ve Kapsam.................................................................................................................6
1.2 Hedeflenen Kitle..................................................................................................................6
1.3 Ksaltmalar...........................................................................................................................6
2. GENEL GVENLIK ........................................................................................................................... 7
2.1 Sunucu Fiziksel Gvenlii...................................................................................................7
2.2 Windows letim Sistemi Gvenlii....................................................................................7
2.3 Topoloji Gvenlii ve Etki Alan yelii ...........................................................................7
2.4 A Kartlar Hizmet Balanmlar ........................................................................................8
2.5 Dier Sunucularla letiim...................................................................................................9
3. KURULUM VE KONFIGRASYON GVENLII ..................................................................... 10
3.1 lgili IIS Servislerin Seimi ...............................................................................................10
3.2 Kurulumla Gelen Tehlikeli Dosyalar.................................................................................11
3.3 NTFS Yetkilendirme .........................................................................................................11
3.4 Metabase Ayarlar..............................................................................................................12
3.5 IUSR_MakineAd Kullanc Ayarlar................................................................................12
3.6 erik Dosyalarnn Konumu .............................................................................................12
3.7 nternetten Yazclara Eriim Destei................................................................................13
3.8 WebDAV Destei ..............................................................................................................14
3.9 Remote Data Services Destei...........................................................................................14
3.10 Kimlik Dorulama...........................................................................................................15
3.11 IIS Yetkilendirmesi..........................................................................................................17
3.12 Uygulama altrma Yetkileri........................................................................................18
3.13 IP ile Eriimin Kstlanmas.............................................................................................19
3.14 Balant Says .................................................................................................................20
3.15 ISAPI Uzantlar ..............................................................................................................21
-
NDEK LER MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU
TB TAK UEKAE 5
3.16 ISAPI Szgeleri .............................................................................................................22
3.17 Kayt Tutma .....................................................................................................................23
3.18 Uygulama Havuzlar ........................................................................................................26
3.19 Ana Dizin Destei............................................................................................................27
4. DESTEKLEYICI GVENLIK AYARLARI .................................................................................. 28
4.1 WWW Publishing Hizmetinin Hatadan Kurtarma Ayarlar ..............................................28
4.2 Endeksleme Hizmeti..........................................................................................................29
4.3 Hassas Balant Bilgileri ...................................................................................................30
4.4 lgili Yazlmlar .................................................................................................................31
4.4.1 IIS LockDown.............................................................................................................31
4.4.2 URLScan.....................................................................................................................31
4.4.3 IIS Diagnostics Toolkit ...............................................................................................31
4.4.4 IIS 6.0 Resource Kit Tools .........................................................................................31
-
MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU GENEL GVENL K
6 TB TAK UEKAE
1. GR
Bu dokman Internet Information Services 6.0 (IIS 6.0) servisi ile sunulan web sunucularnn
gvenlii konusundadr.
1.1 Ama ve Kapsam
Bu dokman sayesinde IIS 6.0 kullanlan sistemlerde web servisinin gvenli kurulum,
yaplandrma ve bakmn salayacak bilgiler anlatlmtr. Genel Gvenlik, Kurulum ve
Konfigrasyon Gvenlii ve Destekleyici Gvenlik Ayarlar olarak ana balk altnda konu
incelenmitir.
1.2 Hedeflenen Kitle
Dokman ierii web gvenlii ile ilgilenen herkese yardmc olabilecek bilgiler iermektedir.
1.3 Ksaltmalar
UEKAE : Ulusal Elektronik ve Kriptoloji Aratrma Enstits
DNS : Domain Name Service
IIS : Internet Information Service
WEBDAV : Web Distributed Authoring and Versioning
ASP : Active Server Pages
WWW : World Wide Web
DMZ : Demilitarized Zone
IP : Internet Protocol
IPSEC : Internet Protocol Security
AH : Authentication Header
MMC : Microsoft Management Console
NTFS : New Technology File System
SSL : Secure Socket Layer
IWAM : Internet Server Web Application Manager
SMTP : Simple Mail Transfer Protocol
-
GENEL GVENL K MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU
TB TAK UEKAE 7
HTTP : Hypertext Transfer Protocol
FTP : File Transfer Protocol
NNTP : Net News Transfer Protocol
ISM : Internet System Manager
LM/NTLM : LAN Manager/ Windows NT LAN Manager
2. GENEL GVENLK
2.1 Sunucu Fiziksel Gvenlii
Gerekli fiziksel ve evresel gvenliin salanm olmas gerekmektedir. Sunucunun bulunduu
odaya giriler nceden belirlenmi yetkilendirme kurallarna gre yaplmal ve bunlarn
kaytlarnn tutulmas gerekmektedir. Sunucunun almasn olumsuz etkileyecek evresel
faktrlerin (scaklk, toz, nem, elektrik kesintileri) istenilen seviyelerde kalmas salanmaldr.
