Sécuriser les serveurs Web (IIS5 et IIS6) Benoît HAMET Ingénieur d étude / Formateur MVP Concept Réseau

Transcription

1 Sécuriser les serveurs Web (IIS5 et IIS6) Benoît HAMET Ingénieur d étude / Formateur MVP Concept Réseau

2 Sommaire Généralités Principes fondamentaux de la sécurité Présentation du serveur IIS 5.0 Mettre en oeuvre un serveur IIS 5.0 sécurisé Etape 0 : Préparation à l installation Etape 1 : Installation du serveur IIS Etape 2 : Post-installation Etape 3 : Configuration du serveur IIS et des services IIS 6.0

3 Généralités

4 Principes fondamentaux de la sécurité La sécurité informatique repose sur quelques grands principes L authentification des utilisateurs Le contrôle d accès aux ressources La confidentialité des données L intégrité des données La non-répudiation La disponibilité du service L audit des traces de sécurité Les objectifs de sécurité doivent être adaptés aux besoins Niveau de sécurité global d un système Niveau de sécurité du maillon le plus faible

5 Principes fondamentaux de la sécurité Classification des risques Menace : potentialité de mise en danger du système Vol d informations confidentielles Modification de contenu Interruption de service Vulnérabilité : faille risquant de permettre la concrétisation d une menace Faille matérielle Faille logicielle Erreur d administration Attaque : exploitation d une vulnérabilité existante Exposition de données Corruption de données Déni de service

6 Présentation d IIS 5.0 Caractéristiques IIS : Internet Information Service Version 5.0 Disponible sur plateforme Windows 2000 Server Installé par défaut Fournit les services suivants : HTTP Mais aussi FTP, SMTP et NNTP

7 Présentation d IIS 5.0 Windows 2000 & IIS Le niveau de sécurité d un serveur IIS est étroitement lié au niveau de sécurité du serveur Windows 2000 sous-jacent Permissions sur les fichiers Base de registre Droits utilisateurs Avantages de cette intégration : Pas d augmentation inutile de la complexité Limitation des risques liés à l empilement de couches de sécurité Meilleures performances Risques : Mauvaise sécurisation de Windows 2000 Affaiblissement du niveau de sécurité d IIS5

8 Mise en œuvre d un serveur IIS5 sécurisé

9 Mettre en œuvre un serveur Microsoft IIS 5.0 sécurisé Préparation à l installation Installation Post-installation Configuration PRE INST POST CONF

10 Préparation à l installation PRE INST POST CONF Placer le serveur dans un espace sécurisé physiquement Si possible, installer le serveur Dans un domaine dédié Sans relation d approbation avec les autres domaines du SI Ex : dans un domaine dédié aux serveurs en DMZ Protéger au maximum le serveur de toute attaque réseau pendant la phase de sécurisation Fermer les accès Internet (au niveau du routeur par ex) Limiter autant que possible les accès depuis l Intranet

11 Sécurisation de Windows 2000 PRE INST POST CONF Appliquer le dernier Service Pack et les derniers correctifs Outil MBSA Microsoft Security Notification Service Partitionner les disques de manière à pouvoir installer sur des partitions différentes Le système d exploitation Les contenus publiés par chacun des services Les journaux d événements Modifier les permissions NTFS Par défaut fixées à "Tout le monde Contrôle Total" Voir base de connaissance, document Q "Minimum NTFS Permissions Required for IIS 5.0 to Work"

12 Sécurisation de Windows 2000 PRE INST POST CONF Conserver uniquement les éléments nécessaires Supprimer les comptes inutiles Désactiver les services inutiles (Telnet, Messenger, ) Ne surtout pas installer d outils de développement Laisser désactivée l option «Routage et accès distants» (par défaut) Supprimer toutes les piles réseaux exceptée la pile TCP/IP (sauf celles nécessaires, dans le cas d un Intranet par exemple) Supprimer la liaison entre NetBIOS et TCP/IP Définir un mot de passe très fiable pour l administrateur Au moins 9 caractères (ex : "M#=H &Fb{")

13 Mettre en œuvre un serveur Microsoft IIS 5.0 sécurisé Préparation à l installation Installation Post-installation Configuration PRE INST POST CONF

14 Installation du serveur IIS 5.0 PRE INST POST CONF Installer uniquement les composants nécessaires! Pour plus de sécurité, effectuer l installation à partir d un fichier de réponses permettant de Modifier l emplacement du répertoire racine Installation par défaut du répertoire racines dans C:\Inetpub Renommer le répertoire racine Protection contre certains outils automatiques d attaque Utiliser la commande sysocmgr pour effectuer une installation d IIS à partir d un fichier de réponse Sysocmgr /i:%windir%\inf\sysoc.inf /u:<chemin_fichier>

15 Mettre en œuvre un serveur Microsoft IIS 5.0 sécurisé Préparation à l installation Installation Post-installation Configuration PRE INST POST CONF

16 Comptes & Permissions Accès anonyme PRE INST POST CONF Si l accès anonyme n est pas autorisé Supprimer le compte IUSR_Nomduserveur Si l accès anonyme est autorisé Modifier les paramètres de l utilisateur IUSR_Nomduserveur Ne pas autoriser l utilisateur à changer son mot de passe Sélectionner l option «le mot de passe n expire jamais» Modifier les permissions associées au compte Autoriser l ouverture de session locale Supprimer les ouvertures de session En tant que tâche Distantes

17 Comptes & Permissions WebAdmins & WebUsers PRE INST POST CONF Créer pour chaque site Un groupe local d administration du site y ajouter les comptes utilisateurs nécessaires Ex : WebAdmins_t2003iis Un groupe local d utilisateurs du site et n y inclure que les comptes nécessaires (éventuellement IUSR_Nomduserveur) Ex : WebUsers_t2003iis Utiliser ces comptes pour modifier les permissions NTFS sur les répertoires et fichiers des sites publiés Supprimer le compte IUSR_Nomduserveur des autres groupes

18 Arborescence du site PRE INST POST CONF Supprimer les répertoires d exemples par défaut et les scripts associés Dans la mesure du possible éviter de les installer Créer l arborescence des sites En séparant les fichiers par type Contenu statique (.HTML, images, ) Scripts (.ASP) CGI (.exe,.dll,.cmd,.pl) Fichiers de déclaration (.inc,.shtml,.shtm) Modifier les permissions NTFS Ne mettre que les permissions NTFS nécessaires Supprimer les permissions du groupe Tout le monde Utiliser les groupes WebUsers et WebAdmins

19 Sécurisation de la metabase IIS La Metabase contient les paramètres de configuration d IIS Elle présente des avantages en termes de performance par rapport à la base de registre Rapidité Flexibilité Montée en charge Elle est stockée par défaut dans le fichier \WinNT\system32\inetsrv\Metabase.bin Elle contient des informations sensibles et doit être protégée Limiter les accès au seul groupe local Administrateurs Déplacer et renommer le fichier HKLM\Software\Microsoft\InetMgr\Parameters : ajouter une rubrique MetadataFile contenant le chemin complet vers le nouveau fichier PRE INST POST CONF

20 Journaux d événements PRE INST POST CONF Afin de compliquer l éventuelle dissimulation d opérations non-autorisées, on pourra Déplacer et renommer le répertoire contenant les journaux d événements De préférence sur une partition dédiée aux journaux d événements Limiter l accès aux seuls groupes Administrateurs et SYSTEM Les journaux d événements devront Être, de préférence, au format «W3C Étendu» Contenir les informations requises pour servir de base aux audits de sécurité Date et heure de l événement Requête effectuée Adresse IP du client Statut de la requête Nom de l utilisateur Temps de traitement Méthode d accès utilisée Adresse IP du serveur? Ressource demandée Port du serveur?

21 Analyse de la sécurité PRE INST POST CONF Détection et correction de points de sécurité non-traités Utilisation du snap-in "Analyse et configuration de la sécurité" Lancer une analyse du serveur Comparer la configuration à un modèle de sécurité adapté Microsoft propose le modèle Hisecweb.inf ou les modèles MSS Baseline.inf + MSS IIS Role.inf Modifier le modèle pour l adapter aux spécificités du serveur Appliquer le modèle de sécurité Recommandations Ne pas appliquer le modèle de sécurité sur un serveur en production Vérifier le bon fonctionnement de toutes les applications après l application du modèle

22 Mettre en œuvre un serveur Microsoft IIS 5.0 sécurisé Préparation à l installation Installation Post-installation Configuration PRE INST POST CONF

