• بازدید : 32 views
  • بدون نظر
این فایل در ۲۱صفحه قابل ویرایش تهیه شده وشامل موارد زیر است:

استفاده از شبکه های کامپيوتری از چندين سال قبل رايج و در ساليان اخير روندی تصاعدی پيدا کرده است .اکثر شبکه های پياده سازی شده در کشور  مبتنی برسيستم عامل شبکه ای  ويندوز می باشند .  شبکه های کامپيوتری، بستر و زير ساخت مناسب برای سازمان ها و موسسات را در رابطه با تکنولوژی اطلاعات فراهم می نمايد . امروزه  اطلاعات  دارای ارزش خاص خود بوده و تمامی ارائه دهندگان اطلاعات با استفاده از شبکه های کامپيوتری زير ساخت لازم را برای عرضه اطلاعات  بدست آورده اند . عرضه اطلاعات  توسط سازمان ها و موسسات می تواند بصورت محلی ويا  جهانی  باشد. با توجه به جايگاه والای اطلاعات از يکطرف و نقش شبکه های کامپيوتری ( اينترانت و يا اينترنت )  از طرف ديگر ، لازم است به مقوله امنيت در شبکه های کامپيوتری توجه جدی شده و هر سازمان با تدوين يک سياست امنيتی مناسب ، اقدام به پياده سازی  سيستم امنيتی نمايد 
مقوله تکنولوژی اطلاعات به همان اندازه که جذاب و موثر است ، در صورت عدم رعايت اصول اوليه  به همان ميزان و يا شايد بيشتر ، نگران کننده و مسئله آفرين خواهد بود . بدون ترديد امنيت در شبکه های کامپيوتری ، يکی از نگرانی های  بسيار مهم در رابطه با تکنولوژی اطلاعات بوده   که متاسفانه کمتر به آن  بصورت علمی پرداخته شده است . در صورتيکه دارای اطلاعاتی  با ارزش بوده  و قصد ارائه آنان  را بموقع  و در سريعترين زمان ممکن  داشته باشيم ،  همواره می بايست به مقوله امنيت، نگرشی عميق  داشته و با يک فرآيند  مستمر آن را دنبال نمود . 
اغلب سازمان های دولتی و خصوصی در کشور، دارای وب سايت اختصاصی  خود در اينترنت می باشند . سازمان ها و موسسات برای ارائه وب سايت ، يا خود امکانات مربوطه را فراهم نموده و با نصب تجهيزات سخت افزاری و تهيه پهنای باند لازم،  اقدام به عرضه سايت خود در اينترنت نموده و يا از امکانات مربوط به شرکت های ارائه دهنده خدمات ميزبانی استفاده می نمايند . وجه اشتراک دو سناريوی فوق و يا ساير سناريوهای ديگر، استفاده از يک سرويس دهنده وب است  . بدون ترديد سرويس دهنده وب يکی از مهمترين نرم افزارهای موجود در دنيای اينترنت محسوب می گردد . کاربرانی که به سايت يک سازمان و يا موسسه متصل  و درخواست اطلاعاتی را  می نمايند ، خواسته  آنان در نهايت در اختيار سرويس دهنده وب  گذاشته می شود . سرويس دهنده وب،  اولين نقطه ورود اطلاعات  و آخرين نقطه خروج اطلاعات از يک سايت  است . بديهی است نصب و پيکربندی مناسب چنين نرم افزار مهمی ، بسيار حائز اهميت بوده  و تدابيرامنيتی خاصی را طلب می نمايد . 

services (IIS)Internet Information ، يکی از سرويس دهندگان وب است  که از آن برای برای نشر و توزيع سريع محتويات مبتنی بر وب ، برای مرورگرهای استاندارد استفاده می شود . نسخه پنج IIS ، صرفا” برای سيستم های  مبتنی بر ويندوز ۲۰۰۰ قابل استفاده است . نسخه های ويندوز ۲۰۰۰  Server و Advanced server  بمنظور نصب IIS  ، مناسب و بهينه می باشند . نسخه پنج برای  استفاده در نسخه های قديمی ويندوز طراحی  نشده است . امکان نصب IIS نسخه پنج ،  بهمراه ويندوز Professional نيز وجود داشته  ولی برخی از امکانات آن نظير : ميزبان نمودن چندين وب سايت ،  اتصال به يک بانک اطلاعاتی ODBC و يا محدوديت در دستيابی از طريق IP   در آن لحاظ نشده است . 
نسخه پنج IIS ، سرويس های  WWW ، FTP، SMTP و NNTP را ارائه می نمايد . سه نرم افزار و سرويس ديگر نيز با IIS در گير می شوند : Certificate Server , Index server و Transaction server . 
امنيت در  IIS  متاثر از سيستم عامل است . مجوزهای فايل ها ،  تنظيمات ريجستری ،  استفاده از رمزعبور،  حقوق کاربران و ساير موارد مربوطه ارتباط مستقيم و نزديکی با امنيت در IIS دارند . 
