IIS 6.0 Güvenlik
Son aylarda web sitelerin serverleri tahmin edilemiyecegi kadar crackerlar ve worm yazici hackerler tarafindan kullanildi, bunun üzerine Microsoft akla gelmicek kadar zarar almis oldu.
Ve bu sorunu gidermek icin calismalara basladi. Sonuc olarak IPS’in tekrardan tasarimi yapildi. Bu makalede anlatilmak istenen konu ise neden ISS’nin beklenmiyecegi kadar zarar gormesidir.
Bunun uzerine Vendoros geçen senelerde yaptigi gibi Microfost’un destegini alarak.
Sorunu giderip kendi sitelerine kendi script yükleyerek administor’lere kullanimi rahat, vede kaliteli site sunmustur. Boylelikle bu girisimde bulunarak Microfost ve vendoros sitelere yapilan saldirilari bitirmek istemisdir. Bu sonuçlardan sonra sonuç olarak ISS 6.0 tekrardan websitelerini tasarimini daha saglam yapmakta ve bir süre gizli tutmustur.
Bu arada ortaya çikan ve nerden geldigi bilinmeyen bir sorunla karsi karsiya kalmistir ve sonuç itibariylen ortaya çikanlar:
|
IIS Bileseni |
IIS 5 varsayilan kurulum |
IIS 6.0 varsayilan kurulum |
|
Statik dosya destegi |
Aktif |
Aktif |
|
ASP |
Aktif |
Inaktif |
|
Sunucu tarafli include |
Aktif |
Inaktif |
|
Internet Veri baglantisi |
Aktif |
Inaktif |
|
WebDAV |
Aktif |
Inaktif |
|
Index Server ISAPI |
Aktif |
Inaktif |
|
Internet Printing ISAPI |
Aktif |
Inaktif |
|
CGI |
Aktif |
Inaktif |
|
Microsoft FrontPage® server uzantilari |
Aktif |
Inaktif |
|
Sifre degistirme arayüzü |
Aktif |
Inaktif |
|
SMTP |
Aktif |
Inaktif |
|
FTP |
Aktif |
Inaktif |
|
ASP.NET |
N/A |
Inaktif |
|
Geriplan Akilli Transfer servisi |
N/A |
Inaktif |
ISS 6.0 hiç bir sekilde diger sitelerden script kullanmamistir aynen asp ve codebrws.asp. yapmis oldugu gibi. Bu iki programin tasarimin yapilmasi ise program yapimcilarini daha kolay ve daha güvenli bir sekilde database’lerine baglamasi çcindir. Daha çok bilgi almak için size vermis oldugumuz linki kullanmaniz mümkündür.
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS99-013.asp
Dosya sistemlerinin girisini kontrol altina almak
Misafir kullanicilara hiç bir sekilde anasayfaya giris izni verilmemistir. Bunun yapilma sebebi ise taninmayan kullanicilarin FTP bölümünden siteye zarar verici dosyalarin yüklenmemesi içindir. Örnegin misafir kullanicilar FTP bölümünden siteye zarar vermek için site ile hic bir sekilde alakasi olmayan dosyalar yukleyebilirler. Bunlara server’de istenmeyen scpritler bile dahildir.
Sub-authentication modulu sistemden silinmistir
Olusan bazi sebeplerden dolayi IISSUBA.dll adli dosya IIS 6.0. sisteminden silinmistir.
Bunun uzerine IISSUBA.dll kullanicilari siteye giremiyerek en cok zarari görmüslerdir.
Parent Paths engellenmistir
parent yollarina giris,dosya sisteminde görevini yerine getirmeden etkisiz hale getirilecek.Bu olay web dokümanlarindaki dizin ataklarini ve hassas dosyalara girisini engellemek için yapilmistir,SAM dosyasi gibi. Not edelim ki bu,her halükarda uygulama göçlerinde bir takim problemler getirir,bu uygulamalar parent yollarinda ki ISS versiyonunda kullanilanlardir.
Emniyetli plan
ISS 6.0 da yapilan belli basli dizayn degisiklikleri,gelismis data onaylamalari,çoklu kayit, Rapid-Fail korumasi,basuru izolasyonu ve en az baglilik prensibini içerir.
Gelismim Data Onaylamalari ISS 6.0 sürümünün yeni özelliginden biri de Kernel Mode http sürücülerinde ve HTTP sisteminde.Bu özellik sadece web Serverlarinin performansini ve dayanikliligini çogaltmakla sinirli kalmayip, Serverlarin güvenligini de daha güçlü hale getirir.HTTP sistemi web Serverlarinda,kullanici taleplerinden kaçis olarakta kullanilir. ilk talebi dilbilgisel olarak inceler ve sonradan düzgün kullanici seviyesine göre ayarlar kullanici modda,isçi süreçlerinin sinirlanmasi,Kernel de bulunan önemli kaynaklara girisi engellemeye yarar. böylelikle saldirganlarin girmeye çalistigi Serverlar da,önemli bilgilerin bulundugu dosyalar sinirlandirilmis olur.
Kernel mod sürücüleri ,ISS 6.0 versiyon da bir takim güvenlik mekanizmalarini dogasinda bulunan güvenlik dizaynini arttirir. bu yenilikler,potansiyel tampon tasmalarina karsi koruma saglar ve gelismis baglanma mekanizmalari URL incelemelerini ve karsilik verme süreçlerini iyilestirir.
Potansiyel tamponlarin patlamasini ya da ortaya çikacak bilgi tasmasini engellemek için,Microsoft derin defans prensibini ISS 6.0 da yeniledi .Bu projenin tamamlanmasi http sistemlerinin URL incelemelerinin kapasitesini ve yapabilirligini arttirmasi sonucu olmustur.
Bu yapabilirlikler iyi ayarlanmis,belirli modifikasyon basvuru degerleridir. Asagidaki tablo çok önemli basvuru anahtarlari için bir öngörüdür (bu adreste bulunur:HKLM\\System\\CurrentControlSet\\Services\\HTTP\\Parameters):
Yasaklanmis Charlarin serbestlestirilmesi
Bu anahtar Boolean degerini
