據有關資料顯示,現在有大量的伺服器仍在使用iis提供web服務,甚至有爭奪占領apache市場的趨勢。在web威脅日益嚴重的今天,我們當然要採用反病毒、防火牆、utm、nac等手段來加強網路安全。但是,有時正確地建設乙個蜜罐也是對付黑客的必需任務。
什麼是蜜罐?簡言之,蜜罐就是乙個位於網際網路上的計算機系統,其特定的目的是為了吸引並「誘捕」試圖滲透進入其他人的計算機系統的黑客。要建立乙個真正的蜜罐,使用者需要做的事情很多,但至少要求使用者做到三條,一是安裝乙個不打補丁的作業系統,並且需要使用預設配置,二是要保證系統上沒有任何資料,三是新增乙個設計目的是記載入侵者活動的應用程式。
在iis中配置蜜罐並不是一件件很複雜的事情,但它卻可有助於極大地減少對iis伺服器的攻擊。嚴格意義上講,本文所談論的並非乙個真正的蜜罐,因為乙個真正的蜜罐是乙個擁有許多漏洞且故意暴露在網際網路上的主機,這裡所討論的只不過是乙個資料通訊的轉向器而已。使用http主機的頭資訊,我們完全可以將攻擊者的通訊轉向乙個並不存在的站點上。
黑客們會使用埠掃瞄器來查詢那些開放著80號埠的ip位址,並對這些埠實施其攻擊和侵入的企圖。另外一方面,**的終端使用者會使用網域名稱來訪問站點,因此我們的措施並不會影響這些普通使用者。通過啟用**上的主機頭名並將ip企圖重新轉向,我們就可以跟蹤和記錄黑客來自何方,同時又保持了對終端使用者的可用性。
理論上的事兒先說到這裡,下面我們開始建立乙個蜜罐。
我們需要做的第一件事情就是要在web伺服器上建立乙個空的目錄。其名稱與位置沒有什麼關係,對於本例而言,筆者建立了乙個稱為honeypot的目錄,它位於c:\inetpub\wwwroot的目錄下。啟動iis 管理程式,並為所有的站點分配乙個主機頭名,這樣每一台虛擬伺服器都有乙個帶有ip位址的主機頭名。如下圖1:
圖1 這裡要保證虛擬伺服器不能與無主機頭名的80號埠上的ip位址有對映關係,並保證伺服器不能擁有「全部未分配的」 ip尋位址。並保障主機的頭資訊正確設定,使用者仍可以訪問所有的站點。如圖2:
圖2 然後,再建立乙個新的**指向剛才建立的目錄。這個蜜罐**應當指定所有未分配的ip位址,並且不能配置主機的頭資訊。雖然這個站點的名稱叫「honeypot」,但這並不影響黑客對它的訪問。進入這個新**的屬性設定介面,選擇「目錄安全」選項卡,並選中「整合windows身份驗證」,取消選擇其它的認證方法,然後單擊「確定」。圖3:
圖3 接著,選擇**選項卡,並單擊「高階」,單擊「多**配置」下的」新增」按鈕,並新增所有的ip位址。如果你收到了乙個關於ip位址衝突的錯誤訊息,不要緊,這表明你沒有為此**設定主機頭名。你需要做的是將ip位址從列表中清除,或為此**配置乙個主機頭名。圖4:
圖4 儲存所有的更改,然後退出internet 資訊服務。
這樣做並不是絕對的安全,因為黑客們仍會試圖通過網域名稱來訪問**,不過其多數攻擊都被傳送到了ip位址。使用主機的頭資訊會改善web伺服器的效能,這是因為www服務沒有必要為使用獨立ip位址的**分配非頁式內在池。
還有一點,一些較低版本的瀏覽器(不符合http1.1規範的瀏覽器)將被直接轉向空目錄,因為這種瀏覽器不接受主機頭名。不過,現在這種瀏覽器幾乎沒有人用了吧?
UrlScan配置 IIS 的安全
urlscan 是乙個可供 管理員使用的載入項工具。管理員可以控制 urlscan 的操作並限 務器處理的 http 請求的型別。預設安裝 urlscan 會,會禁用 web 服務擴充套件 active server pages,當手工啟用時,也不可用,在urlscan的配置檔案中 urlscan....
Win2000 IIS 5 0安全配置規範
一 windows 2000安全配置 確保所有磁碟分割槽為ntfs分割槽 作業系統 web主目錄 日誌分別安裝在不同的分割槽 不要安裝不需要的協議,比如ipx spx,netbios?不要安裝其它任何作業系統 安裝service pack 安裝hotfix,一般需要安裝如下補丁 q260347 w2...
web程式設計技術 第三講 IIS的安裝與配置
iis是internet information services的縮寫,意為網際網路資訊服務,是由微軟公司提供的基於執行microsoft windows的網際網路基本服務。最初是windows nt版本的可選包,隨後內建在windows 2000 windows xp professional和...