8نکته ایمن سازی در زمان نصب IIS
در صورتی که شما نصب IIS خود را به پایان رسانیده اید حتما انتطار دارید که برنامه شما با وجود تنظیمات پیش فرض IIS بدون مشکل و بدون هیچ ریسکی قابل دسترس باشد. در این مقاله به 8 نکته مهم امنیتی در خصوص تنظیمات امنیتی IIS اشاره خواهد شد.
انتقال دایرکتوری Inetpub به درایو دیگر
دایرکتوری Inetpub بصورت پیش فرض در مسیر مشخصی قرار می گیرد که برای نگهداری محتوای وب، لاگ IIS و غیره مورد استفاده قرار می گیرد. بصورت پیش فرض IIS 7 و همچنین سایر IIS ها، این دایرکتوری را در "سیستم درایو" قرار می دهند که بهتر است محتوای وب نرم افزار های خود را از سیستم عاملیاتی جدا نمایید.
نصب صحیح ماژول های IIS
IIS شامل بیش از 30 ماژول می باشد. شما تنها می بایستی آنهایی را که نرم افزار هایتان احتیاج دارند نصب نمایید و از نصب دیگر ماژول ها پرهیز کنید که این امر موجب کاهش حملات بلقوه هکر ها خواهد شد. بصورت دوره ای ماژول های IIS خود را بازبینی نموده و مواردی را که دیگر احتیاج ندارید حذف کنید. شما می توانید از IIS Manager به منظور رویت تمامی ماژول های فعال خود استفاده کنید.
غیر فعال نمودن متد OPTION
متد OPTION امکان لیست تمامی متد های قابل اجرا توسط IIS را فراهم می کند. اگرچه به نظر سودمند می آید اما اطلاعات مناسبی را نیز در اختیار هکر قرار می دهد. به همین منظور پیشنهاد می گردد این متد را در IIS غیر فعال نمایید. شما می توانید غیر فعال سازی متد را با انکار کردن (deny verb) آن در HTTP Verb request filtering rules انجام دهید.
فعال سازی محدودیتها در IP پویا
ماژول Dynamic IP Restriction به شما در بلاک نمودن دسترسی IP هایی که از تعداد درخواست تنطیم شده عبور کرده اند و بیش از میزان عرف در زمانی مشخص درخواست به سرور ارسال نموده اند کمک کند و همجنین از یکی از حمله های Denial Of Servise - DoS جلوگیری کند.
بسته به نسخه IIS می بایستی IP Security یا IP and Domain Restriction را نیز فعال نمایید که در شکل زیر نشان داده شده است.
فعال سازی و پیکربندی Request Filtering Rules
ایده خوبی است که انواع درخواست های HTTP را محدود نمایید. پیکربندی IIS در جهت خارج نمودن و تبیین قوانین در درخواست های HTTP می تواند از حملات بلقوه هکر ها جلوگیری نماید. برای مثال درج قانونی در جهت بلاک نمودن درخواست هایی با محتوای SQL در جهت جلوگیری از SQL Injection. در شکل زیر، درخواست های SQLی که به صفحات asp و aspx ارسال می گردند بلاک می شود.
شما همچنین می توانید قوانین مبنی بر high-bit character و یا double escape character در IIS خود تنظیم نمایید.
فعال سازی Logging
تنظیم IIS Logging امکان لاگ نمودن درخواست های HTTP که به سرور ارسال می شود را به شما می دهد. مطمئنا زمانی که سرور با مشکلی برخورد نماید، Log های گرفته شده کمک بسیاری در حل مشکل خواهد نمود. لاگ های سرور می تواند بصورت دوره ای و یا روزانه در جهت افزایش کارایی سرور و بهینه سازی آن مورد بازبینی قرار گیرد. شما می توانید از ابزار Log Parser محصول مایکروسافت نیز در جهت فراخوانی اطلاعاتی خاص از فایل لاگ استفاده نمایید.
استفاده از ویزارد SCW و همچنین SCM
هر دو ابزار Security Configuration Wizard و Security Compliance Manager به منظور تست امنیت وب سرور مورد استفاده قرار می گیرند. SCW پس از پایان بررسی وب سرور در صورت وجود آسیب پذیری، راهنمای مربوطه را برای افزایش ایمنی در اختیار قرار می دهد. SCM از طرف دیگر پس از تست وب سرور، پیکربندی وب سرور شما را با الگو های از پیش تعریف شده مقایسه نموده و پیشنهادات امنیتی مرتبط را در اختیار شما قرار میدهد.
بروز رسانی ها
در نهایت، مطمئن شوید که patch های امنیتی شما بروز بوده زیرا که بیشترین هک های صورت پذیرفته توسط هکر ها به دلیل عدم وجود آخرین patch های امنیتی در وب سرور رخ داده است.