2.2 Windows letim Sistemi Gvenlii
Web servisinin kurulu olduu iletim sisteminin sklatrmalarnn yaplm olmas
gerekmektedir.
2.3 Topoloji Gvenlii ve Etki Alan yelii
Web sunucular en ok saldrya maruz kalan sunuculardr. Web sunucunun topolojideki yeri ve
etki alan yelii nemle deerlendirilmelidir. zel bir sebep dnda, internete hizmet veren ve
zerindeki kritik veritaban bilgisi olmayan web sunucularn DMZ blgesinde yer almalar ve
etki alanna ye olmamalar gerekmektedir. ada bulunan sunucular ise eer gerekli ise etki
alanna alnmaldr. Etki alan yesi bir sunucunun ele geirilmesi saldrgann dier sunuculara
sramasn kolaylatracaktr.
Gvensiz A
Guvenlik DuvarWeb Sunucu
Kullanc
ekil 1 adaki web sunucu topolojisi
-
MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU GENEL GVENL K
8 TB TAK UEKAE
Gvensiz A
Guvenlik Duvar
Web Sunucu
KullancDirectory server
ekil 2 - nternet hizmeti veren web sunucu topolojisi
2.4 A Kartlar Hizmet Balanmlar
Bir a hizmeti balanm kaldrlamasa bile bir a kart iin etkisiz hale getirilebilir. ou
zaman a hizmetleri kendisine baml olan baka hizmetler kullanld iin
kaldrlamamaktadr. Bu durumda hizmetin durmas ama belli bir a kart iin etkisiz olmas
iin ilgili a kartnn zellikleri penceresinde gereksiz hizmetler etkisiz hale getirilmelidir.
zellikle nternetten eriim olan ve etki alanna ye olmayan sunucularda ilgili a kartnda
Client for Microsoft Networks ve File and Printer Sharing for Microsoft Networks hizmetleri
etkisiz olmaldr.
-
GENEL GVENL K MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU
TB TAK UEKAE 9
ekil 3 - A kartlar hizmet balanmlar mens
2.5 Dier Sunucularla letiim
Sunucu nemli bilgi alverii yapt dier sunucularn kimliklerini doruluyor olmaldr.
rnein veritabanna bilgi yollayan bir web sunucu kardaki sunucunun gerek sunucu
olduundan emin olmazsa IP spoofing saldrsna maruz kalabilir. Bu durumda web sunucu
aracl ile yanl bilgiler yollanabilir ya da ele geirilmemesi gereken bilgiler elde edilebilir.
Kimlik dorulama iin Kerberos, IPSEC AH ya da baka bir mekanizma kullanlabilir.
IPSECin etkin olup olmadn tespit etmek iin ipsecmon.exe program kullanlabilir ve
MMC aracl ile IPSec filtrelerinin etkin olup olmad tespit edilebilir.
-
MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU GENEL GVENL K
10 TB TAK UEKAE
ekil 4 - IPSEC politikalar mens
3. KURULUM VE KONFGRASYON GVENL
3.1 lgili IIS Servislerin Seimi
IIS kurulumu yaplrken IIS kurma amacna gre sadece gerekli hizmetler seilerek kurulum
yaplmaldr. IIS hizmetleri aadaki gibidir:
World Wide Web (WWW) Servisi: Web Sayfalarnn sunulmasn salar.
File Transfer Protokol (FTP) : Dosya transferi yapmaya yarar.
Simple Mail Transfer Protocol (SMTP): Mail al-verii yapmay salar.
Network News Transfer Protocol (NNTP) : USENET bata olmak zere haber sunucularndan
mesaj almaya ve gndermeye yarar.
-
KURULUM VE KONF GRSAYON GVENL
MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU
TB TAK UEKAE 11
ekil 5 - IIS manager ana mens
3.2 Kurulumla Gelen Tehlikeli Dosyalar
IISin kurulumu ile gelen bir takm tehlikeli dosyalar vardr. Bu dosyalar saldr yzeyinin
artmasna neden olmaktadr. Kurulumdan sonra silinmeleri veya eriimlerinin engellenmeleri
salanmaldr. Ayrca web sunucuda yazlm gelitirme takmlar da olmamaldr.
