Upload
hatruc
View
219
Download
1
Embed Size (px)
Citation preview
0
Bezbjednosne preporuke
za IIS web server
AGENCIJA ZA INFORMACIONO DRUŠTVO
REPUBLIKE SRPSKE
ODJELJENJE ZA INFORMACIONU
BEZBJEDNOST
AUTOR :
ALEKSANDAR ĐURIĆ
ODGOVORNO LICE:
SRĐAN RAJČEVIĆ
ODJELJENJE ZA INFORMACIONU BEZBJEDNOST Bezbjednosne preporuke za ISS web server
1
Agencija za informaciono društvo Republike Srpske Odjeljenje za informacionu bezbjednost Publikacija OIBRS-PUB-S2 Bezbjednosne preporuke za IIS web server Autor: Aleksandar Đurić, [email protected] Urednik izdanja: mr Srđan Rajčević, [email protected] http://oib.aidrs.org | http://www.aidrs.org
Ovaj dokument je redigovana i prevedena verzija originalnog dokumenta pod nazivom „CIS Microsoft IIS 10 Server Benchmark“ dostupnog na adresi https://www.cisecurity.org/cis-benchmarks/.
ODJELJENJE ZA INFORMACIONU BEZBJEDNOST Bezbjednosne preporuke za ISS web server
2
CONTENTS
1. Osnovna podešavanja .................................................................................................................................... 4
1.1. Osigurati da se web sadržaj ne nalazi na particiji sa koje se pokreće sistem ........................................ 4
1.2. Osigurati da se "host headers" nalazi na svim sajtovima ...................................................................... 4
1.3. Osigurati da je "directory browsing" ugašen ......................................................................................... 4
1.4. Osigurati da je "application pool identity" podešen za svaki aplikacijski pool ..................................... 4
1.5. Osigurati da je "unique application pools" podešen za sve sajtove. .................................................... 5
1.6. Osigurati da je "application pool identity" podešen za anonimne korisničke identitete. ..................... 5
2. Podesiti autentikaciju i autorizaciju ............................................................................................................... 5
2.1. Osigurati da je "global authorization rule podešen za restrikciju pristupa........................................... 5
2.2. Ensure access to sensitive site features is restricted to authenticated principals ................................ 5
2.3. Osigurati da "forms authentication" zahtjeva SSL ................................................................................ 6
2.4. Osigurati da je "forms authentication" podešen da koristi cookies ...................................................... 6
2.5. Osigurati da je "cookie protection mode" podešen za autentikaciju putem forme .............................. 6
2.6. Osigurati da je TLS za "basic authentication" podešen ........................................................................ 6
2.7. Osigurati da "passwordFormat" nije podešen na clear ......................................................................... 6
2.8. Osigurati da "credentials" nisu skladišteni u konfiguracijskim fajlovima .............................................. 7
3. Preporuke za ASP.NET podešavanja ............................................................................................................... 7
3.1. Osigurati da je "deployment method retail" podešen.......................................................................... 7
3.2. Osigurati da je "debug" ugašen ............................................................................................................. 7
3.3. Osigurati da "custom error" poruke nisu ugašene ................................................................................ 7
3.4. Osigurati da se "IIS HTTP detailed errors" ne mogu remotely prikazati ................................................ 7
3.5. Osigurati da "ASP.NET tracking" nije omogućen ................................................................................... 8
3.6. Osigurati da je "httpcookie" mode podešen za stanje sesije ................................................................ 8
3.7. Osigurati da su "cookies" podešeni sa "HttpOnly" atributom .............................................................. 8
3.8. Osigurati da je "MachineKey validation method - .Net 3.5" podešena ................................................. 8
3.9. Osigurati da je "MachineKey validation method - .Net4.5" podešen .................................................... 8
3.10. Osigurati da globalni ".Net trust level" podešen .................................................................................. 8
3.11. Osigurati da su "encryptions providers" zaključani .............................................................................. 9
4. Request filtering i druge metode restrikcije ................................................................................................... 9
4.1. Osigurati da je "maxAllowedContentLenght" podešen ......................................................................... 9
4.2. Osigurati da je "maxURL request filter" podešen .................................................................................. 9
4.3. Osigurati da je "MaxQueryString request filter" podešen ..................................................................... 9
