SECURING IIS 5.0 WINDOWS 2000 SERVER WEBB.IT 02 Enrico Branca 15/06/02 Enrico Branca, stu1015 @...

SECURING IIS 5.0WINDOWS 2000 SERVER

WEBB.IT 02

Enrico Branca

15/06/02 Enrico Branca , stu1015 @ libero.it 1

SECURING IIS 5.0 WINDOWS 2000 SERVER

Branca Enrico stu1015 @ libero.it


WEBB.IT 02

Enrico Branca


CopyrightQuesto insieme di trasparenze è protetto dalle leggi sul copyright e dalle disposizioni dei trattati internazionali. Il titolo ed i copyright relative alle trasparenze (ivi inclusi, ma non limitatamente a, ogni immagine, fotografia, animazione, video e testo) sono di proprietà degli autori indicati.Le trasparenze possono essere riprodotte ed utilizzate liberamente dagli istituti di ricerca, scolastici ed universitari afferenti al Ministero della Pubblica Istruzione per scopi istituzionali, non a fine di lucro.Ogni altro utilizzo o riproduzione (ivi incluse, ma non limitatamente a, le riproduzioni a mezzo stampa, su supporti magnetici o su reti di calcolatori) in toto o in parte è vietata, se non esplicitamente autorizzata per iscritto, a priori, da parte dell’autore.L’informazione contenuta in queste trasparenze è ritenuta essere accurata alla data della pubblicazione. Essa è fornita per scopi meramente didattici e non per essere utilizzata in progetti di impianti, prodotti, ecc.L’informazione contenuta in queste trasparenze è soggetta a cambiamenti senza preavviso. Gli autori non si assumono alcuna responsabilità per il contenuto di queste trasparenze (ivi incluse, ma non limitatamente a, la correttezza, completezza, applicabilità ed aggiornamento dell’informazione).In ogni caso non può essere dichiarata conformità all’informazione contenuta in queste trasparenze.In ogni caso questa nota di copyright non deve mai essere rimossa e deve essere riportata anche in utilizzi parziali.


WEBB.IT 02

Enrico Branca


AGENDA

Introduzione

Installazione del sistema

Installazione di IIS 5.0

Aggiornamento del sistema

Hardening

Verifiche sul sistema

Conclusioni


Introduzione (1 / 2)

Si vedranno alcune linee guida per installare e configurare una macchina Windows 2000 SERVER che funga da bastion host

Per bastion host si intende una macchina che è esposta su internet e che quindi è soggetta a molteplici tipi di attacchi

L'insieme di procedure necessarie per configurare un bastion host va sotto il nome di hardening


Introduzione (2 / 2)

Installare un server che sia esposto in internet comporta l'adozione di tecniche ed accorgimenti che rispettino le leggi e proteggano gli utenti

Installare un server vuol dire soprattuttopianificazione


Avvertenze

● LE CONFIGURAZIONI PROPOSTE IMPEDISCONO A MOLTE APPLICAZIONI DI FUNZIONARE

● NON ADOTTATE NESSUNA DELLE CONFIGURAZIONI CHE VERRANNO PROPOSTE SU MACCHINE IN PRODUZIONE

● PRIMA FATE I TEST IN UN AMBIENTE DI PROVA POI SE TUTTO VA BENE PASSATE IN PRODUZIONE


Installazione del sistema (1 / 6)

Il principio da seguire è quello del minor privilegio, per cui cercheremo di dare agli oggetti presenti nel sistema i permessi strettamente necessari al loro corretto funzionamento

Purtroppo il server web IIS 5.0 gira con i permessi di local system

Se venisse attaccato con successo l'aggressore avrebbe pieno controllo della macchina



Partire da una macchina con i dischi puliti (no upgrade)

Installazione la macchina mantenendola sconnessa dalla rete, la si riconneterà ad internet alla fine

Come file system usare solo NTFS

Evitare dual-boot

Usare la versione inglese del sistema operativo



Installare solo applicazioni che siano strettamente necessarie

Installare solo il protocollo TCP/IP

Configurare la macchina come server standalone

Nel caso in cui fosse necessario un dominio:

Creare un nuovo dominio in una nuova forest

Usare un DNS interno considerato sicuro

Impostare trust one-way create appositamente



Installare il sistema operativo su un disco, i programmi su un secondo disco, e lasciare un terzo disco per l'installazione di IIS 5.0

Installare le applicazioni all'interno di “Accessories and Utilities” selezionando solo “Accessories”

Per ora non si deve installare nessun altro pacchetto



Installare il Service Pack 1 (SP1)


Installare il Security Rollup Package 1 (SRP1)

Per avere un rendimento ottimale è necessario deframmentare il sistema ad ogni installazione



