IIS و تهدیدات پیرامون آن را بشناسیم – امنیت IIS

مقدمه


رشد ناگهانی اینترنت در چند دهه اخیر با پیشرفت های قابل توجه و دستاوردهای عظیمی برای کاربران بهمراه بوده است. یکی از مهمترین این پیامدها، اجرای مدل گسترده اینترنت بخصوص الگوی وبِ جهان گستر (www) در ایجاد دسترسی ساده تر به داده ها میباشد. این مدلِ الگویی، تنها مختص اینترنت نیست و در مورد اینترانت ها هم صدق میکند. این مدل در مورد پیاده سازی اینترنت در مقیاس شبکه های بزرگ و enterprise و استفاده از سرورها و مرورگرهای اینترنتی برای تبادل دیتا در سراسر جهان صحبت میکند. به علت آن که شبکه های اینترانت هم در بسیاری از حالات میتوانند با شبکه اینترنت یکپارچه (متصل) شوند، این الگو را در این شبکه نیز بررسی میکنیم.

پایه و اساس تمام این پیشرفت ها و حرکت های رو به جلو، ” سرور” قرار داد.در واقع اگر بخواهیم سرور را در اینترنت معرفی کنیم باید بگویم که سرور، ” سیستمی است که تمام اطلاعات منتشر شده بر روی اینترنت را به کاربران تحویل میدهد “. در این میان (Microsoft Internet Information Server/Service (MS IIS، محصول زیرساختی مایکروسافت برای کار در فضای اینترنت است. هدف این سرویس تسهیل در استفاده از نرم افزارهای تحت وب و وب سرورهاست.
IIS سریع تر از آن چیزی که تصور میشد تبدیل به یک استاندارد بالفعل در بازار جهانی سرورهای اینترنتی تبدیل شد. این سرویس، ساده ترین راه را برای ایجاد یک سایت اینترنتی یا اینترانتی، پیش روی ما میگذارد. در مورد راه اندازی این سرویس باید گفت که تمام سرویس های مورد نیاز آن در کمتر از یک دقیقه، بر روی ویندوز سرور نصب و اجرا میشوند.

درک امنیت IIS


یکی از ویژگی های حائز اهمیت در IIS، یکپارچه بودن آن با ویندوز سرور مایکروسافت برای ارائه وب سرور است.
امنیت یکپارچه؟
معماری امنیتی ویندوزهای سرور از طریق پروسه احراز هویت به کنترل دسترسی روی منابع سیستم گره خورده است. IIS با مدل امنیتی ویندوز سرور و سرویس های آن مثل file system و directory یکپارچه شده است. به علت انکه IIS از دیتابیسِ یوزر تعریف شده در اکتیو دایرکتوری استفاده میکند، در صورتی که چندین وب سرور داشته باشیم، دیگر نیازی نیست که برای هرکدام از آن ها یک یوزر مجزا تعریف کنیم؛ میتوان از یکپارچگی IIS با اکتیو دایرکتوری استفاده کرد و برای وب سرورهای مختلف که از یک دیتابیس استفاده میکنند، تنها یک اکانت تعریف نمود. IIS بطور خودکار از همان سطح دسترسی ای استفاده خواهد کرد که بر روی اپلیکیشن سرورهای هاست آن تعریف شده و وجود دارد.
خوب در این جا فکر میکنم در بین برخی از دوستان که کمی به اصطلاحات اولیه در حوزه وب سرورها آشنا نیستند، کمی شبه و ابهام پیش آمده است. خوب بهر حال حیف است مطلب را طوری بگویم که فقط افراد خاصی بتوانند از آن استفاده کنند. بنابراین در همین جا کمی توقف کرده و به توضیحاتی مختصر جهت رفع ابهام بسنده میکنم:

