Test1234 ULUSAL ELEKTRONİK VE KRİPTOLOJİ ARAŞTIRMA ENSTİTÜSÜ Doküman Kodu: BGT-1005 MICROSOFT WEB SUNUCU (IIS 6.0) GÜVENLİĞİ SÜRÜM 1.00 5 KASIM 2007 Hazırlayan: Ünal PERENDİ P.K. 74, Gebze, 41470 Kocaeli, TÜRKİYE Tel: (0262) 648 1000 Faks: (0262) 648 1100 http://www.bilgiguvenligi.gov.tr teknikdok@bilgiguvenligi.gov.tr
MICROSOFT WEB SUNUCU (IIS 6.0) GÜVENLİĞİ ÖNSÖZ ÖNSÖZ Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü (UEKAE)'nün misyonu, "bilgi güvenliği, haberleşme ve ileri elektronik alanlarında Türkiye'nin teknolojik bağımsızlığını sağlamak ve sürdürmek için nitelikli insan gücü ve uluslararası düzeyde kabul görmüş altyapısı ile bilimsel ve teknolojik çözümler üretmek ve uygulamaktır". Bu ana hedef göz önünde bulundurularak belirlenen "bilgi güvenliği, haberleşme ve ileri elektronik alanlarında yeni teknolojilerin geliştirilmesine öncülük eden uluslararası bilim, teknoloji ve üretim merkezi olmak" vizyonuna ulaşılabilmesi ve ülkenin ihtiyacı olan teknolojilerin geliştirilmesi için Enstitü'nün akredite test ortam ve laboratuarlarında temel ve uygulamalı araştırmalar yapılmakta ve ihtiyaç sahiplerine teknik destek sağlanmaktadır. Bu doküman Ulusal Bilgi Sistemleri Güvenlik Projesi kapsamında hazırlanmış olup ihtiyaç sahiplerini bilgi sistemleri güvenliği konusunda bilinçlendirmeyi hedeflemektedir. Tüm kurum ve kuruluşlar bu dokümandan faydalanabilir. Bu dokümanda bahsi geçen belirli ticari marka isimleri kendi özgün sahiplerine aittir. Burada anlatılanlar tamamen tavsiye niteliğinde olup değişik ürünler/yapılandırmalar için farklılık gösterebilir. UEKAE, yapılan uygulamalardan doğabilecek zararlardan sorumlu değildir. Bu doküman UEKAE nin izni olmadan değiştirilemez. 2 TÜBİTAK UEKAE
BİLGİLENDİRME MICROSOFT WEB SUNUCU (IIS 6.0) GÜVENLİĞİ BİLGİLENDİRME Bu dokümanın oluşturulmasında emeği geçen Ağ Güvenliği personeline ve dokümanı gözden geçirip fikirlerini öne sürerek dokümanın olgunlaşmasına katkıda bulunan Doğan ESKİYÖRÜK e teşekkürü borç biliriz. TÜBİTAK UEKAE 3
MICROSOFT WEB SUNUCU (IIS 6.0) GÜVENLİĞİ İÇİNDEKİLER İÇİNDEKİLER 1. GİRİŞ... 6 1.1 Amaç ve Kapsam...6 1.2 Hedeflenen Kitle...6 1.3 Kısaltmalar...6 2. GENEL GÜVENLIK... 7 2.1 Sunucu Fiziksel Güvenliği...7 2.2 Windows İşletim Sistemi Güvenliği...7 2.3 Topoloji Güvenliği ve Etki Alanı Üyeliği...7 2.4 Ağ Kartları Hizmet Bağlanımları...8 2.5 Diğer Sunucularla İletişim...9 3. KURULUM VE KONFIGÜRASYON GÜVENLIĞI... 10 3.1 İlgili IIS Servislerin Seçimi...10 3.2 Kurulumla Gelen Tehlikeli Dosyalar...11 3.3 NTFS Yetkilendirme...11 3.4 Metabase Ayarları...12 3.5 IUSR_MakineAdı Kullanıcı Ayarları...12 3.6 İçerik Dosyalarının Konumu...12 3.7 İnternetten Yazıcılara Erişim Desteği...13 3.8 WebDAV Desteği...14 3.9 Remote Data Services Desteği...14 3.10 Kimlik Doğrulama...15 3.11 IIS Yetkilendirmesi...17 3.12 Uygulama Çalıştırma Yetkileri...18 3.13 IP ile Erişimin Kısıtlanması...19 3.14 Bağlantı Sayısı...20 3.15 ISAPI Uzantıları...21 4 TÜBİTAK UEKAE
İÇİNDEKİLER MICROSOFT WEB SUNUCU (IIS 6.0) GÜVENLİĞİ 3.16 ISAPI Süzgeçleri...22 3.17 Kayıt Tutma...23 3.18 Uygulama Havuzları...26 3.19 Ana Dizin Desteği...27 4. DESTEKLEYICI GÜVENLIK AYARLARI... 28 4.1 WWW Publishing Hizmetinin Hatadan Kurtarma Ayarları...28 4.2 Endeksleme Hizmeti...29 4.3 Hassas Bağlantı Bilgileri...30 4.4 İlgili Yazılımlar...31 4.4.1 IIS LockDown...31 4.4.2 URLScan...31 4.4.3 IIS Diagnostics Toolkit...31 4.4.4 IIS 6.0 Resource Kit Tools...31 TÜBİTAK UEKAE 5
