IIS veebiserveri turvamine

Lembit Elmik AK21

Server

Nagu kõigi teiste, nii algab ka IIS serveri turvamine eelkõige serverist endast. See tähendab, et esimese asjana peab server ise turvaline olema. Peale seda alles on mõtet tegeleda serveril jooksva teenuse turvamisega. Seega enne IIS rolli installeerimist serverile tuleks kindlasti uuendada süsteem ning paigaldada turvapaigad.

Mida väiksem kogus funktsionaalsust, seda väiksem "pind" sissemurdmiseks. Silmas tuleks siiski pidada, et paigaldada tuleks nii palju kui vaja ning nii vähe kui võimalik. Seda nõuannet rakendades peaks kindlasti serveri installeerimisel mõtlema, kas on üldse enamat Server Core'st vaja. Server core puhul installeeritakse ainult minimaalne hulk komponente, mis on vajalikud kindla rolli tarbeks. See töötab küll väiksema "ründapinna" eesmärgi nimel. Kuid tegelikult on oluline ka see, et nii hoitakse kokku näiteks kettamahte, administreerimise ning halduse tegevusi.

Server Core paigaldusega Windows Server 2008 toetab näiteks DNS, faili ja veebiserveri rolle. Täpsema nimekirja saad lingilt http://go.microsoft.com/fwlink/?LinkId=99832.

Server Core installatsion ei sisalda siiski GUI'd ehk graafilist kasutajaliidest. Seega kogu seadistamine toimub käsurea vahendite abiga. Puudub ASP.NET ja .NET raamistik. Seega ei ole võimalik kasutada PowerShell skripte ja loomulikult ei toimi rakendused, mis neid raamistikke kasutama peaksid.

IIS

Järgmisena tulebki ette võtta IIS rolli paigaldamine. Vaikimisi installeeritakse vaid minimaalne IIS funktsionaalsus. See teenibki just turvalisuse eesmärke. Kui on vaja enamaid IIS võimalusi, saab need eraldi märkida ning installeerida.

Autentimine

Kui pole vaja avalikku juurdepääsu veebile võib seadistada Windowsi autentimist nii, et juurdepääs on tagatud vaid volitatud isikutel. Autentimine on võimalik siduda nii Windowsi enda kui ka Active Directory teenusega. Sel juhul kõik kasutajad, kes soovivad veebi sisu näha, peabad ennast kõigepealt autentima veebiserveri või AD kaudu.

1. Windows Authentication installeerimiseks mine Start > Server Manager, laienda "Roles" valikut ja klõpsa "WebServer (IIS)". Paremas akna pooles klõpsa "Add role Services".
2. "Add Role Services" viisardis vali "Windows Authentication" ja klõpsa Next > Install > Close.
3. Et lubada Windowsi autentimine, ava Internet Information Services (IIS) Manager. Connections paanil klõpsa serveri nimel ja seejärel Home paanil tee topeltklõps Authentication peal.
4. Authentication paneelis vali Windows Authentication ja luba see valides paremalt Enable. Anonüümse ligipääsu keelamiseks klõpsa Anonymous Authentication ning paremalt Disable.

Konkreetse hostinimega sidumine

Teenuse sidumine konkreetse IP aadressiga tagav, et veebiserver teenindab vaid mingit konkreetset hosti vaid konkreetselt IP aadressilt, mitte kõigilt, mis on selle serverile antud.

Konkreetse IP aadressiga sidumine vähendab riske selliste rünnakute puhul, kus häkker või viirus skanneerib tervet IP alamvõrku enne kui ründab. Selline viirus proovib kõigepealt ühenduda näiteks aadressiga 192.168.1.1. Siis 192.168.1.2 jne. Seni kuni jõuab sinu serverini (selles subnetis).

Kui selline konkreetne sidumine on olemas, siis iga ühenduse võtmine näiteks aadressile http://192.168.1.253 kukuks läbi, sest sinu server on seadistatud vastama vaid hosti nimele, näiteks http://minudomeen.ee.

Siiski saab tõesti säherdune uss saata päringuid ja saada vastused, kuid sel juhul peab see olema juba keerulisema ehituse ja tarkusega. Konkreetse hostinimega teenuse sidumine ei tee veel serverit täiesti turvalist kasti, kuid raskendab selle ründamist.

1. Ava IIS Manager ja vali veebiserveri nimi. Saitide all tee parem-klõps soovitud veebilehel ning vali Edit Bindings.
2. Edit Site Binding dialoogi aknas vali tüüpide nimekirjast http ning klõpsa Edit peal. Vali sellele lehele vajalik IP aadress ning kirjuta sobiv hosti nimi.

Selle tegevusega saab siis kaitsta serverit raskendades rünnakute läbiviimist.