Installare solo componenti nella stessa lingua del sistema operativo

Installare il pacchetto “High Encription Pack”

Eseguire l'installazione dell' “High Encription Pack” una seconda volta, usando l'opzione “-x” per estrarre l'utility di aggiornamento della crittografia del “Windows 2000 Protected Store” ed eseguire l'aggiornamento


Installazione di IIS 5.0 (1 / 2)

Installare IIS 5.0

Selezionare solo i pacchetti:

Common FilesFile Transfer Protocol (FTP) serverInternet Information Services Snap-InWorld Wide Web Server


Installazione di IIS 5.0 (2 / 2)

Caricando dati dal cd di installazione i file aggiornati da SP1, SP2 ed SRP1 sono stati

sostituiti

Sarà necessario riapplicare SP2 ed SRP1 per aggiornare i file di sistema ad una versione recente

Deframmentare il sistema per ottimizzare l'accesso ai files


Aggiornamento del sistema (1 / 3)

Aggiornare il browser ad Internet Explorer 6

Installare tutti i programmi di terze parti che ritenete necessari

Installare un antivirus versione server che sia diverso da eventuali antivirus presenti nella rete in cui verrà posizionato



Eventuali programmi aggiuntivi possono modificare file gia presenti nel sistema, per cui sono da

installare prima di riapplicare gli aggiornamenti


Installare il Security Rollup Package 1 (SRP1)



Scaricare dal sito della Microsoft il “Microsoft Network Security Hotfix Checker” ovvero hfnetchk.exe

Eseguire il programma con l'opzione -v per avere il report dettagliato delle patch mancanti

Installare le patch in ordine di data di rilascio


Hardening (1 / 15)

L'idea di base è che meno servizi sono attivi sulla macchina meno saranno le possibilità di attacco

Disabilitare tutti i servizi non necessari al corretto funzionamento della macchina

Controllare che i servizi che vengono disabilitati non siano necessari al server web


Hardening (2 / 15)

Dovrebbero rimanere i seguenti servizi:

Event Log

Network Connections

Protected Storage

Remote Procedure Call

FTP Publishing Service

World Wide Web Publishing Service

Windows Management Instrumentation ( WMI )

WMI Driver Extension15/06/02 Enrico Branca , stu1015 @ libero.it 20

IPSec Policy Agent Plug and Play IIS Admin Service SecurityAccount Manager Logical Disk Manager

Hardening (3 / 15)

Rimuovere i componenti di sistema normalmente nascosti per diminuire ulteriormente i punti di attacco

Usando notepad editare il file sysoc.inf e rimuovere la parola “Hide”

Rimuovere quindi i file non essenziali attraverso Add/Remove Programs


Hardening (4 / 15)

L'installazione dei pacchetti di SP1, SP2, SRP1 e delle patch di sicurezza potrebbe creare un backup dei file che vengono sostituiti

È necessario rimuovere questi file in quanto rappresentano un pericolo:

%systemroot%\$NtServicePackUninstall$%systemroot%\$NtUninstallQ******$%systemroot%\$NtUninstallSP2SRP1$%systemroot%\ServicePackFiles


Hardening (5 / 15)

Come eredità da windows NT 3.51 il sistema Windows 2000 ha al suo interno dei sottosistemi necessari per garantire la compatibiltà con altri sistemi operativi

Questi sistemi non sono necessari per il corretto funzionamento del sistema e sono un pericolo

Rimuovere quindi i sottosistemi:

POSIXOS2


Hardening (6 / 15)

La compatibilita con i sistemi windows precedenti a Windows 2000 non è necessaria quindi si devono eliminare tutti i componenti superflui

Eliminare “File and Printer Sharing for Microsoft Network”

Disabilitare senza rimuovere “Client for Microsoft Networks” dato che serve ad IIS 5.015/06/02 Enrico Branca , stu1015 @ libero.it 24

Hardening (7 / 15) Network Basic Imput-Output System (NetBIOS)

Perchè possa servire a qualcosa ha bisogno di appoggiarsi a un altro protocollo, e cioè:

SMB ( server message block ) Consente la comunicazione fra le applicazioni

sviluppate per sfruttarlo, fornendo tre servizi di base:

name service porta UDP 137datagram service porta UDP 138session service porta TCP 139


Hardening (8 / 15)

Permette la comunicazione con sistemi operativi precedenti a Windows 2000

Permette di fare browsing

Permette di instaurare “null session”

NetBIOS oltre a NetBEUI può utilizzare anche:

TCP/IP: NetBIOS over TCP/IP (NetBT)IPX/SPX


Hardening (9 / 15)

Disabilitare l'uso di NetBIOS da ogni interfaccia di rete

Disabilitare il driver “NetBIOS over tcpip” (nbt.sys) tramite il “Computer Management”