23 Configuration générale Les outils Utilisation de la Microsoft Management Console (recommandée) PRE INST POST CONF Requiert le snap-in "Gestionnaire des Services Internet" (ISM) Permet la délégation de l administration des sites Préparation de consoles spécifiques en fonction des rôles et des habilitations Constitue la solution la plus souple et la plus complète Utilisation de l interface Web d administration Incomplète Délégation de pouvoir difficile Nécessité de mettre en œuvre les éléments de sécurité suivants : Communiquer via un tunnel SSL, après authentification du client par certificat Limiter l accès à l administrateur du serveur IIS Forcer la connexion depuis une IP prédéfinie

24 Configuration du serveur PRE INST POST CONF Deux niveaux de configuration Propriétés générales du serveur IIS Concernent les caractéristiques communes aux différents services WWW FTP Journaux d événements Seront automatiquement héritées par tout site créé Permettent d éviter de laisser accidentellement des options par défaut dangereuses lors de la création d un nouveau site Propriétés spécifiques à chaque service proposé par le serveur Sont prioritaires par rapport aux propriétés générales du serveur

25 Assistant de verrouillage IIS IIS Lockdown Durcit la configuration d IIS (4 ou 5) Désactive les services inutiles Restreint l accès aux commandes système URLScan Filtre ISAPI pour IIS4/5, configurable, qui bloque les URL qui ressemblent à des attaques ISA Server : pare-feu (dont passerelle applicative) Serveur Web IIS Url scan Parefeu ISA Server Client

26 IIS 6.0

27 Vulnérabilités pré-iis 6.0 Challenges Problèmes de canonisation Buffer Overflow Utilisation de ressource intense Cross-Site Scripting Résultats Exécution à distance d application Elévation de privilège Divulgation d information Denial-of-Service

28 Nouvelle approche IIS 6.0 est sécurisé : Par conception (secure by design) Nouvelle architecture de fonctionnement Par défaut (secure by default) Non installé et fonctionnement par défaut Pour le déploiement (secure in deployment)

29 Nouvelle architecture du serveur Web IIS 6.0 Fonctionnalités Web séparés Isolation des applications (pools d applications) Améliorations des performances

30 Config Mgr Process Mgr Fonctionnement de IIS 5.0 vs IIS 6.0 Application Pool 1 Application Pool 2 Web Garden INETINFO DLLHOST.exe metabase ISAPI Extensions (ASP, etc.) ISAPI Filters WAS INETINFO W3WP.EXE ASP.NET ISAPI metabase CLR App Domain ASP.NET ISAPI W3WP.EXE ISAPI Extensions (ASP, etc.) CLR App Domain ISAPI Filters W3WP.EXE W3WP.EXE Aspnet_wp.exe W3WP.EXE ASP.NET ISAPI ASP.NET ISAPI CLR App ASP.NET CLR Domain App Domain ISAPI CLR App Domain CLR CLR App App Domain CLR App Domain CLR App Domain CLR CLR App App Domain TCP/IP HTTP.SYS

31 Sécurisé par conception et pour le déploiement Processus IIS exécutés avec des privilèges le plus bas possible Code tierce exécuté uniquement dans un processus de travail Isolation des processus Journalisation des requêtes HTTP Surface des attaques réduites (Ex. : DoS) Protection rapide contre les incidents Recyclage des processus de travail Affinité par processeur

32 Sécurisé par défaut Plus de 20 services NT sont désactivés sous Windows Server 2003 IIS n est plus installé par défaut (exception de Windows Server 2003 Web Edition) Si on installe IIS IIS components IIS 5.0 clean install IIS 6.0 clean install Static file support enabled enabled ASP enabled disabled Server-side includes enabled disabled Internet Data Connector enabled disabled WebDAV enabled disabled Index Server ISAPI enabled disabled Internet Printing ISAPI enabled disabled CGI enabled disabled Frontpage Server Extensions enabled disabled Password Change Functionality enabled disabled SMTP enabled disabled FTP enabled disabled ASP.NET X disabled BITS X disabled

33 Sécurisé par défaut Pas de répertoire virtuel avec des exécutables /SCRIPTS /MSADC Limites et timeouts Limitation de la taille des en-tête à 16 Ko Anciens codes supprimés ISM.DLL.HTR Sub-authentication Vérification de l existence des fichiers

