UEKAE BGT-1005 Web Sunucu (IIS 6.0) Güvenliği Kılavuzu.pdf

Test1234

ULUSAL ELEKTRONK VE KRPTOLOJ

ARATIRMA ENSTTS

Dokman Kodu: BGT-1005

MICROSOFT WEB SUNUCU

(IIS 6.0) GVENL

KILAVUZU

SRM 1.00

5 KASIM 2007

Hazrlayan: nal PEREND

P.K. 74, Gebze, 41470 Kocaeli, TRKYE Tel: (0262) 648 1000

Faks: (0262) 648 1100 http://www.bilgiguvenligi.gov.tr [email protected]

MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU NSZ

2 TB TAK UEKAE

NSZ

Ulusal Elektronik ve Kriptoloji Aratrma Enstits (UEKAE)'nn misyonu, "bilgi

gvenlii, haberleme ve ileri elektronik alanlarnda Trkiye'nin teknolojik

bamszln salamak ve srdrmek iin nitelikli insan gc ve uluslararas

dzeyde kabul grm altyaps ile bilimsel ve teknolojik zmler retmek ve

uygulamaktr". Bu ana hedef gz nnde bulundurularak belirlenen "bilgi

gvenlii, haberleme ve ileri elektronik alanlarnda yeni teknolojilerin

gelitirilmesine nclk eden uluslararas bilim, teknoloji ve retim merkezi

olmak" vizyonuna ulalabilmesi ve lkenin ihtiyac olan teknolojilerin

gelitirilmesi iin Enstit'nn akredite test ortam ve laboratuarlarnda temel ve

uygulamal aratrmalar yaplmakta ve ihtiya sahiplerine teknik destek

salanmaktadr.

Bu dokman Ulusal Bilgi Sistemleri Gvenlik Projesi kapsamnda hazrlanm

olup ihtiya sahiplerini bilgi sistemleri gvenlii konusunda bilinlendirmeyi

hedeflemektedir. Tm kurum ve kurulular bu dokmandan faydalanabilir.

Bu dokmanda bahsi geen belirli ticari marka isimleri kendi

zgn sahiplerine aittir. Burada anlatlanlar tamamen tavsiye

niteliinde olup deiik rnler/yaplandrmalar iin farkllk

gsterebilir. UEKAE, yaplan uygulamalardan doabilecek

zararlardan sorumlu deildir. Bu dokman UEKAEnin izni

olmadan deitirilemez.

B LG LEND RME MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU

TB TAK UEKAE 3

BLGLENDRME

Bu dokmann oluturulmasnda emei geen A Gvenlii personeline ve dokman gzden

geirip fikirlerini ne srerek dokmann olgunlamasna katkda bulunan Doan

ESKYRKe teekkr bor biliriz.

MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU NDEK LER

4 TB TAK UEKAE

NDEKLER

1. GR .................................................................................................................................................... 6

1.1 Ama ve Kapsam.................................................................................................................6

1.2 Hedeflenen Kitle..................................................................................................................6

1.3 Ksaltmalar...........................................................................................................................6

2. GENEL GVENLIK ........................................................................................................................... 7

2.1 Sunucu Fiziksel Gvenlii...................................................................................................7

2.2 Windows letim Sistemi Gvenlii....................................................................................7

2.3 Topoloji Gvenlii ve Etki Alan yelii ...........................................................................7

2.4 A Kartlar Hizmet Balanmlar ........................................................................................8

2.5 Dier Sunucularla letiim...................................................................................................9

3. KURULUM VE KONFIGRASYON GVENLII ..................................................................... 10

3.1 lgili IIS Servislerin Seimi ...............................................................................................10

3.2 Kurulumla Gelen Tehlikeli Dosyalar.................................................................................11

3.3 NTFS Yetkilendirme .........................................................................................................11

3.4 Metabase Ayarlar..............................................................................................................12

3.5 IUSR_MakineAd Kullanc Ayarlar................................................................................12

3.6 erik Dosyalarnn Konumu .............................................................................................12

3.7 nternetten Yazclara Eriim Destei................................................................................13

3.8 WebDAV Destei ..............................................................................................................14

3.9 Remote Data Services Destei...........................................................................................14

3.10 Kimlik Dorulama...........................................................................................................15

3.11 IIS Yetkilendirmesi..........................................................................................................17

3.12 Uygulama altrma Yetkileri........................................................................................18

3.13 IP ile Eriimin Kstlanmas.............................................................................................19

3.14 Balant Says .................................................................................................................20

3.15 ISAPI Uzantlar ..............................................................................................................21

NDEK LER MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU

TB TAK UEKAE 5

3.16 ISAPI Szgeleri .............................................................................................................22

3.17 Kayt Tutma .....................................................................................................................23

3.18 Uygulama Havuzlar ........................................................................................................26

3.19 Ana Dizin Destei............................................................................................................27