نکته: اپلیکیشن سرور، سروریست که اپلیکیشن خاصی بر روی آن اجرا میشود و همزمان به سایر نود های شبکه سرویس میدهد. مثلا سروری که نرم افزار اتوماسیون اداری بر روی آن نصب و در احال اجراست، یک اپلیکیشن سرور است. حال اگر نحوه دسترسی به این اپلیکیشن از طریق مرورگر و وب باشد، به آن وب اپلیکیشن و به سروری که کاربران از طریق مرورگر و با وصل شدن به آن به وب اپلیکیشن دسترسی دارند، وب سرور میگوییم. همانطور که در بالا هم گفتیم، IIS یک سرویس مایکروسافتی در ویندوز سرور است که آن را به وب سرور تبدیل میکند. در واقع به علت آنکه وب سرورهای مایکروسافتی همگی از IIS استفاده میکنند، عرفا به IIS، وب سرور مایکروسافت هم گویند.

حالا با خیال راحت و نفسی عمیق بسراغ ادامه داستان میروم:
برخی از وب سرورها علاوه بر ساختار امنیتی خود ویندوز سرور، پیاده سازی امنیتی خود را دارند که در برابر تهدیدات و نقض یکپارچگی میتواند به عنوان یک نقطه امنیتی مضاعف و بالقوه عمل کند. ویندوز سرور ماهیتا خودش بر اساس اصول امنیتی طراحی شده است. تمام فایل ها و سورس های سیستمی از طریق حق دسترسی های از پیش معین شده، قابل دسترسی هستند. یوزرها و گروهای متناظر آن ها توسط یک SID Number که یک شناسه منحصر بفرد است، شناخته و مدیریت میشوند. وقتی که اکانتی از سرور و یا اکتیو دایرکتوری حذف میشود، متعاقبا تمام حق دسترسی ها و خصوصیاتی که برای آن در نظر گرفته شد بود، نیز از بین میرود. به همین ترتیب چنانچه پس از حذف اکانتی، مجددا اکانت دیگری با همان نام بسازیم، هیچکدام از حق دسترسی ها و خصوصیاتی که متعلق به یوزر پیشین بود، به یوزر جدید منتقل نخواهد شد. اکانت جدید دارای SID Number ای متفاوت از اکانت قبلی است و این دو اکانت در هیچ چیز بجز در یک نام با هم مشترک هستند.

قابلیت مدیریتی IIS


سطح دسترسی به فایل ها و دایرکتوری ها به همان صورت گرافیکی که در ویندوز اعمال میکنیم، تنظیم میشود چرا که همانطور که گفتیم IIS، از همان لیست کنترل دسترسی (ACL) هایی استفاده میکند که دیگر سرویس های ویندوز مثل sharing و یا SQL سرور استفاده میکنند. به همین علت ایجاد سطح دسترسی روی وب سرور سوای از دیگر سرویس های ویندوز نیست. بطور خلاصه، IIS در وب سایت شما بخاطر مدیریت احراز هویت ها و سطح دسترسی های وب، نقش خط مقدم را ایفاء میکند.
راه های مختلفی برای بالا بردن امنیت IIS وجود دارد. اجازه دهید تا با استفاده از چک‌لیست زیر آن ها را بررسی کنیم. توصیه میشود تا آسیب پذیری‌های معروفی که در لیست زیر به آن ها اشاره شده است را در IIS بلاک کنید:

Image

خوب دوستان از آنجا که هدف از این سری مقالات که بخش اول آن را پیش رو دارید، ارائه مختصر و مفیدی از IIS و بخصوص تهدیدات پیرامون آن است، لازم است که با مفاهیم دیگری نیز آشنا شویم. در قسمت های بعدی به آن ها خواهیم پرداخت.

پایان بخش اول
سربلند و مانا باشید.

نویسنده: احسان امجدی
منبع: انجمن تخصصی فناوری اطلاعات ایران
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد.

ابوالفضل محمدی

درباره من

شاید این مطالب را هم دوست داشته باشید

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *