شاپ کیپر

شاپ کیپر

  1. شاپ کیپر
  2. Proxy / Cache / Firewall
IIS Security Checklist

The following checklist is a summary of the security points which should be checked prior to bringing an IIS server online. In cases where these points are not followed, the admin may want to securely document the known security issues for referral should a security compromise occur.

General assumptions:

- No IIS on a domain controller

- Install only services needed (ftp, www, smtp, nntp). Mailing out does NOT require smtp; use CDOSYS.DLL (a COM based method native to Windows) or a 3rd party executable like blat.exe for web applications that require outgoing mail.

- Virtual directories are NEVER used across servers.

- The underlying Windows OS has been secured.

- Only system administrators are local administrators.

Design Guidelines

- Websites should NEVER be on the system drive.

- Setup SSL if transmitted information is sensitive. Require SSL (Remove ability to access via port 80) if SSL is enabled.

- All FTP sites, and as needed WWW sites should enable IP filtering for stanford-only sites. Ipsec filters can be used to accomplish this.

- Virtual directories should be used as little as possible. They aren’t needed unless you need to span drives. And if you need to span drives reconsider based on the security implications.

- Remove NTFS write perms everywhere possible.

- Don’t make it easy to find your scripts and code. Hackers target code seeking vulnerabilities they can use to take control of the server. Good ideas include:

o Don’t use an obvious name for your scripts directory. ‘Scripts’, ‘cgi-bin’, ‘exchange’, and ‘bin’ are so common that automated tools look for them.

o Consider renaming the extension on all of your scripts to something uncommon. For example, rename myscript.asp to myscript.dum. This will require adding an ISAPI extension mapping for .dum to the appropriate code handler (asp.dll in this case). This makes your scripts harder to find. Incidentally, specifically renaming all .asp scripts to .html works fine without modifying the ISAPI extension mapping.

o Consider compiling scripts into dll files. This not only protects the code from analysis, but it also results in a major performance gain. Compiled code runs about 20 times faster.

o Web applications (i.e. scripts and executables) only need a limited amount of permissions to run properly. Giving more permissions than is necessary allows a malicious hacker to download and analyze your code for vulnerabilities. The minimum permissions needed are: NTFS: Read, IIS: Execute. IIS: Read is NOT required, and will allow a hacker to download your code.

- Be careful when using the Add/Remove control panel on an IIS Server. If you open the Windows components, Windows will inadvertently reset all ISAPI filter and extensions to the default, and may reset other things. This is a poor design by Microsoft that you need to be careful with.

Installation configuration

- Delete all default virtual directories (icon w/ world on top of folder) and application roots (icon w/ green ball in box)

o Delete iisadmin

o Delete iissamples

o Delete msadc.

o Delete iishelp

o Delete scripts

o Delete printers

- Delete ALL default content.

o Delete %systemdirectory%inetsrviisadmin

o Delete %systemdirectory%inetsrviisadmpwd

o Delete inetpubwwwroot (or ftproot or smtproot)

o Delete inetpubscripts

o Delete inetpubiissamples

o Delete inetpubadminscripts

o Delete %systemroot%helpiishelpiis

o Delete %systemroot%webprinters

o Delete %systemdrive%program filescommon filessystemmsadc. Only websites that integrate with Microsoft Access databases need msadc.

- Configure Default Website with extremely secure settings (e.g. require ssl, Integrated Windows auth only, accessible from only one IP, NTFS perms to none on an empty home directory, etc.), then stop the site. This results in a broken default website that 80% of hackers will blindly attack, instead of your real website.

- Configure all website(s) with host header matching the DNS name of the site. Go to ISM, Web Site tab, Advanced button, Select “All Unassigned” (or the specific IP) and Edit Button, and designate the host header in the appropriate field. Do this for both http and https. Do NOT configure default website with host header. This will prevent 90% of all automated hacking tools from working by sending them to your crippled default website.

- Home directory IIS perms: Enable Read and Log. TURN OFF Write, Index, Browsing, Script Source Access (only WebDAV uses this), and Frontpage Web permissions. Set execute permissions to None. Enable execute permissions for the directory that holds your scripts.

