Tìm hiểu IIS Sercurity

Báo cáo bài tập lớn
An Toàn Thông Tin
Đề tài:
Bảo mật máy chủ IIS - IIS Security
Giáo viên hướng dẫn: Nguyễn Văn Hoàng
Người thực hiện: Vũ Thị Mai Hoa
Nguyễn Thị Sen
Lớp: THC-K52


Bài tập lớn An Toàn Thông Tin
IIS Security

Phần I: Mở đầu

Phần II: Nội dung

Phần III: Kết luận


Bài tập lớn An Toàn Thông Tin
Phần I: Mở đầu

I.1 Đặt vấn đề

I.2 Mục đích và yêu cầu

Bài tập lớn An Toàn Thông Tin
I.1 Đặt vấn đề

Internet Information Services(IIS) là một phần mềm cung
cấp các dịch vụ dành cho máy chủ sử dụng rất rộng rãi trên
thế giới, được phát triển bởi công ty phần mềm Microsoft.

IIS là web server sử dụng phổ biến thứ hai trên thế giới, chỉ
đứng sau web server HTTP Apache và theo khảo sát của
Netcorft, IIS hiện đang phục vụ cho 24,47% các website trên
toàn thế giới.


Bài tập lớn An Toàn Thông Tin
I.1 Đặt vấn đề (tiếp)

IIS luôn là một mục tiêu tấn công của các hacker. Ngày 19
tháng 7 năm 2001, hơn 359,000 máy tính sử dụng webserver
IIS của Microsoft đã bị tấn công bởi Code Red Worm, gây
nên những thiệt hại to lớn.

Chính vì vậy, vấn đề bảo mật cho web server trở nên vô cùng
quan trọng đối với các nhà phát triển và quản trị hệ thống.
Trong bài báo cáo này chúng ta sẽ cùng tìm hiểu một số kiến
thức cơ bản về các thành phần, cách cấu hình IIS 6.0 để bảo
mật máy chủ IIS server 2003


Bài tập lớn An Toàn Thông Tin
I.2 Mục đích và yêu cầu


Tìm hiểu về IIS

Cài đặt IIS 6.0

Bảo mật IIS 6.0 với máy chủ windows server 2003


Bài tập lớn An Toàn Thông Tin
Phần II: Nội dung

II.1 Tìm hiểu về IIS

II.2 Bảo mật IIS trong windows server 2003


Bài tập lớn An Toàn Thông Tin
II.1 Tìm hiểu về IIS

II.1.1.Khái niệm về IIS:

IIS (Internet Information Services ), phát triển bởi Microsoft
để làm việc với Microsoft Windows. IIS thường đính kèm với
các phiên bản của Windows.

Cung cấp các dịch vụ dành cho máy chủ chạy trên nền hệ điều
hành Window nhằm cung cấp và phân tán các thông tin lên
Internet.



Bài tập lớn An Toàn Thông Tin
Ví dụ:

Sau khi thiết kế xong 1 Website, nếu bạn muốn đưa chúng lên
mạng để mọi người có thể truy cập và xem chúng thì bạn phải
nhờ đến một Web Server, ở đây là IIS.

Nếu không Website của bạn chỉ có thể được xem trên chính
máy của bạn hoặc thông qua việc chia sẻ tệp như các tệp bất
kỳ trong mạng nội bộ

 IIS được phát triển bởi công ty phần mềm Microsoft để
làm việc với Microsoft Windows, IIS thường đính kèm với
các phiên bản của Windows.


Bài tập lớn An Toàn Thông Tin
II.1.2.IIS có thể làm được gì?

Nhiệm vụ của IIS là tiếp nhận yêu cầu của máy trạm và đáp
ứng lại yêu cầu đó bằng cách gửi về máy trạm những thông tin
mà máy trạm yêu cầu.

