IIS
مقدمه
IIS چیست؟
سرویس IIS که مخفف Internet Information Services می باشد و یک سرور برای کنترل کردن محتویات و دسترسی به سایت های وب یا ftpشما بر روی هارد ایجاد می کند
برای مثال هنگامی که شما می خواهید سایتتان را منتشر کنید قبل از upload کردن آن می خواهید آن را آزمایش کنید و اگر با aspطراحی می کنید قبل از نصب Visual Studio.Net بهتر است این سرویس را نصب کنید و گرنه مشکلاتی را برای شما به همراه خواهد داشت .
پیکربندی IIS با رعایت مسائل امنیتی
اغلب سازمان های دولتی و خصوصی در کشور، دارای وب سایت اختصاصی خود در اینترنت می باشند . سازمان ها و موسسات برای ارائه وب سایت ، یا خود امکانات مربوطه را فراهم نموده و با نصب تجهیزات سخت افزاری و تهیه پهنای باند لازم، اقدام به عرضه سایت خود در اینترنت نموده و یا از امکانات مربوط به شرکت های ارائه دهنده خدمات میزبانی استفاده می نمایند . وجه اشتراک دو سناریوی فوق و یا سایر سناریوهای دیگر، استفاده از یک سرویس دهنده وب است.
بدون تردید سرویس دهنده وب یکی از مهمترین نرم افزارهای موجود در دنیای اینترنت محسوب می گردد کاربرانی که به سایت یک سازمان و یا موسسه متصل و درخواست اطلاعاتی را می نمایند ، خواسته آنان در نهایت در اختیار سرویس دهنده وب گذاشته می شود . سرویس دهنده وب، اولین نقطه ورود اطلاعات و آخرین نقطه خروج اطلاعات از یک سایت است . بدیهی است نصب و پیکربندی مناسب چنین نرم افزار مهمی ، بسیار حائز اهمیت بوده و تدابیرامنیتی خاصی را طلب می نماید .در ادامه به بررسی نحوه پیکربندی سرویس دهنده وب IIS در شبکه های مبتنی بر ویندوز با تمرکز بر مسائل امنیتی ، خواهیم پرداخت.
IIS(Internet Information services) ، یکی از سرویس دهندگان وب است که از آن برای برای نشر و توزیع سریع محتویات مبتنی بر وب ، برای مرورگرهای استاندارد استفاده می شود . نسخه پنج IIS ، صرفا" برای سیستم های مبتنی بر ویندوز 2000 قابل استفاده است . نسخه های ویندوز 2000 Serverو Advanced serverبمنظور نصب IIS، مناسب و بهینه می باشند . نسخه پنج برای استفاده در نسخه های قدیمی ویندوز طراحی نشده است . امکان نصب IIS نسخه پنج ، بهمراه ویندوز Professional نیز وجود داشته ولی برخی از امکانات آن نظیر : میزبان نمودن چندین وب سایت ، اتصال به یک بانک اطلاعاتی ODBC و یا محدودیت در دستیابی از طریقIP در آن لحاظ نشده است . نسخه پنج IIS ، سرویس های WWW ، FTP، SMTP و NNTP را ارائه می نماید . سه نرم افزار و سرویس دیگر نیز با IIS در گیر می شوند
Certificate Server , Index server وTransaction server امنیت درIIS متاثر از سیستم عامل است . مجوزهای فایل ها ، تنظیمات ریجستری ، استفاده از رمزعبور، حقوق کاربران و سایر موارد مربوطه ارتباط مستقیم و نزدیکی با امنیت در IIS دارند .
قبل از پیکربندی مناسب IIS ، لازم است که نحوه استفاده از سرویس دهنده دقیقا" مشخص گردد پیکربندی دایرکتوری های IIS ، فایل ها ، پورت های TCP/IP و Account کاربران
نمونه هائی در این زمینه بوده که پاسخ مناسب به سوالات زیر در این رابطه راهگشا خواهد بود
آیا سرویس دهنده از طریق اینترنت قابل دستیابی است ؟
آیا سرویس دهنده از طریق اینترانت قابل دستیابی است ؟
چه تعداد وب سایت بر روی سرویس دهنده میزبان خواهند شد ؟
آیا وب سایت ها نیازمند استفاده از محتویات بصورت اشتراکی می باشند ؟
آیا سرویس دهنده امکان دستیابی را برای افراد ناشناس ( هر فرد ) فراهم نموده و یا صرفا" افراد مجاز حق استفاده از سرویس دهنده را خواهند داشت ؟ و یا هر دو ؟
آیا امکان استفاده و حمایت از SSL(Secure Socket Layer) وجود دارد ؟
آیا سرویس دهنده صرفا" برای دستیابی به وب از طریق HTTP استفاده می گردد ؟
آیا سرویس دهنده ، سرویس FTP را حمایت می نماید ؟
آیا کاربرانی وجود دارد که نیازمند عملیات خاصی نظیر کپی، فعال نمودن، حذف و یا نوشتن فایل هائی بر روی سرویس دهنده باشند ؟
موارد زیر در زمان نصب IIS پیشنهاد می گردد
کامپیوتری که IIS بر روی آن نصب شده است را در یک محل امن فیزیکی قرار داده و صرفا" افراد مجاز قادر به دستیابی فیزیکی به سرویس دهنده باشند .
در صورت امکان، IISرا بر روی یک سرویس دهنده Standalone نصب نمائید. در صورتیکه IIS بر روی یک سرویس دهنده از نوع Domain Controller نصب گردد و سرویس دهنده وب مورد حمله قرار گیرد، تمام سرویس دهنده بهمراه اطلاعات موجود در معرض آسیب قرار خواهند گرفت . علاوه بر مورد فوق، نصب IIS بر روی یک سرویس دهنده از نوع Domain controller ، باعث افزایش حجم عملیات سرویس دهنده و متعاقبا" کاهش کارآئی سیستم در ارائه سرویس های مربوط به وب خواهد شد .
برنامه های کاربردی و یا ابزارهای پیاده سازی نمی بایست بر روی سرویس دهنده IIS نصب گردند .
کامپیوتر مربوط به نصب IIS را بگونه ای مناسب پارتیشن نموده تا هر یک از سرویس ها نظیر www و یا FTP بر روی پارتیشن های مجزاء قرار گیرند .
IIS امکان نصب برنامه ها را در مکانی دیگر بجز پارتیشن C فراهم نمی نماید ( مگراینکه یک نصب سفارشی داشته باشیم ).موضوع فوق به عملکرد سیستم عامل مرتبط می گردد . مجوزهای پیش فرض در رابطه با Systemdrive اعمال می گردد موضوع فوق می تواند باعث عدم صحت کارکرد مناسب برخی از سرویس های IIS گردد. می بایست مطمئن شد که مجوزهای سیستم عامل با عملیات مربوط به سرویس های IIS ، رابطه ای ندارند .
تمام پروتکل های پشته ای (Stack) غیر از TCP/IP را از روی سیستم حذف نمائید. ( در مواردیکه برخی از کاربران اینترانت نیازمند برخی از این نوع پروتکل ها می باشند می بایست با دقت اقدام به نصب و پیکربندی مناسب آن نمود ) .
روتینگ IP ، بصورت پیش فرض غیرفعال است و می بایست به همان حالت باقی بماند . در صورت فعال شدن روتینگ ، این امکان وجود خواهد داشت که داده هائی از طریق کاربران اینترانت به اینترنت ارسال گردد .
نصب Client for Microsoft networking ، بمنظور اجرای سرویس های HTTP,FTP,SMTP و NNTPضروری خواهد بود . در صورتیکه ماژول فوق نصب نگردد، امکان اجرای سرویس های فوق بصورت دستی و یا اتوماتیک وجود نخواهد داشت .
