تور لحظه آخری
امروز : پنجشنبه ، 15 آذر 1403    احادیث و روایات:  امام علی (ع):شتاب کردن در کاری پیش از بدست آوردن توانایی و سستی کردن بعد از به دست آوردن فرصت...
سرگرمی سبک زندگی سینما و تلویزیون فرهنگ و هنر پزشکی و سلامت اجتماع و خانواده تصویری دین و اندیشه ورزش اقتصادی سیاسی حوادث علم و فناوری سایتهای دانلود گوناگون شرکت ها

تبلیغات

تبلیغات متنی

صرافی ارکی چنج

صرافی rkchange

سایبان ماشین

دزدگیر منزل

اجاره سند در شیراز

قیمت فنس

armanekasbokar

armanetejarat

صندوق تضمین

Future Innovate Tech

پی جو مشاغل برتر شیراز

آراد برندینگ

خرید یخچال خارجی

موسسه خیریه

واردات از چین

حمية السكري النوع الثاني

ناب مووی

دانلود فیلم

بانک کتاب

دریافت دیه موتورسیکلت از بیمه

طراحی سایت تهران سایت

irspeedy

درج اگهی ویژه

تعمیرات مک بوک

دانلود فیلم هندی

قیمت فرش

درب فریم لس

زانوبند زاپیامکس

روغن بهران بردبار ۳۲۰

قیمت سرور اچ پی

خرید بلیط هواپیما

بلیط اتوبوس پایانه

تعمیرات پکیج کرج

لیست قیمت گوشی شیائومی

خرید فالوور

پوستر آنلاین

بهترین وکیل کرج

بهترین وکیل تهران

خرید اکانت تریدینگ ویو

خرید از چین

خرید از چین

تجهیزات کافی شاپ

ساختمان پزشکان

دوربین سیمکارتی چرخشی

همکاری آی نو و گزینه دو

کاشت ابرو طبیعی و‌ سریع

الک آزمایشگاهی

الک آزمایشگاهی

خرید سرور مجازی

قیمت بالابر هیدرولیکی

قیمت بالابر هیدرولیکی

قیمت بالابر هیدرولیکی

لوله و اتصالات آذین

قرص گلوریا

نمایندگی دوو در کرج

خرید نهال سیب

وکیل ایرانی در استانبول

وکیل ایرانی در استانبول

وکیل ایرانی در استانبول

رفع تاری و تشخیص پلاک

پرگابالین

دوره آموزش باریستا

مهاجرت به آلمان

بهترین قالیشویی تهران

بورس کارتریج پرینتر در تهران

تشریفات روناک

نوار اخطار زرد رنگ

ثبت شرکت فوری

تابلو برق

خودارزیابی چیست

 






آمار وبسایت

 تعداد کل بازدیدها : 1838105441




هواشناسی

نرخ طلا سکه و  ارز

قیمت خودرو

فال حافظ

تعبیر خواب

فال انبیاء

متن قرآن



اضافه به علاقمنديها ارسال اين مطلب به دوستان آرشيو تمام مطالب
archive  refresh

پيکربندی IIS با رعايت مسائل امنيتی ( بخش چهارم )