MICROSOFT WEB SUNUCU (IIS 6.0) GÜVENLİĞİ GENEL GÜVENLİK 1. GİRİŞ Bu doküman Internet Information Services 6.0 (IIS 6.0) servisi ile sunulan web sunucularının güvenliği konusundadır. 1.1 Amaç ve Kapsam Bu doküman sayesinde IIS 6.0 kullanılan sistemlerde web servisinin güvenli kurulum, yapılandırma ve bakımını sağlayacak bilgiler anlatılmıştır. Genel Güvenlik, Kurulum ve Konfigürasyon Güvenliği ve Destekleyici Güvenlik Ayarları olarak üç ana başlık altında konu incelenmiştir. 1.2 Hedeflenen Kitle Doküman içeriği web güvenliği ile ilgilenen herkese yardımcı olabilecek bilgiler içermektedir. 1.3 Kısaltmalar UEKAE DNS IIS WEBDAV ASP WWW DMZ IP IPSEC AH MMC NTFS SSL IWAM SMTP : Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü : Domain Name Service : Internet Information Service : Web Distributed Authoring and Versioning : Active Server Pages : World Wide Web : Demilitarized Zone : Internet Protocol : Internet Protocol Security : Authentication Header : Microsoft Management Console : New Technology File System : Secure Socket Layer : Internet Server Web Application Manager : Simple Mail Transfer Protocol 6 TÜBİTAK UEKAE
GENEL GÜVENLİK MICROSOFT WEB SUNUCU (IIS 6.0) GÜVENLİĞİ HTTP FTP NNTP ISM : Hypertext Transfer Protocol : File Transfer Protocol : Net News Transfer Protocol : Internet System Manager LM/NTLM : LAN Manager/ Windows NT LAN Manager 2. GENEL GÜVENLİK 2.1 Sunucu Fiziksel Güvenliği Gerekli fiziksel ve çevresel güvenliğin sağlanmış olması gerekmektedir. Sunucunun bulunduğu odaya girişler önceden belirlenmiş yetkilendirme kurallarına göre yapılmalı ve bunların kayıtlarının tutulması gerekmektedir. Sunucunun çalışmasını olumsuz etkileyecek çevresel faktörlerin (sıcaklık, toz, nem, elektrik kesintileri) istenilen seviyelerde kalması sağlanmalıdır. 2.2 Windows İşletim Sistemi Güvenliği Web servisinin kurulu olduğu işletim sisteminin sıkılaştırmalarının yapılmış olması gerekmektedir. 2.3 Topoloji Güvenliği ve Etki Alanı Üyeliği Web sunucular en çok saldırıya maruz kalan sunuculardır. Web sunucunun topolojideki yeri ve etki alanı üyeliği önemle değerlendirilmelidir. Özel bir sebep dışında, internete hizmet veren ve üzerindeki kritik veritabanı bilgisi olmayan web sunucuların DMZ bölgesinde yer almaları ve etki alanına üye olmamaları gerekmektedir. İç ağda bulunan sunucular ise eğer gerekli ise etki alanına alınmalıdır. Etki alanı üyesi bir sunucunun ele geçirilmesi saldırganın diğer sunuculara sıçramasını kolaylaştıracaktır. Güvensiz Ağ Kullanıcı Web Sunucu Guvenlik Duvarı Şekil 1 İç ağdaki web sunucu topolojisi TÜBİTAK UEKAE 7
MICROSOFT WEB SUNUCU (IIS 6.0) GÜVENLİĞİ GENEL GÜVENLİK Kullanıcı Directory server Guvenlik Duvarı Güvensiz Ağ Web Sunucu Şekil 2 - İnternet hizmeti veren web sunucu topolojisi 2.4 Ağ Kartları Hizmet Bağlanımları Bir ağ hizmeti bağlanımı kaldırılamasa bile bir ağ kartı için etkisiz hale getirilebilir. Çoğu zaman ağ hizmetleri kendisine bağımlı olan başka hizmetler kullanıldığı için kaldırılamamaktadır. Bu durumda hizmetin durması ama belli bir ağ kartı için etkisiz olması için ilgili ağ kartının özellikleri penceresinde gereksiz hizmetler etkisiz hale getirilmelidir. Özellikle İnternet ten erişim olan ve etki alanına üye olmayan sunucularda ilgili ağ kartında Client for Microsoft Networks ve File and Printer Sharing for Microsoft Networks hizmetleri etkisiz olmalıdır. 8 TÜBİTAK UEKAE
GENEL GÜVENLİK MICROSOFT WEB SUNUCU (IIS 6.0) GÜVENLİĞİ Şekil 3 - Ağ kartları hizmet bağlanımları menüsü 2.5 Diğer Sunucularla İletişim Sunucu önemli bilgi alışverişi yaptığı diğer sunucuların kimliklerini doğruluyor olmalıdır. Örneğin veritabanına bilgi yollayan bir web sunucu karşıdaki sunucunun gerçek sunucu olduğundan emin olmazsa IP spoofing saldırısına maruz kalabilir. Bu durumda web sunucu aracılığı ile yanlış bilgiler yollanabilir ya da ele geçirilmemesi gereken bilgiler elde edilebilir. Kimlik doğrulama için Kerberos, IPSEC AH ya da başka bir mekanizma kullanılabilir. IPSEC in etkin olup olmadığını tespit etmek için ipsecmon.exe programı kullanılabilir ve MMC aracılığı ile IPSec filtrelerinin etkin olup olmadığı tespit edilebilir. TÜBİTAK UEKAE 9