4.4. Osigurati da su samo ASCII karakteri dozvoljeni unutar URL-a ........................................................... 10
4.5. Osigurati da će "Double-Encoded" zahtjevi biti odbačeni ................................................................... 10
4.6. Osigurati da je "HTTP Trace Method" onemogućen ............................................................................ 10
ODJELJENJE ZA INFORMACIONU BEZBJEDNOST Bezbjednosne preporuke za ISS web server
3
4.7. Osigurati da su samo odobrene ekstenzije fajlova dozvoljene ............................................................ 10
4.8. Osigurati da "Handler" nema Write i Script/Execute permisije ........................................................... 10
4.9. Osigurati da je "notListedIsapisAllowed" podešen na false ................................................................ 10
4.10. Osigurati da je "notListedCgisAllowed" podešen na false ................................................................... 11
4.11. Osigurati da je "Dynamic IP Address Restrictions" omogućen ............................................................ 11
5. IIS logovanje ................................................................................................................................................. 11
5.1. Osigurati da je standardna lokacija ISS web loga promjenjena ........................................................... 11
5.2. Osigurati da je "Advanced ISS logging" omogućen .............................................................................. 11
5.3. Osigurati da je "ETW logging" omogućen ............................................................................................ 12
6. FTP Zahtjevi .................................................................................................................................................. 12
6.1. Osigurati da su FTP zahtjevi enkriptovani ............................................................................................ 12
6.2. Osigurati da je "FTP Logon attempt restrictions" omogućen .............................................................. 12
7. Enkripcija saobraćaja .................................................................................................................................... 13
7.1. Osigurati da je "HSTS Header" podešen .............................................................................................. 13
7.2. Osigurati da je "SSLv2" onemogućen .................................................................................................. 13
7.3. Osigurati da je "SSLv3" onemogućen .................................................................................................. 13
7.4. Osigurati da je "TLS 1.0" onemogućen ................................................................................................ 13
7.5. Osigurati da je "TLS 1.1" omogućen .................................................................................................... 13
7.6. Osigurati da je "TLS 1.2" omogućen .................................................................................................... 13
7.7. Osigurati da je "NULL Cipher Suites" onemogućen ............................................................................. 13
7.8. Osigurati da je "DES Cipher Suites" onemogućen ............................................................................... 14
7.9. Osigurati da je "RC2 Cipher Suites" onemogućen ............................................................................... 14
7.10. Osigurati da je "RC4 Cipher Suites" onemogućen ............................................................................... 14
7.11. Osigurati da je "Triple DES Cipher Suite" podešen .............................................................................. 14
7.12. Osigurati da je "AES 128/128 Cipher Suite" podešen .......................................................................... 14
7.13. Osigurati da je "AES 256/256 Cipher Suite" omogućen ....................................................................... 14
7.14. Osigurati da je redosljed algoritama za enkripciju podešen ................................................................ 14
ODJELJENJE ZA INFORMACIONU BEZBJEDNOST Bezbjednosne preporuke za ISS web server
4
1 OSNOVNA PODEŠAVANJA
Osnovne preporuke na nivou Web servera.
1.1 OSIGURATI DA SE WEB SADRŽAJ NE NALAZI NA PARTICIJ I SA KOJE SE POKREĆE
SISTEM
Web resursi publikovani preko IIS-a su mapirani preko Virtuelnih direktorija na fizičku lokaciju
na disku. Preporučeno je mapiranje svih Virtuelnih direktorija na ne-sistemski disk. Izolovanje
web sadržaja sa sistema može umanjiti vjerovatnoću iscrpljivanja prostora na disku i
vjerovatnoću postojanja ranjivosti koje se tiču povjerljivosti i integriteta sistemskih fajlova.
1.2 OSIGURATI DA SE "HOST HEADERS" NALAZI NA SVIM SAJTOVIMA
Host headers pružaju mogućnost hostovanja više web stranica na istoj IP adresi i portu.
Preporučeno je konfigurisanje Host header-a na svim stranicama. Zahtjevanje Host header-a
umanjuje vjerovatnoću za uspješno identifikovanje i interakciju od strane IP baziranih skenova
i vjerovatnoću DNS napada koji mogu narušiti ili zloupotrjebiti podatke ili funkcionalnost sajta.