در صورتیکه تمایل به نصب سرویس های NNTP و SMTP ، می بایست سرویس File and Print Sharing for Microsoft نیز نصب گردند
عملیات قبل از نصب IIS
در زمان نصب IIS ، یک account پیش فرض به منظور ورود کاربران گمنام (ناشناس) به شبکه ایجاد می گردد . نام پیش فرض برای accountفوق، IUSER_computername بوده که computername نام کامپیوتری است که IIS بر روی آن نصب شده است . account فوق ، می بایست دارای کمترین حقوق و مجوزهای مربوطه بوده و گزینه ها ی user cannot change password وpassword Never Expires فعال شده باشد. account فوق همچنین می بایست از نوع local account بوده و domain-wide account را شامل نگردیده و دارای مجور ورود به شبکه بصورت محلی باشد log on locallyمجوزهای Access this computer from the network و یا log on as a batch job در رابطه با account ، فوق می بایست غیر فعال گردند . در صورتیکه سیاست ارتباط با وب سایت ، صرفا" کاربران مجاز باشد، پیشنهاد می گردد account فوق ، غیر فعال گردد . بدین ترتیب تمام کاربران با استفاده از نام و رمز عبور مربوطه قادر به ورود به سایت خواهند بود
گروه هائی برای فایل دایرکتوری و اهداف مدیریتی
حداقل دو گروه جدید که درIIS قصد استفاده از انان را داریم، می بایست ایجاد گردد : گروه WebAdmin ) نام فوق کاملا" اختیاری است ) . در گروه فوق، کاربرانی که مسئولیت مدیریت محتویاتWWW/FTP را دارند، تعریف می گردند . در صورتیکه سرویس دهنده ، چندین سایت را میزبان شده است، برای هر سایت یک گروه مدیریتی ایجاد می گردد . گروه WebUser ) نام فوق کاملا" اختیاری است ) . در گروه فوق لیست account افراد مجاز برای ارتباط با سایت ، تعریف می گردد. در حالت اولیه ، گروه فوق صرفا" شاملIUSER_computername است . از گروه های فوق برای تنظیمات مربوط به مجوزهای NTFS استفاده می گردد . IUSER_computername نباید عضو گروهی دیگر باشد . بصورت پیش فرض IUSER_computername عضو گروه های Guests، Everyone و Users است . پیشنهاد می گردد account فوق ، از گروه Guests حذف و به گروه WebUsers اضافه گردد .( امکان حذف account فوق از سایر گروهها وجود ندارد) . دقت گردد که تمام افراد موجود در گروه WebUsers می بایست صرفا" برای دستیابی به وب سایت تعریف شده باشند و نباید عضوی از سایر گروهها باشند .
مدیریت IIS با چندین گروه
نسخه شماره چهار IIS ، امکان تعریف گروههای محلی بمنظور پیکربندی و تعریف گروههای مدیریتی متفاوت برای سرویس های IIS را فراهم می نمود .
رویکرد فوق در نسخه شماره پنج IIS ، تغییر یافته است . گروه های محلی می توانند و می بایست برای گروههای مدیریتی متفاوت ایجاد گردند . تفاوت موجود بین گروههای محلی برای سرویس www و FTP صرفا" استفاده از مجوزهای NTFSخواهد بود . سرویس های SMTP و NNTP ، قابلیت تنظیم گروههای محلی را بعنوان اپراتورهای مدیریتی برای سرویس دهنده IIS فراهم می نماید .
دایرکتوری پیش فرض نصب IIS
پس از نصب IIS ، می بایست تغییرات لازم در خصوص مجوزهای دستیابی NTFS را در رابطه با دایرکتوری هائی که IIS نصب شده است ، انجام داد . گروه های Everyone و Guests بهمراه account مربوط به Guest می بایست حذف گردند . گروه Everyone بصورت پیش فرض دارای تمامی مجوزهای لازم در رابطه با دایرکتوری Inetpub است . کاربران غیر مجاز با استفاده از ویژگی گروه فوق قادر به دستیابی به سیستم خواهند بود، بنابراین لازم است در این راستا اقدام لازم ( حذف ) صورت پذیرد . دایرکتوری Inetpub ، بر روی درایو پیش فرض نصب می گردد .دایرکتوری جدید و یا ساختار موجود می بایست به پارتیشن دیگر منتقل و عملا تمایزی بین سایت های در دسترس از محل سیستم های عملیاتی را بوجود آورد . پیشنهاد می گردد Inetpub به نام دلخواه دیگری تغییر یابد
سرویس های IIS
در زمان نصب IIS ، چهار سرویس بر روی سیستم نصب خواهد شد :
www . سرویس فوق،بمنظور ایجاد یک سرویس دهنده وب و سرویس دهی لازم به درخواست سرویس گیرندگان برای صفحات وب استفاده می گردد .
FTP . سرویس فوق، بمنظور ارائه خدمات لازم در خصوص ارسال و دریافت فایل بر روی سرویس دهنده برای کاربران استفاده می گردد .
SMTP . سرویس فوق،امکان ارسال و دریافت نامه الکترونیکی برای سرویس گیرندگان را در پاسخ به فرم ها و برنامه های خاص دیگر فراهم می نماید .
