پيکربندی IIS با رعايت مسائل امنيتی ( بخش پنجم )

سازماندهای دايرکتورهای FTP
بمنظور کنترل و هدايت مناسب سرويس دهنده FTP ، پيشنهاد می گردد که دايرکتوری ها بر اساس سياست های مشخص شده ای برای کاربران ايجاد و سازماندهی گردند . برای دريافت فايل ، اسامی دايرکتوری ها می بايست نشاندهنده محتويات دايرکتوری باشد . مثلا" درايورهای مربوط به دستگاهها ( Device Drivers ) می توانند بر اساس دايرکتوری هائی سازماندهی گردند که مرتبط و هماهنگ شده با اسامی سيستم عامل مربوطه باشد . در رابطه با اين نوع دايرکتوری ها ، می بايست سطح دستيابی مجاز ، فقط خواندنی ( Read only ) در نظر گرفته شود. برای ذخيره سازی موقت فايل های ارسالی توسط سرويس گيرندگان و قبل از اينکه آنان را در دايرکتوری مستقر نمائيم که امکان Download عمومی آنان فراهم گردد ، می بايست يک دايرکتوری موقت را ايجاد و پس از استقرار فايل های ارسالی توسط کاربران در آن و بررسی مسائل امنيتی ، فايل های ارسالی تائيد شده را در دايرکتوری مربوط به Download عمومی ، مستقر نمود. دايرکتوری موقت ، می بايست صرفا" دارای مجوز نوشتن ( Write ) برای Account مربوط به anonymous باشد . دايرکتوری FTP که برای Download نمودن کاربران پيکربندی می گردد ، صرفا" می بايست دارای مجوز "فقط خواندنی " باشد . رويکرد فوق ، ممکن است زمينه ساز مسائل اندکی نيز باشد چراکه کاربران ناشناس ( anonymous ) قادر به مشاهده فايل های Upload شده توسط ساير کاربران نمی باشند ولی اين امر آنان را در مقابل تغيير و يا حذف فايل ها ،محفاظت خواهد کرد( فايل های ارسالی توسط ساير کاربران در يک دايرکتوری موقت ذخيره که ساير کاربران امکان مشاهده آن را نخواهند داشت ، پس از بررسی لازم در خصوص فايل های ارسالی و استقرار آنان توسط مديريت سايت در دايرکتوری عمومی در نظر گرفته شده برای Download ، امکان استفاده از آنان برای ساير کاربران نيز فراهم خواهد شد ) . رويکرد فوق ، همچنين سايت FTP را در مقابل کاربران غير مجازی که اقدام به ارسال و ذخيره سازی نرم افزارهای غيرقانونی و يا ابزارهای hacking می نمايند ، حفاظت می نمايد . مديريت سايت ، می بايست بصورت مستمر فايل های ارسالی توسط کاربران به دايرکتوری موقت را بررسی و پس از اطمينان از مسائل امنيتی وساير موارد مورد نظر ، آنان را دايرکتوری مختص Download، مستقر نمايد . دايرکتوری فوق ، صرفا" می بايست دارای مجوز فقط خواندنی باشد .

FTP site Tab
خصلت های موجود در اين بخش مشابه خصلت های موجود در web site Tab می باشند ولی کاربرد آنان در رابطه با سرويس FTP خواهد بود .در اين رابطه مديريت سايت می تواند ، مشخصه ای را برای سايت FTP ، کنترل تعداد اتصالات و تنظيم يک زمان ارتباط Timeout تعريف و مشخص نمايد . توصيه می گردد که گزينه Enable logging انتخاب و برای مشخص نمودن زمان Timeout ، مقداری در نظر گرفته شود که اولا" باعث استفاده مطلوب و بهينه از سايت شده و ثانيا" بتوان حملات از نوع Denial of Service : DoS ( غيرفعال نمودن و ايجاد اختلال در ارائه سرويس و خدمات به کاربران مجاز) را کنترل و تشخيص داد .

Security Accounts Tab
با استفاده از امکانات موجود در اين بخش ، می توان دستيابی anonymous و اپراتورهای سايت FTP را مشخص و پيکربندی نمود. پيشنهاد می گردد که Allow only anonymous connections ، انتخاب تا محدوديت دستيابی صرفا" مرتبط با اتصالات anonymous گردد . پس از انتخاب گزينه فوق ، کاربران قادر به log on نمودن با نام و رمز عبور واقعی خود نخواهند بود ( در چنين حالتی اطلاعات مربوط به account کاربر بصورت شفاف و بدون رمزنگاری ارسال خواهد شد ) . بدين ترتيب ، سرويس دهنده FTP در مقابل برخی حملات که ممکن است از account مديريت سيستم و يا يکی از کاربران مجاز سوءاستفاده گردد ، محفاظت خواهد شد ( account های فوق، می توانند دارای مجوزهای خاصی در ارتباط با دستيابی به سرويس دهنده باشند ) . در اين رابطه لازم است به اين نکته نيز اشاره گردد که حتی با انتخاب گزينه فوق ، محدوديتی در رابطه با log on نمودن کاربران مجاز با استفاده از نام و رمز عبور مربوطه بوجود نخواهد آمد . کاربری که به براساس عادت در مواجهه با نمايش پيام FTP ، نام و رمز عبور خود را برای ورود به سايت وارد می نمايد ، می بايست به اين مسئله توجه نمايد که حتی اگر درخواست وی پذيرفته نگردد ، ولی با توجه به ارسال اطلاعات مرتبط با account وی بصورت شفاف و بدون اعمال هرگونه رمزنگاری، می تواند زمينه بروز مشکلات امنيتی در ارتباط با سرويس دهنده FTP را بدنبال داشته باشد.زمانيکه کاربران بعنوان anonymous به سايت log on می نمايند ، از آدرس پست الکترونيکی آنان بعنوان رمز عبور استفاده می گردد . سرويس دهنده FTP در ادامه از account با نام IUSR_computername بعنوان logon account بمنظور بررسی مجوزهای مورد نظر ، استفاده خواهد کرد . لازم است به اين نکته نيز اشاره گردد که Integrated windows authentication در رابطه با سرويس FTP وجود ندارد. در قسمت پائين پنجره مربوط به Security Accounts Tab ، امکانات لازم بمنظور مشخص نمودن account مربوطه به مديريت سايت FTP وجود دارد .