IIS hỗ trợ nhiều dịch vụ khác nhau cùng với các giao thức
tương ứng với từng dịch vụ đó như:


Bài tập lớn An Toàn Thông Tin
Các dịch vụ IIS hỗ trợ:


Web Server: sử dụng giao thức HTTP để tiếp nhận yêu cầu và
đáp ứng yêu cầu từ Web browser tới máy chủ server

FTP Server: dịch vụ chia sẻ file dữ liệu, cho phép người ở xa
có thể truy xuất database của máy chủ

SMTP: dịch vụ gửi thư trên Internet, SMTP truyền các thư từ
mail server của người gửi đến mail server của người nhận.

Dịch vụ truy cập thư trên Internet, sử dụng giao thức lấy thư
POP3 hoặc IMAP.


Bài tập lớn An Toàn Thông Tin
II.2 Bảo mật IIS trong
Windows Server 2003

II.2.1 Bảo mật máy chủ IIS Server

II.2.2 Các thiết lập nâng cao tính bảo mật cho máy chủ IIS
server

II.2.3 Cấu hình các thành phần của IIS service đảm bảo tính
bảo mật cao nhất

II.2.4. Giới thiệu các phương pháp bảo mật kết hợp

II.2.5. Các chính sách bảo mật cụ thể



Bài tập lớn An Toàn Thông Tin
II.2.1 Bảo mật máy chủ IIS server

Đảm bảo cung cấp các dịch vụ Web, các ứng dụng trên máy
chủ IIS được bảo mật nhất, mỗi ứng dụng từ máy chủ IIS cần
phải được bảo mật từ những máy clients có thể kết nối vào
chúng.

Ngoài ra Web site và các ứng dụng trên máy chủ IIS cũng cần
phải được bảo mật từ chính bên trong mạng Intranet(mạng nội
bộ) của doanh nghiệp hay tổ chức ấy.

Trong mức độ nào đó thì việc này nhằm ngăn chặn những kẻ
phá hoại, mặc định IIS không được cài đặt trên Windows
Server 2003. IIS khi được cài đặt sẽ ở trong chế độ bảo mật
cao "high secure" hay gọi là "locked mode".


Bài tập lớn An Toàn Thông Tin
II.2.2. Các thiết lập nâng cao tính bảo mật cho
máy chủ IIS server

2.1 Audit Policy Settings

2.2 Thiết lập User Rights Assignments

2.3 Thiết lập Security Option

2.4 Event Log Settings


2.5 System services


Bài tập lớn An Toàn Thông Tin
2.1 Audit Policy Settings

Nội dung: Đảm bảo toàn bộ thông tin của người dùng khi
login, logoff hệ thống sẽ đều được ghi lại. Và tất cả những dữ
liệu được người dùng truy cập cũng được lưu lại.

Cách cấu hình: “Audit log on và Audit Objects Access”.
Mở cửa sổ Group Policy Object Editor (Start -> Run, nhập
gpedit.msc, OK), vào Computer Configuration -> Windows
Settings -> Security Settings -> Local Policies –> chọn:
1. Audit logon events đặt chế độ success và fails
2. Audit Policy chọn Audit object access đặt chế độ success và
fails


Bài tập lớn An Toàn Thông Tin
2.1 Audit Policy Settings


Bài tập lớn An Toàn Thông Tin
2.1 Audit Policy Settings

Kiểm tra các thông tin login, logoff của mỗi user sau khi sử
dụng hệ thống như sau: click chuột phải vào My Computer->
manage ->System Tools -> Event Viewer ->security.


Ví dụ: Sau khi logon vào máy tính mở event viewer ra xem và
tôi phát hiện ra hệ thống đã lưu lại như hình vẽ sau:


Bài tập lớn An Toàn Thông Tin

Vậy ý nghĩa của việc xem lại log này là gì:
Bạn hãy tưởng tượng một dữ liệu trong máy của bạn đã bị
mất và trong log ghi lại là đã được xoá lúc 12h đêm vậy bạn
cần quy trách nhiệm đó cho ai, bạn cần biết trong thời điểm đó
những ai đang online và logon, logoff trong thời gian đó


Bài tập lớn An Toàn Thông Tin
2.2 Thiết lập User Rights Assignment

Nội dung: Quy định những users nào bị cấm truy cập tới máy
chủ IIS từ mạng, và cấm một số các giao thức mạng: SMB,
NetBIOS, CIFS, HTTP và COM+. Với thiết lập này tài khoản
người dùng sẽ bị hạn chế và đảm bảo tính bảo mật cao hơn.

