WEB Teknolojileri Günleri 02 WEB de Güvenlik Türk Telekomünikasyon A.Ş. Bilişim Ağları Dairesi Başkanlığı İnternet Servisleri Müdürlüğü Ali KAPLAN
Windows 2000 Sunucusu kurulduğunda IIS de otomatik olarak kurulmuş olur.
FAT dosya sisteminin NTFS’e çevrilmesi Convert Convert komutu ile FAT ve FAT32 olan dosya sistemi NTFS çevrilebilir. Üzerinde çalışılan diskin File Sistemini NTFS’e çeviremezsiniz. Eğer convert Diskin FS’ini NTFS’e çeviremezse bilgisayarın bir sonraki açılışında çevirmeyi önerir. convert [Disk:] /fs:ntfs [/v] Parametreler Disk: Hangi diskin FS’ini NTFS’e çevrileceğini belirtir. /fs:ntfs Diskin NTFS’e çevrileceğini belirtir. /v Verbose Mode: Çevirme esnasında tüm mesajların ekranda görüntülenmesini sağlar.
NTFS Hakları NTFS PartitionACLACL User1 User2 ReadRead Group1 User1 Read User1 Read Group1 Full Control Group1 Full Control
Authentication metodunun belirlenmesi Web sitesine izinsiz erişimin engellenmesi için bir erişim yönteminin belirlenmesi gerekir. Web sitesine erişilebilmesi için geçerli bir kullanıcı adı ve şifre belirlenmelidir. Böyle bir işlemin yapılmasına Authentication adı verilir. Authentication işlemi bir kullanıcının web sitesindeki dosyalara ya da klasörlere erişim hakkının olup olmadığını kontrol eder. Bir WEB Sitesi Hazırlama Herşeyden önce bir Alan Adı (Domain Name) ve IP adresi alınmalıdır. Internet kullanıcılarının Web Sitesine nasıl erişebileceği (Authentication) belirlenebilir. IIS 5.0 dört yöntem sunar: Anonymous Basic Digest Integrated Windows authentication
Authentication Metodları Anonymous Basic Kullanıcılar şifresiz olarak web sayfasına erişebilir Kullanıcılar şifre ile web sayfasına erişebilir Authentication Methodu Digest Bir proxy sunucusu veya firewall arkasındaki web KullanıldığındaKullanıldığında Integrated Windows Kullanıcı ile web sayfası aynı ağ üzerinde ise ya da güvenli bir iletişim ortamında
Anonymous Access Anonymous access yöntemi web sitesine herkesin erişimine açık olan alanlara erişim için kullanılır. Bu alana erişen kim olursa olsun kullanıcı adı ve şifre sormaksızın erişimine izin verilir. IIS kurulduğunda aksi söylenmedikçe bu yöntem kullanılır. Herhangi bir kullanıcı web sitesine erişmek istediğinde ona web sunucusu bir kullanıcı adı (IUSR_computeradı) ve şifre tahsis eder. Burada computer adı web sunucusunun adıdır. Basic Authentication Basic authentication kullanıcıya bir pencere açarak kullanıcı adı ve şifre sorar. Bu erişim yöntemi web sitesi, klasör ya da dosya bazında kullanılabilir. Web sunucusu kullanıcı adı ve şifreyi doğrularsa bir oturum açar. Eğer yanlış kullanıcı adı veya şifre girilmişse tekrar tekrar kullanıcı adı ve şifre sorulur.
Digest Authentication Digest authentication IIS 5.0’ın yeni bir özelliğidir. Bu yöntem Basic authentication’a benzer fakat kullanıcı adı ve şifre hashing adı verilen bir yöntemle iletilir. Proxy sunucusu ve diğer firewall’ın kullanıldığı yerde bu yöntem kullanılır. Bu yöntem sadece Windows2000 sunucularının domain kontroller olarak kullanıldığı yerlerde kullanılabilir. Mevcut browserlerden sadece Internet Explorer 5.0 ve üst versiyonları bu yöntemi desteklemektedir.