4. DESTEKLEYICI GVENLIK AYARLARI .................................................................................. 28

4.1 WWW Publishing Hizmetinin Hatadan Kurtarma Ayarlar ..............................................28

4.2 Endeksleme Hizmeti..........................................................................................................29

4.3 Hassas Balant Bilgileri ...................................................................................................30

4.4 lgili Yazlmlar .................................................................................................................31

4.4.1 IIS LockDown.............................................................................................................31

4.4.2 URLScan.....................................................................................................................31

4.4.3 IIS Diagnostics Toolkit ...............................................................................................31

4.4.4 IIS 6.0 Resource Kit Tools .........................................................................................31

MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU GENEL GVENL K

6 TB TAK UEKAE

1. GR

Bu dokman Internet Information Services 6.0 (IIS 6.0) servisi ile sunulan web sunucularnn

gvenlii konusundadr.

1.1 Ama ve Kapsam

Bu dokman sayesinde IIS 6.0 kullanlan sistemlerde web servisinin gvenli kurulum,

yaplandrma ve bakmn salayacak bilgiler anlatlmtr. Genel Gvenlik, Kurulum ve

Konfigrasyon Gvenlii ve Destekleyici Gvenlik Ayarlar olarak ana balk altnda konu

incelenmitir.

1.2 Hedeflenen Kitle

Dokman ierii web gvenlii ile ilgilenen herkese yardmc olabilecek bilgiler iermektedir.

1.3 Ksaltmalar

UEKAE : Ulusal Elektronik ve Kriptoloji Aratrma Enstits

DNS : Domain Name Service

IIS : Internet Information Service

WEBDAV : Web Distributed Authoring and Versioning

ASP : Active Server Pages

WWW : World Wide Web

DMZ : Demilitarized Zone

IP : Internet Protocol

IPSEC : Internet Protocol Security

AH : Authentication Header

MMC : Microsoft Management Console

NTFS : New Technology File System

SSL : Secure Socket Layer

IWAM : Internet Server Web Application Manager

SMTP : Simple Mail Transfer Protocol

GENEL GVENL K MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU

TB TAK UEKAE 7

HTTP : Hypertext Transfer Protocol

FTP : File Transfer Protocol

NNTP : Net News Transfer Protocol

ISM : Internet System Manager

LM/NTLM : LAN Manager/ Windows NT LAN Manager

2. GENEL GVENLK

2.1 Sunucu Fiziksel Gvenlii

Gerekli fiziksel ve evresel gvenliin salanm olmas gerekmektedir. Sunucunun bulunduu

odaya giriler nceden belirlenmi yetkilendirme kurallarna gre yaplmal ve bunlarn

kaytlarnn tutulmas gerekmektedir. Sunucunun almasn olumsuz etkileyecek evresel

faktrlerin (scaklk, toz, nem, elektrik kesintileri) istenilen seviyelerde kalmas salanmaldr.

2.2 Windows letim Sistemi Gvenlii

Web servisinin kurulu olduu iletim sisteminin sklatrmalarnn yaplm olmas

gerekmektedir.

2.3 Topoloji Gvenlii ve Etki Alan yelii

Web sunucular en ok saldrya maruz kalan sunuculardr. Web sunucunun topolojideki yeri ve

etki alan yelii nemle deerlendirilmelidir. zel bir sebep dnda, internete hizmet veren ve

zerindeki kritik veritaban bilgisi olmayan web sunucularn DMZ blgesinde yer almalar ve

etki alanna ye olmamalar gerekmektedir. ada bulunan sunucular ise eer gerekli ise etki

alanna alnmaldr. Etki alan yesi bir sunucunun ele geirilmesi saldrgann dier sunuculara

sramasn kolaylatracaktr.

Gvensiz A

Guvenlik DuvarWeb Sunucu

Kullanc

ekil 1 adaki web sunucu topolojisi


8 TB TAK UEKAE

Gvensiz A

Guvenlik Duvar

Web Sunucu

KullancDirectory server

ekil 2 - nternet hizmeti veren web sunucu topolojisi

2.4 A Kartlar Hizmet Balanmlar

Bir a hizmeti balanm kaldrlamasa bile bir a kart iin etkisiz hale getirilebilir. ou

zaman a hizmetleri kendisine baml olan baka hizmetler kullanld iin

kaldrlamamaktadr. Bu durumda hizmetin durmas ama belli bir a kart iin etkisiz olmas

iin ilgili a kartnn zellikleri penceresinde gereksiz hizmetler etkisiz hale getirilmelidir.

zellikle nternetten eriim olan ve etki alanna ye olmayan sunucularda ilgili a kartnda

Client for Microsoft Networks ve File and Printer Sharing for Microsoft Networks hizmetleri

etkisiz olmaldr.