Tehlikeli dosyalar unlardr:
C:\Inetpub\iissamples
C:\Inetpub\AdminScripts
%SystemRoot%\help\iishelp
%SystemRoot%\web\printers
3.3 NTFS Yetkilendirme
Sunulan dosyalarn NTFS eriim denetim listeleri dosyaya eriimi dzenleyen nihai
mekanizmadr. IIS aracl ile gelen istekler kullanlan kimlik dorulama yntemine gre (ya
kullancnn kendi hesab ile (Integrated Windows Authentication) ya da IUSR kullancs ile
(anonim eriim)) belli bir Windows hesab ile dosya kaynaklara eriir. erik dosyalarnn
eriim denetim listeleri kullancya gerektiinden daha fazla bir yetki vermeyecek ekilde
ayarlanm olmaldr. rnein Everyone:Allow:Full Control hibir ekilde olmamas gereken
bir haktr. Ekstra bir nlem olarak IUSR kullancsna (veya bu ve benzeri anonim kullanclar
barndran bir gvenlik grubuna) yazma iin Deny verilebilir.
-
MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU
KURULUM VE KONF GRSAYON GVENL
12 TB TAK UEKAE
erik dosyalarnn tamam iin NTFS eriim denetim listeleri gzden geirilmeli ve
kullanclara mmkn olan en az haklar verilmelidir.
3.4 Metabase Ayarlar
Metabase IISin yaplandrma ayarlarnn tutulduu veritabandr.
(%SystemRoot%\System32\inetsrv\MetaBase.xml ve
%SystemRoot%\System32\inetsrv\MBSchema.xml. Ayrca ayn dizin altnda Metaback ve
History dizinleri altnda yedekleri ve gemii tutulmaktadr) Bu dosyalarn fiziksel gvenlii
nemlidir. Metabase ile ilgili alnmas gereken nlemler:
Dosyann ve Metaback dizininin NTFS eriim denetim listeleri sadece Administrator ve
SYSTEM eriebilecek ekilde olmaldr.
Sistemde mevcutsa metaedit.exe, metautil.dll ve iissync.exe (cluster olmamas
durumunda) dosyalar kaldrlmaldr.
3.5 IUSR_MakineAd Kullanc Ayarlar
IUSR_MakineAd hesab kimlik bilgisi salamayan istemcilerin IIS tarafnda
ilikilendirildikleri kullanc hesabdr. Bu hesabn ifresi deitirilemiyor olmaldr ve
kullancnn yetkisini artracak hibir gvenlik grubuna ye olmamaldr. IUSR_MakineAd
(ya da anonim eriimde kullanlan her bir hesap) iin Local Users and Groups ek bileeninden
ilgili kullanc seilir ve Propertiesine baklr. General sekmesinde User cannot change
password ve Password never expires ayarlar seilmi olmaldr. Member Of sekmesinden
yesi olduu gruplar incelenir. Guests grubu bulunmamaldr. yesi olduu gruplar
kullancnn yetkisini artrmamaldr.
3.6 erik Dosyalarnn Konumu
erik dosyalar iletim sisteminin bulunduu sabit disk blmesinden farkl bir dizinde
bulunmaldr. erik dosyalar iletim sistemi ile ayn dizinde bulunduunda bir aklk
kullanlarak sistem dosyalarna eriim ihtimali artmaktadr. Ayrca ierik dosyalarnn
bulunduu sabit disk blmelerinin biimi eriim denetimi salayabilmek iin mutlaka NTFS
olmaldr.
-
KURULUM VE KONF GRSAYON GVENL
MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU
TB TAK UEKAE 13
ekil 6 - erik dosyalarnn konumu
Internet Services Manager (ISM) ek bileenindeki her bir web sayfas iin Home Directory
sekmesinden ierik dosyalarnn konumu renilir. erik dosyalar iletim sisteminin kurulu
olduu sabit disk blmesinden farkl olmaldr. Bu disk blmeleri incelenmelidir. Biimi NTFS
olmaldr ve bu sabit disk blmesinde saldrganlarn iine yaramas muhtemel altrlabilir
dosyalar veya betikler bulunmamaldr.
3.7 nternetten Yazclara Eriim Destei
IIS zerinden sunucu zerinde tanml yazclara erimek, ynetmek ve kt almak
mmkndr (IPP: Internet Printing Protocol). Bunun iin kurulum ile gelen rnek uygulama da
vardr. nternetten yazclara eriim yapldnda istek msw3prt.dll dosyasna
ynlendirilmektedir. msw3prt.dll dosyasnda saldrgann istedii kodu altrmasn salayan
bir bellek tamas akl olduu bilinmektedir (KB296576). Yama ile bu aklk kapatlm
olsa bile yeni aklklar kabilir. Herhangi bir yazc tanml olmasa bile bu destein
bulunmas risk tekil etmektedir. Bu yzden kullanlmad takdirde bu destein kaldrlmas
gerekmektedir. [1]
Eer bu destek kullanlyorsa ilgili yama (KB296576) yaplmaldr.
