IIS ו SECURITY ב XP

[bilbo]

אני מפתח על המחשב בבית אפליקציות .net.

ואני משתמש ב NIS2003.

רציתי לדעת האם יש פה אנשים נוספים שהתקינו IIS והאם NIS מצליח לחסום ולגלות ניסיונות פריצה בהגדרות האלה.

[Moo^Moo]

תיראה אני מאוד עייף ואין לי כוח לרשום מה אתה צריך בשביל להגן על הIIS אבל קבל:

1. לא NIS לא יעזור, למה? כי הIIS יבקש גישה לאינטרנט מהNIS, אתה תאשר ויוכלו להתחבר ללא בעיה.

2. SERVER EXTENTIONS זה לרוב רע... תגיד עם איזה אפליקציות אתה משתמש.

3. חיפוש בגוגל יעזור מאוד מאוד, יש אלפי מאמרים כיצד להגן ולאבטח את הIIS

[udicol]

תראה יש ספר שלם (מפי סול צבי - רכזת אבטחת מידע של מייקרוספט) העוסק ב-"הקשחת" מערכת IIS ב- Windows2000-Pro ואני מניח שגם ב- XP. יש שם המון המון הסברים ועדכונים עבור מערכת IIS שחובה לבצע כדי לשמור על בטיחותה.

[bilbo]

NIS מזהה שה IIS מבקש גישה לרשת.

ואני חסמתי אותה.

איני מעוניין לפתוח אותו כלפי חוץ.

כדי לפתח ב ASP.NET נחוץ IIS מקומי.

לפחות 24 שעות לאחר התקנתו לא פרצו לי למחשב, או שלא זיהיתי פריצה.

נכון ,בהתחלה נתתי אישור ל IIS להאזין לרשת (קצת מטריד) אך שיניתי זאת לאחר כמה שעות כשעברתי על ה PROGRAM CONTROL

ב NIS.

דרך אגב.

לפני כל התחברות לרשת פשוט עשיתי STOP גם ל FTP וגם ל WEB SITE.

אז אולי לא ניפגעתי בזכות זה.

ברור לי שאירוח אתר בבית או פתיחת ה IIS כלפי העולם זה עסק מורכב ומסובך ואיני מתכוון להתעסק איתו.

אני מתכנת ולא איש system.

אם יש ברשותכם כמה לינקים מועילים אשמח ליקרוא ולהשכיל.

אז בקיצור:

האם התקנת ה IIS אך סגירה שלו לפני כל התחברות לרשת אמור לספק לי הגנה או מספיק שהוא מותכן כדי להפיל לי את המחשב?

אני יודע שהממוצע לפריצת IIS עומד היום על 30 דקות מרגע חיבורו לרשת.

עשיתי ghost ליתר ביטחון.

אבל אם לא פרצו לי עד עכשיו אולי זה אומר שהכל בסדר?

עריכה:

הרצתי את microsoft Baseline Security Analyzer ...

מה דעתכם עליו?

קיבלתי כמה הערות מענינות:

אלו עם X אדום:

Internet Information Services (IIS) Scan Results

1. The IIS Lockdown tool has not been run on the machine

2. Parent paths are enabled in some web sites and/or virtual directories.

3. Some IIS sample applications are installed. - תוקן (הוסר ה VD לספריות הsamples)

מה זה MSADC?

Vulnerabilities

1. Some user accounts (10 of 10) have blank or simple passwords, or could not be analyzed

מה אתם מציעים לעשות עם זה?

Additional System Information

1. Some web or FTP sites are not using the recommended logging options.

מה אתם מציעים לעשות עם זה?

ומצאתי לינק מעולה:

secureIIS

[udicol]

אני לא בטוח שתוך 24 שעות ינסו לפרוץ לך למחשב. לי זה קרה אחרי מס' ימים, קיבלתי בלוג טונות של ניסיונות.

רצוי מאוד לסגור את השירותים (Services) לפני כל פעילות שדורשת אינטרנט. כמובן תוכל ליצור קובץ אצווה (Batch File) שיסגור לך אוטומטית את השירותים הלא נחוצים.

אם תעקוב אחרי העידכונים השותפים של חברת מייקרוספט אני בטוח שהשרת שלך יהיה מוגן (במידה מסויימת והסתייגות כמובן).

some user accounts (10 of 10) have blank or simple passwords, or could not be analyzed

הבדיקה שהרצת היא בדיקה כוללנית מידי, וחלק מהערות לא ממש קריטיות (או שכן) לדגואמ משתמשים במחשב שלך בלי סיסמאות.

מחשבים ללא Firewall ניתן להכנס אליהם בקלות אם אין סיסמא. לכן רצוי לתת סיסמא מורכבת.

תעקוב אחרי הלוג של המערכת ותבדוק כניסות "מוזרות" בעזרת השורה של הכניסה.

אני אנסה להביא דוגמאות בהמשך...

[bilbo]

התקנתי את התוכנתה שעושה LOCK ל IIS.

כניראה לא הגדרתי משהוא נכון ואני לא מצליח לשחרר אותו !

להתקין הכל מהתחלה .....

IIS + .net framework

[bilbo]

אני לא בטוח שתוך 24 שעות ינסו לפרוץ לך למחשב. לי זה קרה אחרי מס' ימים, קיבלתי בלוג טונות של ניסיונות.

רצוי מאוד לסגור את השירותים (Services) לפני כל פעילות שדורשת אינטרנט. כמובן תוכל ליצור קובץ אצווה (Batch File) שיסגור לך אוטומטית את השירותים הלא נחוצים.

תעקוב אחרי הלוג של המערכת ותבדוק כניסות "מוזרות" בעזרת השורה של הכניסה.

אני אנסה להביא דוגמאות בהמשך...

אפשר לקבל עזרה בבניית קובץ Batch ?

אילו Services צריך ליסגור?

ותוכל להביא לי דוגמאות לכניסות ה"מוזרות" ...

[udicol]

שים לב ללוג של שרת Apache 1.3:

חדירה לא חוקית ובעייתית:

81.218.45.81 - - [09/May/2003:16:02:49 -0700] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 272

81.218.45.81 - - [09/May/2003:16:02:50 -0700] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 282

כאשר כניסות חוקיות מכילות את פרטי הספריות הסטנדרטיות שמוגדרות בשרת:

192.168.168.9 - - [08/May/2003:22:44:31 -0700] "GET /phptot/musicis.php HTTP/1.1" 200 1211

192.168.168.9 - - [08/May/2003:22:44:46 -0700] "GET /phptot/diskfree.php HTTP/1.1" 200 192

192.168.168.9 - - [08/May/2003:22:44:50 -0700] "GET /phptot/fileexample.php HTTP/1.1" 200 5183

התוצאות הן בהתאם: לדוגמא 404 מסמן שלא ניתן להציג את הדף המבוקש וכ...