1.3 OSIGURATI DA JE "DIRECTORY BROWSING" UGAŠEN
Directory browsing dopušta pregledanje sadržaja direktorija na zahtjev web klijenta. Ako je
directory browsing omogućen za direktorij u Internet Information Services, korisnik na uvid
dobije stranicu koja izlista sadržaj direktorija kada nije specifično određen fajl u URL-u i kada
je Default Documents onemogućen u IIS-u.
1.4 OSIGURATI DA JE "APPLICATION POOL IDENTITY" PODEŠEN ZA SVAKI
APLIKACIJSKI POOL
Application Pool Identities su stvarni korisnici koji će pokretati - w3wp-exe proces.
Dodjeljivanje ispravnih korisnika će osigurati aplikaciji ispravno funkcionisanje dok sistemu
neće davati prevelike permisije. Preporučeno je pokretanje svakog Application Pool-a sa
jedinstvenim korisnikom.
ODJELJENJE ZA INFORMACIONU BEZBJEDNOST Bezbjednosne preporuke za ISS web server
5
1.5 OSIGURATI DA JE "UNIQUE APPL ICATION POOLS" PODEŠEN ZA SVE SAJTOVE.
Application Pool Identities omogućavaju pokretanje Application Pool-a jedinstvenim nalozima
bez potrebe da se kreiraju i održavaju lokalni ili domain nalozi. Preporučeno je da se svi sajtovi
pokreću pod jedinstvenim Application Pool-om.
1.6 OSIGURATI DA JE "APPLICATION POOL IDENTITY" PODEŠEN ZA ANONIMNE
KORISNIČKE IDENTITETE.
Da bi se postiglo izolovanje IIS-a, Application Pools se mogu pokretati kao različiti identiteti.
IIS se može podesiti da automatski koristi Application Pool identitet ukoliko ne postoji
anonimni korisnički nalog za Web sajt. Ovo može uvelike umanjiti broj neophodnih računa i
olakšati održavanje naloga. Preporučeno podešavanje za Application Pool Identity jeste
Anonymous User Identity.
2 PODESITI AUTENTIKACIJU I AUTORIZACIJU
Preporuke na osnovu različitih nivoa autentikacije u IIS-u.
2.1 OSIGURATI DA JE "GLOBAL AUTHORIZATION RULE PODEŠEN ZA RESTRIKCIJU
PRISTUPA
Autorizacijska pravila se mogu podesiti na serveru, web sajtu, direktoriju ili fajlu. Preporučeno
podešavanje za URL Authorization jeste da dozvoljava pristup samo neophodnim
bezbjednosnim principima.
2.2 OSIGURATI DA JE PRISTUP OSJETLJIVIM SADRŽAJIMA WEB STRANICE
OGRANIČEN NA AUTENTIKOVANA LICA
Preporučeno je da sajtovi koji sadrže osjetljive informacije, povjerljive podatke ili servisi koji
nisu javni budu podešeni sa mehanizmom autentikacije koji zahtjeva kredencijale.
ODJELJENJE ZA INFORMACIONU BEZBJEDNOST Bezbjednosne preporuke za ISS web server
6
2.3 OSIGURATI DA "FORMS AUTHENTICATION" ZAHTJEVA SSL
Autentikacija putem forme može prenositi kredencijale preko mreže u običnom tekstu.
Neophodno je enkriptovati saobraćaj između klijenta i servera korišteći SSL, posebno u
slučajevima javno dostupnih sajtova. Preporučeno je enkriptovanje putem SSL-a za svaki dio
sajta koji koristi Forms Authentication.
2.4 OSIGURATI DA JE "FORMS AUTHENTICATION" PODEŠEN DA KORISTI COOKIES
Forms Authentication se može podesiti da čuva identifikatore posjetitelja u URI ili cookie-ju.
Preporučeno podešavanje za Form Authentication jeste korištenja cookie-ja.
2.5 OSIGURATI DA JE "COOKIE PROTECTION MODE" PODEŠEN ZA AUTENTIKACIJU
PUTEM FORME
Cookie protection mode definiše zaštitu koja će biti dodjeljena za Forms Authentication cookie
unutar aplikacije. Preporučeno podešavanje za Cookie protection mode je da uvijek koristi
Encryption i Validation mode za Forms Authentication cookies.