-
MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU
KURULUM VE KONF GRSAYON GVENL
14 TB TAK UEKAE
Destek kullanlmyorsa kaldrmak iin ktkte bu destee yasak getirilmelidir
(HKLM\Software\Policies\Microsoft\WindowsNT\Printers anahtarnn altndaki
DisableWebPrinting deeri 1 yaplmaldr).
3.8 WebDAV Destei
WebDAV (Web Distributed Authoring and Versioning) http protokolnn geniletilmi halidir.
Http protokolnde olmayan silme, yazma, ismini deitirme gibi dosya dzenlemeye ynelik
komutlar iermektedir. WebDAV bir aklk deildir fakat kimlik dorulama ve yetkilendirme
ayarlarnn doru yaplmad durumlarda riski artrmaktadr.
WebDAV hizmetini veren dllde gemite aklklar (CVE-2001-0151, CVE-2001-0508, CVE-
2001-508, CAN-2002-1182, CAN-2003-0226) kmtr. Kullanlma ihtiyac yoksa mutlaka
etkisiz hale getirilmelidir. Etkisiz hale getirmek iin IIS Manager ek bileeninde Web Service
Extension altnda WebDAV yasaklanmaldr.
ekil 7 - WEB Servis extentions mens
3.9 Remote Data Services Destei
Remote Data Services destei istemcinin IIS zerinden veritaban tablolarna erimesini ve
ilem yapmasn salamaktadr. RDSin bir zellik olmakla birlikte doru kimlik dorulama ve
yetkilendirme yaplmadnda nemli bilgiye eriim ve deitirme riskini nemli lde
artrmaktadr ve gemite aklklar (CAN20021142, CVE19991011) kmtr.
-
KURULUM VE KONF GRSAYON GVENL
MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU
TB TAK UEKAE 15
Eer RDS destei kullanlmyorsa HKLM\System\CurrentControlSet\Services\W3SVC\
Parameters anahtar altndaki ADCLaunch deeri silinerek etkisiz hale getirilmelidir. [2]
ekil 8 - RDS desteinin gsterimi
3.10 Kimlik Dorulama
Kimlik dorulamada kullanlan ynteme (anonim eriim, Basic, Digest, Integrated Windows
veya form tabanl) uygun olarak kimlik dorulamada kullanlan kullanc ad ve ifresini
korumaya ynelik gerekli nlemlerin alnm olmas gerekir. Alnmas gereken nlemler:
Basic ve Digest kimlik dorulama yntemleri iin SSL zorunlu olmaldr nk Basic
kimlik dorulama ynteminde ifreler ak gitmektedir ve Digest kimlik dorulama
ynteminde ifrelerin MD5 zeti gnderilmektedir.
Integrated Windows kimlik dorulama etkinse karlkl kimlik dorulama yapan iki
bilgisayarn iletim sistemlerine bal olarak LM, NTLM, NTLMv2 ve Kerberos
kullanlabilmektedir. LM ve NTLM kullanm gvenlik politikalarndan kapatlm
olmaldr nk bu yntemlerde kullanlan zetleme algoritmalar zayftr. (Bunun iin
Local Security Policy ek bileeninde Local Policies>Security Options>Network
Security: LAN Manager Authentication Level seenei Send NTLMv2 response
only\refuse LM & NTLM olmaldr.)
Form tabanl kimlik dorulama var ise SSL zorunlu olmaldr.
-
MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU
KURULUM VE KONF GRSAYON GVENL
16 TB TAK UEKAE
SSL kullanlan durumlarda anahtar uzunluu olarak 128 bit zorunlu olmaldr.
ekil 9 - Yetkilendirme metotlar mens
ekil 10 - SSL gvenli iletiim mens
-
KURULUM VE KONF GRSAYON GVENL
MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU
3.11 IIS Yetkilendirmesi
Sunulan dosyalara eriimi dzenleyen ilk katman IISin yetkilendirme ayarlardr. IIS
zerinden Read, Write, Script Source Access ve Directory Browsing haklar istenilen kaynaa
ayr ayr verilebilmektedir. Write, Script Source Access ve Directory Browsing haklar
gerekmedike verilmemelidir. Write hakk ilgili kaynaa istemcinin yazmasna izin
vermektedir. NTFS haklar da yazmaya izin veriyorsa ilem gerekleir. Script Source Access
hakk sunucu tarafnda alan betiklerinin kodunun istemciye gnderilmesine izin
vermektedir. Kod iinde bulunan balant bilgilerinin (veya dier nemli bilgilerin) ve kodda
bulunan aklklarn renilmesine yol aar. Directory Browsing hakk istemciye bir ierik
dosyasnn deil, ieriin bulunduu dizinin yapsnn gsterilmesine izin verir. stemcinin
grmemesi gereken dosyalara eriimine yol aabilir.
