Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Advanced Technologies 05 Jak zabezpečit váš Web Server Martin Pavlis (MCSE, MCT) Konzultant.

Podobné prezentace


Prezentace na téma: "Advanced Technologies 05 Jak zabezpečit váš Web Server Martin Pavlis (MCSE, MCT) Konzultant."— Transkript prezentace:

1 Advanced Technologies 05 Jak zabezpečit váš Web Server Martin Pavlis (MCSE, MCT) martin@pavlis.net Konzultant

2 Obsah O čem bude prezentace: Nastavení Windows Serveru AutentizaceŠifrování Správa logů O čem prezentace nebude: Firewall a komunikace Zabezpečení aplikací

3 1. Omezte dopad útoku na Web Server Povolte pouze nezbytné součásti a služby: Windows Server 2003 IIS Components Web Service Extensions MIME Types

4 1a. Bezpečnostní nastavení Windows Serveru 2003 Přejmenujte účet Administrator Ukládejte obsah na dedikovaný disk Formátujte všechny disky pomocí NTFS Odstraňte NTFS práva, která jsou přiřazena skupině Everyone na všech discích

5 Advanced Technologies 05 Windows 2003 a IIS Bezpečnostní šablony Součásti a služby Windows Součásti IIS

6 2. Zabraňte neoprávněnému přístupu k Web serverům a aplikacím Nastavte IIS Web Site práva Pozor! Společná pro všechny přístupy Nastavte omezení na IP adresy a doménová jména

7 3. Autentizace uživatelů Konfigurace autentizace na Web Site Vhodný výběr autentizační metody Konfigurace autentizace proti FTP Site

8 4. Šifrujte důvěrná data při komunikaci s klienty Používejte SSL pro šifrování důvěrných dat Výběr vhodné certifikační autority Pro vzdálenou administraci, používejte IPSec, nebo VPN Pozor na útok skrze RDP MIMT Windows 2003 SP1 – novinka – RDP over SSL

9 4a. RDP MITM 1.Klient se připojuje k serveru. Díky různým metodám (DNS spoofing, arp poisoning, atd.), aniž by o tom tušil, dojde k jeho přesměrování na úplně jiný server (budeme mu říkat MITM), který předá požadavek originálnímu RDP serveru. 2.RDP server odpovídá a posílá klientovi nešifrovaně svůj veřejný klíč a "náhodně přidanou hodnotu" (random salt), klientem je pro něj ovšem MITM! Ten předá tento paket původním klientovi, ovšem zamění veřejný klíč RDP serveru za vlastní (od kterého má privátní klíč). 3.Klient zasílá serveru svoji "náhodně přidanou hodnotu" (random salt), zašifrovanou pomocí veřejného klíče, který obdržel v předchozím paketu, ale tento klíč není klíč RDP serveru, ale MITM serveru! 4.MITM server pomocí svého privátního klíče dešifruje paket od klienta, a znovu jej šifruje, tentokrát pomocí "správného" veřejného klíče RDP serveru (viz. bod 2) a předává ho RDP serveru. 5.Na základě tohoto postupu, má MITM server veškeré potřebné informace k tomu, aby mohl vytvořit "session keys", které se používají k šifrování dalších paketů, které si klient s RDP serverem vyměňuje. Díky tomu, je tedy vše, co je přenášeno mezi klientem a RDP serverem, pro MITM server zcela čitelné. Hlavně tedy hesla, kterými se klienti přihlašují. Jelikož např. na Windows 2000 musí mít klient pro přihlášení administrátorská práva, je dopad stoprocentní.

10 Advanced Technologies 05 Autentizace a šifrování Auth Diagnostics 1.0 SSL Diagnostics 1.0 RDP over SSL

11 5. Isolujte Web Site a aplikace Vyhodnocení efektu impersonifikace a kompatibility aplikací Konfigurace Web Sites a aplikací pro účely isolace

12 Advanced Technologies 05 Isolace Web aplikací Vytvoření účtu pro běh web aplikace Nastavení Worker procesu

13 6. Zachovejte váš Web server bezpečný Aplikujte aktuální bezpečnostní opravy Hotfixy, security bulletiny (nově RSS!) Zapněte a používejte IIS Security Logy Zapněte auditing souborů ve vašem serveru pro File Access Prohlédněte bezpečnostní politiky, procesy a procedury

14 Advanced Technologies 05 URLScan, správa logů URLScan 2.5 ex050325.loghttperr1.log

15 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. Martin Pavlis martin@pavlis.net


Stáhnout ppt "Advanced Technologies 05 Jak zabezpečit váš Web Server Martin Pavlis (MCSE, MCT) Konzultant."

Podobné prezentace


Reklamy Google