در اين رابطه لازم است گزينه Allow IIS to control password ، بمنظور تطبيق account مربوط به anonymous و رمز عبور ( عموما" بصورت IUSR_computername ) با account ايجاد شده در بخش users مربوط به Computer management ، انتخاب گردد . در صورتيکه IUSR_computername شامل account مربوط به anonymous نباشد ، می بايست مطمئن گرديد که account تعريف شده يک account بر روی کامپيوتر محلی ( local computer ) است . بدين ترتيب ، در صورت عدم دستيابی به Domain controller ، سرويس دهنده وب قابل دسترس خواهد بود .(در صورتيکه account مربوط به anonymous يک domain account در نظر گرفته شده باشد ) .

Messages Tab
با استفاده از امکانات موجود در اين بخش می توان سه نوع پيام را بمنظور نمايش برای کاربران مشخص نمود: Welcome ( ورود به سايت FTP ) ، پيام Exit بمنظور خروج يک کاربر از سايـت و پيام حداکثر تعداد ارتباطات ( Maximum Connections ) . پيشنهاد می گردد که از يک پيام خوش آمد گوئی که به شکل يک Banner امنيتی می باشد ،استفاده گردد .از پيام های خروجی می توان بمنظور نمايش هشدارها ئی بر اساس توقف ارتباط کاربر استفاده گردد . در موارديکه حداکثر تعداد ارتباط به سايت FTP محقق می گردد ، می توان با ارائه يک پيام مناسب کاربران را نسبت به وضعيت بوجود آمده ، آگاه نمود .

Home Directory Tab
از امکانات موجود در اين بخش بمنظور مشخص نمودن مکان ( آدرس ) محتويات ارائه شده ( يک دايرکتوری بر روی کامپيوتر ، يک فولدر به اشتراک گذاشته شده در شبکه و يا يک URL redircetions ) استفاده می گردد. مسير محلی دايرکتوری ، مجوزهای دستيابی و سبک نمايش ليست دايرکتوری که IIS برای سرويس گيرنده ارسال می نمايد را نيز می توان در اين بخش مشخص نمود. پيشنهاد می گردد که دايرکتوری فوق ، صرفا" دارای مجوز "فقط خواندنی" باشد. در صورتيکه ضروری است که امکان ارسال فايل ( Upload ) در اختيار کاربران قرار گيرد،پيشنهاد می گردد دو دايرکتوری مجزای ديگر تحت دايرکتوری ftproot ، ايجاد گردد . يکی از دايرکتوری ها دارای مجوز دستيابی "فقط خواندنی " در ارتباط با ذخيره اطلاعات قابل دسترس برای تمامی کاربران بمنظور download و دايرکتوری ديگر ، دارای مجوز صرفا" " فقط نوشتن " برای ارسال فايل های کاربران بر روی سرويس دهنده FTP باشد . ( دايرکتوری دوم صرفا" محلی موقت برای استقرار فايل های ارسالی کاربران خواهد بود ) . در ادامه يکی از مديران سيستم ( و يا web operator ) می تواند دارای مسئوليت بررسی داده و فايل های ارسالی در دايرکتوری فوق شده و پس از حصول اطمينان از عدم وجود مسائل امنيتی و ساير موارد مرتبط ، اقدام به استقرار فايل های ارسالی در دايرکتوری اول بمنظور در اختيار گذاشتن آنان برای Download توسط ساير کاربران نمايد .

Directory Security Tab
با استفاده از امکانات موجود در اين بخش می توان سياست دستيابی به سايت FTP را بر اساس آدرس های IP مشخص نمود. در اين رابطه دو گزينه وجود دارد : Granted Access و Denied Access . با انتخاب گزينه Granted Access ، تمامی کامپيوترها قادر به دستيابی به منابع موجود خواهند شد ، بجزء کامپيوترهائی که آدرس IP آنان مشخص شده است . با انتخاب گزينه Denied Access ، صرفا" آندسته از کامپيوترهائی که آدرس IP آنان مشخص خواهد شد ، قادر به دستيابی به منابع موجود بوده و تمامی درخواست های ديگر ناديده گرفته خواهد شد . در موادريکه آدرس های IP مشخص می گردد ، سه گزينه ديگر نيز موجود می باشد : single computer و group of computers ( در اين حالت network ID و Subnet mask مشخص خواهد شد ) و يا Domain Name ( درانتخاب گزينه فوق ، می بايست دقت لازم را انجام داد. پس از انتخاب اين گزينه ، يک پيام هشداردهنده مبنی بر کاهش کارآئی سرويس دهنده با توجه به ضرورت انجام يک DNS reverse lookup در ارتباط با هر درخواست اتصال، نمايش داده خواهد شد) . در صورتيکه مجموعه ای تعريف شده از کاربران وجود دارد که می بايست به آنان مجوز دستيابی به دايرکتوری ftp داده شود ، پيشنهاد می گردد، گزينه Denied Access انتخاب گردد . بدين ترتيب ، صرفا" کامپيوترهای مشخص شده قادر به دستيابی به داده موجود بر روی دايرکتوری ftp بوده و از دستيابی ديگران جلوگيری بعمل خواهد آمد.