1 / 98

TANET 網路安全技術

TANET 網路安全技術. 區域聯防之技術支援. WIN2000/NT. IIS 防護. 台南市 教育局電子資料中心 行政網路組 傅志雄 10/26/2001. 議程. 網路安全威脅類型分析 IIS 目前安全威脅及解決方案 Service Pack 種類及安裝 IIS 建置規劃 IIS 安全設定 Microsoft IIS Security Tools 結論. 基礎知識. 這研討會假設您已經具備以下基本知識 Windows 2000 Server 進階管理 IIS 建置及基礎管理 網路運作概念. 一、網路安全威脅類型分析.

mckile
Download Presentation

TANET 網路安全技術

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. TANET網路安全技術 區域聯防之技術支援 WIN2000/NT IIS防護 台南市 教育局電子資料中心 行政網路組 傅志雄 10/26/2001

  2. 議程 • 網路安全威脅類型分析 • IIS目前安全威脅及解決方案 • Service Pack種類及安裝 • IIS建置規劃 • IIS安全設定 • Microsoft IIS Security Tools • 結論

  3. 基礎知識 這研討會假設您已經具備以下基本知識 • Windows 2000 Server進階管理 • IIS建置及基礎管理 • 網路運作概念

  4. 一、網路安全威脅類型分析 • 偽裝/欺騙攻擊法(IP Spoofing) • 網路竊聽攻擊法(Sniffing) • 電腦病毒(Virus) • 通行碼暴力式猜測攻擊法(Brute Force) • 特洛伊木馬(Trojan House) • 阻絕服務(Denial of service-DoS)

  5. 二、 IIS目前安全威脅及解決方案 • 紅色警戒病毒 • W32/Nimda@MM(簡稱Nimda)病毒 • 其他

  6. 紅色警戒病毒 • 感染、繁殖、安裝木馬 造成網路癱瘓 • 下載並執行CodeRedCleanup.exe以清除Code Re • 下載相關修復程式 (MS01-33)

  7. W32/Nimda@MM(簡稱Nimda)病毒影響 • 竊取或改變系統密碼,或管理密碼的系統及檔案 • ‧ 安裝遠端連線的軟體,例如木馬或後門程式(backdoors) • ‧ 安裝鍵盤輸入追蹤及記錄軟體(keystroke logging software) • ‧ 任意修改防火牆的規則(firewall rules) • ‧ 竊取信用卡帳號,銀行帳戶及個人的機密資料等等. • ‧ 修改或刪除重要的檔案(不重要的也會) • ‧ 盜用您的電子郵件,或利用您的郵件帳號發送為害您權益及名(商)譽的信件 • ‧ 修改系統及檔案的存取權限 • ‧ 刪除系統內建的事件檢示器的所有紀錄,讓您根本無法去作稽核與追蹤

  8. W32/Nimda@MM(簡稱Nimda)解決 • 更新病毒碼 • 修正IE及OutLook • 修正IIS

  9. IIS其他安全威脅 • NT 伺服器常見的攻擊或入侵漏洞 • 透過URL對於Unicode編碼的漏洞 • buffer overflow • 遠端使用者瀏覽Server ASP檔原始碼 • 利用已發現安全漏洞入侵 • 解決方式 • 隨時安裝最新修正程式

  10. 三、 Patch種類及安裝 • Security Bulletin Search網址: • http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/current.asp?productid=15

  11. 目前Patch • August 2001 • MS01-044 : 15 August 2001 Cumulative Patch for IIS • June 2001 • MS01-033 : Unchecked Buffer in Index Server ISAPI Extension Could Enable Web Server Compromise • Code Red(六月十八公告)六月發現 • May 2001 • MS01-026 : 14 May 2001 Cumulative Patch for IISMS01-025 : Index Server Search Function Contains Unchecked BufferMS01-023 : Unchecked Buffer in ISAPI Extension Could Enable Compromise of IIS 5.0 Server • March 2001 • MS01-016 : Malformed WebDAV Request Can Cause IIS to Exhaust CPU ResourcesMS01-014 : Malformed URL Can Cause Service Failure in IIS 5.0 and Exchange 2000

  12. 目前Patch • January 2001 • MS01-004 : Malformed .HTR Request Allows Reading of File Fragments • December 2000 • MS00-100 : Malformed Web Form Submission Vulnerability • November 2000 • MS00-086 : Web Server File Request Parsing VulnerabilityMS00-084 : Indexing Services Cross Site Scripting Vulnerability • October 2000 • MS00-080 : Session ID Cookie Marking VulnerabilityMS00-078 : Web Server Folder Traversal Vulnerability • *****( W32.Nimda.A@mm) • August 2000 • MS00-060 : IIS Cross-Site Scripting Vulnerabilities MS00-058 : Specialized Header VulnerabilityMS00-057 : File Permission Canonicalization Vulnerability • July 2000 • MS00-044 : Absent Directory Browser Argument Vulnerability