GENEL GVENL K MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU

TB TAK UEKAE 9

ekil 3 - A kartlar hizmet balanmlar mens

2.5 Dier Sunucularla letiim

Sunucu nemli bilgi alverii yapt dier sunucularn kimliklerini doruluyor olmaldr.

rnein veritabanna bilgi yollayan bir web sunucu kardaki sunucunun gerek sunucu

olduundan emin olmazsa IP spoofing saldrsna maruz kalabilir. Bu durumda web sunucu

aracl ile yanl bilgiler yollanabilir ya da ele geirilmemesi gereken bilgiler elde edilebilir.

Kimlik dorulama iin Kerberos, IPSEC AH ya da baka bir mekanizma kullanlabilir.

IPSECin etkin olup olmadn tespit etmek iin ipsecmon.exe program kullanlabilir ve

MMC aracl ile IPSec filtrelerinin etkin olup olmad tespit edilebilir.


10 TB TAK UEKAE

ekil 4 - IPSEC politikalar mens

3. KURULUM VE KONFGRASYON GVENL

3.1 lgili IIS Servislerin Seimi

IIS kurulumu yaplrken IIS kurma amacna gre sadece gerekli hizmetler seilerek kurulum

yaplmaldr. IIS hizmetleri aadaki gibidir:

World Wide Web (WWW) Servisi: Web Sayfalarnn sunulmasn salar.

File Transfer Protokol (FTP) : Dosya transferi yapmaya yarar.

Simple Mail Transfer Protocol (SMTP): Mail al-verii yapmay salar.

Network News Transfer Protocol (NNTP) : USENET bata olmak zere haber sunucularndan

mesaj almaya ve gndermeye yarar.

KURULUM VE KONF GRSAYON GVENL

MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU

TB TAK UEKAE 11

ekil 5 - IIS manager ana mens

3.2 Kurulumla Gelen Tehlikeli Dosyalar

IISin kurulumu ile gelen bir takm tehlikeli dosyalar vardr. Bu dosyalar saldr yzeyinin

artmasna neden olmaktadr. Kurulumdan sonra silinmeleri veya eriimlerinin engellenmeleri

salanmaldr. Ayrca web sunucuda yazlm gelitirme takmlar da olmamaldr.

Tehlikeli dosyalar unlardr:

C:\Inetpub\iissamples

C:\Inetpub\AdminScripts

%SystemRoot%\help\iishelp

%SystemRoot%\web\printers

3.3 NTFS Yetkilendirme

Sunulan dosyalarn NTFS eriim denetim listeleri dosyaya eriimi dzenleyen nihai

mekanizmadr. IIS aracl ile gelen istekler kullanlan kimlik dorulama yntemine gre (ya

kullancnn kendi hesab ile (Integrated Windows Authentication) ya da IUSR kullancs ile

(anonim eriim)) belli bir Windows hesab ile dosya kaynaklara eriir. erik dosyalarnn

eriim denetim listeleri kullancya gerektiinden daha fazla bir yetki vermeyecek ekilde

ayarlanm olmaldr. rnein Everyone:Allow:Full Control hibir ekilde olmamas gereken

bir haktr. Ekstra bir nlem olarak IUSR kullancsna (veya bu ve benzeri anonim kullanclar

barndran bir gvenlik grubuna) yazma iin Deny verilebilir.



12 TB TAK UEKAE

erik dosyalarnn tamam iin NTFS eriim denetim listeleri gzden geirilmeli ve

kullanclara mmkn olan en az haklar verilmelidir.

3.4 Metabase Ayarlar

Metabase IISin yaplandrma ayarlarnn tutulduu veritabandr.

(%SystemRoot%\System32\inetsrv\MetaBase.xml ve

%SystemRoot%\System32\inetsrv\MBSchema.xml. Ayrca ayn dizin altnda Metaback ve

History dizinleri altnda yedekleri ve gemii tutulmaktadr) Bu dosyalarn fiziksel gvenlii

nemlidir. Metabase ile ilgili alnmas gereken nlemler:

Dosyann ve Metaback dizininin NTFS eriim denetim listeleri sadece Administrator ve

SYSTEM eriebilecek ekilde olmaldr.

Sistemde mevcutsa metaedit.exe, metautil.dll ve iissync.exe (cluster olmamas

durumunda) dosyalar kaldrlmaldr.

3.5 IUSR_MakineAd Kullanc Ayarlar

IUSR_MakineAd hesab kimlik bilgisi salamayan istemcilerin IIS tarafnda

ilikilendirildikleri kullanc hesabdr. Bu hesabn ifresi deitirilemiyor olmaldr ve

kullancnn yetkisini artracak hibir gvenlik grubuna ye olmamaldr. IUSR_MakineAd

(ya da anonim eriimde kullanlan her bir hesap) iin Local Users and Groups ek bileeninden

ilgili kullanc seilir ve Propertiesine baklr. General sekmesinde User cannot change

password ve Password never expires ayarlar seilmi olmaldr. Member Of sekmesinden

yesi olduu gruplar incelenir. Guests grubu bulunmamaldr. yesi olduu gruplar

kullancnn yetkisini artrmamaldr.

