Jak zabezpečit váš Web Server Martin Pavlis MCSE

Зарегистрируйтесь, чтобы просмотреть полный документ!

Jak zabezpečit váš Web Server Martin Pavlis (MCSE, MCT) martin@pavlis. net Konzultant Advanced Technologies 05

Obsah O čem bude prezentace: Nastavení Windows Serveru Autentizace Šifrování Správa logů O čem prezentace nebude: Firewall a komunikace Zabezpečení aplikací

1. Omezte dopad útoku na Web Server Povolte pouze nezbytné součásti a služby: Windows Server 2003 IIS Components Web Service Extensions MIME Types

1 a. Bezpečnostní nastavení Windows Serveru 2003 Přejmenujte účet Administrator Ukládejte obsah na dedikovaný disk Formátujte všechny disky pomocí NTFS Odstraňte NTFS práva, která jsou přiřazena skupině Everyone na všech discích

Windows 2003 a IIS Bezpečnostní šablony Součásti a služby Windows Součásti IIS Advanced Technologies 05

2. Zabraňte neoprávněnému přístupu k Web serverům a aplikacím Nastavte IIS Web Site práva Pozor! Společná pro všechny přístupy Nastavte omezení na IP adresy a doménová jména

3. Autentizace uživatelů Konfigurace autentizace na Web Site Vhodný výběr autentizační metody Konfigurace autentizace proti FTP Site

4. Šifrujte důvěrná data při komunikaci s klienty Používejte SSL pro šifrování důvěrných dat Výběr vhodné certifikační autority Pro vzdálenou administraci, používejte IPSec, nebo VPN Pozor na útok skrze RDP MIMT Windows 2003 SP 1 – novinka – RDP over SSL

4 a. RDP MITM 1. 2. 3. 4. 5. Klient se připojuje k serveru. Díky různým metodám (DNS spoofing, arp poisoning, atd. ), aniž by o tom tušil, dojde k jeho přesměrování na úplně jiný server (budeme mu říkat MITM), který předá požadavek originálnímu RDP serveru. RDP server odpovídá a posílá klientovi nešifrovaně svůj veřejný klíč a "náhodně přidanou hodnotu" (random salt), klientem je pro něj ovšem MITM! Ten předá tento paket původním klientovi, ovšem zamění veřejný klíč RDP serveru za vlastní (od kterého má privátní klíč). Klient zasílá serveru svoji "náhodně přidanou hodnotu" (random salt), zašifrovanou pomocí veřejného klíče, který obdržel v předchozím paketu, ale tento klíč není klíč RDP serveru, ale MITM serveru! MITM server pomocí svého privátního klíče dešifruje paket od klienta, a znovu jej šifruje, tentokrát pomocí "správného" veřejného klíče RDP serveru (viz. bod 2) a předává ho RDP serveru. Na základě tohoto postupu, má MITM server veškeré potřebné informace k tomu, aby mohl vytvořit "session keys", které se používají k šifrování dalších paketů, které si klient s RDP serverem vyměňuje. Díky tomu, je tedy vše, co je přenášeno mezi klientem a RDP serverem, pro MITM server zcela čitelné. Hlavně tedy hesla, kterými se klienti přihlašují. Jelikož např. na Windows 2000 musí mít klient pro přihlášení administrátorská práva, je dopad stoprocentní.

Autentizace a šifrování Auth Diagnostics 1. 0 SSL Diagnostics 1. 0 RDP over SSL Advanced Technologies 05

5. Isolujte Web Site a aplikace Vyhodnocení efektu impersonifikace a kompatibility aplikací Konfigurace Web Sites a aplikací pro účely isolace

Isolace Web aplikací Vytvoření účtu pro běh web aplikace Nastavení Worker procesu Advanced Technologies 05

6. Zachovejte váš Web server bezpečný Aplikujte aktuální bezpečnostní opravy Hotfixy, security bulletiny (nově RSS!) Zapněte a používejte IIS Security Logy Zapněte auditing souborů ve vašem serveru pro File Access Prohlédněte bezpečnostní politiky, procesy a procedury

URLScan, správa logů URLScan 2. 5 ex 050325. log httperr 1. log Advanced Technologies 05

Martin Pavlis martin@pavlis. net © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Скачать презентацию Jak zabezpečit váš Web Server Martin Pavlis MCSE

ad63fd1e0b68efd2d4b7d239ae710757.ppt

Количество слайдов: 15