Eliminare tutti i file precedentemente usati dai servizi ora disabilitati

Eliminare tutti i file temporanei


Hardening (10 / 15)

Dato che molti eseguibili non sono necessari, occorre proteggerli da un eventuale uso improprio da parte di un attaccante

Creare quindi un gruppo che dovrà rimanere vuoto, senza utenti

Associare il permesso FULL CONTROL sui files solo a questo gruppo, ed escludere dai permessi anche Administrator

I file saranno quindi inutilizzabili


Hardening (11 / 15) Per mettere in sicurezza il sistema scaricare dal

sito della Microsoft il security template “hisecweb.inf”

Tramite gli snap-in “Security Configuration and Analisys” e “Security Template” analizzate il sistema ed applicate il template

Applicando il template si fanno più di 50 modifiche alla configurazione del sistema, che servono per avere un livello di sicurezza base


Hardening (12 / 15)

Per mettere in sicurezza i file di IIS è necessario:

Spostare la cartella Inetpub sul terzo disco fisso

Rinominarla

Creare delle cartelle in cui mettere i diversi tipi di file che verranno utilizzati per il sito web

Impostare permessi molto restrittivi per ogni cartella


Hardening (13 / 15)

Abilitando il server web si va a mettere in pericolo tutto il sistema, per cui è necessario impostare permessi molto restrittivi su tutti gli elementi

Per mettere in sicurezza IIS la Microsoft fornisce “IIS Lockdown” e “URLScan”, entrambi

scaricabili gratuitamente dal sito

È importante installare entrambi i tools verificando che siano aggiornati


Hardening (14 / 15)

La sicurezza di un sistema è pari alla resistenza della parte più debole, per cui è

necessario adottare altri accorgimenti

Editare quindi il file “w3svc.dll” per cambiare il banner di IIS

Sostituire la stringa “Microsoft IIS/5.0” con una stringa inventata che abbia la stessa lunghezza

In questo modo sarà possibile evitare il riconoscimento del server web in uso


Hardening (15 / 15)

Per limitare l'accesso al sistema dall'esterno è necessario filtrare il traffico

Sfruttare quindi i filtri IPSec (Internet Protocol Security) per controllare i flussi di traffico in entrata ed in uscita

Creare i filtri seguendo la regola del “default deny”

Modificare il registro di modo che IPSec filtri la porta 88 TCP/UDP e la porta 500 TCP/UDP


Verifiche sul sistema (1 / 7) NetBIOS ( no RestrictAnonymous)


Verifiche sul sistema (2 / 7) NetBIOS (RestrictAnonymous 1)


Verifiche sul sistema (3 / 7) Password Cracking


Verifiche sul sistema (4 / 7) Vulnerability Scanner (no Hardening)


Verifiche sul sistema (5 / 7) Vulnerability Scanner (Hardened)


Conclusioni

Anche se i server IIS coprono circa il 32 % del mercato, contro il 56 % dei server Apache, rimangono i più bucati. Molto spesso il fatto che ci sia un wizard che fa il lavoro al posto dell'amministratore aiuta, ma non a rendere sicuro un server.

Soprattutto non crediate che i server “sicuri” rimangano tali, perchè se lo fate, avete gia perso la battaglia15/06/02 Enrico Branca , stu1015 @ libero.it 39

Riferimenti (1 / 2)

http://technet.microsoft.com

http://www.eeye.com

http://rr.sans.org

http://www.hammerofgod.com

http://www.microsoft.com/downloads/

http://www.securityfocus.com

http://www.foundstone.com

http://www.netcraft.com

http://nsa1.www.conxion.com/win2k/index.html


Riferimenti (2 / 2)

http://www.sans.org/top20.htm

http://www.cert.org

http://www.ciac.org/ciac/

http://support.microsoft.com

http://www.shavlik.com/nshc.htm

Mailing List

sikurezza.org: ml @ sikurezza.org

Securityfocus: focus-ms @ securityfocus.com


Riferimenti



WEBB.IT 02

Enrico Branca


Italian Security Mailing List


07 luglio 2002, WEBB.IT 02

Relatore:

Enrico Branca stu1015 @ libero.it

Riferimenti



WEBB.IT 02

Enrico Branca


Sikurezza.org

General Infos: staff @ sikurezza.org

SECURING IIS 5.0 WINDOWS 2000 SERVER WEBB.IT 02 Enrico Branca 15/06/02 Enrico Branca, stu1015 @...

Documents

Transcript of SECURING IIS 5.0 WINDOWS 2000 SERVER WEBB.IT 02 Enrico Branca 15/06/02 Enrico Branca, stu1015 @...