Scuriser les serveurs Web (IIS5 et IIS6)

Sommaire
Gnralits
Principes fondamentaux de la scurit Prsentation du serveur IIS 5.0

Mettre en oeuvre un serveur IIS 5.0 scuris

Etape 0 : Prparation linstallation Etape 1 : Installation du serveur IIS Etape 2 : Post-installation Etape 3 : Configuration du serveur IIS et des services

IIS 6.0

Gnralits

Principes fondamentaux de la scurit

La scurit informatique repose sur quelques grands principes
Lauthentification des utilisateurs Le contrle daccs aux ressources La confidentialit des donnes Lintgrit des donnes La non-rpudiation La disponibilit du service Laudit des traces de scurit

Les objectifs de scurit doivent tre adapts aux besoins

Niveau de scurit global dun systme

Niveau de scurit du maillon le plus faible

Principes fondamentaux de la scurit

Classification des risques
Menace : potentialit de mise en danger du systme
Vol dinformations confidentielles Modification de contenu Interruption de service

Vulnrabilit : faille risquant de permettre la concrtisation dune menace

Faille matrielle Faille logicielle Erreur dadministration

Attaque : exploitation dune vulnrabilit existante

Exposition de donnes Corruption de donnes Dni de service

Prsentation dIIS 5.0

Caractristiques
IIS : Internet Information Service Version 5.0 Disponible sur plateforme Windows 2000 Server Install par dfaut Fournit les services suivants :
HTTP Mais aussi FTP, SMTP et NNTP

Prsentation dIIS 5.0

Windows 2000 & IIS
Le niveau de scurit dun serveur IIS est troitement li au niveau de scurit du serveur Windows 2000 sous-jacent
Permissions sur les fichiers Base de registre Droits utilisateurs

Avantages de cette intgration :

Pas daugmentation inutile de la complexit Limitation des risques lis lempilement de couches de scurit Meilleures performances

Risques :

Mauvaise scurisation de Windows 2000

Affaiblissement du niveau de scurit dIIS5

Mise en uvre dun serveur IIS5 scuris

Mettre en uvre un serveur Microsoft IIS 5.0 scuris

Prparation linstallation Installation Post-installation Configuration PRE INST POST CONF

Prparation linstallation
Placer le serveur dans un espace scuris physiquement Si possible, installer le serveur

PRE INST POST CONF

Dans un domaine ddi Sans relation dapprobation avec les autres domaines du SI
Ex : dans un domaine ddi aux serveurs en DMZ

Protger au maximum le serveur de toute attaque rseau pendant la phase de scurisation

Fermer les accs Internet (au niveau du routeur par ex) Limiter autant que possible les accs depuis lIntranet

Scurisation de Windows 2000

Appliquer le dernier Service Pack et les derniers correctifs
Outil MBSA
http://www.microsoft.com/technet/security

PRE INST POST CONF

Microsoft Security Notification Service

http://www.microsoft.com/technet/security/bulletin/notify.asp

Partitionner les disques de manire pouvoir installer sur des partitions diffrentes
Le systme dexploitation Les contenus publis par chacun des services Les journaux dvnements

Modifier les permissions NTFS

Par dfaut fixes "Tout le monde Contrle Total" Voir base de connaissance, document Q271071 "Minimum NTFS Permissions Required for IIS 5.0 to Work"

Scurisation de Windows 2000

Conserver uniquement les lments ncessaires
Supprimer les comptes inutiles Dsactiver les services inutiles (Telnet, Messenger, ) Ne surtout pas installer doutils de dveloppement

PRE INST POST CONF

Laisser dsactive loption Routage et accs distants (par dfaut) Supprimer toutes les piles rseaux excepte la pile TCP/IP (sauf celles ncessaires, dans le cas dun Intranet par exemple) Supprimer la liaison entre NetBIOS et TCP/IP Dfinir un mot de passe trs fiable pour ladministrateur
Au moins 9 caractres (ex : "M#=H|&Fb{")

Mettre en uvre un serveur Microsoft IIS 5.0 scuris

Prparation linstallation Installation Post-installation Configuration PRE INST POST CONF

Installation du serveur IIS 5.0

Modifier lemplacement du rpertoire racine

PRE INST POST CONF

Installer uniquement les composants ncessaires ! Pour plus de scurit, effectuer linstallation partir dun fichier de rponses permettant de
Installation par dfaut du rpertoire racines dans C:\Inetpub