MICROSOFT WEB SUNUCU (IIS 6.0) GÜVENLİĞİ GENEL GÜVENLİK Şekil 4 - IPSEC politikaları menüsü 3. KURULUM VE KONFİGÜRASYON GÜVENLİĞİ 3.1 İlgili IIS Servislerin Seçimi IIS kurulumu yapılırken IIS kurma amacına göre sadece gerekli hizmetler seçilerek kurulum yapılmalıdır. IIS hizmetleri aşağıdaki gibidir: World Wide Web (WWW) Servisi: Web Sayfalarının sunulmasını sağlar. File Transfer Protokolü (FTP) : Dosya transferi yapmaya yarar. Simple Mail Transfer Protocol (SMTP): Mail alış-verişi yapmayı sağlar. Network News Transfer Protocol (NNTP) : USENET başta olmak üzere haber sunucularından mesaj almaya ve göndermeye yarar. 10 TÜBİTAK UEKAE
KURULUM VE KONFİGÜRSAYON GÜVENLİĞİ MICROSOFT WEB SUNUCU (IIS 6.0) GÜVENLİĞİ Şekil 5 - IIS manager ana menüsü 3.2 Kurulumla Gelen Tehlikeli Dosyalar IIS in kurulumu ile gelen bir takım tehlikeli dosyalar vardır. Bu dosyalar saldırı yüzeyinin artmasına neden olmaktadır. Kurulumdan sonra silinmeleri veya erişimlerinin engellenmeleri sağlanmalıdır. Ayrıca web sunucuda yazılım geliştirme takımları da olmamalıdır. Tehlikeli dosyalar şunlardır: C:\Inetpub\iissamples C:\Inetpub\AdminScripts %SystemRoot%\help\iishelp %SystemRoot%\web\printers 3.3 NTFS Yetkilendirme Sunulan dosyaların NTFS erişim denetim listeleri dosyaya erişimi düzenleyen nihai mekanizmadır. IIS aracılığı ile gelen istekler kullanılan kimlik doğrulama yöntemine göre (ya kullanıcının kendi hesabı ile (Integrated Windows Authentication) ya da IUSR kullanıcısı ile (anonim erişim)) belli bir Windows hesabı ile dosya kaynaklara erişir. İçerik dosyalarının erişim denetim listeleri kullanıcıya gerektiğinden daha fazla bir yetki vermeyecek şekilde ayarlanmış olmalıdır. Örneğin Everyone:Allow:Full Control hiçbir şekilde olmaması gereken bir haktır. Ekstra bir önlem olarak IUSR kullanıcısına (veya bu ve benzeri anonim kullanıcıları barındıran bir güvenlik grubuna) yazma için Deny verilebilir. TÜBİTAK UEKAE 11
MICROSOFT WEB SUNUCU (IIS 6.0) GÜVENLİĞİ KURULUM VE KONFİGÜRSAYON GÜVENLİĞİ İçerik dosyalarının tamamı için NTFS erişim denetim listeleri gözden geçirilmeli ve kullanıcılara mümkün olan en az haklar verilmelidir. 3.4 Metabase Ayarları Metabase IIS in yapılandırma ayarlarının tutulduğu veritabanıdır. (%SystemRoot%\System32\inetsrv\MetaBase.xml ve %SystemRoot%\System32\inetsrv\MBSchema.xml. Ayrıca aynı dizin altında Metaback ve History dizinleri altında yedekleri ve geçmişi tutulmaktadır) Bu dosyaların fiziksel güvenliği önemlidir. Metabase ile ilgili alınması gereken önlemler: Dosyanın ve Metaback dizininin NTFS erişim denetim listeleri sadece Administrator ve SYSTEM erişebilecek şekilde olmalıdır. Sistemde mevcutsa metaedit.exe, metautil.dll ve iissync.exe (cluster olmaması durumunda) dosyaları kaldırılmalıdır. 3.5 IUSR_MakineAdı Kullanıcı Ayarları IUSR_MakineAdı hesabı kimlik bilgisi sağlamayan istemcilerin IIS tarafında ilişkilendirildikleri kullanıcı hesabıdır. Bu hesabın şifresi değiştirilemiyor olmalıdır ve kullanıcının yetkisini artıracak hiçbir güvenlik grubuna üye olmamalıdır. IUSR_MakineAdı (ya da anonim erişimde kullanılan her bir hesap) için Local Users and Groups ek bileşeninden ilgili kullanıcı seçilir ve Properties ine bakılır. General sekmesinde User cannot change password ve Password never expires ayarları seçilmiş olmalıdır. Member Of sekmesinden üyesi olduğu gruplar incelenir. Guests grubu bulunmamalıdır. Üyesi olduğu gruplar kullanıcının yetkisini artırmamalıdır. 3.6 İçerik Dosyalarının Konumu İçerik dosyaları işletim sisteminin bulunduğu sabit disk bölmesinden farklı bir dizinde bulunmalıdır. İçerik dosyaları işletim sistemi ile aynı dizinde bulunduğunda bir açıklık kullanılarak sistem dosyalarına erişim ihtimali artmaktadır. Ayrıca içerik dosyalarının bulunduğu sabit disk bölmelerinin biçimi erişim denetimi sağlayabilmek için mutlaka NTFS olmalıdır. 12 TÜBİTAK UEKAE
