-
Test1234
ULUSAL ELEKTRONK VE KRPTOLOJ
ARATIRMA ENSTTS
Dokman Kodu: BGT-1005
MICROSOFT WEB SUNUCU
(IIS 6.0) GVENL
KILAVUZU
SRM 1.00
5 KASIM 2007
Hazrlayan: nal PEREND
P.K. 74, Gebze, 41470 Kocaeli, TRKYE Tel: (0262) 648 1000
Faks: (0262) 648 1100 http://www.bilgiguvenligi.gov.tr
[email protected]
-
MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU NSZ
2 TB TAK UEKAE
NSZ
Ulusal Elektronik ve Kriptoloji Aratrma Enstits (UEKAE)'nn
misyonu, "bilgi
gvenlii, haberleme ve ileri elektronik alanlarnda Trkiye'nin
teknolojik
bamszln salamak ve srdrmek iin nitelikli insan gc ve
uluslararas
dzeyde kabul grm altyaps ile bilimsel ve teknolojik zmler retmek
ve
uygulamaktr". Bu ana hedef gz nnde bulundurularak belirlenen
"bilgi
gvenlii, haberleme ve ileri elektronik alanlarnda yeni
teknolojilerin
gelitirilmesine nclk eden uluslararas bilim, teknoloji ve retim
merkezi
olmak" vizyonuna ulalabilmesi ve lkenin ihtiyac olan
teknolojilerin
gelitirilmesi iin Enstit'nn akredite test ortam ve
laboratuarlarnda temel ve
uygulamal aratrmalar yaplmakta ve ihtiya sahiplerine teknik
destek
salanmaktadr.
Bu dokman Ulusal Bilgi Sistemleri Gvenlik Projesi kapsamnda
hazrlanm
olup ihtiya sahiplerini bilgi sistemleri gvenlii konusunda
bilinlendirmeyi
hedeflemektedir. Tm kurum ve kurulular bu dokmandan
faydalanabilir.
Bu dokmanda bahsi geen belirli ticari marka isimleri kendi
zgn sahiplerine aittir. Burada anlatlanlar tamamen tavsiye
niteliinde olup deiik rnler/yaplandrmalar iin farkllk
gsterebilir. UEKAE, yaplan uygulamalardan doabilecek
zararlardan sorumlu deildir. Bu dokman UEKAEnin izni
olmadan deitirilemez.
-
B LG LEND RME MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU
TB TAK UEKAE 3
BLGLENDRME
Bu dokmann oluturulmasnda emei geen A Gvenlii personeline ve
dokman gzden
geirip fikirlerini ne srerek dokmann olgunlamasna katkda bulunan
Doan
ESKYRKe teekkr bor biliriz.
-
MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU NDEK LER
4 TB TAK UEKAE
NDEKLER
1. GR
....................................................................................................................................................
6
1.1 Ama ve
Kapsam.................................................................................................................6
1.2 Hedeflenen
Kitle..................................................................................................................6
1.3
Ksaltmalar...........................................................................................................................6
2. GENEL GVENLIK
...........................................................................................................................
7
2.1 Sunucu Fiziksel
Gvenlii...................................................................................................7
2.2 Windows letim Sistemi
Gvenlii....................................................................................7
2.3 Topoloji Gvenlii ve Etki Alan yelii
...........................................................................7
2.4 A Kartlar Hizmet Balanmlar
........................................................................................8
2.5 Dier Sunucularla
letiim...................................................................................................9
3. KURULUM VE KONFIGRASYON GVENLII
.....................................................................
10
3.1 lgili IIS Servislerin Seimi
...............................................................................................10
3.2 Kurulumla Gelen Tehlikeli
Dosyalar.................................................................................11
3.3 NTFS Yetkilendirme
.........................................................................................................11
3.4 Metabase
Ayarlar..............................................................................................................12
3.5 IUSR_MakineAd Kullanc
Ayarlar................................................................................12
3.6 erik Dosyalarnn Konumu
.............................................................................................12
3.7 nternetten Yazclara Eriim
Destei................................................................................13
3.8 WebDAV Destei
..............................................................................................................14
3.9 Remote Data Services
Destei...........................................................................................14
3.10 Kimlik
Dorulama...........................................................................................................15
3.11 IIS
Yetkilendirmesi..........................................................................................................17
3.12 Uygulama altrma
Yetkileri........................................................................................18
3.13 IP ile Eriimin
Kstlanmas.............................................................................................19
3.14 Balant Says
.................................................................................................................20
3.15 ISAPI Uzantlar
..............................................................................................................21
-
NDEK LER MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU
TB TAK UEKAE 5
3.16 ISAPI Szgeleri
.............................................................................................................22
3.17 Kayt Tutma
.....................................................................................................................23
3.18 Uygulama Havuzlar
........................................................................................................26
3.19 Ana Dizin
Destei............................................................................................................27
4. DESTEKLEYICI GVENLIK AYARLARI
..................................................................................