3.6 erik Dosyalarnn Konumu

erik dosyalar iletim sisteminin bulunduu sabit disk blmesinden farkl bir dizinde

bulunmaldr. erik dosyalar iletim sistemi ile ayn dizinde bulunduunda bir aklk

kullanlarak sistem dosyalarna eriim ihtimali artmaktadr. Ayrca ierik dosyalarnn

bulunduu sabit disk blmelerinin biimi eriim denetimi salayabilmek iin mutlaka NTFS

olmaldr.



TB TAK UEKAE 13

ekil 6 - erik dosyalarnn konumu

Internet Services Manager (ISM) ek bileenindeki her bir web sayfas iin Home Directory

sekmesinden ierik dosyalarnn konumu renilir. erik dosyalar iletim sisteminin kurulu

olduu sabit disk blmesinden farkl olmaldr. Bu disk blmeleri incelenmelidir. Biimi NTFS

olmaldr ve bu sabit disk blmesinde saldrganlarn iine yaramas muhtemel altrlabilir

dosyalar veya betikler bulunmamaldr.

3.7 nternetten Yazclara Eriim Destei

IIS zerinden sunucu zerinde tanml yazclara erimek, ynetmek ve kt almak

mmkndr (IPP: Internet Printing Protocol). Bunun iin kurulum ile gelen rnek uygulama da

vardr. nternetten yazclara eriim yapldnda istek msw3prt.dll dosyasna

ynlendirilmektedir. msw3prt.dll dosyasnda saldrgann istedii kodu altrmasn salayan

bir bellek tamas akl olduu bilinmektedir (KB296576). Yama ile bu aklk kapatlm

olsa bile yeni aklklar kabilir. Herhangi bir yazc tanml olmasa bile bu destein

bulunmas risk tekil etmektedir. Bu yzden kullanlmad takdirde bu destein kaldrlmas

gerekmektedir. [1]

Eer bu destek kullanlyorsa ilgili yama (KB296576) yaplmaldr.



14 TB TAK UEKAE

Destek kullanlmyorsa kaldrmak iin ktkte bu destee yasak getirilmelidir

(HKLM\Software\Policies\Microsoft\WindowsNT\Printers anahtarnn altndaki

DisableWebPrinting deeri 1 yaplmaldr).

3.8 WebDAV Destei

WebDAV (Web Distributed Authoring and Versioning) http protokolnn geniletilmi halidir.

Http protokolnde olmayan silme, yazma, ismini deitirme gibi dosya dzenlemeye ynelik

komutlar iermektedir. WebDAV bir aklk deildir fakat kimlik dorulama ve yetkilendirme

ayarlarnn doru yaplmad durumlarda riski artrmaktadr.

WebDAV hizmetini veren dllde gemite aklklar (CVE-2001-0151, CVE-2001-0508, CVE-

2001-508, CAN-2002-1182, CAN-2003-0226) kmtr. Kullanlma ihtiyac yoksa mutlaka

etkisiz hale getirilmelidir. Etkisiz hale getirmek iin IIS Manager ek bileeninde Web Service

Extension altnda WebDAV yasaklanmaldr.

ekil 7 - WEB Servis extentions mens

3.9 Remote Data Services Destei

Remote Data Services destei istemcinin IIS zerinden veritaban tablolarna erimesini ve

ilem yapmasn salamaktadr. RDSin bir zellik olmakla birlikte doru kimlik dorulama ve

yetkilendirme yaplmadnda nemli bilgiye eriim ve deitirme riskini nemli lde

artrmaktadr ve gemite aklklar (CAN20021142, CVE19991011) kmtr.



TB TAK UEKAE 15

Eer RDS destei kullanlmyorsa HKLM\System\CurrentControlSet\Services\W3SVC\

Parameters anahtar altndaki ADCLaunch deeri silinerek etkisiz hale getirilmelidir. [2]

ekil 8 - RDS desteinin gsterimi

3.10 Kimlik Dorulama

Kimlik dorulamada kullanlan ynteme (anonim eriim, Basic, Digest, Integrated Windows

veya form tabanl) uygun olarak kimlik dorulamada kullanlan kullanc ad ve ifresini

korumaya ynelik gerekli nlemlerin alnm olmas gerekir. Alnmas gereken nlemler:

Basic ve Digest kimlik dorulama yntemleri iin SSL zorunlu olmaldr nk Basic

kimlik dorulama ynteminde ifreler ak gitmektedir ve Digest kimlik dorulama

ynteminde ifrelerin MD5 zeti gnderilmektedir.