ekil 11 - Web sayfas IIS izinleri
TB TAK UEKAE 17
-
MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU
KURULUM VE KONF GRSAYON GVENL
18 TB TAK UEKAE
3.12 Uygulama altrma Yetkileri
Uygulama altrma yetkileri o uygulama iin altrlabilecek dosya trlerini belirler. Bu
haklar None, Scripts ve Scripts and Executablesdr. None seildiinde hibir altrlabilir
dosya ve betik sunucu zerinde altrlmaz ve istemciye veri dosyas olarak yollanr. Eer
Scripts seili ise betiklerin sunucuda altrlmasna izin verilir. altrlabilir dosyalar veri
dosyas olarak istemciye yollanr. Eer Scripts and Executables seilirse hem betikler hem de
altrlabilir dosyalar sunucuda altrlr. erik dosyalarnn tipine uygun olarak altrma
haklar dzenlenmelidir. Bylece saldrgann bir uygulamada aklk bulmas durumunda bu
akl kullanarak sunucuda bir kod altrmas engellenebilir.
ekil 12 - IIS altrma izinleri
-
KURULUM VE KONF GRSAYON GVENL
MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU
3.13 IP ile Eriimin Kstlanmas
nternetten eriilen sunucular iin nemli bir risk kayna otomatik olarak yaylan virsler,
solucanlar ve bilinen aklklar bilmeden kullanan saldrganlardr. Bu saldrlar genelde bir
sunucuya zel deildir ve IP aralklarnn belli aklklar iin taranmasyla gereklenirler. Eer
sunucuya IP ile eriilmesi engellenirse bu tr tehditlerden otomatik olarak etkisini yitirir. Host
Headerlar http paketlerinin iinde bulunan istemcinin taraycsnn adres ubuuna yazd
(erimek istedii) web sayfasnn adresidir. Host Headerlar kullanlarak bir sunucuda birden
fazla web sayfas yaynlanabilir. stemcilerden gelen istekler istenilen web sayfasna
ynlendirilir. IP ile olan eriimler varsaylan web sayfasna ynlendirilir. Internet Services
Manager ek bileeninde bir sayfann zellikleri penceresinde Web Site sekmesinde Advanced
dmesi ile Advanced Web Site Identification penceresi alr. IP Address olarak Default ve
TCP Port olarak 80 girilmi olan ve hibir Host Header tanmlanmam olan sayfa varsaylan
sayfadr. Asl sayfalara Host Header ile ulalmas iin gerekli ayarlar yaplmal ve varsaylan
sayfa etkisiz hale getirilmelidir. Tuzak sayfa olmamas bir aklk olmasa da riski nemli
lde artrmaktadr.
ekil 13 - IP adresi ve balk tanmlama mens
TB TAK UEKAE 19
-
MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU
KURULUM VE KONF GRSAYON GVENL
20 TB TAK UEKAE
3.14 Balant Says
Balant saysnn snrlandrlmas gerekir. Snrsz sayda balant amaya izin verilmesi ar
ykleme yoluyla servis d brakma saldrlarn kolaylatrr. Balant says sitenin eriim
istatistiklerine gre (rnein anlk maksimum balant saysnn %50 fazlas) snrlanmaldr.
Snrlama yapmak iin her bir sayfa iin sayfann zellikleri alr ve Performance sekmesinde
Web Site Connections ayar yaplr.
ekil 14 - Performans mens
-
KURULUM VE KONF GRSAYON GVENL
MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU
TB TAK UEKAE 21
3.15 ISAPI Uzantlar
ISAPI uzantlar eletirmeleri IISin belli bir dosya tr (dosya uzantsna gre belirlenir)
istendiinde arlacak programn tanmlanmasdr. rnek olarak .asp ISAPI uzants asp.dll
ile ilikilendirilmitir. Bu uzantda bir dosya istendiinde IIS istemciye gsterilecek HTML
sayfasn gsterme iini asp.dll dosyasn devreder. Asp.dllden dnen sayfa kullancya
gnderilir. Kurulumla beraber birok dll yklenmekte ve ISAPI uzants ilikilendirmeleri
yaplmaktadr fakat bunlarn byk ounluu hibir zaman kullanlmamaktadr. Bu
kullanlmayan dlllerden herhangi birinde kan bir aklk sistemi tehdit etmektedir. rnein
Code Red solucan Index Server DLLsindeki (idq.dll) hafza tama akln kullanarak
yaylmtr (KB300972). Bu yzden kullanlmayan ISAPI uzantlar kaldrlmaldr. [3]
ISAPI uzants eletirmelerini kaldrmak iin kaldrlacak sayfann zellikleri alr ve Home
Directory sekmesinde Configuration dmesine baslr. Gelen penceresinin App Mappings
sekmesinde kullanlmayan uzantlar kaldrlmaldr.