واضح آرشیو وب فارسی:راسخون:
پيکربندی IIS با رعايت مسائل امنيتی ( بخش چهارم )
پيکربندی IIS با رعايت مسائل امنيتی ( بخش چهارم ) آنچه تاکنون گفته شده است : بخش اول : پيکربندیIIS بخش دوم : نحوه تنظيم خصلت های متفاوت برنامه Internet Services Manager بخش سوم : روش های کنترل دستيابی به سرويس دهنده در بخش چهارم به بررسی نحوه تنظيم و پيکربندی سرويس وب خواهيم پرداخت . بمنظور پيکربندی وب سايت ، برنامه ISM را فعال و در ادامه بر روی وب سايت مورد نظر مستقر و با فشردن دکمه سمت راست موس ، گزينه Properties را انتخاب نمائيد . در ادامه جعبه محاوره ای مربوط به پيکربندی وب سايت نمايش و امکان انجام تنظيمات مورد نظر فراهم خواهد شد . در ادامه به تشريح هر يک از امکانات موجود در اين بخش خواهيم پرداخت .Web site Tab :در اين بخش می توان تنظيمات زير را انجام داد : • Web site Identification . در اين بخش می توان يک مشخصه ( نام نسبت داده شده به وب سايت قابل استفاده در زمان نمايش درخت ISM ) را برای وب سايت تعريف نمود. همچنين در اين بخش می توان آدرس IP مربوط به اينترفيس کارت شبکه مسئول پاسخگوئی به سايت ، يک پورت TCP و پورت SSL را مشخص نمود. در بخش Advanced options ، می توان چندين نام domain و يا host header را به يک آدرس IP ، نسبت داد ( mapping ) . • Connections . گزينه فوق، امکان اعمال محدوديت در رابطه با تعداد دستيابی همزمان به يک وب سايت را فراهم می نمايد . با استفاده از گزينه های موجود در اين بخش می توان، يک زمان Timeout را مشخص کرد. پيشنهاد می گردد ، گزينه فوق انتخاب و مقدار مورد نظر به آن نسبت داده شود تا پيشگيری لازم در خصوص تهاجم اطلاعاتی از نوع غير فعال کردن سرويس ، ايجاد گردد.• Enable Logging .پيشنهاد می گردد که گزينه فوق ، فعال گردد. پس از فعال شدن گزينه فوق،اطلاعات مربوط به ملاقات کنندگان سايـت،ثبت خواهد شد. Operators Tab. در اين بخش می توان تنظيمات زير را انجام داد : • Web Site Operators . از امکانات موجود در اين بخش می توان بمنظور مشخص نمودن گروه / کاربران مورد نظر ، جهت مديريت وب سايت، استفاده کرد. Account فوق ، می بايست يک گروه باشد ( در صورتيکه سرويس دهنده در يک domain باشد ) . account های موجود در گروه ضرورتی به دارا بودن مجوزهای مديريتی نخواهند داشت . اپراتورها ، صرفا" قادر به اعمال تغييرات در رابطه با خصلت هائی می باشند که محدوده اثر آنان همان وب سايت ، خواهد بود . اين نوع کاربران قادر به دستيابی به خصلت هائی که مربوط به عملکرد تمام IIS ،سرويس دهنده ويندوز 2000 که IIS را ميزبان نموده و يا شبکه ای که سيستم بر روی آن اجراء می گردد ، نخواهند بود. نمونه عملياتی را که يک اپراتور وب می تواند انجام دهد ، عبارتند از : - مديريت محتويات وب ( تغيير ، اضافه و حذف ) - فعال نمودن Logging - تغيير اسناد پيش فرض وب - تنظيم مجوزهای دستيابی سرويس دهنده وب کاربرانی که عضوء گروه Administrators ويندوز 2000 می باشند ، قادر به انجام عمليات مرتبط با IIS ، زير خواهند بود : - تغيير در ايزولاسيون برنامه ( جدا سازی برنامه ) - ايجاد دايرکتوری های مجازی و يا تغيير مسير آنان - تغيير نام و رمز عبور Anonymous - تغيير مشخصه و يا پيکربندی يک وب سايـت Home Directory Tab با استفاده از امکانات موجود در اين بخش می توان ، تنظيمات متعددی را انجام داد . تنظيمات مربوط به کنترل عرضه محتويات وب ، مجوزهای دستيابی ، پيکربندی و اشکال زدائی ASP ، نمونه هائی در اين زمينه می باشند. تمامی تنظيمات مرتبط با امنيت از طريق A directory located on this computer ، پوشش داده می شوند. Access Permissions . مجموعه مجوزهای موجود در اين محل می بايست با مجوزهای NTFS مطابقت نمايند . عمليات مربوط به پيکربندی دايرکتوری ها و تعريف مجوزهای مناسب برای سايت ها ، با عنوان :" عمليات قبل ازنصب " در بخش اول اين مقاله اشاره گرديد .