Microsoft IIS6: веб-сервер строгого режима

Философией софтверного гиганта всегда было создание продуктов, максимально доступных, максимально «скриптабельных» и максимально мощных. Теперь все не так. После двух лет нападок со стороны секьюрити-консультантов и интернет-вандалов разработчики Microsoft решили, что, когда дело касается интернета, лучшая часть отваги — это осторожность. Теперь они думают лишь о том, как помешать пользователям добраться до разных функций.

Ларри Зельцер (Larry Seltzer), специально для ZDNet 
Проектируя IIS6, разработчики из Microsoft действовали самоотверженно.

Философией софтверного гиганта всегда было создание продуктов, максимально доступных, максимально «скриптабельных» и максимально мощных. Теперь все не так. После двух лет нападок со стороны секьюрити-консультантов и интернет-вандалов разработчики Microsoft решили, что, когда дело касается интернета, лучшая часть отваги — это осторожность. Теперь они думают лишь о том, как помешать пользователям добраться до разных функций.

После того как компании, использующие Windows 2000 и NT4, в огромном количестве установили IIS, даже не подозревая об этом — пока не стали жертвами атак, в Microsoft приняли мудрое решение изменить конфигурацию по умолчанию в IIS6. После установки Windows .Net Server в системе может оказаться IIS6, а может и не оказаться — в зависимости от типа лицензии. Если IIS6 установлен, то он автоматически подключен и по умолчанию находится в состоянии изоляции, то есть не может делать практически ничего полезного. Его функции нужно специально включать. Помимо этого, в нем есть новые средства фильтрации, позаимствованные из брандмауэров, такие как возможность отфильтровывать на входе потенциально опасные запросы. Все это — наряду с новой версией Web Server Edition и при условии, что заявления Microsoft о производительности IIS6 окажутся правдой, — может сделать IIS6 чрезвычайно популярным в системах хостинга и других чисто вебовских приложениях.

Ага, скажете вы, каждый знает, что с точки зрения безопасности IIS — это злая шутка. Однако, по-моему, отсутствие сколько-нибудь серьезных атак на IIS за последний год отчасти является результатом новых инструментов и патчей, предложенных Microsoft. IIS-системы стало легче сделать безопасными, и IIS6 продолжает эту тенденцию. Хотя недавно и проскочили сообщения о вновь обнаруженных уязвимостях, многие из них уже исправлены, а в некоторых из этих сообщений была изрядная доля преувеличения.

Теперь IIS6 исполняет «рабочий процесс», или фоновую задачу, которая контролирует попытки вызвать переполнение буфера — главное средство атак через веб. Все такие попытки заблокировать невозможно, но отсеять подавляющее большинство вполне реально. Рабочий процесс наблюдает за переполнениями и ликвидирует любую программу, их вызывающую.

Важная перемена произошла и с процессом аутентификации анонимных пользователей IIS6. Способ регистрации по умолчанию изменился с INTERACTIVE на NETWORK_CLEARTEXT, так что пользователи больше не могут войти в систему интерактивно. Это означает, что контроллерами домена могут служить веб-серверы, причем они менее уязвимы.

Средства усиления веб-безопасности относятся не только собственно к IIS6. В Windows .Net Server добавлена фильтрация портов на уровне стека TCP/IP (по существу, теперь есть отдельные фильтры для TCP, IP и UDP). Конечно, эту функцию выполняет брандмауэр, но в случае атаки на внутреннюю систему .Net Server добавляет новый уровень защиты. Усиливается и защита исходящего потока по сравнению с той, что обеспечивает брандмауэр.

Главное решение: сервисы в IIS должны быть отключены до тех пор, пока они не потребуются, — Microsoft приняла еще раньше. В Windows NT4 и Windows 2000 IIS вел себя не так, но Microsoft уже предлагала инструмент IIS Lockdown для IIS версий 4 и 5. Этот мастер облегчает отключение большого числа сервисов и ненужных возможностей IIS, приближая его к тощей конфигурации по умолчанию IIS6.

Опытным пользователям IIS и разработчикам может показаться очевидным, что неосторожное обращение с инструментом Lockdown ведет к утрате требуемой функциональности IIS — хотя он позволяет выбирать определенные сервисы, которые нужно отключить. То же самое относится и к IIS6. Те сервисы, которые в ранних версиях IIS работали сразу, теперь по умолчанию выключены.

Несомненно, для многих приложений потребуется перепрограммирование, реконфигурация и простое переосмысление в свете IIS6. В первые годы интернет-бума Microsoft предложила массу идей по поводу того, как использовать веб-серверы, — идей, многие из которых теперь считаются неразумными. Те, кто воспользовался этими идеями — например, о сохранении документов прямо на веб-сервере при помощи приложений Office, — смогут продолжать делать это и в будущих версиях, но администраторам, обеспечивающим безопасность системы, придется потрудиться. Об этом позаботилась Microsoft, запретив подобные возможности.

При установке инструмента Lockdown вам предлагается еще один бесценный инструмент: URLScan. Это дополнение к IIS (с технической точки зрения — фильтр ISAPI) блокирует запросы к веб-серверу определенного типа, такие как попытки исполнить файл .EXE, или слишком длинные URL, или URL с не-ASCII-символами. Правда, это несколько напоминает решение типа quick hack; по-настоящему версию URLScan следовало бы оформить как вкладку в инструмент Internet Services Manager, однако этим инструментом приходится управлять посредством файла конфигурации, отдавая дань Linux и BSD. URLScan регистрирует заблокированные запросы, так что можно поискать их источник. Как известно, такой запрос может поступить как из любой системы внутри сети, так и от пользователя с удаленным доступом. Лог-файл позволит быстро решить этот вопрос. Подобные возможности содержатся и в IIS6.

Приятно видеть, как решительно Microsoft избавляется от своей вечной склонности к функциональной перегруженности и принимает общепринятый консервативный подход к безопасности. Хорошо администрируемые серверы всегда были гораздо менее подвержены атакам, чем плохо администрируемые, и в этом смысле IIS не отличается от других веб-серверов. Новые средства защиты усложняют жизнь тем администраторам, которые мало заботятся о безопасности.


или введите имя

CAPTCHA