  13. Patch安裝 • 比對Windows Service Pack最新版本出版時間與patch發佈時間,可簡化安裝工作(避免重複安裝) • 部份patch雖已經不需重新開機就可Run,但為了安全系統還是要重新啟動 • 比對patch語系 • 安裝前充分瞭解說明(KB)

  14. 四、 IIS建置規劃 • 認識IIS • 硬體考量 • 軟體考量(強化OS安全) • IIS安裝 • IIS設定

  15. 認識IIS 服務介紹 • IIS 5.0 只建置Windows 2000平台 • WWW, FTP, SMTP, and NNTP • 三個額外的應用程式 certificate server, index server, Microsoft transaction server.

  16. 認識IIS • IIS系統安全特性 IIS 5.0 緊密結合Windows 2000 Server作業系統之File permissions, registry settings, password usage, user rights,及其他Windows 2000 security,影響非常大,對於如此關係各有利弊。

  17. 安裝考量 • Server是否要提供Internet存取? • Server是否只提供Intranet存取? • Server將建構多少的web sites? • Will separate web sites share any content? • 需認證存取、只提供匿名者 (或兩者都有)? • 支援Secure Socket Layer (SSL) connections? • 只提供HTTP服務? • 支援FTP服務? • Server可允許特定使用者copy, open, delete, and write files?

  18. 硬體安全 • 放置安全場所(如加鎖防盜防火…..) • 移除floppies, CDs, ZIP drives • 開機選項為HD優先 • 設定EEPROM boot password • 若與資料庫連接,建議設定兩張網卡 一為Public IP對外,另一Private IP對內連接資料庫網段

  19. 軟體考量(強化OS安全) • NTFS檔案系統 • System、OS files與Data分開不同partitions. • 以最小需求安裝軟體,有需要再加裝 • 若不支援Dynamice Update DNS,請去除登錄連線網址,避免不必要資訊外漏

  20. 軟體考量(強化OS安全) • 移除LMHOSTS lookup • 移除NetBIOS Over TCP/IP • 最好設定workgroup角色,沒有信任其他網域 • Because of this, the default permissions applied to the • 安裝目錄於C partition • 除了TCP/IP及client for Microsoft networking,減少不必要protocol stacks • 更新Service Pack • 使用SysKey tools強化password,加密成128-bit狀態,讓Hacker無法利用工具順利測試主機密碼 (使用方式參考下頁)

  21. 參考:SYSKEY使用 • 使用SYSKEY相當容易,只要在執行命令列打上syskey就可(注意--winnt4.0 sp3以後版本才支援)如右圖(NT4.0)及右下圖(windows2000)

  22. 軟體考量(強化OS安全) • 安全範本設定使用方法 • 經由MMC建立安全性設定及分析及安全性範本步驟如下 • 1.開啟MMC • 2.新增嵌入[安全性設定及分析]及安全性範本 • 3.編修安全性範本

  23. 軟體考量(強化OS安全) • 4.編輯完後可由本機安全設定(如下圖)

  24. 軟體考量(強化OS安全) • 下載Hisecweb.inf http://download.microsoft.com/download/win2000srv/SCM/1.0/NT5/EN-US/hisecweb.exe • 下載後,使用[安全性設定及分析]工具匯入並設定

  25. 軟體考量(強化OS安全) • IIS需要的Service • Event Log • IIS Admin Service • License Logging Service • MSDTC • Protected Storage • Remote Procedure Call (RPC) Service • Server • Windows NT Server or Windows NT Workstation • Windows NTLM Security Support Provider • Workstation • World Wide Web Publishing Service

  26. 軟體考量(強化OS安全) • IIS不需要的Service • Alerter • ClipBook Server • Computer Browser • DHCP Client • Messenger • NetBIOS Interface • Net Logon • Network DDE & Network DDE DSDM • Network Monitor Agent • NWLink NetBIOS • NWLink IPX/SPX Compatible Transport (not required unless you don't have TCP/IP or another transport) • Simple TCP/IP Services • Spooler • TCP/IP NetBIOS Helper • WINS Client (TCP/IP)