NNTP . سرویس فوق، بمنظور میزبانی یک سرویس دهنده خبری USENET استفاده می گردد
پیشنهادات تکمیلی در رابطه با امنیت برنامه IIS
بر روی سرویس دهنده IISصرفا IIS و عناصر مورد نیاز را نصب و از نصب برنامه ها و ابزارهای پیاده سازی ممانعت بعمل آید .
تمام سرویس های غیر ضروری را غیر فعال نمائید .
در رابطه با IUSER_Computername account ، گزینه های User cannot change password و Password Never Expires را انتخاب و فعال نمائید .
در صورتیکه تمایلی به ورود افراد گمنام ((anonymousبه شبکه وجود نداشته باشد ، می بایست account مربوطه را غیر فعال نمود (( IUSER_Computername
برای هر وب سایت local admin groupsایجاد و account مربوطه را مشخص نمائید .
برای کاربران وب یک local group ایجاد و صرفا" account های مورد نیاز و مجاز نظیر IUSER_Computername را در آن فعال نمائید .
از تمام گروه های دیگر، accountمربوط به IUSER_Computernameرا حذف نمائید .
تمام مجوزهای NTFS مربوط به دایرکتوری Inetpub را حذف و صرفا" گروه ها و account های مجاز را به آن نسبت دهید .
یک ساختار منطقی برای دایرکتوری ایجاد نمائید . مثلا" برای محتویات ایستا ، فایل های asp ، scripts و Html ، اسامی دایرکتوری دیگری ایجاد و با یک ساختار مناسب بیکدیگر مرتبط گردند.
مجوزهای لازم NTFS بر روی ساختار دایرکتوری ها را در صورت نیاز اعمال نمائید .
تمام دایرکتوری های نمونه و اسکریپت هائی که نمونه برنامه هائی را اجراء می نمایند ، حذف نمائید .
مجوز Log on locally به کاربر اعطاء و امکان log on as a batch service و Access this computer from the network از کاربر سلب گردد .
مقایسه IIS و Apache
در مقام مقایسه IIS و آپاچی می توان گفت که هر کدام دارای مزایا و معایبی نسبت به یکدیگر هستند. IISفقط برای اجرا در ویندوز ساخته شده است به خصوص نسخه ششم آن فقط در ویندوز 2003 قابل اجرا می باشد. اگر چه بسیاری از کارشناسان، این مسئله را نوعی نقطه ضعف در ساختار IIS می دانند، برخی دیگر هماهنگی بسیار دقیق میان آن و ویندوز 2003 و سرویس های دیگر سیستم عامل را که باعث آسان تر بودن مدیریت IISشده است، از نقاط برتری آن به حساب می آورند. به خصوص در نسخه ششم جدا شدن ماژول مخصوص دریافت درخواست ها از ماژول ویژه پردازش آن ها، سهم به سزایی در افزایش کارایی آن داشته است. در این روش ماژول Listenerکه در کرنل مستقر شده است ( (Http.sys، درخواست های ارسالی از طرف کلاینت ها را دریافت کرده و آن ها را به ترتیب در داخل یک یا چند صف درخواست قرار می دهد.
سپس IIS به این درخواست ها با اختصاص حداقل یک پروسه کاری (Worker (Process به هر درخواست، پاسخ می دهد. این ویژگی باعث می شود حتی زمانی کهIIS به شدت مشغول پاسخ دهی به درخواست های قبلی است، ماژول جداگانه ای که در کرنل مستقر است، بتوانند درخواست های جدید را دریافت کرده و حداقل آن ها را در انتظار پاسخ قرار دهند. همچنین با این وضعیت، سیستم عامل می تواند کنترل بهتری را در اختصاص پروسه های لازم به IIS جهت پردازش درخواست ها انجام دهد. در آپاچی هم جریان تا حدودی مشابه همین روال است. در این جا تعدادی ماژول با قابلیت انجام چند پردازش در واحد زمان (MultiProcessing module)وظیفه دریافت و پاسخ به درخواست ها را برعهده دارند. این ماژول ها که با استفاده از تکنولوژی APR یا Apache Portable Runtime برروی بسیاری از سیستم عامل هایی که از کدهای کامپایل شده زبان C پشتیبانی می کنند، قابل اجرا هستند، با استفاده از امکانات و قابلیت های Multithreading همان سیستم عامل میزبان به سرعت و به صورت همزمان درخواست های رسیده از طرف کلاینت ها را دریافت و پردازش می کنند.