قبل از پيکربندی مناسب IIS ،  لازم است که نحوه استفاده از سرويس دهنده دقيقا” مشخص گردد . پيکربندی دايرکتوری های IIS ، فايل ها ،  پورت های TCP/IP  و Account کاربران نمونه هائی در اين زمينه بوده که پاسخ مناسب به سوالات زير در اين رابطه راهگشا خواهد بود :
آيا سرويس دهنده از طريق اينترنت قابل دستيابی است ؟ 
آيا سرويس دهنده از طريق اينترانت قابل دستيابی است ؟ 
چه تعداد وب سايت بر روی سرويس دهنده ميزبان خواهند شد ؟ 
آيا وب سايت ها  نيازمند استفاده از محتويات  بصورت اشتراکی می باشند ؟ 
آيا سرويس دهنده امکان دستيابی را برای افراد ناشناس ( هر فرد ) فراهم نموده و يا صرفا” افراد مجاز حق استفاده از سرويس دهنده را خواهند داشت ؟ و يا هر دو ؟ 
آيا امکان استفاده و حمايت از (Secure Socket Layer)SSL وجود دارد ؟ 
آيا سرويس دهنده صرفا” برای دستيابی به وب از طريق HTTP استفاده می گردد ؟ 
آيا سرويس دهنده ، سرويس FTP را حمايت می نمايد ؟ 
آيا کاربرانی وجود دارد که نيازمند عمليات خاصی نظير کپی، فعال  نمودن، حذف و يا نوشتن فايل هائی بر روی سرويس دهنده  باشند ؟ 
موارد زير در زمان نصب IIS پيشنهاد  می گردد :
کامپيوتری که IIS بر روی آن نصب شده است را در يک محل امن فيزيکی قرار داده و صرفا” افراد مجاز قادر به دستيابی فيزيکی به سرويس دهنده باشند . 
در صورت امکان،  IIS را بر روی يک سرويس دهنده Standalone نصب نمائيد. در صورتيکه IIS بر روی يک سرويس دهنده از نوع Domain Controller نصب گردد و سرويس دهنده وب مورد حمله قرار گيرد، تمام سرويس دهنده بهمراه اطلاعات موجود در معرض آسيب قرار خواهند گرفت . علاوه بر مورد فوق،  نصب IIS بر روی يک سرويس دهنده از نوع Domain controller ، باعث افزايش حجم عمليات سرويس دهنده و متعاقبا” کاهش کارآئی سيستم در ارائه سرويس های مربوط به وب خواهد شد . 
برنامه های کاربردی و يا ابزارهای پياده سازی نمی بايست بر روی سرويس دهنده IIS نصب گردند . 
کامپيوتر مربوط به نصب IIS را بگونه ای مناسب پارتيشن نموده تا هر يک از سرويس ها نظير www و يا FTP بر روی پارتيشن های مجزاء قرار گيرند . 
IIS امکان نصب برنامه ها را در مکانی ديگر بجز پارتيشن C فراهم نمی نمايد ( مگراينکه يک نصب سفارشی داشته باشيم )  .موضوع فوق به  عملکرد سيستم عامل مرتبط می گردد . مجوزهای پيش فرض در رابطه با %Systemdrive%   اعمال می گردد ( مثلا” درايو C)  . موضوع فوق می تواند باعث عدم صحت کارکرد مناسب برخی از سرويس های IIS گردد. می بايست مطمئن شد که مجوزهای سيستم عامل با عمليات مربوط به سرويس های IIS ، رابطه ای  ندارند . 
تمام پروتکل های پشته ای (Stack) غير از TCP/IP را از روی سيستم حذف نمائيد. ( در موارديکه برخی از کاربران اينترانت نيازمند برخی از اين نوع پروتکل ها می باشند می بايست با دقت اقدام به نصب و پيکربندی مناسب آن نمود ) . 
روتينگ IP ، بصورت پيش فرض غيرفعال است و می بايست به همان حالت باقی بماند . در صورت فعال شدن  روتينگ ، اين امکان وجود خواهد داشت که داده هائی از طريق کاربران اينترانت به اينترنت ارسال گردد . 
نصب Client for Microsoft networking ، بمنظور اجرای سرويس های HTTP,FTP,SMTP و NNTP ضروری خواهد بود . در صورتيکه ماژول فوق نصب نگردد، امکان اجرای سرويس های فوق   بصورت دستی و يا اتوماتيک وجود نخواهد داشت . 
در صورتيکه  تمايل به نصب سرويس های NNTP و SMTP ، می بايست سرويس File and Print Sharing for Microsoft نيز نصب گردند . 
