Internet face à Windows Server 2008 - est-il sécurisé?
Je sais vraiment rien sur la sécurisation ou la configuration d'un "live" face à internet serveur web et c'est exactement ce que j'ai été assigné par la direction. Outre le système d'exploitation installé (et mise à jour de windows), je n'ai pas fait une chose. J'ai lu quelques guides de Microsoft et sur le web, mais aucun d'entre eux semblent être très complet/jusqu'à ce jour. Google m'a laissé tomber.
Nous allons déployer un MVC ASP.NET site.
Quel est votre chèque lorsque vous êtes prêt à déployer une application sur un nouveau serveur windows?
source d'informationauteur bdd
Vous devez vous connecter pour publier un commentaire.
C'est tout ce que nous faisons:
Assurez-vous que le Pare-feu Windows est activé. Il dispose d'un "par défaut" de la politique, de sorte que la zone de la règle de l'installation est assez sûr. Mais il ne fait jamais de mal à tourner à des règles supplémentaires, si vous savez que vous n'allez plus jamais besoin d'eux. Nous avons désactiver presque tout, sauf pour le protocole HTTP sur le réseau internet public interface, mais nous comme le Ping (qui n'aime pas le Ping?) nous avons donc l'activer manuellement, comme suit:
netsh firewall set icmpsetting 8
Désactiver le compte Administrateur. Une fois que vous êtes ensemble et va, de donner votre propre compte nommé les droits admin. La désactivation du compte d'Administrateur par défaut permet de réduire le risque (même légère) de quelqu'un, il le piratage. (Les autres communes de compte par défaut, l'hôte est déjà désactivé par défaut).
Éviter de services en cours d'exécution en vertu de comptes avec des droits d'administrateur. La plupart des logiciels de renom est assez bonne sur ce de nos jours, mais il ne fait jamais de mal à vérifier. Par exemple, dans notre serveur d'origine de l'installation, le régulateur de vitesse de service a les droits admin. Lorsque nous avons reconstruit sur les nouveaux serveurs, nous avons utilisé un compte régulier. C'est un peu plus de travail (vous devez accorder les droits nécessaires pour effectuer le travail, au lieu de tout à la fois) mais beaucoup plus sûr.
J'ai eu de verrouillage de l'une il y a quelques années...
En tant que sysadmin, impliquez-vous avec les devs, au début du projet.. les tests, le déploiement et l'exploitation et la maintenance des applications web font partie de la SDLC.
Ces lignes directrices s'appliquent en général à un hôte DMZ, quel que soit l'OS linux ou windows.
il y a quelques livres deicated à IIS7 admin et durcir, mais Il se résume à
selon le niveau de risque à considérer un transparent de passerelle de Couche Application pour nettoyer le trafic et rendre le serveur plus facile à surveiller.
1, vous traitez le système comme un bastion de l'hôte. le verrouillage de l'OS, de réduire la surface d'attaque(services, les ports, les applications installées c'est à dire PAS les utilisateurs interactifs ou des charges de travail mixtes, configurer des pare-feu RPC pour répondre uniquement à la gestion spécifié DMZ interne ou hôtes).
envisager de ssh, OOB et/ou de la gestion d'accès au réseau local et de l'hôte ID vérificateurs comme AIDE tripwire ou osiris.
si le serveur web est sensible, pensez à utiliser argus pour surveiller et enregistrer des modèles de trafic en plus de IIS/FW journaux.
de base de la configuration du système, puis de vérifier régulièrement l'état à l'encontre de la ligne de base, réduction ou le contrôle des changements de garder cette précision. l'automatiser. powershell est votre ami ici.
l'US NIST maintenir une liste de vérification nationale de programme référentiel. Le NIST, la NSA et de la CEI, ont des OS et serveur de listes de contrôle qui mérite d'être examiné, même si elles sont pour les versions antérieures. regardez l'apache listes de vérification ainsi que pour la configuration des suggestions. examen de la addison wesley et OReilly apache sécurité livres pour comprendre les enjeux.
http://checklists.nist.gov/ncp.cfm?prod_category://checklists.nist.gov/ncp.cfm?prod_category
http://www.nsa.gov/ia/guidance/security_configuration_guides/web_server_and_browser_guides.shtml
http://www.cisecurity.org offre des listes de contrôle et des outils d'évaluation pour les abonnés. but pour 7 ou 8 au minimum.