28
4.1 WWW Publishing Hizmetinin Hatadan Kurtarma Ayarlar
..............................................28
4.2 Endeksleme
Hizmeti..........................................................................................................29
4.3 Hassas Balant Bilgileri
...................................................................................................30
4.4 lgili Yazlmlar
.................................................................................................................31
4.4.1 IIS
LockDown.............................................................................................................31
4.4.2
URLScan.....................................................................................................................31
4.4.3 IIS Diagnostics Toolkit
...............................................................................................31
4.4.4 IIS 6.0 Resource Kit Tools
.........................................................................................31
-
MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU GENEL GVENL K
6 TB TAK UEKAE
1. GR
Bu dokman Internet Information Services 6.0 (IIS 6.0) servisi
ile sunulan web sunucularnn
gvenlii konusundadr.
1.1 Ama ve Kapsam
Bu dokman sayesinde IIS 6.0 kullanlan sistemlerde web servisinin
gvenli kurulum,
yaplandrma ve bakmn salayacak bilgiler anlatlmtr. Genel Gvenlik,
Kurulum ve
Konfigrasyon Gvenlii ve Destekleyici Gvenlik Ayarlar olarak ana
balk altnda konu
incelenmitir.
1.2 Hedeflenen Kitle
Dokman ierii web gvenlii ile ilgilenen herkese yardmc olabilecek
bilgiler iermektedir.
1.3 Ksaltmalar
UEKAE : Ulusal Elektronik ve Kriptoloji Aratrma Enstits
DNS : Domain Name Service
IIS : Internet Information Service
WEBDAV : Web Distributed Authoring and Versioning
ASP : Active Server Pages
WWW : World Wide Web
DMZ : Demilitarized Zone
IP : Internet Protocol
IPSEC : Internet Protocol Security
AH : Authentication Header
MMC : Microsoft Management Console
NTFS : New Technology File System
SSL : Secure Socket Layer
IWAM : Internet Server Web Application Manager
SMTP : Simple Mail Transfer Protocol
-
GENEL GVENL K MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU
TB TAK UEKAE 7
HTTP : Hypertext Transfer Protocol
FTP : File Transfer Protocol
NNTP : Net News Transfer Protocol
ISM : Internet System Manager
LM/NTLM : LAN Manager/ Windows NT LAN Manager
2. GENEL GVENLK
2.1 Sunucu Fiziksel Gvenlii
Gerekli fiziksel ve evresel gvenliin salanm olmas gerekmektedir.
Sunucunun bulunduu
odaya giriler nceden belirlenmi yetkilendirme kurallarna gre
yaplmal ve bunlarn
kaytlarnn tutulmas gerekmektedir. Sunucunun almasn olumsuz
etkileyecek evresel
faktrlerin (scaklk, toz, nem, elektrik kesintileri) istenilen
seviyelerde kalmas salanmaldr.
2.2 Windows letim Sistemi Gvenlii
Web servisinin kurulu olduu iletim sisteminin sklatrmalarnn
yaplm olmas
gerekmektedir.
2.3 Topoloji Gvenlii ve Etki Alan yelii
Web sunucular en ok saldrya maruz kalan sunuculardr. Web
sunucunun topolojideki yeri ve
etki alan yelii nemle deerlendirilmelidir. zel bir sebep dnda,
internete hizmet veren ve
zerindeki kritik veritaban bilgisi olmayan web sunucularn DMZ
blgesinde yer almalar ve
etki alanna ye olmamalar gerekmektedir. ada bulunan sunucular
ise eer gerekli ise etki
alanna alnmaldr. Etki alan yesi bir sunucunun ele geirilmesi
saldrgann dier sunuculara
sramasn kolaylatracaktr.
Gvensiz A
Guvenlik DuvarWeb Sunucu
Kullanc
ekil 1 adaki web sunucu topolojisi
-
MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU GENEL GVENL K
8 TB TAK UEKAE
Gvensiz A
Guvenlik Duvar
Web Sunucu
KullancDirectory server
ekil 2 - nternet hizmeti veren web sunucu topolojisi
2.4 A Kartlar Hizmet Balanmlar
Bir a hizmeti balanm kaldrlamasa bile bir a kart iin etkisiz
hale getirilebilir. ou
zaman a hizmetleri kendisine baml olan baka hizmetler kullanld
iin
kaldrlamamaktadr. Bu durumda hizmetin durmas ama belli bir a
kart iin etkisiz olmas
iin ilgili a kartnn zellikleri penceresinde gereksiz hizmetler
etkisiz hale getirilmelidir.
zellikle nternetten eriim olan ve etki alanna ye olmayan
sunucularda ilgili a kartnda
Client for Microsoft Networks ve File and Printer Sharing for
Microsoft Networks hizmetleri
etkisiz olmaldr.
-
GENEL GVENL K MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU
TB TAK UEKAE 9
ekil 3 - A kartlar hizmet balanmlar mens
2.5 Dier Sunucularla letiim
Sunucu nemli bilgi alverii yapt dier sunucularn kimliklerini
doruluyor olmaldr.
rnein veritabanna bilgi yollayan bir web sunucu kardaki
sunucunun gerek sunucu
olduundan emin olmazsa IP spoofing saldrsna maruz kalabilir. Bu
durumda web sunucu
aracl ile yanl bilgiler yollanabilir ya da ele geirilmemesi
gereken bilgiler elde edilebilir.