Renommer le rpertoire racine

Protection contre certains outils automatiques dattaque

Utiliser la commande sysocmgr pour effectuer une installation dIIS partir dun fichier de rponse
Sysocmgr /i:%windir%\inf\sysoc.inf /u:<chemin_fichier>

Mettre en uvre un serveur Microsoft IIS 5.0 scuris

Prparation linstallation Installation Post-installation Configuration PRE INST POST CONF

Comptes & Permissions

Accs anonyme
Si laccs anonyme nest pas autoris
Supprimer le compte IUSR_Nomduserveur

PRE INST POST CONF

Si laccs anonyme est autoris

Modifier les paramtres de lutilisateur IUSR_Nomduserveur
Ne pas autoriser lutilisateur changer son mot de passe Slectionner loption le mot de passe nexpire jamais

Modifier les permissions associes au compte

Autoriser louverture de session locale Supprimer les ouvertures de session
En tant que tche Distantes

Comptes & Permissions

WebAdmins & WebUsers
Crer pour chaque site

PRE INST POST CONF

Un groupe local dadministration du site y ajouter les comptes utilisateurs ncessaires

Ex : WebAdmins_t2003iis

Un groupe local dutilisateurs du site et ny inclure que les comptes ncessaires (ventuellement IUSR_Nomduserveur)
Ex : WebUsers_t2003iis

Utiliser ces comptes pour modifier les permissions NTFS sur les rpertoires et fichiers des sites publis Supprimer le compte IUSR_Nomduserveur des autres groupes

Arborescence du site

PRE INST POST CONF

Supprimer les rpertoires dexemples par dfaut et les scripts associs

Dans la mesure du possible viter de les installer

Crer larborescence des sites

En sparant les fichiers par type
Contenu statique (.HTML, images, ) Scripts (.ASP) CGI (.exe, .dll, .cmd, .pl) Fichiers de dclaration (.inc, .shtml, .shtm)

Modifier les permissions NTFS

Ne mettre que les permissions NTFS ncessaires Supprimer les permissions du groupe Tout le monde Utiliser les groupes WebUsers et WebAdmins

Scurisation de la metabase IIS

PRE INST POST CONF

La Metabase contient les paramtres de configuration dIIS Elle prsente des avantages en termes de performance par rapport la base de registre
Rapidit Flexibilit Monte en charge

Elle est stocke par dfaut dans le fichier

\WinNT\system32\inetsrv\Metabase.bin

Elle contient des informations sensibles et doit tre protge

Limiter les accs au seul groupe local Administrateurs Dplacer et renommer le fichier
HKLM\Software\Microsoft\InetMgr\Parameters : ajouter une rubrique MetadataFile contenant le chemin complet vers le nouveau fichier

Journaux dvnements

PRE INST POST CONF

Afin de compliquer lventuelle dissimulation doprations non-autorises, on pourra

Dplacer et renommer le rpertoire contenant les journaux dvnements
De prfrence sur une partition ddie aux journaux dvnements

Limiter laccs aux seuls groupes Administrateurs et SYSTEM

Les journaux dvnements devront

tre, de prfrence, au format W3C tendu Contenir les informations requises pour servir de base aux audits de scurit
Date et heure de lvnement Adresse IP du client Nom de lutilisateur Mthode daccs utilise Ressource demande Requte effectue Statut de la requte Temps de traitement Adresse IP du serveur ? Port du serveur ?

Analyse de la scurit

PRE INST POST CONF

Dtection et correction de points de scurit non-traits Utilisation du snap-in "Analyse et configuration de la scurit"
Lancer une analyse du serveur Comparer la configuration un modle de scurit adapt
Microsoft propose le modle Hisecweb.inf ou les modles MSS Baseline.inf + MSS IIS Role .inf

Modifier le modle pour ladapter aux spcificits du serveur Appliquer le modle de scurit

Recommandations
Ne pas appliquer le modle de scurit sur un serveur en production Vrifier le bon fonctionnement de toutes les applications aprs lapplication du modle

Mettre en uvre un serveur Microsoft IIS 5.0 scuris

Prparation linstallation Installation Post-installation Configuration PRE INST POST CONF

Configuration gnrale Les outils

Utilisation de la Microsoft Management Console (recommande)

PRE INST POST CONF

Requiert le snap-in "Gestionnaire des Services Internet" (ISM) Permet la dlgation de ladministration des sites
Prparation de consoles spcifiques en fonction des rles et des habilitations