Integrated Windows kimlik dorulama etkinse karlkl kimlik dorulama yapan iki

bilgisayarn iletim sistemlerine bal olarak LM, NTLM, NTLMv2 ve Kerberos

kullanlabilmektedir. LM ve NTLM kullanm gvenlik politikalarndan kapatlm

olmaldr nk bu yntemlerde kullanlan zetleme algoritmalar zayftr. (Bunun iin

Local Security Policy ek bileeninde Local Policies>Security Options>Network

Security: LAN Manager Authentication Level seenei Send NTLMv2 response

only\refuse LM & NTLM olmaldr.)

Form tabanl kimlik dorulama var ise SSL zorunlu olmaldr.



16 TB TAK UEKAE

SSL kullanlan durumlarda anahtar uzunluu olarak 128 bit zorunlu olmaldr.

ekil 9 - Yetkilendirme metotlar mens

ekil 10 - SSL gvenli iletiim mens



3.11 IIS Yetkilendirmesi

Sunulan dosyalara eriimi dzenleyen ilk katman IISin yetkilendirme ayarlardr. IIS

zerinden Read, Write, Script Source Access ve Directory Browsing haklar istenilen kaynaa

ayr ayr verilebilmektedir. Write, Script Source Access ve Directory Browsing haklar

gerekmedike verilmemelidir. Write hakk ilgili kaynaa istemcinin yazmasna izin

vermektedir. NTFS haklar da yazmaya izin veriyorsa ilem gerekleir. Script Source Access

hakk sunucu tarafnda alan betiklerinin kodunun istemciye gnderilmesine izin

vermektedir. Kod iinde bulunan balant bilgilerinin (veya dier nemli bilgilerin) ve kodda

bulunan aklklarn renilmesine yol aar. Directory Browsing hakk istemciye bir ierik

dosyasnn deil, ieriin bulunduu dizinin yapsnn gsterilmesine izin verir. stemcinin

grmemesi gereken dosyalara eriimine yol aabilir.

ekil 11 - Web sayfas IIS izinleri

TB TAK UEKAE 17



18 TB TAK UEKAE

3.12 Uygulama altrma Yetkileri

Uygulama altrma yetkileri o uygulama iin altrlabilecek dosya trlerini belirler. Bu

haklar None, Scripts ve Scripts and Executablesdr. None seildiinde hibir altrlabilir

dosya ve betik sunucu zerinde altrlmaz ve istemciye veri dosyas olarak yollanr. Eer

Scripts seili ise betiklerin sunucuda altrlmasna izin verilir. altrlabilir dosyalar veri

dosyas olarak istemciye yollanr. Eer Scripts and Executables seilirse hem betikler hem de

altrlabilir dosyalar sunucuda altrlr. erik dosyalarnn tipine uygun olarak altrma

haklar dzenlenmelidir. Bylece saldrgann bir uygulamada aklk bulmas durumunda bu

akl kullanarak sunucuda bir kod altrmas engellenebilir.

ekil 12 - IIS altrma izinleri



3.13 IP ile Eriimin Kstlanmas

nternetten eriilen sunucular iin nemli bir risk kayna otomatik olarak yaylan virsler,

solucanlar ve bilinen aklklar bilmeden kullanan saldrganlardr. Bu saldrlar genelde bir

sunucuya zel deildir ve IP aralklarnn belli aklklar iin taranmasyla gereklenirler. Eer

sunucuya IP ile eriilmesi engellenirse bu tr tehditlerden otomatik olarak etkisini yitirir. Host

Headerlar http paketlerinin iinde bulunan istemcinin taraycsnn adres ubuuna yazd

(erimek istedii) web sayfasnn adresidir. Host Headerlar kullanlarak bir sunucuda birden

fazla web sayfas yaynlanabilir. stemcilerden gelen istekler istenilen web sayfasna

ynlendirilir. IP ile olan eriimler varsaylan web sayfasna ynlendirilir. Internet Services

Manager ek bileeninde bir sayfann zellikleri penceresinde Web Site sekmesinde Advanced

dmesi ile Advanced Web Site Identification penceresi alr. IP Address olarak Default ve

TCP Port olarak 80 girilmi olan ve hibir Host Header tanmlanmam olan sayfa varsaylan

sayfadr. Asl sayfalara Host Header ile ulalmas iin gerekli ayarlar yaplmal ve varsaylan

sayfa etkisiz hale getirilmelidir. Tuzak sayfa olmamas bir aklk olmasa da riski nemli

lde artrmaktadr.

ekil 13 - IP adresi ve balk tanmlama mens

TB TAK UEKAE 19



20 TB TAK UEKAE

3.14 Balant Says

Balant saysnn snrlandrlmas gerekir. Snrsz sayda balant amaya izin verilmesi ar

ykleme yoluyla servis d brakma saldrlarn kolaylatrr. Balant says sitenin eriim

istatistiklerine gre (rnein anlk maksimum balant saysnn %50 fazlas) snrlanmaldr.