KURULUM VE KONFİGÜRSAYON GÜVENLİĞİ MICROSOFT WEB SUNUCU (IIS 6.0) GÜVENLİĞİ Şekil 6 - İçerik dosyalarının konumu Internet Services Manager (ISM) ek bileşenindeki her bir web sayfası için Home Directory sekmesinden içerik dosyalarının konumu öğrenilir. İçerik dosyaları işletim sisteminin kurulu olduğu sabit disk bölmesinden farklı olmalıdır. Bu disk bölmeleri incelenmelidir. Biçimi NTFS olmalıdır ve bu sabit disk bölmesinde saldırganların işine yaraması muhtemel çalıştırılabilir dosyalar veya betikler bulunmamalıdır. 3.7 İnternetten Yazıcılara Erişim Desteği IIS üzerinden sunucu üzerinde tanımlı yazıcılara erişmek, yönetmek ve çıktı almak mümkündür (IPP: Internet Printing Protocol). Bunun için kurulum ile gelen örnek uygulama da vardır. İnternetten yazıcılara erişim yapıldığında istek msw3prt.dll dosyasına yönlendirilmektedir. msw3prt.dll dosyasında saldırganın istediği kodu çalıştırmasını sağlayan bir bellek taşması açıklığı olduğu bilinmektedir (KB296576). Yama ile bu açıklık kapatılmış olsa bile yeni açıklıklar çıkabilir. Herhangi bir yazıcı tanımlı olmasa bile bu desteğin bulunması risk teşkil etmektedir. Bu yüzden kullanılmadığı takdirde bu desteğin kaldırılması gerekmektedir. [1] Eğer bu destek kullanılıyorsa ilgili yama (KB296576) yapılmalıdır. TÜBİTAK UEKAE 13
MICROSOFT WEB SUNUCU (IIS 6.0) GÜVENLİĞİ KURULUM VE KONFİGÜRSAYON GÜVENLİĞİ Destek kullanılmıyorsa kaldırmak için kütükte bu desteğe yasak getirilmelidir (HKLM\Software\Policies\Microsoft\WindowsNT\Printers anahtarının altındaki DisableWebPrinting değeri 1 yapılmalıdır). 3.8 WebDAV Desteği WebDAV (Web Distributed Authoring and Versioning) http protokolünün genişletilmiş halidir. Http protokolünde olmayan silme, yazma, ismini değiştirme gibi dosya düzenlemeye yönelik komutlar içermektedir. WebDAV bir açıklık değildir fakat kimlik doğrulama ve yetkilendirme ayarlarının doğru yapılmadığı durumlarda riski artırmaktadır. WebDAV hizmetini veren dll de geçmişte açıklıklar (CVE-2001-0151, CVE-2001-0508, CVE- 2001-508, CAN-2002-1182, CAN-2003-0226) çıkmıştır. Kullanılma ihtiyacı yoksa mutlaka etkisiz hale getirilmelidir. Etkisiz hale getirmek için IIS Manager ek bileşeninde Web Service Extension altında WebDAV yasaklanmalıdır. Şekil 7 - WEB Servis extentions menüsü 3.9 Remote Data Services Desteği Remote Data Services desteği istemcinin IIS üzerinden veritabanı tablolarına erişmesini ve işlem yapmasını sağlamaktadır. RDS in bir özellik olmakla birlikte doğru kimlik doğrulama ve yetkilendirme yapılmadığında önemli bilgiye erişim ve değiştirme riskini önemli ölçüde artırmaktadır ve geçmişte açıklıklar (CAN 2002 1142, CVE 1999 1011) çıkmıştır. 14 TÜBİTAK UEKAE
KURULUM VE KONFİGÜRSAYON GÜVENLİĞİ MICROSOFT WEB SUNUCU (IIS 6.0) GÜVENLİĞİ Eğer RDS desteği kullanılmıyorsa HKLM\System\CurrentControlSet\Services\W3SVC\ Parameters anahtarı altındaki ADCLaunch değeri silinerek etkisiz hale getirilmelidir. [2] Şekil 8 - RDS desteğinin gösterimi 3.10 Kimlik Doğrulama Kimlik doğrulamada kullanılan yönteme (anonim erişim, Basic, Digest, Integrated Windows veya form tabanlı) uygun olarak kimlik doğrulamada kullanılan kullanıcı adı ve şifresini korumaya yönelik gerekli önlemlerin alınmış olması gerekir. Alınması gereken önlemler: Basic ve Digest kimlik doğrulama yöntemleri için SSL zorunlu olmalıdır çünkü Basic kimlik doğrulama yönteminde şifreler açık gitmektedir ve Digest kimlik doğrulama yönteminde şifrelerin MD5 özeti gönderilmektedir. Integrated Windows kimlik doğrulama etkinse karşılıklı kimlik doğrulama yapan iki bilgisayarın işletim sistemlerine bağlı olarak LM, NTLM, NTLMv2 ve Kerberos kullanılabilmektedir. LM ve NTLM kullanımı güvenlik politikalarından kapatılmış olmalıdır çünkü bu yöntemlerde kullanılan özetleme algoritmaları zayıftır. (Bunun için Local Security Policy ek bileşeninde Local Policies>Security Options>Network Security: LAN Manager Authentication Level seçeneği Send NTLMv2 response only\refuse LM & NTLM olmalıdır.) Form tabanlı kimlik doğrulama var ise SSL zorunlu olmalıdır. TÜBİTAK UEKAE 15