L'inventaire de votre public face à l'application des produits et de les surveiller dans ceux du NIST NVD(vulerability base de données..) (ils se rassemblent CERT et OVALE)
abonnez-vous et lisez microsoft.public.iinetserver.iis.de sécurité et de microsoft alertes de sécurité. (NIST NVD déjà montres CERT)
Michael Howard est MME du code de la sécurité gourou, lire son blog (et assurez-vous que votre dev lire aussi) c'est: http://blogs.msdn.com/michael_howard/default.aspx
http://blogs.iis.net/ est l'IIS équipes blog. comme une note de côté, si vous êtes un gars windows, il faut toujours lire le blog de l'équipe pour MS groupes de produits que vous travaillez avec.
David Litchfield a écrit plusieurs livres sur DB et web app durcissement. il est un homme à l'écoute. lire son blog.
Si votre dev ont besoin d'une introduction en douceur (ou rappel) la sécurité sur le web et les administrateurs système, trop! Je vous recommande "Innocent code" par Sverre Huseby.. nai pas aimé un livre sécurité comme ça depuis un cookoo de l'œuf. Il fixe des règles utiles et les principes et explique les choses de la terre. Son grand fort accessible en lecture
avez-vous référencé et vérifiés de nouveau? ( vous faites un changement que vous effectuez une nouvelle ligne de base).
Rappelez-vous, IIS est un méta-service (FTP.SMTP et d'autres services sont exécutés en vertu de l'). rendre votre vie plus facile et exécuter un service à la fois sur une case. une sauvegarde de votre métabase IIS.
Si vous installez l'application des serveurs comme tomcat ou jboss sur la même case de s'assurer qu'ils sont sécurisés et verrouillés trop..
web sécurisé consoles de gestion pour ces applications, les services internet inclus.
SI vous disposez de la DB sur la boîte aussi. ce poste peut être mis à profit de manière similaire
de journalisation.une même face du public du serveur (http, imap, smtp) est un professionnel de l'échec. vérifiez vos journaux de la pompe dans un SGBDR et de regarder pour la rapidité de la lenteur et de la agaçants. Presque invariablement, vos menaces, sera automatisé et boneheaded. stop au niveau de pare-feu, où vous pouvez.
avec l'autorisation, de l'analyse et de l'empreinte digitale de votre zone à l'aide de P0f et nikto. Tester l'application avec le sélénium.
assurer serveur web erreurs sont gérées discrètement et de manière contrôlée par IIS ET toutes les applications. , erreur d'installation de documents pour 3xx, 4xx et 5xx codes de réponse.
maintenant, vous avez fait tout cela, vous avez couvert vos fesses et vous pouvez regarder application/site web vulnérabilités.
être doux avec les développeurs, la plupart ne vous inquiéter à ce sujet après une rupture et de la réputation et de confiance qui est dommage est fait. le cheval s'est échappé et est révolue depuis longtemps. adresse maintenant. est moins cher. Parlez-en à votre dev sur la menace des arbres.
Considérer votre réponse à des attaques Dos et DDoS.
sur le côté positif, une BONNE circulation/slashdotting et les problèmes de capacité.
La liaison avec le Dev et le Marketing afin de gérer les problèmes de capacité et de serveur/bande passante de provisionnement en réponse à des campagnes de vente de nouveaux services. Demandez-leur quel genre de réponse de campagne theyre expec(ou reminting.
Planifier à l'avance avec un délai suffisant pour permettre la configuration. se faire des amis avec votre réseau gars pour discuter de la bande passante provisioing à court préavis.