ISAPI uzantlar iin ayr ayr http metotlar tanmlanabilmektedir. rnek olarak varsaylan
olarak .asp uzants iin GET, HEAD, DEBUG ve TRACE metotlar tanmldr. Bunlarn
dndaki komutlara cevap verilmemektedir. Bu komutlardan kullanlmayanlar da riski
azaltmak iin kaldrlmaldr. zellikle TRACE komutu gelitirme ortamlarnda faydaldr ama
hizmeti veren sunucuda kullanlmaz. Kaldrmak iin kaldrlacak sayfann zellikleri alr ve
Home Directory sekmesinde Configuration dmesine baslr. Gelen penceresinin App
Mappings sekmesinde ilgili uzant seilir ve ift tklanr. Verbs blmndeki metotlardan
gereksiz olanlar silinir.
-
MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU
KURULUM VE KONF GRSAYON GVENL
22 TB TAK UEKAE
ekil 15 - ISAPI uzantlar mens
3.16 ISAPI Szgeleri
ISAPI szgeleri IISe gelen verileri ileyen ve IISe gnderen programlardr. rnein
paketlerin SSL ile ifrelenmesi ya da MD5 zetlerinin karlmas ISAPI szgelerinin
grevidir. ISAPI uzantlarnda olduu gibi saldr yzeyini geniletirler. Eer
kullanlmyorlarsa kaldrlmaldrlar. Bu programlar IIS ile ayn hafza alannda alrlar ve
olabilecek bir saldrda web hizmetinin durmas ya da saldrgann IISin alma haklar ile
(genellikle SYSTEM) sisteme girmesine yol aabilirler.
ISAPI szgelerini kaldrmak iin Internet Services Manager ek bileeninde sunucunun
zellikleri alr ve Master Properties alannda WWW Service seiliyken Edit dmesine
baslr. ISAPI Filters sekmesinde ncelik srasyla szgeler bulunmaktadr. md5filt, Digest
kimlik dorulamasnda kullanlr. fpexedll.dll ise Frontpage Extensions iin kullanlmaktadr.
Gvenlikle ilgili bir ISAPI szgeci URLSCANdir. Bu szge normalde kurulu deildir.
Sunucuya gelen istekleri yaplandrma dosyasndaki kurlarla gre inceler ve izin verilmeyen bir
istekleri IISe vermeden drr. Bylece birok saldr daha IISe gelemden engellenmi olur.
URLSCAN arac IISLockDown aracnn bir parasdr. Kurulmaldr ve sayfaya zg
yaplandrmas yaplmaldr. [4]
-
KURULUM VE KONF GRSAYON GVENL
MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU
TB TAK UEKAE 23
ekil 16 - ISAPI szgeleri mens
3.17 Kayt Tutma
nemli varlklar zerindeki olaylar ile baarsz her trl olayn kaydnn tutulmas nemlidir.
Kayt tutulmas bir olay durumunda iz takibi yaplmasna olanak verir. Kayt tutmak iin
NTFSin kayt mekanizmalar ile IISin kayt mekanizmalar beraber kullanlmaldr.
erik dosyalarnn tm iin NTFS kayt tutma etkin hale getirilmelidir. En azndan baarsz
btn eriimlerin ve baarl yazma, izin deitirme ve sahipliini alma ilemlerinin kaydnn
tutulmals gereklidir. Bu kaytlar Security kaytlarna dmektedir.
-
MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU
KURULUM VE KONF GRSAYON GVENL
24 TB TAK UEKAE
ekil 17 - Kayt dosyalar denetleme ayarlar
SSL kaytlarnn dmesi iin HKLM\System\CurrentControlSet\Control\SecurityProviders
\SChannel\EventLogging deeri en az 3 (tavsiye edilen) olmaldr.
IIS kayt tutma mekanizmas ak olmaldr. Bunun iin Internet Services Manager ek
bileeninde sunucunun zellikleri alr ve Master Properties alannda WWW Service
seiliyken Edit dmesine baslr. Web Site sekmesinin altnda Enable Logging seilmi
olmaldr. Properties dmesine baslarak gelen pencerede kaytlarn ne sklkla alnaca,
nelerin kaydnn tutulaca ve kayt dosyalarnn nerede olaca ayarlanmaldr. Kaytlar
varsaylan konumda olmamaldr (%SystemRoot%\system32\LogFiles). Kayt dosyalarnn
kendileri zerinde de NTFS denetlemesi ak olmaldr. En azndan baarsz eriimler
denetlenmelidir.