2.6 OSIGURATI DA JE TLS ZA "BASIC AUTHENTICATION" PODEŠEN
Basic Authentication može prenositi kredencijale preko mreže u običnom tekstu. Neophodno
je enkriptovati saobraćaj između klijenta i servera koristeći SSL, posebno u slučajevima javno
dostupnih sajtova i preporučeno je da se koristi TLS i da se zahtjeva na svakom sajtu ili aplikaciji
koristeći Basic Authentication.
2.7 OSIGURATI DA "PASSWORDFORMAT" NIJE PODEŠEN NA CLEAR
Kredencijali za autentikaciju moraju uvijek biti zaštićeni da bi se umanjio rizik krađe istih.
Preporučena vrijednost podešavanja passwordFormat-a jeste da ne bude Clear, već druga
vrijednost poput SHA1.
ODJELJENJE ZA INFORMACIONU BEZBJEDNOST Bezbjednosne preporuke za ISS web server
7
2.8 OSIGURATI DA "CREDENTIALS" NISU SKLADIŠTENI U KONFIGURACIJSKIM
FAJLOVIMA
Kredencijali za autentikaciju moraju uvijek biti zaštićeni da bi se umanjio rizik krađe istih.
Preporučeno je ne skladištiti šifre u konfiguracijske fajlove čak i u obliku heša.
3 PREPORUKE ZA ASP.NET PODEŠAVANJA
Podešavanja specifična za ASP.NET.
3.1 OSIGURATI DA JE "DEPLOYMENT METHOD RETAIL" PODEŠEN
Deployment retail switch je namjenjen produkcijskim IIS serverima. Ovaj switch pomaže
aplikacijama da pruže najbolje performanse i da umanje odljev bezbjednosnih informacija. Da
bi se sprječio odljev informacija koje su od koristi tokom razvoja, preporučeno je postavljanje
bilo kog produkcijskog servera na retail.
3.2 OSIGURATI DA JE "DEBUG" UGAŠEN
Tokom razvoja omogućavanje debug mode-a ima prednosti ali u slučaju da mode ostane "on"
ili "true" može doći do nepoželjnog odljeva informacija. Preporučeno je gašenje debugging-a.
3.3 OSIGURATI DA "CUSTOM ERROR" PORUKE NISU UGAŠENE
Da bi se sprječio odljev informacija prilikom stvaranja HTTP/1.x 500 Internal Server Error-a i
prikazivanje istih klijentu, preporučeno podešavanje za customErrors jeste on ili RemoteOnly.
3.4 OSIGURATI DA SE "IIS HTTP DETAILED ERRORS" NE MOGU REMOTELY
PRIKAZATI
Udaljeni korisnici ne smiju imati pristup detaljnim informacijama o greškama do kojih je došlo
tokom rada servera i preporučeno je omogućavanje samo lokalnog pristupa greškama.
ODJELJENJE ZA INFORMACIONU BEZBJEDNOST Bezbjednosne preporuke za ISS web server
8
3.5 OSIGURATI DA "ASP.NET TRACKING" NIJE OMOGUĆEN
Trace element podešava ASP.NET code tracing servis koji kontroliše kako se trace rezultati
skupljaju, skladište i prikazuju. Preporučeno je da se ASP.NET stack tracing ne koristi sa
obzirom da pruža mogućnost osjetljivih podešavanja i informacija.
3.6 OSIGURATI DA JE "HTTPCOOKIE" MODE PODEŠEN ZA STANJE SESIJE
Informacije o sesiji se mogu skladištiti u cookie ili u URL. Skladištenje u URL ima bezbjednosne
rizike i može dovesti do krađe sesije. Preporučeno podešavanje stanja sesije jeste UseCookies.
3.7 OSIGURATI DA SU "COOKIES" PODEŠENI SA "HTTPONLY" ATRIBUTOM
HttpOnly flag označava korisničkom agentu da cookie ne smije biti dostupan od strane
klijentske skripte. Preporučeno podešavanje za httpOnlyCookies jeste true.
3.8 OSIGURATI DA JE "MACHINEKEY VALIDATION METHOD - .NET 3.5" PODEŠENA
Machine Key može određivati hash i enkripcijska podešavanja za servise aplikacije. Dostupna
podešavanja za metode validacije su AES, MD5, SHA1 i TripleDES. Za globalni nivo podešavanja
preporučena je AES ili SHA1 metoda.