Kimlik dorulama iin Kerberos, IPSEC AH ya da baka bir mekanizma
kullanlabilir.
IPSECin etkin olup olmadn tespit etmek iin ipsecmon.exe program
kullanlabilir ve
MMC aracl ile IPSec filtrelerinin etkin olup olmad tespit
edilebilir.
-
MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU GENEL GVENL K
10 TB TAK UEKAE
ekil 4 - IPSEC politikalar mens
3. KURULUM VE KONFGRASYON GVENL
3.1 lgili IIS Servislerin Seimi
IIS kurulumu yaplrken IIS kurma amacna gre sadece gerekli
hizmetler seilerek kurulum
yaplmaldr. IIS hizmetleri aadaki gibidir:
World Wide Web (WWW) Servisi: Web Sayfalarnn sunulmasn
salar.
File Transfer Protokol (FTP) : Dosya transferi yapmaya
yarar.
Simple Mail Transfer Protocol (SMTP): Mail al-verii yapmay
salar.
Network News Transfer Protocol (NNTP) : USENET bata olmak zere
haber sunucularndan
mesaj almaya ve gndermeye yarar.
-
KURULUM VE KONF GRSAYON GVENL
MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU
TB TAK UEKAE 11
ekil 5 - IIS manager ana mens
3.2 Kurulumla Gelen Tehlikeli Dosyalar
IISin kurulumu ile gelen bir takm tehlikeli dosyalar vardr. Bu
dosyalar saldr yzeyinin
artmasna neden olmaktadr. Kurulumdan sonra silinmeleri veya
eriimlerinin engellenmeleri
salanmaldr. Ayrca web sunucuda yazlm gelitirme takmlar da
olmamaldr.
Tehlikeli dosyalar unlardr:
C:\Inetpub\iissamples
C:\Inetpub\AdminScripts
%SystemRoot%\help\iishelp
%SystemRoot%\web\printers
3.3 NTFS Yetkilendirme
Sunulan dosyalarn NTFS eriim denetim listeleri dosyaya eriimi
dzenleyen nihai
mekanizmadr. IIS aracl ile gelen istekler kullanlan kimlik
dorulama yntemine gre (ya
kullancnn kendi hesab ile (Integrated Windows Authentication) ya
da IUSR kullancs ile
(anonim eriim)) belli bir Windows hesab ile dosya kaynaklara
eriir. erik dosyalarnn
eriim denetim listeleri kullancya gerektiinden daha fazla bir
yetki vermeyecek ekilde
ayarlanm olmaldr. rnein Everyone:Allow:Full Control hibir ekilde
olmamas gereken
bir haktr. Ekstra bir nlem olarak IUSR kullancsna (veya bu ve
benzeri anonim kullanclar
barndran bir gvenlik grubuna) yazma iin Deny verilebilir.
-
MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU
KURULUM VE KONF GRSAYON GVENL
12 TB TAK UEKAE
erik dosyalarnn tamam iin NTFS eriim denetim listeleri gzden
geirilmeli ve
kullanclara mmkn olan en az haklar verilmelidir.
3.4 Metabase Ayarlar
Metabase IISin yaplandrma ayarlarnn tutulduu veritabandr.
(%SystemRoot%\System32\inetsrv\MetaBase.xml ve
%SystemRoot%\System32\inetsrv\MBSchema.xml. Ayrca ayn dizin
altnda Metaback ve
History dizinleri altnda yedekleri ve gemii tutulmaktadr) Bu
dosyalarn fiziksel gvenlii
nemlidir. Metabase ile ilgili alnmas gereken nlemler:
Dosyann ve Metaback dizininin NTFS eriim denetim listeleri
sadece Administrator ve
SYSTEM eriebilecek ekilde olmaldr.
Sistemde mevcutsa metaedit.exe, metautil.dll ve iissync.exe
(cluster olmamas
durumunda) dosyalar kaldrlmaldr.
3.5 IUSR_MakineAd Kullanc Ayarlar
IUSR_MakineAd hesab kimlik bilgisi salamayan istemcilerin IIS
tarafnda
ilikilendirildikleri kullanc hesabdr. Bu hesabn ifresi
deitirilemiyor olmaldr ve
kullancnn yetkisini artracak hibir gvenlik grubuna ye olmamaldr.
IUSR_MakineAd
(ya da anonim eriimde kullanlan her bir hesap) iin Local Users
and Groups ek bileeninden
ilgili kullanc seilir ve Propertiesine baklr. General sekmesinde
User cannot change
password ve Password never expires ayarlar seilmi olmaldr.
Member Of sekmesinden
yesi olduu gruplar incelenir. Guests grubu bulunmamaldr. yesi
olduu gruplar
kullancnn yetkisini artrmamaldr.
3.6 erik Dosyalarnn Konumu
erik dosyalar iletim sisteminin bulunduu sabit disk blmesinden
farkl bir dizinde
bulunmaldr. erik dosyalar iletim sistemi ile ayn dizinde
bulunduunda bir aklk
kullanlarak sistem dosyalarna eriim ihtimali artmaktadr. Ayrca
ierik dosyalarnn
bulunduu sabit disk blmelerinin biimi eriim denetimi
salayabilmek iin mutlaka NTFS
olmaldr.
