IIS & Asp.Net Sıkılaştırma Ayarları

-
Nisan 2014 itibarıyla Netcraft tarafından  958.919.789 web sitesinden bilgi toplanarak yapılan araştırmaya göre interneteki sitelerin yüzde %31.10’u Microsoft IIS  kullanmaktadır. Bu blog yazımızda Microsoft IIS sunucu güveliğini sağlamak için yapılması gerekenlerden bahsedeceğiz.


Sunucu Bilgilerinin Gizlenmesi


Kullanılan sunucu teknolojisi ve versiyonunun bilinmesi saldırganların etkili saldırı yöntemleri bulmasını kolaylaştıracaktır.


Resim 1 ‘de görülebileceği üzere IIS sunucusuna yapılan isteklere dönen yanıtların içerisinde HTTP başlık(header) bölümünde sunucu bilgileri yer almakta.

 
Resim 1

Yanıt (Response) başlığında yer alan sunucu bilgilerini gizlemek için url rewrite modülünün sunucuya kurulması gerekmetedir. Url rewrite modülünü http://www.iis.net/downloads/microsoft/url-rewrite bu adresten indirebilirsiniz.

ISS Manager üzerinde url rewrite modülü üzerinde ayarları aşağıdaki resimlerde olduğu gibi yapalım.




Sunucu başlığının aşağıdaki gibi engellenmesi sağlanır.


Clickjacking Saldırılarına Karşı Önlem Alınması

Öncelikle Clickjacking konusundan bahsedelim. Clickjacking hedef sisteme görünmez(opacity değeri sıfır ) bir iframe nesnesini yükleyip, yüklenen sayfada kurbanın tıklaması istenen linklerin üzerine ilgisini çekecek tuzak linkler veya html nesneleri ekleyerek kurbanın farkında olmadan iframe içindeki linkle tıklamasını sağlamak olarak ifade edebiliriz.
1.IIS Yöneticisini başlatın
2. HTTP Response Headers ikonuna çif tıklayın.
3.Açılan alanın sağında bunan Actions kısmından Add linkine tıklayın.
4. Name kısmına X-Frame-Options yazın Value kısmına SAMEORIGIN yazıp kaydedin.

  

HTTP İstek (Request) Metotlarının Düzenlenmesi

HTTP 1.1 protokol birden fazla istek(request) metodunu destekler fakat bunların bir çoğu potansiyel riskler doğurmaktadır. Potansiyel risklerden kaçınmak için IIS Manager  Request Filtering uygulamasında HTTP Verbs sekmesine gelip OPTIONS, Put, Delete, Trace, metotlarına izin verilmesini engelleyebilirsiniz.
1.IIS yöneticisini başlatın
2.Request Filtering ikonuna çift tıklayınız
3.HTTP Verbs sekmesine geliniz
4.Açılan alanın sağında bunan Actions kısmından Deny Verb linkine tıklayın.
5.Verb kısmına örneğin TRACE yazın.
Engellemek istediğiniz metotları bu şekilde ekleyiniz. Ayrıca POST,GET,HEAD metotlarınada sayfanın sağında bulunan Action kısmından Allow Verb linkine tıklayıp Verb kısmına ekleyin.




Kullanılmayan Dosya Uzantılarının Engellenmesi

IIS tarafından güvenli kabul edilen bir çok uzantıya varsayılan olarak izin verilir.  Uygulamanızda kullanmadığınız dosya uzantıları aşağıdaki gibi engelleyebilirsiniz.
1.IIS yöneticisini başlatın
2.Request Filtering ikonuna çift tıklayınız
3.File Name Extensions sekmesine tıklayın
4.Açılan alanın sağında bunan Actions kısmından Deny File Name Extensions linkine tıklayıp kullanmadığınız dosya uzantısı türlerini File Name Extensions kısmına giriniz.


Yukarıdaki adımlara uyarak yine aynı şekilde istediğiniz dosya uzantılarına sayfanın sağında bulunan Action kısmındaki Allow File Name Extensions linkine tıklayarak gerçekleştirebilirsiniz.

Kritik İçeriklerin Filtrelenmesi

IIS varsayılan olarak web.config, bin, App_Data gibi önemli bilgileri içeren klasör ve dosyaları gizler. Bunlara ek olarak gizlemek istediğiniz klasör veya dosyalarınız  aşağıdaki adımları takip ediniz:
1.IIS yöneticisini başlatın.
2.Request Filtering ikonuna çift tıklayınız.
3.Açılan sayfanın sağında bulunan Action bölümünden Add Hidden Segment linkinden gizlemek istediğiniz klasör ve dosya adlarını yazınız. 