- Disable all unnecessary ISAPI filters. Do this under ISM, ISAPI filters tab.

o Delete the Frontpage ISAPI filter (or extensions on older IIS servers), if you have a choice. If Frontpage ISAPI (extensions) is required, make them read only. On older IIS servers, you disable Frontpage extensions with the following command: “c:program filescommon filesmicrosoft sharedweb server extensions40binfpsrvadm –o uninstall –p all”.

o Digest Authentication. This authentication method requires support for reversibly encrypted passwords—which is a bad idea. Reversible encrypted passwords aren’t supported in the Stanford Windows Infrastructure. Delete this filter.

o HTTP Compression. This filter allows compression of the http stream. This is a nice feature, but might be at the expense of security.

o SSL. It’s unlikely you wouldn’t want SSL support, but if you don’t need it, then delete it.

- Delete the dll files associated with ISAPI filters that you disabled. Frontpage: fpexdll.dll, Digest: md5filt.dll, Compression: compfilt.dll, SSL: sspifilt.dll.

- Unmap the following extensions (if possible):
.asa, .asp, .bat, .cdx, .cer, .htr, .htw, .ida, .idc, .idq, .printer, .shtm, .shtml, .stm
Within ISM, go to the Home Directory tab, and choose Configuration button.

- Disable “Enable Parent Paths” setting. Go to ISM, Home Directory tab, Configuration button, App Options tab, uncheck checkbox. This prevents malicious web traversal without knowing the underlying directory structure. Web developers can not use paths like ....default.htm and must use fully qualified paths.

Patch level

- Apply Service Packs and hotfixes. UpdateExpert makes this very easy or Microsoft’s HfCheck tool can be used.

- Install high encryption pack (comes with Windows 2000 SP2) so 128 bit encryption is available.

Authentication model:

- Basic authentication disabled at site level, virtual directory level, directory level –Everywhere!

- Digest authentication disabled everywhere.

- IUSR & IWAM accounts should not be domain users nor should they be guests. If no anonymous access is required, delete these accounts.

- If web data is ultra-sensitive consider placing server outside a domain.

Authorization Changes

- Enable IIS auditing, change to W3 extended logging, and check that the info that is being logged is appropriate. (e.g. Is username needed?) Consider enabling the following items: Date and time, IP address of the client, IP address of the server, Server port, Username, HTTP method used to access your site, URI Stern, URI Query, Status of the request.

- Set permission to IIS logs to system and local administrators only.

- Remove write perms to hklmsoftware for non-admin accounts. Administrators & System: FULL, Everyone: Read/Execute

- Restrict NTFS perms to ALL executables on system. NTFS perms: Administrators & System: FULL, Users: Read/Execute. Give IUSR account execute permissions sparingly.

- Restrict perms to any script interpreters such as perl. NTFS perms: Administrators & System: FULL, Everyone: Read/Execute. Give IUSR account execute permissions sparingly.