-
KURULUM VE KONF GRSAYON GVENL
MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU
TB TAK UEKAE 13
ekil 6 - erik dosyalarnn konumu
Internet Services Manager (ISM) ek bileenindeki her bir web
sayfas iin Home Directory
sekmesinden ierik dosyalarnn konumu renilir. erik dosyalar
iletim sisteminin kurulu
olduu sabit disk blmesinden farkl olmaldr. Bu disk blmeleri
incelenmelidir. Biimi NTFS
olmaldr ve bu sabit disk blmesinde saldrganlarn iine yaramas
muhtemel altrlabilir
dosyalar veya betikler bulunmamaldr.
3.7 nternetten Yazclara Eriim Destei
IIS zerinden sunucu zerinde tanml yazclara erimek, ynetmek ve kt
almak
mmkndr (IPP: Internet Printing Protocol). Bunun iin kurulum ile
gelen rnek uygulama da
vardr. nternetten yazclara eriim yapldnda istek msw3prt.dll
dosyasna
ynlendirilmektedir. msw3prt.dll dosyasnda saldrgann istedii kodu
altrmasn salayan
bir bellek tamas akl olduu bilinmektedir (KB296576). Yama ile bu
aklk kapatlm
olsa bile yeni aklklar kabilir. Herhangi bir yazc tanml olmasa
bile bu destein
bulunmas risk tekil etmektedir. Bu yzden kullanlmad takdirde bu
destein kaldrlmas
gerekmektedir. [1]
Eer bu destek kullanlyorsa ilgili yama (KB296576) yaplmaldr.
-
MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU
KURULUM VE KONF GRSAYON GVENL
14 TB TAK UEKAE
Destek kullanlmyorsa kaldrmak iin ktkte bu destee yasak
getirilmelidir
(HKLM\Software\Policies\Microsoft\WindowsNT\Printers anahtarnn
altndaki
DisableWebPrinting deeri 1 yaplmaldr).
3.8 WebDAV Destei
WebDAV (Web Distributed Authoring and Versioning) http
protokolnn geniletilmi halidir.
Http protokolnde olmayan silme, yazma, ismini deitirme gibi
dosya dzenlemeye ynelik
komutlar iermektedir. WebDAV bir aklk deildir fakat kimlik
dorulama ve yetkilendirme
ayarlarnn doru yaplmad durumlarda riski artrmaktadr.
WebDAV hizmetini veren dllde gemite aklklar (CVE-2001-0151,
CVE-2001-0508, CVE-
2001-508, CAN-2002-1182, CAN-2003-0226) kmtr. Kullanlma ihtiyac
yoksa mutlaka
etkisiz hale getirilmelidir. Etkisiz hale getirmek iin IIS
Manager ek bileeninde Web Service
Extension altnda WebDAV yasaklanmaldr.
ekil 7 - WEB Servis extentions mens
3.9 Remote Data Services Destei
Remote Data Services destei istemcinin IIS zerinden veritaban
tablolarna erimesini ve
ilem yapmasn salamaktadr. RDSin bir zellik olmakla birlikte doru
kimlik dorulama ve
yetkilendirme yaplmadnda nemli bilgiye eriim ve deitirme riskini
nemli lde
artrmaktadr ve gemite aklklar (CAN20021142, CVE19991011)
kmtr.
-
KURULUM VE KONF GRSAYON GVENL
MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU
TB TAK UEKAE 15
Eer RDS destei kullanlmyorsa
HKLM\System\CurrentControlSet\Services\W3SVC\
Parameters anahtar altndaki ADCLaunch deeri silinerek etkisiz
hale getirilmelidir. [2]
ekil 8 - RDS desteinin gsterimi
3.10 Kimlik Dorulama
Kimlik dorulamada kullanlan ynteme (anonim eriim, Basic, Digest,
Integrated Windows
veya form tabanl) uygun olarak kimlik dorulamada kullanlan
kullanc ad ve ifresini
korumaya ynelik gerekli nlemlerin alnm olmas gerekir. Alnmas
gereken nlemler:
Basic ve Digest kimlik dorulama yntemleri iin SSL zorunlu
olmaldr nk Basic
kimlik dorulama ynteminde ifreler ak gitmektedir ve Digest
kimlik dorulama
ynteminde ifrelerin MD5 zeti gnderilmektedir.
Integrated Windows kimlik dorulama etkinse karlkl kimlik
dorulama yapan iki
bilgisayarn iletim sistemlerine bal olarak LM, NTLM, NTLMv2 ve
Kerberos
kullanlabilmektedir. LM ve NTLM kullanm gvenlik politikalarndan
kapatlm
olmaldr nk bu yntemlerde kullanlan zetleme algoritmalar zayftr.
(Bunun iin
Local Security Policy ek bileeninde Local Policies>Security
Options>Network
Security: LAN Manager Authentication Level seenei Send NTLMv2
response
only\refuse LM & NTLM olmaldr.)
Form tabanl kimlik dorulama var ise SSL zorunlu olmaldr.