Unavailabilty en raison d'une mauvaise configuration de la mauvaise performance, ou en vertu de l'approvisionnement est également une question. surveiller le système de performance, le disque, la ram http et db demandes. connaître les mesures de la normale et les performances attendues.. (s'il plaît à Dieu, est-il un apachetop pour IIS? 😉 ) un plan de capacité.
Pendant tout ce vous pouvez vous demander: "suis-je trop paranoïaque?". Mauvaise question.. c'est "suis-je assez paranoïaque?" Rappelez-vous et acceptez que vous serez toujours derrière la sécurité de la courbe et que cette liste peut sembler exhaustive, mais c'est un début. tous les ci-dessus est prudent et diligent et ne doit en aucune manière être considérée comme excessive.
Des serveurs piratage sont un peu comme les feux de forêt (ou les feux de brousse ici), vous pouvez préparer et prendre soin de presque tout, sauf la lune bleue de l'événement. plan pour la façon dont vous allez suivre et de répondre à la dégradation etc.
éviter d'être une sécurité curmudgeon ou de sécurité d'un dalek/chicken little. travailler tranquillement et et travail avec vos parties prenantes et du projet des collègues. la sécurité est un processus, pas un événement, et les garder dans la boucle et doucement l'éducation des gens est la meilleure façon d'obtenir des différentiels de gains en terme d'amélioration de la sécurité et de l'acceptation de ce que vous devez faire. Éviter d'être condescendant, mais rappelez-vous, si vous N'avez pas à tracer une ligne dans le sable, choisissez vos batailles, vous n'aurez qu'à faire quelques fois.
Votre plus gros problème sera probablement de sécurité de l'application. Ne crois pas que le développeur quand il vous raconte l'application de la piscine identité doit être un membre du groupe de l'administrateur local. C'est une subtile variation sur le "ne pas exécuter les services en tant qu'admin' astuce ci-dessus.
Deux autres éléments importants:
1) assurez-vous que vous avez un moyen de sauvegarde de ce système (et, périodiquement, test dit des sauvegardes).
2) assurez-vous que vous avez un moyen de patcher ce système et, idéalement, de tester ces patchs avant de lancer la production en série. Essayez de ne pas dépendre de votre propre bonne mémoire. Je préfère vous définissez la zone à utiliser windowsupdate que de l'avoir désactivé.
Bonne chance. Le pare-feu de la pointe est précieux; le laisser activé et ne permettent tcp/80 et tcp/3389 entrant.
utiliser les rôles en conséquence, le moins de privilèges que vous utilisez pour vos comptes de services le mieux,
essayez de ne pas tout exécuter en tant qu'administrateur,
Si vous essayez d'obtenir une application web, vous devez vous tenir à jour avec les informations sur OWASP. Voici un texte de présentation;
Pour votre déploiement (configuration du serveur, rôles, etc...), leur avons eu beaucoup de bonnes suggestions, en particulier de Bob et Jeff. Depuis quelques temps les attaquants ont été à l'aide de porte dérobée et chevaux de troie qui sont entièrement basé en mémoire. Nous avons récemment développé un nouveau type de produit de sécurité qui valident le serveur du mémoire (à l'aide de techniques analogues à la façon de Tripwire(voir Bob réponse) valide les fichiers).
Il est appelé BlockWatchprincipalement conçu pour une utilisation dans le cloud/hyperviseur/VM type de déploiements, mais peut également valider la mémoire physique si vous pouvez les extraire.
Par exemple, vous pouvez utiliser BlockWatch pour vérifier votre noyau et de l'espace d'adressage du processus des sections de code sont ce à quoi vous attendre (les fichiers légitimes que vous avez installés sur votre disque).
Bloquer les ports 135, 137, 138, 139, 445 avec un pare-feu. Le groupe builtin on va faire. Windows server 2008 est le premier pour lequel l'aide de RDP directement à assurer la sécurité de ssh.