3.9 OSIGURATI DA JE "MACHINEKEY VALIDATION METHOD - .NET4.5" PODEŠEN
Machine Key može određivati hash i enkripcijska podešavanja za servise aplikacije. Dostupna
podešavanja za metode validacije su AES, MD5, SHA1, TripeDES i SHA-2. Za globalni nivo
podešavanja preporučena je SHA-2 metoda.
3.10 OSIGURATI DA GLOBALNI ".NET TRUST LEVEL" PODEŠEN
Ova preporuka se odnosi samo na .Net 2.0, naprednije verzije ne podržavaju ovu opciju.
Trust level aplikacije se određuje permisijama koje dodjeli ASP.NET code access security (CAS)
polisa. Definišu se dvije kategorije povjerenja, potpuno i djelimično povjerenje. Aplikacija sa
potpunim povjerenjem može pristupiti svim tipovima resursa na serveru i sprovoditi
privilegovane operacije dok aplikacija sa djelimičnim poverenjem ima varirajući nivo
dopuštenja i pristupa. Moguća podešavanja za Level property TrustSection klase su, full, high,
medium i low. Preporučeni .NET Trust Level je medium ili niže.
ODJELJENJE ZA INFORMACIONU BEZBJEDNOST Bezbjednosne preporuke za ISS web server
9
3.11 OSIGURATI DA SU "ENCRYPTIONS PROVIDERS" ZAKLJUČANI
iisWasKey je namjenjen samo za pristup od strane administratora i sistema. Po standardnim
podešavanjima IIS_IUSRS grupa ima read pristup. Preporučeno je povlačenje pristupa od
strane IIS_USRS grupe s čim će se umanjiti površina za napad i održati integritet i povjerljivost.
4 REQUEST FILTERING I DRUGE METODE RESTRIKCIJE
Request filtering je modul koji pruža podešavajući set pravila koja određuju koji tipovi zahtjeva
će biti prihvaćeni ili odbačeni od strane servera, web sajta ili aplikacije.
4.1 OSIGURATI DA JE "MAXALLOWEDCONTENTLENGHT" PODEŠEN
maxAllowedContentLength Request Filter je maksimalna veličina http zahtjeva, mjerenog u
bajtima, koja može biti poslana od klijenta ka serveru. Preporučeno je podešavanje
maksimalne vrijednosti na vrijednost koja odgovara serveru, sajtu ili aplikaciji.
4.2 OSIGURATI DA JE "MAXURL REQUEST FILTER" PODEŠEN
maxUrl atribut je maksimalna dužina, izražena u bajtima, koju prihvaćeni URL može sadržati
da bi ga IIS prihvatio. Podešavanje ovog Request Filter-a dozvoljava administratorima
restrikciju dužine zahtjeva koje će server prihvatiti. Preporučeno je postavljanje limita na
dužinu URL-a.
4.3 OSIGURATI DA JE "MAXQUERYSTRING REQUEST FILTER" PODEŠEN
MaxQueryString Request Filter označava maksimalnu dužinu upita koju će IIS server dopustiti
za web sajtove ili aplikacije. Preporučeno je postavljanje limita na količinu podataka koji će biti
prosljeđeni u upitu.
ODJELJENJE ZA INFORMACIONU BEZBJEDNOST Bezbjednosne preporuke za ISS web server
10
4.4 OSIGURATI DA SU SAMO ASCII KARAKTERI DOZVOLJENI UNUTAR URL-A
Korištenje ove opcije u Request Filtering-u će dovesti do odbacivanja zahtjeva koji sadrže high-
bit karaktere unutar URL-a. Preporučeno je odbacivanje takvih zahtjeva.
4.5 OSIGURATI DA ĆE "DOUBLE-ENCODED" ZAHTJEVI BITI ODBAČENI
Ovaj Request filter spriječava napade koji se oslanjaju na double-encoded zahtjeve i
primjenjuju se u slučaju da maliciozni akter uputi takav zahtjev IIS-u. Kada je filter uključen IIS
prolazi kroz dva koraka normalizacije zahtjeva, u slučaju da se prva normalizacija ne poklapa
sa drugom zahtjev se odbacuje i error code se loguje kao 404.11. Preporučeno je odbacivanje
double-encode zahtjeva.
4.6 OSIGURATI DA JE "HTTP TRACE METHOD" ONEMOGUĆEN
HTTP TRACE metoda vraća sadržaj klijentskog HTTP zahtjeva kao TRACE response. Radi
prevencije odljeva informacija kroz HTTP header preporučeno je onemogućavanje HTTP
TRACE-a.