-
MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU
KURULUM VE KONF GRSAYON GVENL
16 TB TAK UEKAE
SSL kullanlan durumlarda anahtar uzunluu olarak 128 bit zorunlu
olmaldr.
ekil 9 - Yetkilendirme metotlar mens
ekil 10 - SSL gvenli iletiim mens
-
KURULUM VE KONF GRSAYON GVENL
MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU
3.11 IIS Yetkilendirmesi
Sunulan dosyalara eriimi dzenleyen ilk katman IISin
yetkilendirme ayarlardr. IIS
zerinden Read, Write, Script Source Access ve Directory Browsing
haklar istenilen kaynaa
ayr ayr verilebilmektedir. Write, Script Source Access ve
Directory Browsing haklar
gerekmedike verilmemelidir. Write hakk ilgili kaynaa istemcinin
yazmasna izin
vermektedir. NTFS haklar da yazmaya izin veriyorsa ilem
gerekleir. Script Source Access
hakk sunucu tarafnda alan betiklerinin kodunun istemciye
gnderilmesine izin
vermektedir. Kod iinde bulunan balant bilgilerinin (veya dier
nemli bilgilerin) ve kodda
bulunan aklklarn renilmesine yol aar. Directory Browsing hakk
istemciye bir ierik
dosyasnn deil, ieriin bulunduu dizinin yapsnn gsterilmesine izin
verir. stemcinin
grmemesi gereken dosyalara eriimine yol aabilir.
ekil 11 - Web sayfas IIS izinleri
TB TAK UEKAE 17
-
MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU
KURULUM VE KONF GRSAYON GVENL
18 TB TAK UEKAE
3.12 Uygulama altrma Yetkileri
Uygulama altrma yetkileri o uygulama iin altrlabilecek dosya
trlerini belirler. Bu
haklar None, Scripts ve Scripts and Executablesdr. None
seildiinde hibir altrlabilir
dosya ve betik sunucu zerinde altrlmaz ve istemciye veri dosyas
olarak yollanr. Eer
Scripts seili ise betiklerin sunucuda altrlmasna izin verilir.
altrlabilir dosyalar veri
dosyas olarak istemciye yollanr. Eer Scripts and Executables
seilirse hem betikler hem de
altrlabilir dosyalar sunucuda altrlr. erik dosyalarnn tipine
uygun olarak altrma
haklar dzenlenmelidir. Bylece saldrgann bir uygulamada aklk
bulmas durumunda bu
akl kullanarak sunucuda bir kod altrmas engellenebilir.
ekil 12 - IIS altrma izinleri
-
KURULUM VE KONF GRSAYON GVENL
MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU
3.13 IP ile Eriimin Kstlanmas
nternetten eriilen sunucular iin nemli bir risk kayna otomatik
olarak yaylan virsler,
solucanlar ve bilinen aklklar bilmeden kullanan saldrganlardr.
Bu saldrlar genelde bir
sunucuya zel deildir ve IP aralklarnn belli aklklar iin
taranmasyla gereklenirler. Eer
sunucuya IP ile eriilmesi engellenirse bu tr tehditlerden
otomatik olarak etkisini yitirir. Host
Headerlar http paketlerinin iinde bulunan istemcinin taraycsnn
adres ubuuna yazd
(erimek istedii) web sayfasnn adresidir. Host Headerlar
kullanlarak bir sunucuda birden
fazla web sayfas yaynlanabilir. stemcilerden gelen istekler
istenilen web sayfasna
ynlendirilir. IP ile olan eriimler varsaylan web sayfasna
ynlendirilir. Internet Services
Manager ek bileeninde bir sayfann zellikleri penceresinde Web
Site sekmesinde Advanced
dmesi ile Advanced Web Site Identification penceresi alr. IP
Address olarak Default ve
TCP Port olarak 80 girilmi olan ve hibir Host Header tanmlanmam
olan sayfa varsaylan
sayfadr. Asl sayfalara Host Header ile ulalmas iin gerekli
ayarlar yaplmal ve varsaylan
sayfa etkisiz hale getirilmelidir. Tuzak sayfa olmamas bir aklk
olmasa da riski nemli
lde artrmaktadr.
ekil 13 - IP adresi ve balk tanmlama mens
TB TAK UEKAE 19
-
MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU
KURULUM VE KONF GRSAYON GVENL
20 TB TAK UEKAE
3.14 Balant Says
Balant saysnn snrlandrlmas gerekir. Snrsz sayda balant amaya
izin verilmesi ar
ykleme yoluyla servis d brakma saldrlarn kolaylatrr. Balant says
sitenin eriim
istatistiklerine gre (rnein anlk maksimum balant saysnn %50
fazlas) snrlanmaldr.