عمليات قبل از نصب IIS 
در زمان نصب IIS ، يک account پيش فرض به منظور ورود کاربران گمنام ( ناشناس ) به شبکه ايجاد می گردد . نام پيش فرض برای account فوق ، IUSER_computername بوده که computername  نام کامپيوتری است که IIS بر روی آن نصب شده است . account فوق ، می بايست دارای کمترين حقوق و مجوزهای مربوطه بوده  و  گزينه ها ی user cannot change password و password Never Expires  فعال شده باشد. account فوق همچنين می بايست از نوع local account بوده و domaiPage | 2n-wide account را شامل نگرديده و دارای مجور ورود به شبکه بصورت محلی باشد (log on locally) . مجوزهای  Access this computer from the network و يا log on as a batch job در رابطه با account ، فوق می بايست غير فعال گردند .  در صورتيکه سياست ارتباط با وب سايت ، صرفا” کاربران مجاز باشد، پيشنهاد می گردد account فوق ، غير فعال گردد . بدين ترتيب تمام کاربران با استفاده از نام و رمز عبور مربوطه  قادر به ورود به سايت خواهند بود .  
گروه هائی برای فايل دايرکتوری و اهداف مديريتی 
حداقل دو گروه جديد که در IIS قصد استفاده از انان را داريم، می بايست ايجاد گردد : گروه WebAdmin  ( نام فوق کاملا” اختياری است ) . در گروه فوق،  کاربرانی که مسئوليت مديريت محتويات WWW/FTP را دارند، تعريف می گردند . در صورتيکه سرويس دهنده ،  چندين سايت را ميزبان شده است، برای هر سايت يک گروه مديريتی ايجاد می گردد .  گروه WebUser ( نام فوق کاملا” اختياری است ) . در گروه فوق ليست account افراد  مجاز برای ارتباط با  سايت ، تعريف می گردد. در حالت اوليه ، گروه فوق صرفا” شامل IUSER_computername  است . از گروه های فوق برای تنظيمات مربوط به مجوزهای NTFS استفاده می گردد . IUSER_computername نبايد عضو گروهی ديگر باشد . بصورت پيش فرض IUSER_computername عضو گروه های Guests، Everyone  و Users است  . پيشنهاد  می گردد account فوق ، از گروه Guests حذف و به گروه WebUsers اضافه گردد .( امکان حذف account فوق از ساير گروهها وجود ندارد ) . دقت گردد که تمام افراد  موجود در گروه WebUsers می بايست صرفا” برای دستيابی به وب سايت تعريف شده باشند و نبايد عضوی از ساير گروهها باشند .   
مديريت IIS با چندين گروه 
نسخه  شماره چهار IIS ، امکان تعريف گروههای محلی بمنظور پيکربندی و تعريف گروههای مديريتی متفاوت برای سرويس های IIS را فراهم می نمود . رويکرد فوق در نسخه شماره پنج IIS ، تغيير يافته است . گروهها ی محلی می توانند و می بايست برای گروههای مديريتی متفاوت ايجاد گردند . تفاوت موجود بين گروههای محلی برای سرويس www و FTP صرفا”  استفاده از  مجوزهای NTFS  خواهد بود . سرويس های SMTP و NNTP ، قابليت تنظيم گروههای محلی را بعنوان اپراتورهای مديريتی برای سرويس دهنده  IIS فراهم می نمايد .
نصب تمام Patch ها برای سيستم عامل و IIS 
مديران IIS ،  می بايست همواره بررسی های لازم در خصوص آخرين نسخه های  fixes و  patch  را انجام داده  و پس از تهيه ، اقدام به نصب آنان نمايند . بدين منظور می توان از بخش Security سايت ماکروسافت ملاقات و برنامه های جديد را اخذ و نصب نمود . 
دايرکتوری پيش فرض نصب IIS 
پس از نصب IIS ، می بايست تغييرات لازم در خصوص مجوزهای دستيابی NTFS را در رابطه با دايرکتوری هائی که IIS نصب شده است ، انجام داد .  گروه های Everyone و Guests بهمراه account  مربوط به Guest می بايست  حذف گردند . گروه Everyone بصورت پيش فرض دارای تمامی مجوزهای لازم در رابطه با دايرکتوری Inetpub است . کاربران غير مجاز با استفاده  از ويژگی گروه فوق قادر به دستيابی به سيستم خواهند بود، بنابراين لازم است در اين راستا اقدام لازم ( حذف )  صورت پذيرد . دايرکتوری Inetpub ،  بر روی درايو پيش فرض نصب می گردد . ( مثلا” درايو C ) . دايرکتوری جديد و يا ساختار موجود می بايست به پارتيشن ديگر منتقل و عملا” تمايزی بين سايت های در دسترس از محل سيستم های عملياتی را بوجود آورد  . پيشنهاد  می گردد Inetpub به نام دلخواه ديگری تغيير يابد . 
دايرکتوری های  IIS نسخه پنج  را می توان در يک محل خاص ( سفارشی ) ديگر نيز نصب نمود( تحقق خواسته فوق صرفا” از طريق يک نصب سفارشی  ميسر می گردد ) . بدين منظور از يک فايل پاسخ استفاده می شود. فايل پاسخ ( مثلا” iis5.txt) می بايست دارای اطلاعات زير باشد 

عتیقه زیرخاکی گنج