4.7 OSIGURATI DA SU SAMO ODOBRENE EKSTENZIJE FAJLOVA DOZVOLJENE
FileExtension Request Filter dozvoljava administratorima da definišu specifičnu fajl ekstenziju
koju će njihov web sever ili dopuštati ili ne. Preporučeno je da na globalnom nivou sve osim
neophodnih ekstenzija ne bude dozvoljene.
4.8 OSIGURATI DA "HANDLER" NEMA WRITE I SCRIPT/EXECUTE PERMISIJE
Handler mappings-u se mogu dodjeliti permisije Read, Write, Script ili Execute u zavisnosti od
potrebe. Preporučeno je dodjeljivanje ili Execute/Script ili Write permisije al ne oboje.
4.9 OSIGURATI DA JE "NOTLISTEDISAPISALLOWED" PODEŠEN NA FALSE
notListedIsapisAllowed atribut je podešavanje na nivou servera koje se nalazi u
ApplicationHost.config fajlu u isapiCgiRestriction elementu system.webServer sekcije pod
security. Ovaj element spriječava maliciozne korisnike da kopiraju neautorizovani ISAPI binarni
fajl na Web server i da ga pokrenu. Preporučeno podešavanje za notListedIsapisAllowed jeste
false.
ODJELJENJE ZA INFORMACIONU BEZBJEDNOST Bezbjednosne preporuke za ISS web server
11
4.10 OSIGURATI DA JE "NOTLISTEDCGISALLOWED" PODEŠEN NA FALSE
notListedCgisAllowed atribut je podešavanje na nivou servera koje se nalazi u
ApplicationHost.config fajlu u isapiCgiRestriction elementu system.webServer sekcije pod
security. Ovaj element spriječava maliciozne korisnike da kopiraju neautorizovani CGI binarni
fajl na Web server i da ga pokrenu. Preporučeno podešavanje za notListedCgisAllowed jeste
false.
4.11 OSIGURATI DA JE "DYNAMIC IP ADDRESS RESTRICTIONS" OMOGUĆEN
IIS Dynamic IP Address Restrictions se može koristiti da spriječi DDos napade. Ovo je
komplementarno sa IP Addresses i Domain names Restriction listom koja se može manuelno
održavati unutar IIS-a. Dynamic IP address filtering dopušta administratorima podešavanje
servera tako da blokira pristup IP adresama po zadanim podešavanjima. Za restrikciju je
standardno podešavanje vraćanje Forbidden odgovora klijentu.
5 IIS LOGOVANJE
Preporuke za logovanje koje nisu pokrivene u osnovnim podešavanjima.
5.1 OSIGURATI DA JE STANDARDNA LOKACIJA ISS WEB LOGA PROMIJENJENA
IIS loguje detaljne informacije o svakom zahtjevu. U slučaju incidenta ti logovi se prvi gledaju
i vrlo su vrijedan resurs. Maliciozni akteri su svjesni toga i u namjeri da sakriju tragove svojih
aktivnosti pokušaće ostvariti pristup logovima, iz tog razloga potrebno je promjeniti
standardnu lokaciju IIS log fajlova na ne-sistemski drive sa restrikcijama.
5.2 OSIGURATI DA JE "ADVANCED ISS LOGGING" OMOGUĆEN
IIS Advanced Logging je modul koji pruža fleksibilnost u logovanju zahtjeva i klijentskih
podataka. Ovaj modul omogućava specifično podešavanje potrebnih i bitnih podataka koji će
se logovati. Preporučuje se korištenje Advanced Logging modula i identifikacija i logovanje
bitnih podataka.
ODJELJENJE ZA INFORMACIONU BEZBJEDNOST Bezbjednosne preporuke za ISS web server
12
5.3 OSIGURATI DA JE "ETW LOGGING" OMOGUĆEN
Administratori mogu slati informacije iz logova ka Event Tracing for Windows (ETW). Ovo
omogućava pregledanje logova u realnom vremenu bez potrebe da se čeka izbacivanje
podataka na disk.
6 FTP ZAHTJEVI
Nepohodna podešavanja za korištenje file transfer protocol-a.