IIS Konfigürasyonlarının Başka Bir Sunucuya Aktarımı

Localde yaptığınız ve test ettiğiniz sunucu ayarlarınızın veya sunucu üzerinde tutuğunuz ayarların başka sunucu bir sunucuya aktaramı için aşağıdaki adımları uygulayınız:
1.IIS Yöneticisini başlatın
2.Management altındaki Shared Configuration çift tıklayın
3.Açılan  Shared Configuration  ekranın sağında yer alan Action bölümünden   “Export Configuration linkine tıklayınız
4.IIS konfigürasyon dosyalarının kaydedileceği dizinin seçin ve parola oluşturun.
Ayarları aktarmak istediğiniz sunucunuz üzerinde IIS yöneticisine açın ve Shared Configuration”  bölümünden “Enable shared configuration” tik işareti koyarak konfigurasyon dosyalarınızın dizinini seçin.
ASP.Net Uygulama Güvenliği

ASP.Net projelerinizi yayınladığınız sunucu kontrolünüzde değilse veya IIS yöneticisine erişiminiz yoksa bazı önlemleri web.config üzerinden alabilirisiniz.

Hata Sayfalarına Yönlendirme

Web sunucu tarafından kullanıcıya görüntülenen ön tanımlı teknik hata mesajları saldırganların işini kolaylaştırıcı bilgiler (ör: web sunucu versiyonu, veritabanı hataları ile tablo yapıları ve verileri, kod parçaları, v.b.) sızdırabilir. Backend kaynaklara yapılacak kaba kuvvet saldırıları (yani kullanıcıların eriştiği sayfalardan linklenmemiş kaynaklar için isim tahmini ile yapılan istekler) HTTP yanıt kodlarındaki farklılıklardan yola çıkılarak daha kolay yapılabilir. Tüm isteklere HTTP 200 OK yanıt kodunun dönmesi durumunda söz konusu saldırıların başarısı azaltılabilecektir. Hata durumlarına göre özel hata sayfaları oluşturmanız önerilmektedir. Oluşturduğunuz size özel hata sayfalarına web.cofig içerisinde yönledirme yapabilirsiniz.
Aşağıdaki kod ile bütün hataları tek bir sayfaya yönlendirme işlemini gerçekleştirebilirsiniz.

     defaultRedirect=”ErrorPage.aspx” mode=”RemoteOnly”>

Ayrıca,  aşağıdaki gibi yapılan isteklere karşılık gelen yanıt içerisinde  görünen hata kodlarına göre kendinize özel hata sayfaları oluştura bilirsiniz

 
 


Gereksiz  Http Başlıklarının Engellenmesi

Kullanılan sunucu teknolojisi ve versiyonunun bilinmesi söz konusu altyapıdaki zafiyetlerin bulunarak kötü niyetli kullanımına imkan tanıyabilir. Bu ayarlar taglerinin arasında aşağıdaki gibi yer alır.

 
   
     
         name=”X-Powered-By” /> // Teknoloji bilgisinin döndürülmesini engeller (Örnek: ASP.Net)
         name=”Server” /> // Sunucu bilgisinin döndürülmesini engeller. (Örnek: IIS 7.5)
         name=”X-AspNet-Version” /> //ASP.Net versiyon bilgisinin döndürülmesini engeller.
        // Clickjack’den kaçınmak için iframe’leri reddeder. *
     
   
 


Asp.Net Versiyon Bilgisinin Gizlenmesi

Kullanıla Asp.Net versiyonunun bilinmesi söz konusu altyapıdaki zafiyetlerin bulunarak kötü niyetli kullanımına imkan tanıyabilir.

  
     //Asp.Net versiyon bilgisinin görünmemesini sağlar.
 

Trace Metodunun Kapatılması

Web sitesinin hata ve işlemlerini uzaktan takip etmeye yarayan trace metodu sistemle ilgili ciddi bilgileri açığa vurabilmektedir. Trace metodunu kapatmak için aşağıdaki kodu web.config dosyası içersine eklenmesi gerekmektedir.
 
      enabled=”false” localOnly=”true” />
 


Debug Modunun Kapatılması

Geliştirme halinde varsayılan olarak açık bulunan debug  modu projenizin yayınlama (publish) ayarları yapılmadan yayınlandığında açık kalır. Debug modunu kapatmak için aşağıdaki kodun web.config dosyası içerisine eklenmesi gerekmektedir.

 <system.web>
      debug=”false” targetFramework=”4.5”>
 


Gereksiz İstek (Request) Metotlarının Engellenmesi

ASP.Net uygulamalrı genellikle POST ve GET komutlarını kullanmaktadır. Bunların dışında kalanlar uygulama gerektirmedikçe kullanılmaz. MOVE ve DELETE gibi seçeneklerin açık olması sayfa değişimi gibi açıklara neden olabilir. Bu sebeplerden sadece kullandığınız metotları açmanız önerilmektedir.