- Ensure Everyone has only read on:
Web root
%systemroot%program filescommon files
درباره Proxy / Cache / Firewall ,
زینب بازدید : 13 جمعه 27 ارديبهشت 1398 زمان : ۱۸:۱۵ نظرات (0)
برنامه ISA به عنوان يک نرم افزار پراکسي در شبکه شما عمل ميکند . اين برنامه ها امکان گزارش گيري کاملي دارند که مطالعه اين گزارشات مي تواند به شما براي انتخاب بهترين استراتژي راهبردي در شبکه کمک هاي شاياني کند . برنامه ISA به دو صورت امکان اين گزارش گيري را در اختيار شما مي گذارد
۱- شما به صورت دلخواه هر زماني که مايل باشيد به رفتن به تب Reports و انتخاب گزينه Generate s New Report يک گزارش دلخواه داشته باشيد ولي ما قصد داریم که خود برنامه ISA به صورت خودکار گزارش کلیه رویداد ها را به صورت صفحات وب برای ما آماده کند و ما بتوانیم کلیه گزارشات را در ساعتی خاص به ما ارائه دهد .
برای اینکار ابتدا باید وارد گزینه Monitoring و سپس تب Reports بروید
بعد از وارد شدن در این صفحه بر روی گزینه Create and Configure Report Jobs کلیک می کنیم تا صفحه مربوط به این گزینه باز شود .
بعد از باط شدن این صفحه بر روی گزینه Add کلیک می کنیم تا وارد صفحه مربوط به ساخت گزارشگیری خودکار شویم
در کادر report job name نامی برای در نظر گرفتن لیست گزارش تحت آن نام ضروری است . بعد از وارد کردن نام بر روی دکمه Next کلیک می کنیم تا وارد صفحه بعد شویم
در این صفحه شما می توانید موارد لحاظ شده در گزارش را مشخص کنید . این گزینه ها شامل ارائه گزارشاتی کامل در زمینه امنیتی - کنترل ترافیک - کنترل برنامه های استفاده شده - پرکاربردترین صفحات وب و همچنین ارائه گزارشات تفضیلی از مخزن کش و همچنین گزارشاتی شامل تمامی خطاهای بروز کرده در حین کارکرد برنامه بعد از انتخاب موارد مورد نظر بر روی دکمه Next کلیک می کنیم تا وارد صفحه بعد شویم
در این صفحه می توانید نوع گزارش گیری را مشخص کنیم . در این صفحه سه نوع گزارش گیری در نظر گرفته شده است . روزانه - هفتگی و ماهانه ما در این قسمت برای کنترل بهتر بر روی رویداد های درون NetWork خودمان گزینه Daily را انتخاب می کنیم تا بتوانیم گزارشی روزانه داشته باشیم سپس بر روی دکمه Next :کلیک می کنیم تا وارد صفحه بعد شویم
در این صفحه باید با انتخاب گزینه Publish reports to a directory را فعال کنید تا بتوانیم از دکمه Browse برای انتخاب مسیری در یکی از درایو ها را انجام دهیم این آدرس باید در کادر Publish reports directory قرار بگیرد . ( محلی برای ذخیره صفحات گزارش در این قسمت تعیین می شود ) سپس بر روی دکمه Next کلیک می کنیم تا وارد صفحه بعد شویم
در این صفحه شما می توانید برنامه را به گونه ای تنظیم کنید که گزارشات را برای شما ایمیل کند البته نیازی به این گونه کارها زمانی ضروری می شود که مدیر شبکه در محل دیگری باشد که دسترسی به برنامه و گزارشات برنامه از روی سیستم محلی را نداشته باشد . پس این گزینه را غیر فعال می گزاریم و روی گزینه Next کلیک می کنیم تا وارد صفحه بعد شویم
در این صفحه بر روی دکمه Finish کلیک می کنیم تا این کار پایان یافته و بتوانیم ادامه تنظیمات را انجام دهیم
بعد از زدن دکمه Finish دوباره به صفحه Report Jobs بر می گردیم در این قسمت بر روی دکمه Edit کلیک می کنیم تا وارد صفحه مرتبط با این گزینه شویم .
وارد تب Schedule می شویم گزینه Every day را انتخاب می کنیم و سپس زمان گرفتن گزارشان را در گزینه Generation hour تعیین می کنیم
بر روی دکمه Ok کلیک می کنیم تا به صفحه قبل برویم و در آنجا نیز بر روی دکمه Ok کلیک می کنیم تا وارد صفحه اصلی شویم
در این قسمت بر روی دکمه Apply کلیک می کنیم تا تغییرات جدید در برنامه اعمال شود به این ترتیب اکنون سیستم گزارش گیری برنامه فعال شده است .
درباره Proxy / Cache / Firewall ,
زینب بازدید : 17 دوشنبه 20 اسفند 1397 زمان : ۲۳:۱۰ نظرات (0)
نصب و راه اندازی Squid همراه Radius
ابتدا فابل squid_radius_auth را دانلود کرده فایل دانلودشده را باز کزده و Config میکنیم بدین صررت :
cd /etc/squid/
wget http://www.squid-cache.org/contrib/s..._auth-1.09.tgz
tar -zxvf squid_radius_auth-1.09.tgz
cd squid_radius_auth-1.09
make install

vi /etc/squid/squid_radius_auth.conf

secret dark123

و در نهایت فایل Squid را Config میکنیم بدین صورت :

auth_param basic program /etc/squid/squid_radius_auth -f /etc/squid/squid_radius_auth.conf
auth_param basic children 6
auth_param basic realm DarkLove ***** Access
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
acl AuthUsers *****_auth REQUIRED
http_access allow all AuthUsers
موفق باشید
درباره Proxy / Cache / Firewall ,
زینب بازدید : 12 يكشنبه 30 دي 1397 زمان : ۰۹:۴۰ نظرات (0)

تعداد صفحات : 1

لینک دوستان
پیوندهی روزانه
  • آرشیو لینک ها
  • صفحات جداگانه
    آمار سیت
  • کل مطالب : 1
  • کل نظرات : 0
  • افراد آنلین : 13
  • تعداد اعضا : 0
  • بازدید امروز : 3,665
  • باردید دیروز : 25,370
  • بازدید هفته : 41,658
  • بازدید ماه : 119,858
  • بازدید سال : 405,606
  • بازدید کلی : 628,931