6.1 OSIGURATI DA SU FTP ZAHTJEVI ENKRIPTOVANI
FTP Publishing Service za IIS podržava dodavanje SSL certifikata FTP sajtu. Korištenje SSL
certifikata sa FTP sajtom je poznato i kao FTP-S ili FTP over Secure Socket Layers i omogućava
bezbjedan prenos podataka.
6.2 OSIGURATI DA JE "FTP LOGON ATTEMPT RESTRICTIONS" OMOGUĆEN
IIS sadrži ugrađenu bezbjednosnu opciju koja automatski blokira brute force FTP napade. Ovo
se može iskoristiti za prevenciju uspjeha brute force napada na otkrivenim lokalnim ili
administratorskim nalozima.
ODJELJENJE ZA INFORMACIONU BEZBJEDNOST Bezbjednosne preporuke za ISS web server
13
7 ENKRIPCIJA SAOBRAĆAJA
Podešavanja za konfigurisanje IIS protokola i algoritama za šifrovanje.
7.1 OSIGURATI DA JE "HSTS HEADER" PODEŠEN
HTTP Strict Transport Security (HSTS) omogućava sajtu da informiše user agent-a da
komunicira sa sajtom samo preko HTTPS-a.
7.2 OSIGURATI DA JE "SSLV2" ONEMOGUĆEN
Ovaj protokol se smatra kriptografski nesigurnim. Preporučeno je onemogućavanje korištenja.
7.3 OSIGURATI DA JE "SSLV3" ONEMOGUĆEN
Ovaj protokol se smatra kritpografski nesigurnim. Preporučeno je onemogućavanje korištenja.
7.4 OSIGURATI DA JE "TLS 1.0" ONEMOGUĆEN
SSL i ranije TLS se ne smatraju kriptografski jakim i preporučuje se korištenje TLS 1.2 verzije.
7.5 OSIGURATI DA JE "TLS 1.1" OMOGUĆEN
Omogućavanje TLS 1.1 se zahtjeva zbog kompatabilnosti sa ranijim verzijama.
7.6 OSIGURATI DA JE "TLS 1.2" OMOGUĆEN
TLS 1.2 je najskoriji protokol za zaštitu povjerljivosti i integriteta HTTP saobraćaja.
Preporučeno je korištenje ovog protokola.
7.7 OSIGURATI DA JE "NULL CIPHER SUITES" ONEMOGUĆEN
NULL kriptografski algoritam ne pruža povjerljivost i integritet podataka i preporučeno je
njegovo omogućavanje.
ODJELJENJE ZA INFORMACIONU BEZBJEDNOST Bezbjednosne preporuke za ISS web server
14
7.8 OSIGURATI DA JE "DES CIPHER SUITES" ONEMOGUĆEN
DES je slabi kriptografski algoritam za simetrične ključeve. Preporučeno je da se onemogući.
7.9 OSIGURATI DA JE "RC2 CIPHER SUITES" ONEMOGUĆEN
RC2 je slabi blok kriptografski algoritam za simetrične ključeve. Preporučeno je da se
onemogući.
7.10 OSIGURATI DA JE "RC4 CIPHER SUITES" ONEMOGUĆEN
RC4 je kriptografski algoritam toka i za njega postoje praktični napadi. Preporučeno je da se
onemogući.
7.11 OSIGURATI DA JE "TRIPLE DES C IPHER SUITE" PODEŠEN
Omogućavanje Triple DES Cipher Suite-a će možda biti potrebno da bi se ostvarila
kompatabilnost sa klijentom. Omogućiti ili onemogućiti ovaj algoritam po potrebi.
7.12 OSIGURATI DA JE "AES 128/128 CIPHER SUITE" PODEŠEN
Omogućavanje AES 128/128 će možda biti potrebno da bi se ostvarila kompatabilnost sa
klijentom. Omogućiti ili onemogućiti ovaj algoritam po potrebi.
7.13 OSIGURATI DA JE "AES 256/256 CIPHER SUITE" OMOGUĆEN
AES 256/256 je najskoriji algoritam za šifrovanje za zaštitu povjerljivosti i integriteta HTTP
saobraćaja. Preporučeno je njegovo omogućavanje i korištenje.
7.14 OSIGURATI DA JE REDOSLJED ALGORITAMA ZA ENKRIPCIJU PODEŠEN
Algoritmi za šifrovanje bi trebali biti konfigurisani od najjačih ka najslabijima da bi se
obezbjedilo što bolje podešavanje za enkripciju između servera i klijenta.