IIS veebiserveri turvamine: Difference between revisions

From ICO wiki
Jump to navigationJump to search
Leelmik (talk | contribs)
No edit summary
Leelmik (talk | contribs)
No edit summary
Line 15: Line 15:


Järgmisena tulebki ette võtta IIS rolli paigaldamine. Vaikimisi installeeritakse vaid minimaalne IIS funktsionaalsus. See teenibki just turvalisuse eesmärke. Kui on vaja enamaid IIS võimalusi, saab need eraldi märkida ning installeerida.
Järgmisena tulebki ette võtta IIS rolli paigaldamine. Vaikimisi installeeritakse vaid minimaalne IIS funktsionaalsus. See teenibki just turvalisuse eesmärke. Kui on vaja enamaid IIS võimalusi, saab need eraldi märkida ning installeerida.


==Autentimine==
==Autentimine==
Line 24: Line 25:
# Et lubada Windowsi autentimine, ava Internet Information Services (IIS) Manager. Connections paanil klõpsa serveri nimel ja seejärel Home paanil tee topeltklõps Authentication peal.
# Et lubada Windowsi autentimine, ava Internet Information Services (IIS) Manager. Connections paanil klõpsa serveri nimel ja seejärel Home paanil tee topeltklõps Authentication peal.
# Authentication paneelis vali Windows Authentication ja luba see valides paremalt Enable. Anonüümse ligipääsu keelamiseks klõpsa Anonymous Authentication ning paremalt Disable.
# Authentication paneelis vali Windows Authentication ja luba see valides paremalt Enable. Anonüümse ligipääsu keelamiseks klõpsa Anonymous Authentication ning paremalt Disable.
==Konkreetne hosti nimi==
Teenuse sidumine konkreetse IP aadressiga tagav, et veebiserver teenindab vaid mingit konkreetset hosti vaid konkreetselt IP aadressilt, mitte kõigilt, mis on selle serverile antud.
Konkreetse IP aadressiga sidumine vähendab riske selliste rünnakute puhul, kus häkker või viirus skanneerib tervet IP alamvõrku enne kui ründab. Selline viirus proovib kõigepealt ühenduda näiteks aadressiga 192.168.1.1. Siis 192.168.1.2 jne. Seni kuni jõuab sinu serverini (selles subnetis).
Kui selline konkreetne sidumine on olemas, siis iga ühenduse võtmine näiteks aadressile http://192.168.1.253 kukuks läbi, sest sinu server on seadistatud vastama vaid hosti nimele, näiteks http://minudomeen.ee.
Siiski saab tõesti säherdune uss saata päringuid ja saada vastused, kuid sel juhul peab see olema juba keerulisema ehituse ja tarkusega. Konkreetse hostinimega teenuse sidumine ei tee veel serverit täiesti turvalist kasti, kuid raskendab selle ründamist.

Revision as of 16:37, 31 March 2011

Lembit Elmik AK21

Server

Nagu kõigi teiste, nii algab ka IIS serveri turvamine eelkõige serverist endast. See tähendab, et esimese asjana peab server ise turvaline olema. Peale seda alles on mõtet tegeleda serveril jooksva teenuse turvamisega. Seega enne IIS rolli installeerimist serverile tuleks kindlasti uuendada süsteem ning paigaldada turvapaigad.

Mida väiksem kogus funktsionaalsust, seda väiksem "pind" sissemurdmiseks. Silmas tuleks siiski pidada, et paigaldada tuleks nii palju kui vaja ning nii vähe kui võimalik. Seda nõuannet rakendades peaks kindlasti serveri installeerimisel mõtlema, kas on üldse enamat Server Core'st vaja. Server core puhul installeeritakse ainult minimaalne hulk komponente, mis on vajalikud kindla rolli tarbeks. See töötab küll väiksema "ründapinna" eesmärgi nimel. Kuid tegelikult on oluline ka see, et nii hoitakse kokku näiteks kettamahte, administreerimise ning halduse tegevusi.

Server Core paigaldusega Windows Server 2008 toetab näiteks DNS, faili ja veebiserveri rolle. Täpsema nimekirja saad lingilt http://go.microsoft.com/fwlink/?LinkId=99832.

Server Core installatsion ei sisalda siiski GUI'd ehk graafilist kasutajaliidest. Seega kogu seadistamine toimub käsurea vahendite abiga. Puudub ASP.NET ja .NET raamistik. Seega ei ole võimalik kasutada PowerShell skripte ja loomulikult ei toimi rakendused, mis neid raamistikke kasutama peaksid.


IIS

Järgmisena tulebki ette võtta IIS rolli paigaldamine. Vaikimisi installeeritakse vaid minimaalne IIS funktsionaalsus. See teenibki just turvalisuse eesmärke. Kui on vaja enamaid IIS võimalusi, saab need eraldi märkida ning installeerida.


Autentimine

Kui pole vaja avalikku juurdepääsu veebile võib seadistada Windowsi autentimist nii, et juurdepääs on tagatud vaid volitatud isikutel. Autentimine on võimalik siduda nii Windowsi enda kui ka Active Directory teenusega. Sel juhul kõik kasutajad, kes soovivad veebi sisu näha, peabad ennast kõigepealt autentima veebiserveri või AD kaudu.

  1. Windows Authentication installeerimiseks mine Start > Server Manager, laienda "Roles" valikut ja klõpsa "WebServer (IIS)". Paremas akna pooles klõpsa "Add role Services".
  2. "Add Role Services" viisardis vali "Windows Authentication" ja klõpsa Next > Install > Close.
  3. Et lubada Windowsi autentimine, ava Internet Information Services (IIS) Manager. Connections paanil klõpsa serveri nimel ja seejärel Home paanil tee topeltklõps Authentication peal.
  4. Authentication paneelis vali Windows Authentication ja luba see valides paremalt Enable. Anonüümse ligipääsu keelamiseks klõpsa Anonymous Authentication ning paremalt Disable.


Konkreetne hosti nimi

Teenuse sidumine konkreetse IP aadressiga tagav, et veebiserver teenindab vaid mingit konkreetset hosti vaid konkreetselt IP aadressilt, mitte kõigilt, mis on selle serverile antud.

Konkreetse IP aadressiga sidumine vähendab riske selliste rünnakute puhul, kus häkker või viirus skanneerib tervet IP alamvõrku enne kui ründab. Selline viirus proovib kõigepealt ühenduda näiteks aadressiga 192.168.1.1. Siis 192.168.1.2 jne. Seni kuni jõuab sinu serverini (selles subnetis).

Kui selline konkreetne sidumine on olemas, siis iga ühenduse võtmine näiteks aadressile http://192.168.1.253 kukuks läbi, sest sinu server on seadistatud vastama vaid hosti nimele, näiteks http://minudomeen.ee.

Siiski saab tõesti säherdune uss saata päringuid ja saada vastused, kuid sel juhul peab see olema juba keerulisema ehituse ja tarkusega. Konkreetse hostinimega teenuse sidumine ei tee veel serverit täiesti turvalist kasti, kuid raskendab selle ründamist.