کنترل محتويات : در اين رابطه می توان تنظيمات زيررا انجام داد : • Script Source access . با انتخاب گزينه فوق ، کاربران قادر به دريافت فايل های Source خواهند بود. در صورتيکه گزينه Read انتخاب گردد ، کاربران قادر به خواندن Source و در صورتيکه Write انتخاب گردد ، امکان بازنويسی Source در اختيار کاربران قرار خواهد گرفت . Script Source access ، شامل دستيابی به Source اسکريپت ها نظير اسکريپت های استفاده شده در يک برنامه ASP است . پيشنهاد می گردد ، گزينه فوق به همان صورت پيش فرض ( انتخاب نشده ) باقی بماند . ويژگی فوق، صرفا" در زمانيکه قصد نشر و ارائه اطلاعات از راه دور را داشته باشيم ، مفيد و ضروری خواهد بود ( نظير WebDAV ) • Directory browsing . با انتخاب گزينه فوق ، ليستی از دايرکتوری ها و فايل های موجود بر روی سيستم بصورت hypertext ، برای کاربران نمايش داده خواهد شد.پيشنهاد می شود ، گزينه فوق فعال نگردد. • Log visits . پيشنهاد می گردد ، گزينه فوق فعال باشد( بصورت پيش فرض فعال است) . با فعال شدن گزينه فوق ، اطلاعات مربوط به تمامی کاربران ( ملاقات کنندگان سايت ) ثبت خواهد شد. - Application Settings . يک برنامه ، دايرکتوری ها و فايل های موجود بهمراه يک دايرکتوری است که نقطه شروع برنامه را مشخص می نمايد.در اين بخش می توان تنظيمات زير را انجام داد : • Application protection . گزينه فوق باعث ايزوله نمودن يک برنامه مبتنی بر وب از طريق استقرار آن در مکانی متمايز از ساير برنامه ها و سرويس دهنده وب ، می گردد . پيشنهاد می گردد ، مقدار گزينه فوق ، medium و يا high در نظر گرفته شود. در صورتيکه مقدار medium انتخاب گردد ، حفاظت اعمال شده باعث پيشگيری برنامه ها از مسائل بوجود آمده تصادفی و سهوی مرتبط با نرم افزار سرويس دهنده وب ، خواهد شد. در صورتيکه مقدار گزينه فوق ، high در نظر گرفته شود ، برنامه بطورکامل در فضائی جداگانه از حافظه اجراء و در اين حالت بر روی ساير برنامه ها تاثير نخواهد گذاشت . • Execute Permissions . تنظيمات موجود در اين بخش ، اجراء برنامه های موجود در دايرکتوری را کنترل می نمايند . در اين رابطه می توان از تنظيمات زير استفاده کرد : - none . باعث ممانعت در اجرای برنامه ها و يا اسکريپت ها می گردد .- Scripts . محدوديت اجراء در رابطه با اسکريپت ها اعمال خواهد شد ( انشعابات فايلی که قبلا" به برنامه های اسکريپت ، نسبت داده شده اند ) . دايرکتوری هائی که مجوز فوق ، به آنها داده می شود، می بايست ، امکان Read مربوط به کاربران ناشناس ( Anonymouse ) ، از آنها سلب گردد. در صورتيکه مجوز Read به account فوق ، داده شود، امکان مشاهده اطلاعات همراه در اسکريپت ها ، برای کاربران فراهم خواهد شد.( برخی از اطلاعات ممکن است حساس باشند نظير : رمز عبور ) - Scripts and Executables . گزينه فوق، امکان اجرای هر نوع برنامه ای ( اسکريپت و فايل های باينری نظير فايل های exe . و يا dll .) را فراهم می نمايد . در زمان واگذاری مجوز فوق ، می بايست حساسيت خاصی را مد نظر داشت . مجوز فوق، صرفا" می بايست در رابطه با دايرکتوری هائی واگذار گردد که از فايل های باينری موجود در آنان سرويس دهنده وب استفاده می نمايد. در صورتيکه کاربران سايت نيازمند مجوز فوق در رابطه با يک دايرکتوری خاص می باشند ، مطمئن شويد که آنان دارای مجوز write مربوط به NTFS در ارتباط با کاربران anonymous سايت مورد نظر نخواهند بود . مجوز فوق ، شرايط لازم برای استقرار کدهای اجرائی بر روی سرويس دهنده را فراهم و ممکن است کدهای فوق ، کدهای مخربی باشند که زمينه شروع يک تهاجم اطلاعاتی را فراهم نمايند.- Application Configuration . برای تنظيم جزئيات بيشتر مرتبط با برنامه ها ، می توان از امکان ( دکمه ) Configuration استفاده کرد . در ادامه يک جعبه محاوره ای جداگانه نمايش که دارای گزينه های :App Mappings , App Options , App Debugging و Process Options ( در صورتيکه مقدار High در رابطه با application protection انتخاب شده باشد ) . است .• App options Tab . از طريق امکانات موجود در اين بخش می توان ، اقدام به پيکربندی وب سايت ، دايرکتوری مجازی و level دايرکتوری نمود . - Enable session state و Session timeout . با انتخاب گزينه فوق ، ASP برای هر کاربری که به برنامه ASP دستيابی پيدا می نمايد يک Session ايجاد می نمايد . بدين ترتيب امکان تشخيص کاربر در بين چندين صفحه ASP موجود در برنامه ، فراهم می گردد . زمانيکه کاربر صفحه ای را درخواست ننمايد و يا صفحه را در مدت زمان تعريف شده ( Session timeout ) ، بازخوانی ( Refresh ) ننمايد ، Session متوقف خواهد شد . - با مقداردهی ASP Script timeout ، در صورتيکه يک اسکريپت در زمان تعريف شده اجرای خود