کارایی
مقایسه کارایی آپاچی و IIS همواره از مشکل ترین بحث های تکنیکی دنیای وب سرورها بوده است؛ چرا که این نوع مقایسه مستلزم به وجود آوردن شرایط یکسان آزمایش به صورت منصفانه برای دو طرف رقابت است که دست یافتن به این شرایط، کاری آسان و صددرصد قابل انجام نمی باشد. شاید به تصور خیلی ها می توان زمان دریافت، پردازش و پاسخ هر دو وب سرور به یک صفحه CGI یا JSP که مورد پشتیبانی هر است را برروی یک سرور با مشخصات سخت افزاری یکسان به معرض آزمون گذاشت، اما این هم به نمی تواند تنهایی پاسخگوی معمای کارایی باشد. چرا که اولاً شاید هر دو وب سرور ادعای بهترین کارایی خود در تکنولوژی مشترکی مثل JSP را نداشته باشند. ثانیاًٌ نباید فراموش کرد که آپاچی، یک وب سرور چند سکویی می باشد و این باعث می شود تا صورت مسئله کمی پیچیده تر شود و کسانی که می خواهند به داوری مسابقه کارایی این دو وب سرور بنشینند را با سوالی جدیدتر روبرو کند و آن هم این است کهIIS ویندوز را با آپاچی کدام سیستم عامل مقایسه کنیم ؟ آیا اصولاً آپاچی ادعایی بر ارایه بهترین کیفیت و کارایی خود برروی سیستم عامل مشترک ویندوز را دارد یا این که کماکان به سرعت خود برروی سیستم عامل های یونیکس و لینوکس می بالد؟
مدیریت
در مورد مدیریت وب سرور، اختلافاتی بین دو وب سرور مذکور وجود دارد. آپاچی در نسخه های اولیه خود، وب سروری کاملا TextBased به نظر می رسید که صرفاً با دستکاری مستقیم در فایل های پیکربندی، تنظیم وب سرور و یا با استفاده از دستورات خط فرمان مدیریت آن امکان پذیر بود. اما اکنون بسیاری از واسط کاربرهای گرافیکی مثلComanche قادرند یک محیط گرافیکی کاربرپسند و در واقع یک لایه بیرونی برای کار با آپاچی فراهم کنند. البته بسیاری از کاربران وجود مدیریت و تنظیمات Text Based را برای آپاچی یک مزیت عنوان می کنند. به عقیده این افراد، با این نوع پیکربندی آپاچی می توان به سادگی و صرفاً با کپی کردن چند فایل از کامپیوتری به کامپیوتر دیگر همه تنظیمات یک سرور آپاچی را به سرور دیگر منتقل و از صرف وقت برای تنظیم دستی آن خلا ص شد. این مسئله برای وب سروری مثل IIS که تنظیمات خود را در قالب فایل های باینری نگهداری می کند، قابل انجام نیست.
قابلیت اطمینان
IIS6 با جدا کردن حافظه و محل اجرای برنامه های وب از یکدیگر، باعث شده است در صورت بروز یک مشکل در هر یک از برنامه های در حال اجرا، این مشکل به سایر برنامه ها و پردازش های در حال اجرا سرایت نکند. در آپاچی نسخه دوم این عمل تا حدودی قابل انجام است. بدین معنی که اصولاً آپاچی با مکانیسم های تشخیص و ترمیم خطا، از سرایت مشکل به قسمت ها و پردازش های دیگر جلوگیری می کند، اما به طور کلی نمی تواند همانند IIS عمل جداسازی برنامه ها از یکدیگر را انجام دهد و در برخی موارد، بروز یک مشکل در یکی از پردازش ها، مدیر وب را ناچار به راه اندازی مجدد (Restart) وب سرور می کند. نکته دوم در این مقایسه هم به نفع IIS تمام می شود. بدین صورت که در نسخه ششم آن امکان پیکربندی مجدد سیستم حتی در زمان اجرای پردازش ها و بدون نیاز به راه اندازی مجدد وب سرور امکان پذیر است. این امکان که به آن Live Configuration گفته می شود، سبب می شود مدیر سیستم بتواند بدون آن که وب سرور و در نتیجه بسیاری از پردازش های در حال اجرا و درخواست های در حال پاسخگیری را متوقف کند، تنظیمات IIS را تغییر دهد و وب سرور را Refresh کند. در صورتی که در آپاچی نسخه دوم، این عمل بدون بوت کردن مجدد وب سرور میسر نیست.