MICROSOFT WEB SUNUCU (IIS 6.0) GÜVENLİĞİ KURULUM VE KONFİGÜRSAYON GÜVENLİĞİ SSL kullanılan durumlarda anahtar uzunluğu olarak 128 bit zorunlu olmalıdır. Şekil 9 - Yetkilendirme metotları menüsü Şekil 10 - SSL güvenli iletişim menüsü 16 TÜBİTAK UEKAE
KURULUM VE KONFİGÜRSAYON GÜVENLİĞİ MICROSOFT WEB SUNUCU (IIS 6.0) GÜVENLİĞİ 3.11 IIS Yetkilendirmesi Sunulan dosyalara erişimi düzenleyen ilk katman IIS in yetkilendirme ayarlarıdır. IIS üzerinden Read, Write, Script Source Access ve Directory Browsing hakları istenilen kaynağa ayrı ayrı verilebilmektedir. Write, Script Source Access ve Directory Browsing hakları gerekmedikçe verilmemelidir. Write hakkı ilgili kaynağa istemcinin yazmasına izin vermektedir. NTFS hakları da yazmaya izin veriyorsa işlem gerçekleşir. Script Source Access hakkı sunucu tarafında çalışan betiklerinin kodunun istemciye gönderilmesine izin vermektedir. Kod içinde bulunan bağlantı bilgilerinin (veya diğer önemli bilgilerin) ve kodda bulunan açıklıkların öğrenilmesine yol açar. Directory Browsing hakkı istemciye bir içerik dosyasının değil, içeriğin bulunduğu dizinin yapısının gösterilmesine izin verir. İstemcinin görmemesi gereken dosyalara erişimine yol açabilir. Şekil 11 - Web sayfası IIS izinleri TÜBİTAK UEKAE 17
MICROSOFT WEB SUNUCU (IIS 6.0) GÜVENLİĞİ KURULUM VE KONFİGÜRSAYON GÜVENLİĞİ 3.12 Uygulama Çalıştırma Yetkileri Uygulama çalıştırma yetkileri o uygulama için çalıştırılabilecek dosya türlerini belirler. Bu haklar None, Scripts ve Scripts and Executables dır. None seçildiğinde hiçbir çalıştırılabilir dosya ve betik sunucu üzerinde çalıştırılmaz ve istemciye veri dosyası olarak yollanır. Eğer Scripts seçili ise betiklerin sunucuda çalıştırılmasına izin verilir. Çalıştırılabilir dosyalar veri dosyası olarak istemciye yollanır. Eğer Scripts and Executables seçilirse hem betikler hem de çalıştırılabilir dosyalar sunucuda çalıştırılır. İçerik dosyalarının tipine uygun olarak çalıştırma hakları düzenlenmelidir. Böylece saldırganın bir uygulamada açıklık bulması durumunda bu açıklığı kullanarak sunucuda bir kod çalıştırması engellenebilir. Şekil 12 - IIS çalıştırma izinleri 18 TÜBİTAK UEKAE
KURULUM VE KONFİGÜRSAYON GÜVENLİĞİ MICROSOFT WEB SUNUCU (IIS 6.0) GÜVENLİĞİ 3.13 IP ile Erişimin Kısıtlanması İnternetten erişilen sunucular için önemli bir risk kaynağı otomatik olarak yayılan virüsler, solucanlar ve bilinen açıklıkları bilmeden kullanan saldırganlardır. Bu saldırılar genelde bir sunucuya özel değildir ve IP aralıklarının belli açıklıklar için taranmasıyla gerçeklenirler. Eğer sunucuya IP ile erişilmesi engellenirse bu tür tehditlerden otomatik olarak etkisini yitirir. Host Headerlar http paketlerinin içinde bulunan istemcinin tarayıcısının adres çubuğuna yazdığı (erişmek istediği) web sayfasının adresidir. Host Headerlar kullanılarak bir sunucuda birden fazla web sayfası yayınlanabilir. İstemcilerden gelen istekler istenilen web sayfasına yönlendirilir. IP ile olan erişimler varsayılan web sayfasına yönlendirilir. Internet Services Manager ek bileşeninde bir sayfanın özellikleri penceresinde Web Site sekmesinde Advanced düğmesi ile Advanced Web Site Identification penceresi açılır. IP Address olarak Default ve TCP Port olarak 80 girilmiş olan ve hiçbir Host Header tanımlanmamış olan sayfa varsayılan sayfadır. Asıl sayfalara Host Header ile ulaşılması için gerekli ayarlar yapılmalı ve varsayılan sayfa etkisiz hale getirilmelidir. Tuzak sayfa olmaması bir açıklık olmasa da riski önemli ölçüde artırmaktadır. Şekil 13 - IP adresi ve başlık tanımlama menüsü TÜBİTAK UEKAE 19