Snrlama yapmak iin her bir sayfa iin sayfann zellikleri alr ve
Performance sekmesinde
Web Site Connections ayar yaplr.
ekil 14 - Performans mens
-
KURULUM VE KONF GRSAYON GVENL
MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU
TB TAK UEKAE 21
3.15 ISAPI Uzantlar
ISAPI uzantlar eletirmeleri IISin belli bir dosya tr (dosya
uzantsna gre belirlenir)
istendiinde arlacak programn tanmlanmasdr. rnek olarak .asp
ISAPI uzants asp.dll
ile ilikilendirilmitir. Bu uzantda bir dosya istendiinde IIS
istemciye gsterilecek HTML
sayfasn gsterme iini asp.dll dosyasn devreder. Asp.dllden dnen
sayfa kullancya
gnderilir. Kurulumla beraber birok dll yklenmekte ve ISAPI
uzants ilikilendirmeleri
yaplmaktadr fakat bunlarn byk ounluu hibir zaman
kullanlmamaktadr. Bu
kullanlmayan dlllerden herhangi birinde kan bir aklk sistemi
tehdit etmektedir. rnein
Code Red solucan Index Server DLLsindeki (idq.dll) hafza tama
akln kullanarak
yaylmtr (KB300972). Bu yzden kullanlmayan ISAPI uzantlar
kaldrlmaldr. [3]
ISAPI uzants eletirmelerini kaldrmak iin kaldrlacak sayfann
zellikleri alr ve Home
Directory sekmesinde Configuration dmesine baslr. Gelen
penceresinin App Mappings
sekmesinde kullanlmayan uzantlar kaldrlmaldr.
ISAPI uzantlar iin ayr ayr http metotlar tanmlanabilmektedir.
rnek olarak varsaylan
olarak .asp uzants iin GET, HEAD, DEBUG ve TRACE metotlar
tanmldr. Bunlarn
dndaki komutlara cevap verilmemektedir. Bu komutlardan
kullanlmayanlar da riski
azaltmak iin kaldrlmaldr. zellikle TRACE komutu gelitirme
ortamlarnda faydaldr ama
hizmeti veren sunucuda kullanlmaz. Kaldrmak iin kaldrlacak
sayfann zellikleri alr ve
Home Directory sekmesinde Configuration dmesine baslr. Gelen
penceresinin App
Mappings sekmesinde ilgili uzant seilir ve ift tklanr. Verbs
blmndeki metotlardan
gereksiz olanlar silinir.
-
MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU
KURULUM VE KONF GRSAYON GVENL
22 TB TAK UEKAE
ekil 15 - ISAPI uzantlar mens
3.16 ISAPI Szgeleri
ISAPI szgeleri IISe gelen verileri ileyen ve IISe gnderen
programlardr. rnein
paketlerin SSL ile ifrelenmesi ya da MD5 zetlerinin karlmas
ISAPI szgelerinin
grevidir. ISAPI uzantlarnda olduu gibi saldr yzeyini
geniletirler. Eer
kullanlmyorlarsa kaldrlmaldrlar. Bu programlar IIS ile ayn hafza
alannda alrlar ve
olabilecek bir saldrda web hizmetinin durmas ya da saldrgann
IISin alma haklar ile
(genellikle SYSTEM) sisteme girmesine yol aabilirler.
ISAPI szgelerini kaldrmak iin Internet Services Manager ek
bileeninde sunucunun
zellikleri alr ve Master Properties alannda WWW Service
seiliyken Edit dmesine
baslr. ISAPI Filters sekmesinde ncelik srasyla szgeler
bulunmaktadr. md5filt, Digest
kimlik dorulamasnda kullanlr. fpexedll.dll ise Frontpage
Extensions iin kullanlmaktadr.
Gvenlikle ilgili bir ISAPI szgeci URLSCANdir. Bu szge normalde
kurulu deildir.
Sunucuya gelen istekleri yaplandrma dosyasndaki kurlarla gre
inceler ve izin verilmeyen bir
istekleri IISe vermeden drr. Bylece birok saldr daha IISe
gelemden engellenmi olur.
URLSCAN arac IISLockDown aracnn bir parasdr. Kurulmaldr ve
sayfaya zg
yaplandrmas yaplmaldr. [4]
-
KURULUM VE KONF GRSAYON GVENL
MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU
TB TAK UEKAE 23
ekil 16 - ISAPI szgeleri mens
3.17 Kayt Tutma
nemli varlklar zerindeki olaylar ile baarsz her trl olayn kaydnn
tutulmas nemlidir.
Kayt tutulmas bir olay durumunda iz takibi yaplmasna olanak
verir. Kayt tutmak iin
NTFSin kayt mekanizmalar ile IISin kayt mekanizmalar beraber
kullanlmaldr.
erik dosyalarnn tm iin NTFS kayt tutma etkin hale
getirilmelidir. En azndan baarsz
btn eriimlerin ve baarl yazma, izin deitirme ve sahipliini alma
ilemlerinin kaydnn
tutulmals gereklidir. Bu kaytlar Security kaytlarna
dmektedir.
-
MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU
KURULUM VE KONF GRSAYON GVENL
24 TB TAK UEKAE
ekil 17 - Kayt dosyalar denetleme ayarlar
SSL kaytlarnn dmesi iin
HKLM\System\CurrentControlSet\Control\SecurityProviders
\SChannel\EventLogging deeri en az 3 (tavsiye edilen)
olmaldr.