Constitue la solution la plus souple et la plus complte

Utilisation de linterface Web dadministration

Incomplte Dlgation de pouvoir difficile Ncessit de mettre en uvre les lments de scurit suivants :
Communiquer via un tunnel SSL, aprs authentification du client par certificat Limiter laccs ladministrateur du serveur IIS Forcer la connexion depuis une IP prdfinie

Configuration du serveur
Deux niveaux de configuration
Proprits gnrales du serveur IIS
WWW FTP Journaux dvnements

PRE INST POST CONF

Concernent les caractristiques communes aux diffrents services

Seront automatiquement hrites par tout site cr Permettent dviter de laisser accidentellement des options par dfaut dangereuses lors de la cration dun nouveau site

Proprits spcifiques chaque service propos par le serveur

Sont prioritaires par rapport aux proprits gnrales du serveur

Assistant de verrouillage IIS

IIS Lockdown
Durcit la configuration dIIS (4 ou 5) Dsactive les services inutiles Restreint laccs aux commandes systme

URLScan
Filtre ISAPI pour IIS4/5, configurable, qui bloque les URL qui ressemblent des attaques

ISA Server : pare-feu (dont passerelle applicative)

Url Serveur Web scan

IIS

Parefeu ISA Server

Client

IIS 6.0

Vulnrabilits pr-IIS 6.0

Challenges
Problmes de canonisation Buffer Overflow Utilisation de ressource intense Cross-Site Scripting

Rsultats
Excution distance dapplication Elvation de privilge Divulgation dinformation Denial-of-Service

Nouvelle approche
IIS 6.0 est scuris :
Par conception (secure by design)
Nouvelle architecture de fonctionnement

Par dfaut (secure by default)

Non install et fonctionnement par dfaut

Pour le dploiement (secure in deployment)

Nouvelle architecture du serveur Web IIS 6.0

Fonctionnalits Web spars Isolation des applications (pools dapplications) Amliorations des performances

Fonctionnement de IIS 5.0 vs IIS 6.0

Application Pool 1 Application Pool 2 Web Garden

INETINFO
INETINFO DLLHOST.exe

WAS
Process Mgr

W3WP.EXE
ASP.NET ISAPI

W3WP.EXE W3WP.EXE
ISAPI ISAPI Extensions Extensions (ASP, etc.) etc.) (ASP,

Config Mgr

ISAPI Extensions (ASP, etc.)

metabase
ISAPI Filters

ASP.NET metabase CLR App Domain ISAPI

CLR App Domain

ASP.NET ISAPI ASP.NET ISAPI CLR App CLRDomain App Domain ASP.NET ISAPI
CLR App Domain App Domain CLRCLR App CLRDomain App Domain CLR App Domain App Domain CLRCLR App Domain

W3WP.EXE W3WP.EXE W3WP.EXE Aspnet_wp.exe

ISAPI Filters

TCP/IP

HTTP.SYS

Scuris par conception et pour le dploiement

Processus IIS excuts avec des privilges le plus bas possible Code tierce excut uniquement dans un processus de travail Isolation des processus Journalisation des requtes HTTP Surface des attaques rduites (Ex. : DoS)
Protection rapide contre les incidents Recyclage des processus de travail Affinit par processeur

Scuris par dfaut

Plus de 20 services NT sont dsactivs sous Windows Server 2003 IIS nest plus install par dfaut (exception de Windows Server 2003 Web Edition) Si on installe IIS
IIS components
Static file support ASP Server-side includes Internet Data Connector WebDAV Index Server ISAPI Internet Printing ISAPI CGI Frontpage Server Extensions Password Change Functionality SMTP FTP ASP.NET BITS

IIS 5.0 clean install

enabled enabled enabled enabled enabled enabled enabled enabled enabled enabled enabled enabled X X

IIS 6.0 clean install

enabled disabled disabled disabled disabled disabled disabled disabled disabled disabled disabled disabled disabled disabled

Scuris par dfaut

Pas de rpertoire virtuel avec des excutables
/SCRIPTS /MSADC

Limites et timeouts
Limitation de la taille des en-tte 16 Ko

Anciens codes supprims

ISM.DLL .HTR Sub-authentication

Vrification de lexistence des fichiers

Scuris par dfaut

URLScan intgr
Utilitaires en ligne de commande inaccessibles Canonisation des URLs

Protection en criture du contenu Scurit par ACLs sur

Logfiles Custom Error Directory On Cache Directories

ASP
ASPEnableParentPath = FALSE Hang detection Internal Health Detection

Mise jour de IIS 5.0 vers IIS 6.0

Soit faire une installation neuve Soit
Excuter IIS Lockdown avant la mise niveau Spcifier les paramtres durant la mise niveau