Cách cấu hình: “Deny access to this computer from the
network “
Mở cửa sổ Group Policy Object Editor (Start -> Run,
nhập gpedit.msc, OK), vào Computer Configuration ->
Windows Settings -> Security Settings -> Local Policies ->
User Rights Assigment, chọn mục “Deny access to this
computer from the network”. Sau đó add thêm user or group.



Bài tập lớn An Toàn Thông Tin
2.3 Thiết lập Security Option

Bạn cần phải phân tích các yêu cầu của doanh nghiệp từ đó
đưa ra những cấu hình tuỳ biến thích hợp nhất.

Cách cấu hình:
Mở cửa sổ Group Policy Object Editor (Start -> Run,
nhập gpedit.msc, OK), vào Computer Configuration ->
Windows Settings -> Security Settings -> Local Policies ->
Security Option


Bài tập lớn An Toàn Thông Tin
2.4 Event Log Settings

Bạn phải thiết lập trên IIS Servers trong các cấu hình khác
nhau, quan trọng nhất của nó là bạn phải lưu lại toàn bộ các
sự kiện theo một thể thống nhất với các tham số bạn cần cấu
hình tuỳ vào yêu cầu, nhưng có hai yêu cầu cần ghi lại đó là
ghi lại quá trình đăng nhập hệ thống (kể cả lỗi hay không có
lỗi xảy ra trong quá trình đăng nhập) ghi lại những đối tượng
được truy cập (kể cả lỗi hay không có lỗi xảy ra trong quá
trình đăng nhập).

Thiết lập giống như thiết lập Audit policy


Bài tập lớn An Toàn Thông Tin
2.5 System services


Dưới đây là những thành phần trong Microsoft Windows
Server 2003, với các dịch vụ buộc phải kích hoạt. Trong đó có
các services cần phải để chế độ automatically. Chúng ta không
phải cấu hình các dịch vụ này.

Các services có ba trạng thái là Disable, Enable, và
Automatically - đây là trạng thái khi hệ thống khởi động sẽ
khởi động luôn cả service này.


Bài tập lớn An Toàn Thông Tin
2.5 System services

1. HTTP SSL

2. IIS Admin Service

3. World Wide Web Publishing Service


Bài tập lớn An Toàn Thông Tin
5.1 HTTP SSL

HTTP SSL được kích hoạt trong IIS để thiết lập kênh truyền
dẫn bảo mật khi những thông tin nhạy cảm được truyền đi ví
như thông tin của Credit Card.

Nếu khi HTTP SSL bị tắt thì IIS sẽ không làm việc với SSL.
Việc Disable service này dẫn tới một số service khác phụ thuộc

vào nó ảnh hưởng.

Thiết lập chỉ có Administrator mới có khả năng truy cập vào
service này đảm bảo người bình thường sẽ buộc phải thực hiện
giao dịch bảo mật, và không thể chỉnh sửa được. Service này
cần phải được thiết lập ở chế độ Automatic.


Bài tập lớn An Toàn Thông Tin
5.2 IIS Admin Service

IIS Admin Service cho phép quản trị các thành phần trong IIS
như FTP, Application Pools, Web Sites, Web Service
Extensions và cả NNTP và SMTP.

IIS Admin Service cần phải hoạt động để cung cấp Web, FTP,
NNTP và SMTP. Nếu service này bị disable, IIS sẽ không thể
cấu hình , tất cả những yêu cầu cho tới dịch vụ Web đều bị
ngưng chệ.

Thiết lập chỉ có Administrator mới có khả năng điều khiển
service này và cấu hình service này đều để ở chế độ Automatic.