IIS kayt tutma mekanizmas ak olmaldr. Bunun iin Internet
Services Manager ek
bileeninde sunucunun zellikleri alr ve Master Properties alannda
WWW Service
seiliyken Edit dmesine baslr. Web Site sekmesinin altnda Enable
Logging seilmi
olmaldr. Properties dmesine baslarak gelen pencerede kaytlarn ne
sklkla alnaca,
nelerin kaydnn tutulaca ve kayt dosyalarnn nerede olaca
ayarlanmaldr. Kaytlar
varsaylan konumda olmamaldr (%SystemRoot%\system32\LogFiles).
Kayt dosyalarnn
kendileri zerinde de NTFS denetlemesi ak olmaldr. En azndan
baarsz eriimler
denetlenmelidir.
-
KURULUM VE KONF GRSAYON GVENL
MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU
TB TAK UEKAE 25
ekil 18 - Kayt format ayar
ekil 19 - Kayt yeri ayar
-
MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU
KURULUM VE KONF GRSAYON GVENL
26 TB TAK UEKAE
ekil 20 - Kayt detay ayarlar
3.18 Uygulama Havuzlar
Uygulama havuzlar uygulamalarn alt hafza alann belirler. Btn
uygumlalar mutlaka
bir havuzun iinde alrlar. Ayn havuzda alan farkl uygulamalar
birbirlerini
etkileyeceklerinden kritik uygulamalar iin ayr havuz
oluturulmaldr. Uygulama havuzunu
belirlemek iin Internet Information Services Manager ek
bileeninde ilgili uygulamann
zellikleri penceresinde Home Directory sekmesinde Application
Pooldan bir havuz seilir.
Olas havuzlara ek bileendeki Application Pools blmnden
eriilebilir ve havuzun alt
kullanc kimlii ve dier seenekler ayarlanabilir.
-
KURULUM VE KONF GRSAYON GVENL
MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU
3.19 Ana Dizin Destei
Ana dizin destei sunucu tarafnda alan dinamik kodlarnn iinde ..
kullanlmasna izin
verir. Bu destek baz sayfalarn erimemesi gereken dosyalara
(kendi dizinlerinin stndeki
dizinler) eriimi sonucunu dourabilmektedir. Ana dizin destei
dier aklklar ile beraber
kullanlabilmektedir. Destei kaldrlmak iin Internet Information
Sevices Manager ek
bileeninde Web Sitesn zellikleri alr. Home Directory
sekmesindeki Configuration
dmesine baslr ve gelen penceredeki Options sekmesinde Enable
Parent Paths seenei
etkisiz klnr.
ekil 21 - Ana dizin destei mensne ulam
TB TAK UEKAE 27
-
MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU
KURULUM VE KONF GRSAYON GVENL
28 TB TAK UEKAE
ekil 22 - Ana dizin destei ayar
Ana dizin desteinin kaldrlmas baz dinamik sayfalarda hatalara
neden olacaktr. Kodlarn
yeniden yazlmas gerekmektedir.
4. DESTEKLEYC GVENLK AYARLARI
4.1 WWW Publishing Hizmetinin Hatadan Kurtarma Ayarlar
WWW Publishing hizmetinin hatadan kurtarma ayar yaplm olmaldr.
rnein ilk iki hatada
hizmetin batan balatlmas ve nc hatada ise sunucunun batan
balatlmas uygundur.
Sistem yneticisine de bu arada e-posta ile haber verilebilir. Bu
ayarn yaplmam olmas bir
aklk olmamakla birlikte yaplmas sistem srekliliini
artracaktr.
Bir hizmetin hatadan kurtarma ayar Services ek bileeninde ilgili
servisin zellikleri
penceresinde Recovery sekmesinde First Failure, Second Failure
ve Subsequent Failures
seeneklerinden yaplr.
-
DESTEKLEY C GVENL K AYARLARI MICROSOFT WEB SUNUCU (IIS 6.0)
GVENL KILAVUZU
TB TAK UEKAE 29
ekil 23 - WWW publishing hizmeti hatadan kurtarma ayar
4.2 Endeksleme Hizmeti
Indexing hizmeti dinamik sayfalarn kodlar da dhil olmak zere
bilgiyi darya
szdrmaktadr. Add / Remove Programs kullanlarak Indexing Service
sistemden
kaldrlmaldr. Eer sayfada arama yaptrmak isteniyorsa baka bir
yazlm kullanlmaldr.
-
MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU DESTEKLEY C GVENL
K AYARLARI
30 TB TAK UEKAE
ekil 24 - Endeksleme hizmeti ayar
4.3 Hassas Balant Bilgileri
Uygulamalar ou zaman veritabanlarna (ya da baka bir sunucuya)
balanrlar. Bu balantlar
iin kullanlan kullanc ad ve ifresi hassas bilgidir. Bu bilgiler
kodun iinde, global.asa(x)
dosyasnda, .inc dosyalarnda, web.config dosyalarnda, .udl
dosyalarnda ya da uygulamaya
zel herhangi bir dosyada tutuluyor olabilir. ncelikle balant
bilgileri kodun iinde
bulunmamaldr. Bulunduu dosyann NTFS eriim denetim listelerinde
sadece bilgiyi okuyan
uygulama kullancsna (IWAM, SYSTEM) okuma hakk verilmelidir.