Snrlama yapmak iin her bir sayfa iin sayfann zellikleri alr ve Performance sekmesinde

Web Site Connections ayar yaplr.

ekil 14 - Performans mens



TB TAK UEKAE 21

3.15 ISAPI Uzantlar

ISAPI uzantlar eletirmeleri IISin belli bir dosya tr (dosya uzantsna gre belirlenir)

istendiinde arlacak programn tanmlanmasdr. rnek olarak .asp ISAPI uzants asp.dll

ile ilikilendirilmitir. Bu uzantda bir dosya istendiinde IIS istemciye gsterilecek HTML

sayfasn gsterme iini asp.dll dosyasn devreder. Asp.dllden dnen sayfa kullancya

gnderilir. Kurulumla beraber birok dll yklenmekte ve ISAPI uzants ilikilendirmeleri

yaplmaktadr fakat bunlarn byk ounluu hibir zaman kullanlmamaktadr. Bu

kullanlmayan dlllerden herhangi birinde kan bir aklk sistemi tehdit etmektedir. rnein

Code Red solucan Index Server DLLsindeki (idq.dll) hafza tama akln kullanarak

yaylmtr (KB300972). Bu yzden kullanlmayan ISAPI uzantlar kaldrlmaldr. [3]

ISAPI uzants eletirmelerini kaldrmak iin kaldrlacak sayfann zellikleri alr ve Home

Directory sekmesinde Configuration dmesine baslr. Gelen penceresinin App Mappings

sekmesinde kullanlmayan uzantlar kaldrlmaldr.

ISAPI uzantlar iin ayr ayr http metotlar tanmlanabilmektedir. rnek olarak varsaylan

olarak .asp uzants iin GET, HEAD, DEBUG ve TRACE metotlar tanmldr. Bunlarn

dndaki komutlara cevap verilmemektedir. Bu komutlardan kullanlmayanlar da riski

azaltmak iin kaldrlmaldr. zellikle TRACE komutu gelitirme ortamlarnda faydaldr ama

hizmeti veren sunucuda kullanlmaz. Kaldrmak iin kaldrlacak sayfann zellikleri alr ve

Home Directory sekmesinde Configuration dmesine baslr. Gelen penceresinin App

Mappings sekmesinde ilgili uzant seilir ve ift tklanr. Verbs blmndeki metotlardan

gereksiz olanlar silinir.



22 TB TAK UEKAE

ekil 15 - ISAPI uzantlar mens

3.16 ISAPI Szgeleri

ISAPI szgeleri IISe gelen verileri ileyen ve IISe gnderen programlardr. rnein

paketlerin SSL ile ifrelenmesi ya da MD5 zetlerinin karlmas ISAPI szgelerinin

grevidir. ISAPI uzantlarnda olduu gibi saldr yzeyini geniletirler. Eer

kullanlmyorlarsa kaldrlmaldrlar. Bu programlar IIS ile ayn hafza alannda alrlar ve

olabilecek bir saldrda web hizmetinin durmas ya da saldrgann IISin alma haklar ile

(genellikle SYSTEM) sisteme girmesine yol aabilirler.

ISAPI szgelerini kaldrmak iin Internet Services Manager ek bileeninde sunucunun

zellikleri alr ve Master Properties alannda WWW Service seiliyken Edit dmesine

baslr. ISAPI Filters sekmesinde ncelik srasyla szgeler bulunmaktadr. md5filt, Digest

kimlik dorulamasnda kullanlr. fpexedll.dll ise Frontpage Extensions iin kullanlmaktadr.

Gvenlikle ilgili bir ISAPI szgeci URLSCANdir. Bu szge normalde kurulu deildir.

Sunucuya gelen istekleri yaplandrma dosyasndaki kurlarla gre inceler ve izin verilmeyen bir

istekleri IISe vermeden drr. Bylece birok saldr daha IISe gelemden engellenmi olur.

URLSCAN arac IISLockDown aracnn bir parasdr. Kurulmaldr ve sayfaya zg

yaplandrmas yaplmaldr. [4]



TB TAK UEKAE 23

ekil 16 - ISAPI szgeleri mens

3.17 Kayt Tutma

nemli varlklar zerindeki olaylar ile baarsz her trl olayn kaydnn tutulmas nemlidir.

Kayt tutulmas bir olay durumunda iz takibi yaplmasna olanak verir. Kayt tutmak iin

NTFSin kayt mekanizmalar ile IISin kayt mekanizmalar beraber kullanlmaldr.

erik dosyalarnn tm iin NTFS kayt tutma etkin hale getirilmelidir. En azndan baarsz

btn eriimlerin ve baarl yazma, izin deitirme ve sahipliini alma ilemlerinin kaydnn

tutulmals gereklidir. Bu kaytlar Security kaytlarna dmektedir.



24 TB TAK UEKAE

ekil 17 - Kayt dosyalar denetleme ayarlar

SSL kaytlarnn dmesi iin HKLM\System\CurrentControlSet\Control\SecurityProviders

\SChannel\EventLogging deeri en az 3 (tavsiye edilen) olmaldr.