  27. 軟體考量(強化OS安全) • 以下工具程式移除” LocalSystem 及 Administrators group權限,只給工具程式管理者 (Read 及 Execute)權限 • arp.exe ipconfig.exe Nbtstat.exe at.exe net.exe Netstat.exe atsvc.exe nslookup.exe ping.exe cacls.exe posix.exe Qbasic.exe Cmd.exe rcp.exe rdisk.exe debug.exe regedit.exe Regedt32.exe edit.com rexec.exe route.exe edlin.exe rsh.exe Runonce.exe finger.exe secfixup.exe Syskey.exe ftp.exe telnet.exe Tracert.exe xcopy.exe tftp.exe command.com clipsrv.exe dialer.exe hypertrm.exe • attrib.exe ping.exe sysedit.exe cscript.exe wscript.exe

  28. 軟體考量(強化OS安全) • TCP/IP Filtering(選項)

  29. IIS安裝 安裝前檢視 IUSR_computername. 確定無法變更Password 及Password永久有效 • 為本機帳號,非網域帳號 • 若網站不允許匿名者存取,設定帳戶停用

  30. IIS安裝 • 目錄安全

  31. IIS安裝 • 目錄安全

  32. IIS Log File ACLs • 變更路徑: • %systemroot%\system32\LogFiles • 設定權限: • Administrators (Full Control) • System (Full Control) • Everyone (RWC) • 避免檔案被刪除

  33. 移除Sample

  34. IIS安裝 • 不使用的服務啟動設定由自動設為手動或停用

  35. IIS安裝 • Metabase安全設定 • Metabase為儲存IIS所有設定檔,提供IIS載入記憶體快速存取,有別Windows Registry. • IIS啟動時會載入Metabase ,IIS關閉時回存 • Metabase為儲存特殊格式名稱為 MetaBase.bin,路徑為 \Winnt\system32\inetsrv • 避開非授權使用者

  36. 五、 IIS安全設定 • Internet Services Manager – Master Properties

  37. Internet Services Manager – Master Properties Snap-Ins Microsoft Management Console (MMC)

  38. Internet Services Manager – Master Properties • Internet Service Manager

  39. Internet Services Manager – Master Properties

  40. Internet Services Manager – Master Properties WWW Master Properties • Web Site Tab Ensure Enable logging is selected • Home Directory Tab Disable (uncheck) Read, Write, Directory browsing options Ensure Log visits is selected Ensure None is selected for the Execute Permissions drop down box • Directory Security Tab If any site hosted by this server will NOT allow Anonymous access, Disable(uncheck) Anonymous access, under Authentication methods and select appropriate authentication method

  41. Internet Services Manager – Master Properties FTP Master Properties • FTP Site Tab Set appropriate number of connections for max users on FTP server Set maximum seconds for timeout (inactivity), 600 seconds is reasonable Ensure Enable logging is selected • Security Accounts Tab Ensure Allow Anonymous Connections is selected Select Allow only anonymous connections • Home Directory Tab Ensure Log visits is selected

  42. Internet Services Manager – Master Properties Server Extensions Master Properties • Ensure Log authoring actions is selected • Ensure Require SSL for authoring is selected • Ensure manage permissions manually is selected • Ensure Allow authors to upload executable is DISABLED (UNCHECKED)

  43. Internet Services Manager – Master Properties

  44. 六、 Microsoft IIS Security Tools • IIS Lockdown Tool • URLScan • HFNetChk • Microsoft Personal Security Advisor (MPSA)

  45. Microsoft IIS Security Tools使用前注意事項 • 1.詳細閱讀說明(尤其是Note) • 2.使用前先找實驗機器試驗 • 3.備份IIS設定檔(儲存電腦上您管理的所有 Web 站台、FTP 站台、虛擬目錄、目錄與檔案的設定值)

  46. 備份IIS設定檔步驟

  47. IIS Lockdown Tool • 功能說明 快速簡易及無誤的設定網站,讓管理者即時保護網站遠離威脅 提供兩種操作方式 Express Lockdown mode: 提供基本功能網站最高安全設定 Advanced Lockdown mode: 提供最適當輔助說明及推薦最佳的設定方式,讓管理者自訂安全設定,並提供”還原”設定功能

  48. IIS Lockdown Tool安裝 • 下載IISLockD.exe - 184 Kb • 網址: http://www.microsoft.com/Downloads/Release.asp?ReleaseID=32362 • Release Date - 23 Aug 2001

  49. IIS Lockdown Tool安裝 • 安裝IIS Lockdown步驟 • 1.點選如右圖開始安裝程序 • 2.接受Microsoft EULA. • (END-USER LICENSE AGREEMENT) • 3.輸入安裝路徑

  50. IIS Lockdown Tool安裝結果 IISLockd.exe-----執行程式 Iislockd.chm------說明文件 404.dll-------------執行Lockdown後對映檔

More Related