MICROSOFT WEB SUNUCU (IIS 6.0) GÜVENLİĞİ KURULUM VE KONFİGÜRSAYON GÜVENLİĞİ 3.14 Bağlantı Sayısı Bağlantı sayısının sınırlandırılması gerekir. Sınırsız sayıda bağlantı açmaya izin verilmesi aşırı yükleme yoluyla servis dışı bırakma saldırılarını kolaylaştırır. Bağlantı sayısı sitenin erişim istatistiklerine göre (örneğin anlık maksimum bağlantı sayısının %50 fazlası) sınırlanmalıdır. Sınırlama yapmak için her bir sayfa için sayfanın özellikleri açılır ve Performance sekmesinde Web Site Connections ayarı yapılır. Şekil 14 - Performans menüsü 20 TÜBİTAK UEKAE
KURULUM VE KONFİGÜRSAYON GÜVENLİĞİ MICROSOFT WEB SUNUCU (IIS 6.0) GÜVENLİĞİ 3.15 ISAPI Uzantıları ISAPI uzantıları eşleştirmeleri IIS in belli bir dosya türü (dosya uzantısına göre belirlenir) istendiğinde çağırılacak programın tanımlanmasıdır. Örnek olarak.asp ISAPI uzantısı asp.dll ile ilişkilendirilmiştir. Bu uzantıda bir dosya istendiğinde IIS istemciye gösterilecek HTML sayfasını gösterme işini asp.dll dosyasını devreder. Asp.dll den dönen sayfa kullanıcıya gönderilir. Kurulumla beraber birçok dll yüklenmekte ve ISAPI uzantısı ilişkilendirmeleri yapılmaktadır fakat bunların büyük çoğunluğu hiçbir zaman kullanılmamaktadır. Bu kullanılmayan dll lerden herhangi birinde çıkan bir açıklık sistemi tehdit etmektedir. Örneğin Code Red solucanı Index Server DLL sindeki (idq.dll) hafıza taşma açıklığını kullanarak yayılmıştır (KB300972). Bu yüzden kullanılmayan ISAPI uzantıları kaldırılmalıdır. [3] ISAPI uzantısı eşleştirmelerini kaldırmak için kaldırılacak sayfanın özellikleri açılır ve Home Directory sekmesinde Configuration düğmesine basılır. Gelen penceresinin App Mappings sekmesinde kullanılmayan uzantılar kaldırılmalıdır. ISAPI uzantıları için ayrı ayrı http metotları tanımlanabilmektedir. Örnek olarak varsayılan olarak.asp uzantısı için GET, HEAD, DEBUG ve TRACE metotları tanımlıdır. Bunların dışındaki komutlara cevap verilmemektedir. Bu komutlardan kullanılmayanlar da riski azaltmak için kaldırılmalıdır. Özellikle TRACE komutu geliştirme ortamlarında faydalıdır ama hizmeti veren sunucuda kullanılmaz. Kaldırmak için kaldırılacak sayfanın özellikleri açılır ve Home Directory sekmesinde Configuration düğmesine basılır. Gelen penceresinin App Mappings sekmesinde ilgili uzantı seçilir ve çift tıklanır. Verbs bölümündeki metotlardan gereksiz olanlar silinir. TÜBİTAK UEKAE 21
MICROSOFT WEB SUNUCU (IIS 6.0) GÜVENLİĞİ KURULUM VE KONFİGÜRSAYON GÜVENLİĞİ Şekil 15 - ISAPI uzantıları menüsü 3.16 ISAPI Süzgeçleri ISAPI süzgeçleri IIS e gelen verileri işleyen ve IIS e gönderen programlardır. Örneğin paketlerin SSL ile şifrelenmesi ya da MD5 özetlerinin çıkarılması ISAPI süzgeçlerinin görevidir. ISAPI uzantılarında olduğu gibi saldırı yüzeyini genişletirler. Eğer kullanılmıyorlarsa kaldırılmalıdırlar. Bu programlar IIS ile aynı hafıza alanında çalışırlar ve olabilecek bir saldırıda web hizmetinin durması ya da saldırganın IIS in çalışma hakları ile (genellikle SYSTEM) sisteme girmesine yol açabilirler. ISAPI süzgeçlerini kaldırmak için Internet Services Manager ek bileşeninde sunucunun özellikleri açılır ve Master Properties alanında WWW Service seçiliyken Edit düğmesine basılır. ISAPI Filters sekmesinde öncelik sırasıyla süzgeçler bulunmaktadır. md5filt, Digest kimlik doğrulamasında kullanılır. fpexedll.dll ise Frontpage Extensions için kullanılmaktadır. Güvenlikle ilgili bir ISAPI süzgeci URLSCAN dir. Bu süzgeç normalde kurulu değildir. Sunucuya gelen istekleri yapılandırma dosyasındaki kurlarla göre inceler ve izin verilmeyen bir istekleri IIS e vermeden düşürür. Böylece birçok saldırı daha IIS e gelemden engellenmiş olur. URLSCAN aracı IISLockDown aracının bir parçasıdır. Kurulmalıdır ve sayfaya özgü yapılandırması yapılmalıdır. [4] 22 TÜBİTAK UEKAE