IIS kayt tutma mekanizmas ak olmaldr. Bunun iin Internet Services Manager ek

bileeninde sunucunun zellikleri alr ve Master Properties alannda WWW Service

seiliyken Edit dmesine baslr. Web Site sekmesinin altnda Enable Logging seilmi

olmaldr. Properties dmesine baslarak gelen pencerede kaytlarn ne sklkla alnaca,

nelerin kaydnn tutulaca ve kayt dosyalarnn nerede olaca ayarlanmaldr. Kaytlar

varsaylan konumda olmamaldr (%SystemRoot%\system32\LogFiles). Kayt dosyalarnn

kendileri zerinde de NTFS denetlemesi ak olmaldr. En azndan baarsz eriimler

denetlenmelidir.



TB TAK UEKAE 25

ekil 18 - Kayt format ayar

ekil 19 - Kayt yeri ayar



26 TB TAK UEKAE

ekil 20 - Kayt detay ayarlar

3.18 Uygulama Havuzlar

Uygulama havuzlar uygulamalarn alt hafza alann belirler. Btn uygumlalar mutlaka

bir havuzun iinde alrlar. Ayn havuzda alan farkl uygulamalar birbirlerini

etkileyeceklerinden kritik uygulamalar iin ayr havuz oluturulmaldr. Uygulama havuzunu

belirlemek iin Internet Information Services Manager ek bileeninde ilgili uygulamann

zellikleri penceresinde Home Directory sekmesinde Application Pooldan bir havuz seilir.

Olas havuzlara ek bileendeki Application Pools blmnden eriilebilir ve havuzun alt

kullanc kimlii ve dier seenekler ayarlanabilir.



3.19 Ana Dizin Destei

Ana dizin destei sunucu tarafnda alan dinamik kodlarnn iinde .. kullanlmasna izin

verir. Bu destek baz sayfalarn erimemesi gereken dosyalara (kendi dizinlerinin stndeki

dizinler) eriimi sonucunu dourabilmektedir. Ana dizin destei dier aklklar ile beraber

kullanlabilmektedir. Destei kaldrlmak iin Internet Information Sevices Manager ek

bileeninde Web Sitesn zellikleri alr. Home Directory sekmesindeki Configuration

dmesine baslr ve gelen penceredeki Options sekmesinde Enable Parent Paths seenei

etkisiz klnr.

ekil 21 - Ana dizin destei mensne ulam

TB TAK UEKAE 27



28 TB TAK UEKAE

ekil 22 - Ana dizin destei ayar

Ana dizin desteinin kaldrlmas baz dinamik sayfalarda hatalara neden olacaktr. Kodlarn

yeniden yazlmas gerekmektedir.

4. DESTEKLEYC GVENLK AYARLARI

4.1 WWW Publishing Hizmetinin Hatadan Kurtarma Ayarlar

WWW Publishing hizmetinin hatadan kurtarma ayar yaplm olmaldr. rnein ilk iki hatada

hizmetin batan balatlmas ve nc hatada ise sunucunun batan balatlmas uygundur.

Sistem yneticisine de bu arada e-posta ile haber verilebilir. Bu ayarn yaplmam olmas bir

aklk olmamakla birlikte yaplmas sistem srekliliini artracaktr.

Bir hizmetin hatadan kurtarma ayar Services ek bileeninde ilgili servisin zellikleri

penceresinde Recovery sekmesinde First Failure, Second Failure ve Subsequent Failures

seeneklerinden yaplr.

DESTEKLEY C GVENL K AYARLARI MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU

TB TAK UEKAE 29

ekil 23 - WWW publishing hizmeti hatadan kurtarma ayar

4.2 Endeksleme Hizmeti

Indexing hizmeti dinamik sayfalarn kodlar da dhil olmak zere bilgiyi darya

szdrmaktadr. Add / Remove Programs kullanlarak Indexing Service sistemden

kaldrlmaldr. Eer sayfada arama yaptrmak isteniyorsa baka bir yazlm kullanlmaldr.

MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU DESTEKLEY C GVENL K AYARLARI

30 TB TAK UEKAE

ekil 24 - Endeksleme hizmeti ayar

4.3 Hassas Balant Bilgileri

Uygulamalar ou zaman veritabanlarna (ya da baka bir sunucuya) balanrlar. Bu balantlar

iin kullanlan kullanc ad ve ifresi hassas bilgidir. Bu bilgiler kodun iinde, global.asa(x)

dosyasnda, .inc dosyalarnda, web.config dosyalarnda, .udl dosyalarnda ya da uygulamaya

zel herhangi bir dosyada tutuluyor olabilir. ncelikle balant bilgileri kodun iinde

bulunmamaldr. Bulunduu dosyann NTFS eriim denetim listelerinde sadece bilgiyi okuyan

uygulama kullancsna (IWAM, SYSTEM) okuma hakk verilmelidir. Bylece bu hassas

bilgilere http dndaki yntemlerle ((salt okunur) paylam almas, sunucuya etkileimli

olarak giri yaplmas vs.) eriilmesinin nne geilmi olur.