-
KURULUM VE KONF GRSAYON GVENL
MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU
TB TAK UEKAE 25
ekil 18 - Kayt format ayar
ekil 19 - Kayt yeri ayar
-
MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU
KURULUM VE KONF GRSAYON GVENL
26 TB TAK UEKAE
ekil 20 - Kayt detay ayarlar
3.18 Uygulama Havuzlar
Uygulama havuzlar uygulamalarn alt hafza alann belirler. Btn uygumlalar mutlaka
bir havuzun iinde alrlar. Ayn havuzda alan farkl uygulamalar birbirlerini
etkileyeceklerinden kritik uygulamalar iin ayr havuz oluturulmaldr. Uygulama havuzunu
belirlemek iin Internet Information Services Manager ek bileeninde ilgili uygulamann
zellikleri penceresinde Home Directory sekmesinde Application Pooldan bir havuz seilir.
Olas havuzlara ek bileendeki Application Pools blmnden eriilebilir ve havuzun alt
kullanc kimlii ve dier seenekler ayarlanabilir.
-
KURULUM VE KONF GRSAYON GVENL
MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU
3.19 Ana Dizin Destei
Ana dizin destei sunucu tarafnda alan dinamik kodlarnn iinde .. kullanlmasna izin
verir. Bu destek baz sayfalarn erimemesi gereken dosyalara (kendi dizinlerinin stndeki
dizinler) eriimi sonucunu dourabilmektedir. Ana dizin destei dier aklklar ile beraber
kullanlabilmektedir. Destei kaldrlmak iin Internet Information Sevices Manager ek
bileeninde Web Sitesn zellikleri alr. Home Directory sekmesindeki Configuration
dmesine baslr ve gelen penceredeki Options sekmesinde Enable Parent Paths seenei
etkisiz klnr.
ekil 21 - Ana dizin destei mensne ulam
TB TAK UEKAE 27
-
MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU
KURULUM VE KONF GRSAYON GVENL
28 TB TAK UEKAE
ekil 22 - Ana dizin destei ayar
Ana dizin desteinin kaldrlmas baz dinamik sayfalarda hatalara neden olacaktr. Kodlarn
yeniden yazlmas gerekmektedir.
4. DESTEKLEYC GVENLK AYARLARI
4.1 WWW Publishing Hizmetinin Hatadan Kurtarma Ayarlar
WWW Publishing hizmetinin hatadan kurtarma ayar yaplm olmaldr. rnein ilk iki hatada
hizmetin batan balatlmas ve nc hatada ise sunucunun batan balatlmas uygundur.
Sistem yneticisine de bu arada e-posta ile haber verilebilir. Bu ayarn yaplmam olmas bir
aklk olmamakla birlikte yaplmas sistem srekliliini artracaktr.
Bir hizmetin hatadan kurtarma ayar Services ek bileeninde ilgili servisin zellikleri
penceresinde Recovery sekmesinde First Failure, Second Failure ve Subsequent Failures
seeneklerinden yaplr.
-
DESTEKLEY C GVENL K AYARLARI MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU
TB TAK UEKAE 29
ekil 23 - WWW publishing hizmeti hatadan kurtarma ayar
4.2 Endeksleme Hizmeti
Indexing hizmeti dinamik sayfalarn kodlar da dhil olmak zere bilgiyi darya
szdrmaktadr. Add / Remove Programs kullanlarak Indexing Service sistemden
kaldrlmaldr. Eer sayfada arama yaptrmak isteniyorsa baka bir yazlm kullanlmaldr.
-
MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU DESTEKLEY C GVENL K AYARLARI
30 TB TAK UEKAE
ekil 24 - Endeksleme hizmeti ayar
4.3 Hassas Balant Bilgileri
Uygulamalar ou zaman veritabanlarna (ya da baka bir sunucuya) balanrlar. Bu balantlar
iin kullanlan kullanc ad ve ifresi hassas bilgidir. Bu bilgiler kodun iinde, global.asa(x)
dosyasnda, .inc dosyalarnda, web.config dosyalarnda, .udl dosyalarnda ya da uygulamaya
zel herhangi bir dosyada tutuluyor olabilir. ncelikle balant bilgileri kodun iinde
bulunmamaldr. Bulunduu dosyann NTFS eriim denetim listelerinde sadece bilgiyi okuyan
uygulama kullancsna (IWAM, SYSTEM) okuma hakk verilmelidir. Bylece bu hassas
bilgilere http dndaki yntemlerle ((salt okunur) paylam almas, sunucuya etkileimli
olarak giri yaplmas vs.) eriilmesinin nne geilmi olur.
