Комплексная защита типовой локальной вычислительной сети (стр. 12 из 12)
2. Злоумышленник издает запрос на атакуемый сервер в домене жертвы, чтобы открыть сессию SMB.
3. Сервер генерирует злоумышленнику ответ, содержащий случайный «вызов».
4. Система злоумышленника транслирует этот же «вызов» по протоколу HTTP.
5. Internet Explorer, применив пароль пользователя, формирует «ответ» и передает его на проверку злоумышленнику.
6. Злоумышленник транслирует «ответ» пользователя атакуемому серверу и, естественно, получает к нему доступ.
Самое неприятное в этой атаке то, что пользователь может даже не подозревать, что сведения о нем переданы на сервер в Интернете.
Рекомендации по защите сервера IIS
Типовые потребности организации
Рассматриваемая нами типовая организация обычно нуждается в IIS для предоставления пользователям Интернета доступа к Web-серверу организации по протоколам HTTP и FTP.
Механизм аутентификации не нужен, так как нет потребности ограничивать доступ к ресурсам Web-сервера ни из Интернета, ни из внутренней сети организации.
Для обеспечения таких потребностей достаточно IIS 3, входящего в состав NT Service Pack 3 и выше. Если требуются дополнительные возможности (например, поддержка IIS), лучше установить IIS 4, который доступен в составе бесплатно распространяемого Windows NT Option Pack.
Инсталляция сервера IIS
Если IIS не был установлен в процессе инсталляции Windows NT, то его можно инсталлировать, запустив файл inetins.exe из директории %SystemRoot%\system32.
Так как Web-сервер нашей типовой организации размещен в локальной сети, для его работы через прокси-сервер необходимы некоторые специальные настройки:
1. На компьютере, выполняющем роль Web-сервера, должен быть инсталлирован WinSock Proxy client.
2. Необходимо создать текстовый файл wspcfg.ini и поместить его в директорию с файлом inetinfo.exe (%SystemRoot%\system32\inetsrv). Содержимое файла wspcfg.ini:
[inetinfo]
ServerBindTcpPorts=21,20,80
LocalBindTcpPorts=20
KillOldSession=1
Persistent=1
Forcecredentials=1
3. Если используется разграничение доступа в Интернет, необходимо создать специальную учетную запись, от имени которой будет происходить авторизация службы Web-сервера в MS Proxy Server’e (например, “InetInfo”). Далее, необходимо с помощью утилиты CredTool, входящей в состав WinSock Proxy Client, указать файлу inteinfo.exe действовать от имени этой учетной записи. Для нашего примера это будет команда credtool –w –n inetinfo –c InetInfo domain password
4. В свойствах WinSock необходимо создать два протокола:
| Параметр | 1 | 2 |
| Protocol Name | FTP Server | HTTP Server |
| Initial Connection | 21 TCP Inbound | 80 TCP Inbound |
| Port Range | 1025-500 | - |
| Type | TCP | - |
| Direction | Inbound |
5. Разрешить работать через эти протоколы учетной записи, от имени которой действует служба IIS («InetInfo»).
6. Инсталлировать заплатку с сервера Microsoft (http://support.microsoft.com/support/kb/articles/Q236/0/01.ASP).
Настройка службы WWW
Основные настройки приведены на рисунках выше.
Следует обратить внимание, что для папки /Scripts следует установить только разрешение Execute, для остальных – Read.
Настройка службы FTP
Как это принято в Интернет, рекомендуется в FTP-директории создать папки pub и incoming. Из папки pub посетитель может только читать информацию, а в папку incoming – только записывать. Для этого необходима довольно сложная комбинация разрешений NTFS и IIS.
Настройки IIS приведены на рисунках ниже. В них предполагается, что компьютер имеет имя EKSERVER и созданный по умолчанию пользователь, которым олицетворяется IIS-анонимный пользователь, называется IUSR_EKSERVER.
Разрешения NTFS для пользователя IUSR_EKSERVER приведены в списке:
1.Для папки ftproot – Read (RX)(RX);
2.Для папки incoming – Special Access (RW)(W);
3. Для папки pub – Read (RX)(RX).
Дополнительные меры защиты
Не рекомендуется Web-дизайнерам и Web-программистам давать доступ к WWW-директориям по протоколу FTP. Вместо этого лучше сделать ее доступной по внутренней сети и работать только оттуда.
Рекомендуется отслеживать и хранить лог-файлы IIS в течение длительного времени. Быть может, эти файлы годичной давности помогут доказать вам, что атака на Bank of New York с вашего сервера была произведена не вами, а кем-то, кто ранее сумел взломать его.
При наличии невысокоскоростного канала в Интернет рекомендуется ограничить максимальную скорость доступа к Web-серверу, чтобы какая-то часть канала всегда была доступна вашим пользователям. По этой же причине (а также в зависимости от мощности Web-сервера) лучше ограничить максимальное число FTP и HTTP-соединений.
Разделы реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots и HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSFTPSVC\Parameters\Virtual Roots рекомендуется открыть для полного доступа только ОС и администраторам.
Отслеживать появление в каталогах IIS неизвестных файлов, особенно с расширениями com, exe, dll в папках с разрешением Execute.
Следить, чтобы удаленный пользователь не мог по протоколу FTP, закачав в папку incoming большое количество информации, переполнить жесткий диск Web-сервера.