Prensip olarak bu dosyalarn ad tahmin edilecek biimde (rnein conn.inc,

connection_string.txt, connection.asp vs.) olmamaldr.

DESTEKLEY C GVENL K AYARLARI MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU

TB TAK UEKAE 31

4.4 lgili Yazlmlar

4.4.1 IIS LockDown

Gereksiz servislerin kapatlmasn,

Kullanlmayan dosya balantlarnn koparlmasn,

rnek betiklerin ve bulunduklar dizinlerin balantlarnn koparlmasn,

Kritik dosya paylam izinlerinin ayarlanmasn,

WebDAV eriim izinlerinin dzenlenmesini salar.

4.4.2 URLScan

Bu yazlm sayesinde sunucuya gelen http istekleri zerinde belli kriterlere gre kstlamalar

yaplmas salanr. Bu ilem baz zararl isteklerin sunucuya erimeden engellenerek gvenlik

seviyesini arttrmaktadr. [5]

4.4.3 IIS Diagnostics Toolkit

alan sistem hakknda sorun giderme ve iyiletirme gibi amalar iin kullanlan aralardr.

Gvenlik: Yetkilendirme, SSL Konfigurasyonu, Sertifikalar

Debugging: lem asmalar, Hafza tamalar

Email: DNS konfigrasyon hatalar, SMTP nakil problemleri

HTTP Request & Responses

Log parsing: Site kayt dosyalar, HTTP hata kaytlar, Olay Gnl eriimleri

4.4.4 IIS 6.0 Resource Kit Tools

Resource Kit iersindeki yazlmlar IIS Sunucusunun gvenli hale getirilmesinde, ynetiminde

ve bakmnda yardmc olmaktadrlar. Bu aralar kayt dosyalarnda aramalar yapmak, SSL

sertifikalar yklemek, sayfaya gre yetkilendirme, izinlerin kontrol, problem giderme,

sunucu ieriinin baka sunucuya aktarlmas, stres testleri yapmak gibi ilemlere olanak

salar.

MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU KAYNAKA

32 TB TAK UEKAE

KAYNAKA

[1 ] The TechCENTER

http://www.iis.net/default.aspx?tabid=2

[2 ] Web Checklist IIS Version 6 Release 1.7 http://iase.disa.mil/stigs/checklist/index.html

[3 ] IIS 6.0 Security http://www.securityfocus.com/infocus/1765

[4 ] Security in IIS 6.0 http://www.microsoft.com/windowsserver2003/iis/default.mspx

[5 ] National Checklist Program - Checklist Summary #98: Web IIS Checklist http://nvd.nist.gov/chklst_detail.cfm?config_id=98
http://www.iis.net/default.aspx?tabid=2http://iase.disa.mil/stigs/checklist/index.htmlhttp://www.securityfocus.com/infocus/1765http://www.microsoft.com/windowsserver2003/iis/default.mspxhttp://nvd.nist.gov/chklst_detail.cfm?config_id=981. GR1.1 Ama ve Kapsam1.2 Hedeflenen Kitle1.3 Ksaltmalar2. GENEL GVENLK 2.1 Sunucu Fiziksel Gvenlii2.2 Windows letim Sistemi Gvenlii2.3 Topoloji Gvenlii ve Etki Alan yelii2.4 A Kartlar Hizmet Balanmlar2.5 Dier Sunucularla letiim3. KURULUM VE KONFGRASYON GVENL3.1 lgili IIS Servislerin Seimi 3.2 Kurulumla Gelen Tehlikeli Dosyalar3.3 NTFS Yetkilendirme3.4 Metabase Ayarlar3.5 IUSR_MakineAd Kullanc Ayarlar3.6 erik Dosyalarnn Konumu 3.7 nternetten Yazclara Eriim Destei3.8 WebDAV Destei3.9 Remote Data Services Destei3.10 Kimlik Dorulama3.11 IIS Yetkilendirmesi3.12 Uygulama altrma Yetkileri3.13 IP ile Eriimin Kstlanmas 3.14 Balant Says3.15 ISAPI Uzantlar3.16 ISAPI Szgeleri3.17 Kayt Tutma3.18 Uygulama Havuzlar3.19 Ana Dizin Destei4. DESTEKLEYC GVENLK AYARLARI4.1 WWW Publishing Hizmetinin Hatadan Kurtarma Ayarlar4.2 Endeksleme Hizmeti 4.3 Hassas Balant Bilgileri4.4 lgili Yazlmlar 4.4.1 IIS LockDown 4.4.2 URLScan4.4.3 IIS Diagnostics Toolkit 4.4.4 IIS 6.0 Resource Kit Tools

UEKAE BGT-1005 Web Sunucu (IIS 6.0) Güvenliği Kılavuzu.pdf

Documents