Prensip olarak bu dosyalarn ad tahmin edilecek biimde (rnein conn.inc,
connection_string.txt, connection.asp vs.) olmamaldr.
-
DESTEKLEY C GVENL K AYARLARI MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU
TB TAK UEKAE 31
4.4 lgili Yazlmlar
4.4.1 IIS LockDown
Gereksiz servislerin kapatlmasn,
Kullanlmayan dosya balantlarnn koparlmasn,
rnek betiklerin ve bulunduklar dizinlerin balantlarnn koparlmasn,
Kritik dosya paylam izinlerinin ayarlanmasn,
WebDAV eriim izinlerinin dzenlenmesini salar.
4.4.2 URLScan
Bu yazlm sayesinde sunucuya gelen http istekleri zerinde belli kriterlere gre kstlamalar
yaplmas salanr. Bu ilem baz zararl isteklerin sunucuya erimeden engellenerek gvenlik
seviyesini arttrmaktadr. [5]
4.4.3 IIS Diagnostics Toolkit
alan sistem hakknda sorun giderme ve iyiletirme gibi amalar iin kullanlan aralardr.
Gvenlik: Yetkilendirme, SSL Konfigurasyonu, Sertifikalar
Debugging: lem asmalar, Hafza tamalar
Email: DNS konfigrasyon hatalar, SMTP nakil problemleri
HTTP Request & Responses
Log parsing: Site kayt dosyalar, HTTP hata kaytlar, Olay Gnl eriimleri
4.4.4 IIS 6.0 Resource Kit Tools
Resource Kit iersindeki yazlmlar IIS Sunucusunun gvenli hale getirilmesinde, ynetiminde
ve bakmnda yardmc olmaktadrlar. Bu aralar kayt dosyalarnda aramalar yapmak, SSL
sertifikalar yklemek, sayfaya gre yetkilendirme, izinlerin kontrol, problem giderme,
sunucu ieriinin baka sunucuya aktarlmas, stres testleri yapmak gibi ilemlere olanak
salar.
-
MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU KAYNAKA
32 TB TAK UEKAE
KAYNAKA
[1 ] The TechCENTER
http://www.iis.net/default.aspx?tabid=2
[2 ] Web Checklist IIS Version 6 Release 1.7 http://iase.disa.mil/stigs/checklist/index.html
[3 ] IIS 6.0 Security http://www.securityfocus.com/infocus/1765
[4 ] Security in IIS 6.0 http://www.microsoft.com/windowsserver2003/iis/default.mspx
[5 ] National Checklist Program - Checklist Summary #98: Web IIS Checklist http://nvd.nist.gov/chklst_detail.cfm?config_id=98
http://www.iis.net/default.aspx?tabid=2http://iase.disa.mil/stigs/checklist/index.htmlhttp://www.securityfocus.com/infocus/1765http://www.microsoft.com/windowsserver2003/iis/default.mspxhttp://nvd.nist.gov/chklst_detail.cfm?config_id=981. GR1.1 Ama ve Kapsam1.2 Hedeflenen Kitle1.3 Ksaltmalar2. GENEL GVENLK 2.1 Sunucu Fiziksel Gvenlii2.2 Windows letim Sistemi Gvenlii2.3 Topoloji Gvenlii ve Etki Alan yelii2.4 A Kartlar Hizmet Balanmlar2.5 Dier Sunucularla letiim3. KURULUM VE KONFGRASYON GVENL3.1 lgili IIS Servislerin Seimi 3.2 Kurulumla Gelen Tehlikeli Dosyalar3.3 NTFS Yetkilendirme3.4 Metabase Ayarlar3.5 IUSR_MakineAd Kullanc Ayarlar3.6 erik Dosyalarnn Konumu 3.7 nternetten Yazclara Eriim Destei3.8 WebDAV Destei3.9 Remote Data Services Destei3.10 Kimlik Dorulama3.11 IIS Yetkilendirmesi3.12 Uygulama altrma Yetkileri3.13 IP ile Eriimin Kstlanmas 3.14 Balant Says3.15 ISAPI Uzantlar3.16 ISAPI Szgeleri3.17 Kayt Tutma3.18 Uygulama Havuzlar3.19 Ana Dizin Destei4. DESTEKLEYC GVENLK AYARLARI4.1 WWW Publishing Hizmetinin Hatadan Kurtarma Ayarlar4.2 Endeksleme Hizmeti 4.3 Hassas Balant Bilgileri4.4 lgili Yazlmlar 4.4.1 IIS LockDown 4.4.2 URLScan4.4.3 IIS Diagnostics Toolkit 4.4.4 IIS 6.0 Resource Kit Tools