KURULUM VE KONFİGÜRSAYON GÜVENLİĞİ MICROSOFT WEB SUNUCU (IIS 6.0) GÜVENLİĞİ Şekil 16 - ISAPI süzgeçleri menüsü 3.17 Kayıt Tutma Önemli varlıklar üzerindeki olaylar ile başarısız her türlü olayın kaydının tutulması önemlidir. Kayıt tutulması bir olay durumunda iz takibi yapılmasına olanak verir. Kayıt tutmak için NTFS in kayıt mekanizmaları ile IIS in kayıt mekanizmaları beraber kullanılmalıdır. İçerik dosyalarının tümü için NTFS kayıt tutma etkin hale getirilmelidir. En azından başarısız bütün erişimlerin ve başarılı yazma, izin değiştirme ve sahipliğini alma işlemlerinin kaydının tutulmalısı gereklidir. Bu kayıtlar Security kayıtlarına düşmektedir. TÜBİTAK UEKAE 23
MICROSOFT WEB SUNUCU (IIS 6.0) GÜVENLİĞİ KURULUM VE KONFİGÜRSAYON GÜVENLİĞİ Şekil 17 - Kayıt dosyaları denetleme ayarları SSL kayıtlarının düşmesi için HKLM\System\CurrentControlSet\Control\SecurityProviders \SChannel\EventLogging değeri en az 3 (tavsiye edilen) olmalıdır. IIS kayıt tutma mekanizması açık olmalıdır. Bunun için Internet Services Manager ek bileşeninde sunucunun özellikleri açılır ve Master Properties alanında WWW Service seçiliyken Edit düğmesine basılır. Web Site sekmesinin altında Enable Logging seçilmiş olmalıdır. Properties düğmesine basılarak gelen pencerede kayıtların ne sıklıkla alınacağı, nelerin kaydının tutulacağı ve kayıt dosyalarının nerede olacağı ayarlanmalıdır. Kayıtlar varsayılan konumda olmamalıdır (%SystemRoot%\system32\LogFiles). Kayıt dosyalarının kendileri üzerinde de NTFS denetlemesi açık olmalıdır. En azından başarısız erişimler denetlenmelidir. 24 TÜBİTAK UEKAE
KURULUM VE KONFİGÜRSAYON GÜVENLİĞİ MICROSOFT WEB SUNUCU (IIS 6.0) GÜVENLİĞİ Şekil 18 - Kayıt formatı ayarı Şekil 19 - Kayıt yeri ayarı TÜBİTAK UEKAE 25
MICROSOFT WEB SUNUCU (IIS 6.0) GÜVENLİĞİ KURULUM VE KONFİGÜRSAYON GÜVENLİĞİ Şekil 20 - Kayıt detayı ayarları 3.18 Uygulama Havuzları Uygulama havuzları uygulamaların çalıştığı hafıza alanını belirler. Bütün uygumlalar mutlaka bir havuzun içinde çalışırlar. Aynı havuzda çalışan farklı uygulamalar birbirlerini etkileyeceklerinden kritik uygulamalar için ayrı havuz oluşturulmalıdır. Uygulama havuzunu belirlemek için Internet Information Services Manager ek bileşeninde ilgili uygulamanın özellikleri penceresinde Home Directory sekmesinde Application Pool dan bir havuz seçilir. Olası havuzlara ek bileşendeki Application Pools bölümünden erişilebilir ve havuzun çalıştığı kullanıcı kimliği ve diğer seçenekler ayarlanabilir. 26 TÜBİTAK UEKAE
KURULUM VE KONFİGÜRSAYON GÜVENLİĞİ MICROSOFT WEB SUNUCU (IIS 6.0) GÜVENLİĞİ 3.19 Ana Dizin Desteği Ana dizin desteği sunucu tarafında çalışan dinamik kodlarının içinde.. kullanılmasına izin verir. Bu destek bazı sayfaların erişmemesi gereken dosyalara (kendi dizinlerinin üstündeki dizinler) erişimi sonucunu doğurabilmektedir. Ana dizin desteği diğer açıklıklar ile beraber kullanılabilmektedir. Desteği kaldırılmak için Internet Information Sevices Manager ek bileşeninde Web Sites ın özellikleri açılır. Home Directory sekmesindeki Configuration düğmesine basılır ve gelen penceredeki Options sekmesinde Enable Parent Paths seçeneği etkisiz kılınır. Şekil 21 - Ana dizin desteği menüsüne ulaşım TÜBİTAK UEKAE 27