Extensions du service Web

Scuris par dfaut
Ne sert que du contenu statique (HTML, JPG, GIF) Protection contre les script kiddies listant les capacits du serveur Activation manuelle des autres fonctionnalits

Nouveau nud dans la console dadministration

Autoriser/Interdire les extensions Ajouter/Supprimer les extensions

Erreurs 404
Erreur gnrique renvoye Fichiers de log donnant des dtails complmentaires Utile pour analyse

Isolation des applications

Pool dapplications Isolation des applications Utilisation de compte avec des privilges bas (service rseau)
Chaque pool peut utiliser son propre compte utilisateur

IIS Worker Process Group

IIS_WPG Nouveau groupe Toutes les identits des pools applicatif doivent en tre membre A les droits et permissions ncessaires pour excuter un process w3wp.exe

Actions complmentaires
Arrter les services inutiles
Dsactiv ou dmarrage manuel

Authentification
Basique Digest Intgre Passport

Permissions NTFS Restriction par adresse IP Outils

LogParser (resource kit) SSLDiagnostics (download)

Log dtat HTTP

Les logs IIS enregistrent tous les vnements et les statuts Nouveaux substatus spcifiques
Exemple: Access denied due to Web Service Extensions
Le client reoit une erreur 404 mais IIS log lerreur associe (404.2) Voir laide en ligne pour les codes

Impacts: rsolution des problmes plus rapide

>> plus dinfo = meilleure action

Types Mime non dfinis dsactivs

Les extensions de fichier doivent tre dclars comme type MIME Le client reoit une erreur 404, mais lerreur 404.3 est enregistre Caractre joker utilisable pour la dfinition Peut tre spcifique un rpertoire Impacts:
Les applications ou les fichiers de pirate utilisant des extensions non dfinies ne fonctionneront pas Ajouter .tmp pour Visual Studio .net (corrig dans le SP1) SI une application est dsinstalle, les fichiers ne seront pas accessibles si le mappage MIME est supprim

Problmes avec le service FTP

Excution de la commande cd \ puis dir Visualisation de TOUS les autres rpertoires
>> divulgation dinformations

Isolation des utilisateurs FTP

Isolation des utilisateurs
Ne peuvent voir que leur rpertoire La commande cd \ reste la racine de LEUR rpertoire

Types disolation
Aucune (= IIS 5) Local AD

Firewall - Antivirus
Les firewalls globaux peuvent ne pas tre suffisants Un firewall pour chaque serveur
Rduit les risques de type Blaster, Slammer

Interdire tout sauf ce que vous souhaitez que le serveur serve Utiliser et maintenir jour un anti-virus

Rsum
IIS 6.0 non install par dfaut Contrle du contenu excutable via les Web Service Extensions Enregistrement dans les logs des sub-codes dtat HTTP Personnalisation des identits des worker process Accs au chemin parent dsactiv ( Parent Paths ) Types MIME non dfini inactifs

Rien que lamlioration de la scurit justifie la migration vers IIS 6.0 ainsi que les amliorations concernant les performances et la disponibilit

tapes suivantes
1. tre inform sur la scurit

S'inscrire aux bulletins de scurit :

http://www.microsoft.com/france/securite/bulletins_securite/default.asp

Obtenir l'aide la plus rcente de Microsoft sur la scurit :

http://www.microsoft.com/france/securite/default.asp

2. Obtenir des activits de formation supplmentaires sur la scurit

Trouver des sminaires de formation :

http://www.microsoft.com/france/events/default.asp

Trouver un centre de formation local agr Microsoft (CTEC) pour des cours pratiques :
http://www.microsoft.com/france/formation/centres/recherche.asp

Pour plus d'informations

Site Microsoft sur la scurit (tout public)
http://www.microsoft.com/france/securite/default.asp

Site TechNet sur la scurit (informaticiens)

http://www.microsoft.com/france/technet/themes/secur/default.asp

Site MSDN sur la scurit (dveloppeurs)

http://msdn.microsoft.com/security (en anglais)

Guide de scurisation de Windows 2000 Server

http://www.microsoft.com/france/technet/produits/Win2000S/info/info.asp?mar =/france/technet/themes/secur/info/20031211securingwin200s.html&xmlpath=/france/technet/produits/win2000s/actus.xml& rang=0

Securing Windows 2000 Server

http://www.microsoft.com/downloads/details.aspx?FamilyId=9964CF42-E2364D73-AEF4-7B4FDC0A25F6&displaylang=en

Des questions ?