34 Sécurisé par défaut URLScan intégré Utilitaires en ligne de commande inaccessibles Canonisation des URL s Protection en écriture du contenu Sécurité par ACL s sur Logfiles Custom Error Directory On Cache Directories ASP ASPEnableParentPath = FALSE Hang detection Internal Health Detection

35 Mise à jour de IIS 5.0 vers IIS 6.0 Soit faire une installation neuve Soit Exécuter «IIS Lockdown» avant la mise à niveau Spécifier les paramètres durant la mise à niveau

36 Extensions du service Web Sécurisé par défaut Ne sert que du contenu statique (HTML, JPG, GIF ) Protection contre les «script kiddies» listant les capacités du serveur Activation manuelle des autres fonctionnalités Nouveau nœud dans la console d administration Autoriser/Interdire les extensions Ajouter/Supprimer les extensions Erreurs 404 Erreur générique renvoyée Fichiers de log donnant des détails complémentaires Utile pour analyse

37 Isolation des applications Pool d applications Isolation des applications Utilisation de compte avec des privilèges bas (service réseau) Chaque pool peut utiliser son propre compte utilisateur

38 IIS Worker Process Group IIS_WPG Nouveau groupe Toutes les identités des pools applicatif doivent en être membre A les droits et permissions nécessaires pour exécuter un process w3wp.exe

39 Actions complémentaires Arrêter les services inutiles Désactivé ou démarrage manuel Authentification Basique Digest Intégrée Passport Permissions NTFS Restriction par adresse IP Outils LogParser (resource kit) SSLDiagnostics (download)

40 Log d état HTTP Les logs IIS enregistrent tous les événements et les statuts Nouveaux substatus spécifiques Exemple: Access denied due to Web Service Extensions Le client reçoit une erreur 404 mais IIS log l erreur associée (404.2) Voir l aide en ligne pour les codes Impacts: résolution des problèmes plus rapide >> plus d info = meilleure action

41 Types Mime non définis désactivés Les extensions de fichier doivent être déclarés comme type MIME Le client reçoit une erreur 404, mais l erreur est enregistrée Caractère joker utilisable pour la définition Peut être spécifique à un répertoire Impacts: Les applications ou les fichiers de pirate utilisant des extensions non définies ne fonctionneront pas Ajouter.tmp pour Visual Studio.net (corrigé dans le SP1) SI une application est désinstallée, les fichiers ne seront pas accessibles si le mappage MIME est supprimé

42 Problèmes avec le service FTP Exécution de la commande cd \ puis dir Visualisation de TOUS les autres répertoires >> divulgation d informations

43 Isolation des utilisateurs FTP Isolation des utilisateurs Ne peuvent voir que leur répertoire La commande cd \ reste à la racine de LEUR répertoire Types d isolation Aucune (= IIS 5) Local AD

44 Firewall - Antivirus Les firewalls globaux peuvent ne pas être suffisants Un firewall pour chaque serveur Réduit les risques de type Blaster, Slammer Interdire tout sauf ce que vous souhaitez que le serveur serve Utiliser et maintenir à jour un anti-virus

45 Résumé IIS 6.0 non installé par défaut Contrôle du contenu exécutable via les Web Service Extensions Enregistrement dans les logs des «sub-codes» d état HTTP Personnalisation des identités des worker process Accès au chemin parent désactivé («Parent Paths») Types MIME non défini inactifs Rien que l amélioration de la sécurité justifie la migration vers IIS 6.0 ainsi que les améliorations concernant les performances et la disponibilité

46 Étapes suivantes 1. Être informé sur la sécurité S'inscrire aux bulletins de sécurité : Obtenir l'aide la plus récente de Microsoft sur la sécurité : 2. Obtenir des activités de formation supplémentaires sur la sécurité Trouver des séminaires de formation : Trouver un centre de formation local agréé Microsoft (CTEC) pour des cours pratiques :

47 Pour plus d'informations Site Microsoft sur la sécurité (tout public) Site TechNet sur la sécurité (informaticiens) Site MSDN sur la sécurité (développeurs) (en anglais) Guide de sécurisation de Windows 2000 Server sp?mar=/france/technet/themes/secur/info/ securingwin200s.html&xmlpath=/france/technet/produits/win2000s/act us.xml&rang=0 Securing Windows 2000 Server 2-E236-4D73-AEF4-7B4FDC0A25F6&displaylang=en Newsgroup news://news.microsoft.com

48 Des questions?