چگونه IIS را امن کنیم؟ سالهاست که در حوزه امنیت فعالیت می کنم و یکی از مهمترین دغدغه هایی که داشتم ، امن کردن وب سرورهایی بوده است که بصورت عمومی در اینترنت قرار دارند . به عنوان یک مدیر شبکه و نه حتی مدیر امنیت شما باید بتوانید تا حد امکان مکانیزم های امنیتی سیستم عامل و سرویس های وابسته به آن را برقرار کنید و این الزامی نیست که شما یک کارشناس امنیت اطلاعات ویژه چنین کاری داشته باشید.
امن کردن وب سرور یکی از چالشی ترین بحث های امنیتی است . دلایل مختلفی برای این موضوع وجود دارد اما بصورت کلی باید بدانید که امن کردن یک وب سرور به دلیل اینکه شما باید از دیدگاه برنامه نویس وب سایت ، متخصص پایگاه داده وب سایت و متخصص مجازی سازی و ... به این موضوع نگاه کنید بحث بسیار گسترده ای می تواند باشد .
این مقاله و چک لیست امنیتی حاصل حداقل 7 سال فعالیت تخصصی بنده بر روی وب سرورهای ویندوزی عمومی و البته مطالعه چک لیست های متعدد امنیتی که در اینترنت به وفور وجود دارند اما در عمل ممکن است کارایی نداشته باشند تهیه شده است . بعد از اینکه این مقاله تمام شد حتما نسخه انگلیسی آن را هم منتشر می کنیم تا کاملترین مرجع امنیت وب سرور IIS ویندوز در اینترنت را در لایه های مختلف در وب سایت توسینسو ارائه کرده باشیم .
طبیعتا ساده ترین روش امن کردن سرویس های وب استفاده از چک لیست ها است و ما هم بر همین اساس طراحی خودمان را انجام میدهیم تا شما عزیزان به سادگی هر چه بیشتر بتوانید وب سرور خودتان را امن کنید . فراموش نکنید که ما نسخه های مختلفی از وب سرور IIS مایکروسافت داریم که هر کدام می تواند به خودی خود نکات مختلف امنیتی داشته باشد اما ما بصورت کلی از پرداختن به وب سرورهای نسخه 6 و پایینتر از آن که در ویندوزهای سرور قدیمی مورد استفاده قرار می گرفتند اجتناب می کنیم و صرفا از نسخه 7 و بالاتر از آن که تغییر ساختار کلی در وب سرور ایجاد شده است می پردازیم .
اگر بخواهیم بصورت لایه بندی شده برنامه چک لیست را جلو ببریم ما امنیت را در وب سرور ویندوز به لایه های زیر تقسیم بندی می کنیم :
خوب تا همینجا باید یک چیز رو متوجه شده باشید ، چی ؟ اینکه امن کردن وب سرور IIS فقط و فقط امنیت خود این سرویس نیست و شما باید مجموعه ای از عوامل موثر رو امن کنید تا در نهایت وب سرور شما امن بشه . به زبان ساده وقتی شما میخاین یک سری مدارک و مستندات رو در جای امن کنید فقط خریدن گاوصندوق و قرار دادن مدارک داخلش مهم نیست .
شما باید کل محیط رو امن کنید از ساختمون گرفته ، درها و دیوارها و ... باید در یک سطح امنیتی مناسب باشند تا در نهایت مدارک شما امن باشه و این قضیه برای وب سرور IIS هم صادق هست و شما باید کلیه زیرساخت ها رو امن کنید . خوب بریم سراغ قسمت اول ماجرا و امنیت فیزیکی در وب سرور IIS رو با هم بررسیم ی کنیم .
منظور از امنیت فیزیکی در این مرحله این نیست که شما سگ نگهبان بزارید و درب قفل دار بزارید و ... در واقع وقتی شما یک سرور مجازی یا فیزیکی اجاره می کنید مواردی مثل حفاظت فیزیکی عملا در دست افراد دیگه ای هست که مدیریت هاستینگ شما رو بر عهده دارند . اگر هاستینگ بر عهده خودتون هست که حتما مواردی مثل حفاظت فیزیکی رو رعایت کنید . اما بحث ما در اینجا این هست که امنیت فیزیکی از نظر ما یعنی مواردیکه ما از راه دور می تونیم روی فیزیک سرور اعمال کنیم برای امنیت بیشتر ، سخت شد متوجه شدنش ؟ پس موارد زیر رو در نظر داشته باشید :
خوب وقتی میگیم چک لیست امنیت شبکه یه دنیا حرف می تونیم بزنیم که قطعا در سطح این مقاله نیست و باید خیلی کوتاه و خلاصه فقط بگیم که در وب سرورها امنیت شبکه رو با چه پارامترهایی باید بالا ببریم . در واقع ما باید یک بستر سالم و تمیز برای سرویس دهی IIS در زیرساخت شبکه ایجاد کنیم که به نظرم خیلی ساده میشه در چند مورد خلاصش کرد چون معمولا این مورد به ندرت در دسترس ما هست و ما باید از سرویس دهنده هاستینگمون این رو بخایم ، بنابراین موارد زیر رو شما باید در نظر داشته باشید :
به نظر من سنگین ترین بحث در امنیت وب سرور شما ، امنیت سیستم عامل شما هست . در واقع این قسمتی که در خصوصش چک لیس داریم ارائه می کنیم یک راهنمای جامع امنیتی برای اکثر سیستم عامل ها هم به حساب میاد که حالا ما فرض رو متمرکز می کنیم روی وب سرور ، پس انتظار نداشته باشید ریز ریز چیزها رو بتونیم توضیح بدیم چون میشه کتابها در خصوص این موارد نوشت . بنابراین گام به گام با ما در امن کردن سیستم عامل برای وب سرور همراه باشید :