Bylece bu hassas
bilgilere http dndaki yntemlerle ((salt okunur) paylam almas,
sunucuya etkileimli
olarak giri yaplmas vs.) eriilmesinin nne geilmi olur.
Prensip olarak bu dosyalarn ad tahmin edilecek biimde (rnein
conn.inc,
connection_string.txt, connection.asp vs.) olmamaldr.
-
DESTEKLEY C GVENL K AYARLARI MICROSOFT WEB SUNUCU (IIS 6.0)
GVENL KILAVUZU
TB TAK UEKAE 31
4.4 lgili Yazlmlar
4.4.1 IIS LockDown
Gereksiz servislerin kapatlmasn,
Kullanlmayan dosya balantlarnn koparlmasn,
rnek betiklerin ve bulunduklar dizinlerin balantlarnn
koparlmasn,
Kritik dosya paylam izinlerinin ayarlanmasn,
WebDAV eriim izinlerinin dzenlenmesini salar.
4.4.2 URLScan
Bu yazlm sayesinde sunucuya gelen http istekleri zerinde belli
kriterlere gre kstlamalar
yaplmas salanr. Bu ilem baz zararl isteklerin sunucuya erimeden
engellenerek gvenlik
seviyesini arttrmaktadr. [5]
4.4.3 IIS Diagnostics Toolkit
alan sistem hakknda sorun giderme ve iyiletirme gibi amalar iin
kullanlan aralardr.
Gvenlik: Yetkilendirme, SSL Konfigurasyonu, Sertifikalar
Debugging: lem asmalar, Hafza tamalar
Email: DNS konfigrasyon hatalar, SMTP nakil problemleri
HTTP Request & Responses
Log parsing: Site kayt dosyalar, HTTP hata kaytlar, Olay Gnl
eriimleri
4.4.4 IIS 6.0 Resource Kit Tools
Resource Kit iersindeki yazlmlar IIS Sunucusunun gvenli hale
getirilmesinde, ynetiminde
ve bakmnda yardmc olmaktadrlar. Bu aralar kayt dosyalarnda
aramalar yapmak, SSL
sertifikalar yklemek, sayfaya gre yetkilendirme, izinlerin
kontrol, problem giderme,
sunucu ieriinin baka sunucuya aktarlmas, stres testleri yapmak
gibi ilemlere olanak
salar.
-
MICROSOFT WEB SUNUCU (IIS 6.0) GVENL KILAVUZU KAYNAKA
32 TB TAK UEKAE
KAYNAKA
[1 ] The TechCENTER
http://www.iis.net/default.aspx?tabid=2
[2 ] Web Checklist IIS Version 6 Release 1.7
http://iase.disa.mil/stigs/checklist/index.html
[3 ] IIS 6.0 Security
http://www.securityfocus.com/infocus/1765
[4 ] Security in IIS 6.0
http://www.microsoft.com/windowsserver2003/iis/default.mspx
[5 ] National Checklist Program - Checklist Summary #98: Web IIS
Checklist http://nvd.nist.gov/chklst_detail.cfm?config_id=98
http://www.iis.net/default.aspx?tabid=2http://iase.disa.mil/stigs/checklist/index.htmlhttp://www.securityfocus.com/infocus/1765http://www.microsoft.com/windowsserver2003/iis/default.mspxhttp://nvd.nist.gov/chklst_detail.cfm?config_id=981.
GR1.1 Ama ve Kapsam1.2 Hedeflenen Kitle1.3 Ksaltmalar2. GENEL
GVENLK 2.1 Sunucu Fiziksel Gvenlii2.2 Windows letim Sistemi
Gvenlii2.3 Topoloji Gvenlii ve Etki Alan yelii2.4 A Kartlar Hizmet
Balanmlar2.5 Dier Sunucularla letiim3. KURULUM VE KONFGRASYON
GVENL3.1 lgili IIS Servislerin Seimi 3.2 Kurulumla Gelen Tehlikeli
Dosyalar3.3 NTFS Yetkilendirme3.4 Metabase Ayarlar3.5 IUSR_MakineAd
Kullanc Ayarlar3.6 erik Dosyalarnn Konumu 3.7 nternetten Yazclara
Eriim Destei3.8 WebDAV Destei3.9 Remote Data Services Destei3.10
Kimlik Dorulama3.11 IIS Yetkilendirmesi3.12 Uygulama altrma
Yetkileri3.13 IP ile Eriimin Kstlanmas 3.14 Balant Says3.15 ISAPI
Uzantlar3.16 ISAPI Szgeleri3.17 Kayt Tutma3.18 Uygulama
Havuzlar3.19 Ana Dizin Destei4. DESTEKLEYC GVENLK AYARLARI4.1 WWW
Publishing Hizmetinin Hatadan Kurtarma Ayarlar4.2 Endeksleme
Hizmeti 4.3 Hassas Balant Bilgileri4.4 lgili Yazlmlar 4.4.1 IIS
LockDown 4.4.2 URLScan4.4.3 IIS Diagnostics Toolkit 4.4.4 IIS 6.0
Resource Kit Tools