MICROSOFT WEB SUNUCU (IIS 6.0) GÜVENLİĞİ KURULUM VE KONFİGÜRSAYON GÜVENLİĞİ Şekil 22 - Ana dizin desteği ayarı Ana dizin desteğinin kaldırılması bazı dinamik sayfalarda hatalara neden olacaktır. Kodların yeniden yazılması gerekmektedir. 4. DESTEKLEYİCİ GÜVENLİK AYARLARI 4.1 WWW Publishing Hizmetinin Hatadan Kurtarma Ayarları WWW Publishing hizmetinin hatadan kurtarma ayarı yapılmış olmalıdır. Örneğin ilk iki hatada hizmetin baştan başlatılması ve üçüncü hatada ise sunucunun baştan başlatılması uygundur. Sistem yöneticisine de bu arada e-posta ile haber verilebilir. Bu ayarın yapılmamış olması bir açıklık olmamakla birlikte yapılması sistem sürekliliğini artıracaktır. Bir hizmetin hatadan kurtarma ayarı Services ek bileşeninde ilgili servisin özellikleri penceresinde Recovery sekmesinde First Failure, Second Failure ve Subsequent Failures seçeneklerinden yapılır. 28 TÜBİTAK UEKAE
DESTEKLEYİCİ GÜVENLİK AYARLARI MICROSOFT WEB SUNUCU (IIS 6.0) GÜVENLİĞİ Şekil 23 - WWW publishing hizmeti hatadan kurtarma ayarı 4.2 Endeksleme Hizmeti Indexing hizmeti dinamik sayfaların kodları da dâhil olmak üzere bilgiyi dışarıya sızdırmaktadır. Add / Remove Programs kullanılarak Indexing Service sistemden kaldırılmalıdır. Eğer sayfada arama yaptırmak isteniyorsa başka bir yazılım kullanılmalıdır. TÜBİTAK UEKAE 29
MICROSOFT WEB SUNUCU (IIS 6.0) GÜVENLİĞİ DESTEKLEYİCİ GÜVENLİK AYARLARI Şekil 24 - Endeksleme hizmeti ayarı 4.3 Hassas Bağlantı Bilgileri Uygulamalar çoğu zaman veritabanlarına (ya da başka bir sunucuya) bağlanırlar. Bu bağlantılar için kullanılan kullanıcı adı ve şifresi hassas bilgidir. Bu bilgiler kodun içinde, global.asa(x) dosyasında,.inc dosyalarında, web.config dosyalarında,.udl dosyalarında ya da uygulamaya özel herhangi bir dosyada tutuluyor olabilir. Öncelikle bağlantı bilgileri kodun içinde bulunmamalıdır. Bulunduğu dosyanın NTFS erişim denetim listelerinde sadece bilgiyi okuyan uygulama kullanıcısına (IWAM, SYSTEM) okuma hakkı verilmelidir. Böylece bu hassas bilgilere http dışındaki yöntemlerle ((salt okunur) paylaşım açılması, sunucuya etkileşimli olarak giriş yapılması vs.) erişilmesinin önüne geçilmiş olur. Prensip olarak bu dosyaların adı tahmin edilecek biçimde (örneğin conn.inc, connection_string.txt, connection.asp vs.) olmamalıdır. 30 TÜBİTAK UEKAE
DESTEKLEYİCİ GÜVENLİK AYARLARI MICROSOFT WEB SUNUCU (IIS 6.0) GÜVENLİĞİ 4.4 İlgili Yazılımlar 4.4.1 IIS LockDown Gereksiz servislerin kapatılmasını, Kullanılmayan dosya bağlantılarının koparılmasını, Örnek betiklerin ve bulundukları dizinlerin bağlantılarının koparılmasını, Kritik dosya paylaşım izinlerinin ayarlanmasını, WebDAV erişim izinlerinin düzenlenmesini sağlar. 4.4.2 URLScan Bu yazılım sayesinde sunucuya gelen http istekleri üzerinde belli kriterlere göre kısıtlamalar yapılması sağlanır. Bu işlem bazı zararlı isteklerin sunucuya erişmeden engellenerek güvenlik seviyesini arttırmaktadır. [5] 4.4.3 IIS Diagnostics Toolkit Çalışan sistem hakkında sorun giderme ve iyileştirme gibi amaçlar için kullanılan araçlardır. Güvenlik: Yetkilendirme, SSL Konfigurasyonu, Sertifikalar Debugging: İşlem asmaları, Hafıza taşmaları Email: DNS konfigürasyon hataları, SMTP nakil problemleri HTTP Request & Responses Log parsing: Site kayıt dosyaları, HTTP hata kayıtları, Olay Günlüğü erişimleri 4.4.4 IIS 6.0 Resource Kit Tools Resource Kit içersindeki yazılımlar IIS Sunucusunun güvenli hale getirilmesinde, yönetiminde ve bakımında yardımcı olmaktadırlar. Bu araçlar kayıt dosyalarında aramalar yapmak, SSL sertifikaları yüklemek, sayfaya göre yetkilendirme, izinlerin kontrolü, problem giderme, sunucu içeriğinin başka sunucuya aktarılması, stres testleri yapmak gibi işlemlere olanak sağlar. TÜBİTAK UEKAE 31
MICROSOFT WEB SUNUCU (IIS 6.0) GÜVENLİĞİ KAYNAKÇA KAYNAKÇA [1 ] The TechCENTER http://www.iis.net/default.aspx?tabid=2 [2 ] Web Checklist IIS Version 6 Release 1.7 http://iase.disa.mil/stigs/checklist/index.html [3 ] IIS 6.0 Security http://www.securityfocus.com/infocus/1765 [4 ] Security in IIS 6.0 http://www.microsoft.com/windowsserver2003/iis/default.mspx [5 ] National Checklist Program - Checklist Summary #98: Web IIS Checklist http://nvd.nist.gov/chklst_detail.cfm?config_id=98 32 TÜBİTAK UEKAE