   
     
         allowUnlisted=”false”> //listelenmeyenlerin hepsini kapatır.
           verb=”GET” allowed=”true” />
           verb=”POST” allowed=”true” />
       
     
   
 

Kritik İçeriklerin Filtrelenmesi

IIS varsayılan olarak web.config, bin, App_Data gibi önemli bilgileri içeren klasör ve dosyaları gizler bunlara ek olarak klasör veya dosyalarınız var ise aşağıdaki kodu kullanarak gizleyebilirsiniz.

 
   
     
       
           segment=”Dosyanızın veya klasörünüzün adı” />
       
     
   
 


Gereksiz / Kullanılmayan Dosya Uzantılarının Kısıtlanması

IIS tarafından güvenli kabul edilen bir çok uzantıya varsayılan olarak izin verilir. Eğer uygulamanızda çok fazla dosya çeşitliliği yok ise bunları kısıtlayabilirsiniz.
   
     
        
       
         
          
         
         
         
     
     
   
 

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Uzak Masaüstü Bağlantı Geçmişini Silmek

-
Windows XP ve 2003 server üzerinde : Uzak masaüstü bağlantısı yaptığımızda windows işletim sistemi bu bağlantılara ait ip adres bilgilerini ve geçmişini sistem dosyaları içinde tutar. Bu dosyaları ve bağlantı geçmişini temizlemek ve silmek için aşağıdaki yönergeleri uygulayabiliriz. Başlat > Çalıştır > Açılan kutuya regedit komutunu yazarak Enter yapalım. Açılan Kayıt defteri düzenleyicisi üzerinde sol taraftaki menüden sırasıyla HKEY_CURRENT_USER \ Software \ Microsoft \ Terminal Server Client \ Default yolunu takip ettiğinizde Default içinde MRUSayi şeklinde dosyaların olduğunu göreceksiniz. Bu dosyaları silmek için dosya üzerine sağ tıklayıp Sil seçeneği ile uzak masaüstü bağlantı adreslerini silebilirsiniz. HKEY_CURRENT_USER \ Software \ Microsoft \ Terminal Server Client \ yine aynı bölümde Default altında bulunan Servers dosyası içindeki uzak bağlantı ip adresleri bulunmaktadır. Bu ip adreslerinin bulunduğu dosyalarıda aynı yöntemle silmelisiniz. Bu bölüm windows 2003 serve...
Devamı

TERMINAL SERVICES UNLIMITED

-
UNLIMITED TERMINAL SERVICES CONNECTIONS IN WINDOWS TERMINAL SERVICES 2000 AND 2003 1. INTRODUCTION Welcome to Terminal Services Unlimited. This document aims to help you get Microsoft Windows 2000 and Windows 2003 terminal services unlimited connections at unlimited time. Please note that this is not crack for windows or anythig like that. Nevertheless, to completely prepare your server, I recommend that you begin by taking the step by step as it is covered in this document. I also recommend that you install, configure terminal services and terminal services licensing for running. I have tested this solution with clients Windows 2000 Pro, Windows XP, Windows 2000 Server, various Windows 2003 servers and PocketPC and also I have feedback that this is also working on thin clients. 2. UNLIMITED TERMINAL SERVICES CONNECTIONS IN WINDOWS 2000 Acording to Microsoft it is not ilegal to use terminal server with temporary licenses. There is a paragraph that says: " There is no provision in ...
Devamı

Gpupdate Komutu

-
Dcgpofix : Domain Controller üzerinde değişiklik yapmş olduğumuz Policyleri default haline geri getirir. OU bazında uygulamış olduğumuz veya fazladan oluşturmuş olduğumuz Policyler etkilenmeyecektir. Gpupdate : Policy değişikliklerini günceller. gpupdate /Target : Sadece belirli kullanıcı veya bilgisayarlara uygulanması için kullanılır. gpupdate /Force : Hazırlamış olduğumuz policyimizin derhal uygulanması için kullanırız. gpupdate /Wait : Uygulamış olduğumuz policy değişikliğinin bekleme süresidir. Varsayılan süre olarak 600 saniyedir. gpupdate /Logoof : Policy değişikliği uygulandıkdan sonra kullanıcının oturumunu kapatmak için kullanılır. gpupdate /Boot : Policy değişikliği uygulandıkdan sonra kullanıcının bilgisayarını kapatmak için kullanılır. gpupdate /? : Kullanabilceğimiz komutları ve hangi amaç için kullanabileceğimize ait bilgiler verir. Gpresult : Bir kullanıcı veya bir bilgisayara uygulanan Policyleri görmek için kullanırız.
Devamı