Microsoft IIS6: веб-сервер строгого режима

  Ларри Зельцер (Larry Seltzer), специально для ZDNet 
  

Философией софтверного гиганта всегда было создание продуктов, максимально доступных, максимально «скриптабельных» и максимально мощных. Теперь все не так. После двух лет нападок со стороны секьюрити-консультантов и интернет-вандалов разработчики Microsoft решили, что, когда дело касается интернета, лучшая часть отваги — это осторожность. Теперь они думают лишь о том, как помешать пользователям добраться до разных функций.

После того как компании, использующие Windows 2000 и NT4, в огромном количестве установили IIS, даже не подозревая об этом — пока не стали жертвами атак, в Microsoft приняли мудрое решение изменить конфигурацию по умолчанию в IIS6. После установки Windows .Net Server в системе может оказаться IIS6, а может и не оказаться — в зависимости от типа лицензии. Если IIS6 установлен, то он автоматически подключен и по умолчанию находится в состоянии изоляции, то есть не может делать практически ничего полезного. Его функции нужно специально включать. Помимо этого, в нем есть новые средства фильтрации, позаимствованные из брандмауэров, такие как возможность отфильтровывать на входе потенциально опасные запросы. Все это — наряду с новой версией Web Server Edition и при условии, что заявления Microsoft о производительности IIS6 окажутся правдой, — может сделать IIS6 чрезвычайно популярным в системах хостинга и других чисто вебовских приложениях.

Ага, скажете вы, каждый знает, что с точки зрения безопасности IIS — это злая шутка. Однако, по-моему, отсутствие сколько-нибудь серьезных атак на IIS за последний год отчасти является результатом новых инструментов и патчей, предложенных Microsoft. IIS-системы стало легче сделать безопасными, и IIS6 продолжает эту тенденцию. Хотя недавно и проскочили сообщения о вновь обнаруженных уязвимостях, многие из них уже исправлены, а в некоторых из этих сообщений была изрядная доля преувеличения.

Теперь IIS6 исполняет «рабочий процесс», или фоновую задачу, которая контролирует попытки вызвать переполнение буфера — главное средство атак через веб. Все такие попытки заблокировать невозможно, но отсеять подавляющее большинство вполне реально. Рабочий процесс наблюдает за переполнениями и ликвидирует любую программу, их вызывающую.

Важная перемена произошла и с процессом аутентификации анонимных пользователей IIS6. Способ регистрации по умолчанию изменился с INTERACTIVE на NETWORK_CLEARTEXT, так что пользователи больше не могут войти в систему интерактивно. Это означает, что контроллерами домена могут служить веб-серверы, причем они менее уязвимы.

Средства усиления веб-безопасности относятся не только собственно к IIS6. В Windows .Net Server добавлена фильтрация портов на уровне стека TCP/IP (по существу, теперь есть отдельные фильтры для TCP, IP и UDP). Конечно, эту функцию выполняет брандмауэр, но в случае атаки на внутреннюю систему .Net Server добавляет новый уровень защиты. Усиливается и защита исходящего потока по сравнению с той, что обеспечивает брандмауэр.

Главное решение: сервисы в IIS должны быть отключены до тех пор, пока они не потребуются, — Microsoft приняла еще раньше. В Windows NT4 и Windows 2000 IIS вел себя не так, но Microsoft уже предлагала инструмент IIS Lockdown для IIS версий 4 и 5. Этот мастер облегчает отключение большого числа сервисов и ненужных возможностей IIS, приближая его к тощей конфигурации по умолчанию IIS6.

Опытным пользователям IIS и разработчикам может показаться очевидным, что неосторожное обращение с инструментом Lockdown ведет к утрате требуемой функциональности IIS — хотя он позволяет выбирать определенные сервисы, которые нужно отключить. То же самое относится и к IIS6. Те сервисы, которые в ранних версиях IIS работали сразу, теперь по умолчанию выключены.

Несомненно, для многих приложений потребуется перепрограммирование, реконфигурация и простое переосмысление в свете IIS6. В первые годы интернет-бума Microsoft предложила массу идей по поводу того, как использовать веб-серверы, — идей, многие из которых теперь считаются неразумными. Те, кто воспользовался этими идеями — например, о сохранении документов прямо на веб-сервере при помощи приложений Office, — смогут продолжать делать это и в будущих версиях, но администраторам, обеспечивающим безопасность системы, придется потрудиться. Об этом позаботилась Microsoft, запретив подобные возможности.

При установке инструмента Lockdown вам предлагается еще один бесценный инструмент: URLScan. Это дополнение к IIS (с технической точки зрения — фильтр ISAPI) блокирует запросы к веб-серверу определенного типа, такие как попытки исполнить файл .EXE, или слишком длинные URL, или URL с не-ASCII-символами. Правда, это несколько напоминает решение типа quick hack; по-настоящему версию URLScan следовало бы оформить как вкладку в инструмент Internet Services Manager, однако этим инструментом приходится управлять посредством файла конфигурации, отдавая дань Linux и BSD. URLScan регистрирует заблокированные запросы, так что можно поискать их источник. Как известно, такой запрос может поступить как из любой системы внутри сети, так и от пользователя с удаленным доступом. Лог-файл позволит быстро решить этот вопрос. Подобные возможности содержатся и в IIS6.

Приятно видеть, как решительно Microsoft избавляется от своей вечной склонности к функциональной перегруженности и принимает общепринятый консервативный подход к безопасности. Хорошо администрируемые серверы всегда были гораздо менее подвержены атакам, чем плохо администрируемые, и в этом смысле IIS не отличается от других веб-серверов. Новые средства защиты усложняют жизнь тем администраторам, которые мало заботятся о безопасности.