را به اتمام نرساند ، يک entry در Event log ويندوز 2000 ايجاد و به اجرای اسکريپت خاتمه داده می شود . تنظيم مقدار Timeout باعث پيشگيری از بروز تهاجم اطلاعاتی از نوع غير فعال نمودن سرويس می گردد ( انکار سرويس ) - پيشنهاد می گردد ، گزينه Enable parent paths ، غير فعال باشد . بدين ترتيب اسکريپت های ASP امکان استفاده از مسيرهای Relative نسبت به دايرکتوری مادر دايرکتوری جاری را نخواهند داشت . ( گرامر " .. " ) . در صورتيکه دايرکتوری مادر امکان Execute را فراهم نموده باشد ، يک اسکريپت می تواند تلاشی را در جهت اجرای يک برنامه غير مجاز در دايرکتوری مادر ، آغاز نمايد.. • Process Options Tab . در اين رابطه گزينه Write Unsuccessful client requests to event log ( صرفا" در حالتيکه ايزولاسيون High در رابطه با حفاظت برنامه انتخاب شده باشد) ، ارائه خواهد شد . Documents Tab پيشنهاد می گردد ، مديريت سيستم ( شبکه ) همواره يک سند پيش فرض را مشخص تا تمامی کاربران در زمان دستيابی به سايت آن را مشاهده نمايند. بدين ترتيب از نمايش ناخودآگاه ساختار دايرکتوری ، پيشگيری بعمل می آيد . وضعيت فوق زمانی انجام خواهد شد که گزينه Directory browsing فعال شده باشد . Directory Security Tab خصلت های امنيتی را می توان در رابطه با وب سايت ، دايرکتوری ، دايرکتوری مجازی و يا Level فايل ، اعمال نمود. • Anonymous access and Authenticated access ، در رابطه با گزينه فوق در بخش دوم مقاله ، توضيحاتی ارائه گرديده است . • IP Address and Domain Name Restrictions ، مديران سيستم می توانند با استفاده از گزينه فوق ، کاربران مجاز به استفاده از وب سايت را بر اساس آدرس IP مربوطه ، مشخص نمايند. در اين رابطه دو گزينه ارائه می گردد : Granted Access و Denied Access . با انتخاب گزينه Gtanted Access ، تمامی کامپيوترها، مجاز به استفاده از منابع موجود بر روی سيستم خواهند بود بجزء آنهائيکه آدرس IP آنان مشخص شده است . Denied Access ، امکان دستيابی به منابع سيستم را صرفا" ( فقط) برای کامپيوترهائی که آدرس IP آنان مشخص شده است ، ميسر می سازد . در چنين حالتی درخواست های دريافتی از ساير کامپيوترها ، ناديده گرفته خواهد شد . زمانيکه آدرس های IP را مشخص می نمائيم ، دارای سه گزينه ديگر خواهيم بود: Single Computer ، در اين حالت مديريت شبکه ( سيستم ) صرفا" يک آدرس IP را مشحص می نمايد . Group of computers ، در اين حالت مديريت network ID و Sbunet mask را مشخص و در زمانيکه Domain name انتخاب می گردد ، يک پيام هشداردهنده نمايش داده می شود . (انتخاب فوق باعث کاهش کارآئی سيستم خواهد شد) . در چنين حالتی برای هر درخواست اتصال ، می بايست از DNS Reverse lookup ، استفاده گردد . • Secure Communications ، از گزينه فوق ، بمنظور پيکربندی ويژگی های SSL قابل دسترس بر روی سرويس دهنده وب ، استفاده می گردد . با انتخاب گزينه فوق ، تمامی ترافيک بين سرويس گيرنده و سرويس دهنده بصورت رمز شده انجام خواهد شد . پس از پيکربندی لازم ، ملاقات کنندگان سايت ، می بايست از مرورگرهائی استفاده نمايند که از Secure Communications ، حمايت می نمايند. ( جزئيات مربوطه در مقالات آتی ارائه می گردد ) .Server Extensions Tab برنامه IIS 5.0 ، امکان توليد و نشر اطلاعات از راه دور را فراهم می نمايد. پيشنهاد می گردد ، برای هر يک از وب سايت های موجود بر روی سرويس دهنده IIS ، گزينه enable authoring ، غير فعال گردد . ويژگی فوق ، امکان تغيير در يک صفحه وب و در نهايت Upload نمودن آن بر روی وب سايت را در اختيار برنامه Frontpage ، قرار خواهد داد .در بخش پنجم اين مقاله ، به بررسی سرويس FTP ، خواهيم پرداخت .





این صفحه را در گوگل محبوب کنید

[ارسال شده از: راسخون]
[مشاهده در: www.rasekhoon.net]
[تعداد بازديد از اين مطلب: 279]

bt

اضافه شدن مطلب/حذف مطلب







-


گوناگون

پربازدیدترینها
طراحی وب>


صفحه اول | تمام مطالب | RSS | ارتباط با ما
1390© تمامی حقوق این سایت متعلق به سایت واضح می باشد.
این سایت در ستاد ساماندهی وزارت فرهنگ و ارشاد اسلامی ثبت شده است و پیرو قوانین جمهوری اسلامی ایران می باشد. لطفا در صورت برخورد با مطالب و صفحات خلاف قوانین در سایت آن را به ما اطلاع دهید
پایگاه خبری واضح کاری از شرکت طراحی سایت اینتن