Integrated Windows Authentication Integrated Windows authentication güvenli bir authentication yöntemidir, çünkü kullanıcı kimliği ile şifre network üzerinde gönderilmez. Kullanıcının ağa erişiminde kullandığı mevcut windows logon bilgileri kullanılır. Çoklu Erişim Yönteminin Seçilmesi İhtiyaca göre birden fazla erişim yöntemi kullanılabilir. Bu durumda bir yöntem diğerlerinden öncelikli olarak seçilerek kullanılır. Anonymous access ile herhangi bir başka authentication methodu seçilirse, Anonymous access öncelikli olarak kullanılır. Eğer anonymous kullanıcı kimliğinin bir kaynağa erişim izni yoksa, IIS ile Web browser bir authentication methodu üzerinde anlaşırlar. IIS ile Web browser bir authentication methodunda anlaşınca, Web browser her ikisinin kullanabileceği en güvenli erişim yöntemini kullanır. Erişim yöntemlerinin seçilme sırası Integrated Windows authentication, Digest authentication, ve Basic authentication’dır. Örneğin, bir Web sayfasında üç yöntemin de kullanılması için ayarlanmışsa, ve Web browser sadece Digest authentication ile Basic authentication metodlarını kullanabilir durumdaysa, IIS ile Web browser’ın kullanabileceği en güvenli authentication yöntemi olan Digest authentication metodu seçilir.
Anonymous Access Anonymous account’unun log on locally erişim hakkına sahip olması gerekir. Eğer bu hak verilmemişse IIS hiçbir anonymous erişim isteğine cevap vermez. IUSR_computeradı genellikle bu hakka sahiptir ancak bu istenirse değiştirilebilir. Eğer hiçbir kaynağın anonymous erişim hakkı yoksa web sunucusu böyle bir oturum açmayı red eder.
Basic Authentication Eğer kullanıcıların Basic authentication yöntemi ile web sayfasına erişimi sağlanmak isteniyorsa, bu medod ile erişim yapacak olan Windows kullanıcı kimliğinin Log on locally hakkına sahip olması gerekir. Genellikle her kullanıcı kimliğinin bu hakkı vardır.
Digest Authentication 1. Internet Services Manager açılır, Web Site’si, klasör ya da dosya üzerine gelinerek mouse sağ-klik’lenir ve özellikler (Properties) seçilir. 2. Properties’de web sitesi veya klasör için Directory Security seçilir, dosya için File Security seçilir. 3. Anonymous access and authentication control altında Edit seçilir. 4. Authentication Methods menüsünde Digest authentication for Windows domain servers seçeneğinin önündeki kutu işaretleinir. 5. IIS WWW Configuration mesaj kutusunda, Yes seçilir. 6. İki defa OK’e basılır ve Authentication Methods ile Properties kapatılır.
Integrated Windows Authentication 1. Internet Services Manager açılır, Web site’si, kalsör veya dosya üzerinde sağ-klik’lenir ve Properties seçilir. 2. Properties kutusunda, web sitesi veya klasör için Directory Security, dosya için ise File Security seçilir. 3. Anonymous access and authentication control altında Edit seçilir. 4. Authentication Methods kutusunda Integrated Windows authentication önündeki kutu işaretlenir ve iki defa OK’e basılarak Authentication Methods ile Properties kapatılır.
Sayfa Koruması 1- Korumak istenilen sayfa veya sayfalar seçilir. 2- Seçilen klasör veya dosyalar üzerinde sağ- klick’lenir, Properties ve Security seçilir. 3- Everyone grubu seçilir ve Read izni verilir. 4- Everyone grubunun başka izinleri varsa iptal edilir. 5- OK tuşuna basılarak kapatılır.
IIS 5.0’ın SMTP Server Relay’a Kapatılması 1- Internet Services Manager başlatılır, 2-Internet Information Services’de, Default SMTP Server sağ- klick ‘lenir sonra Properties seçilir. 3-Access sonra Authentication seçilir. 4-Eğer Anonymous access kutucuğu seçilirse ve başka bir kutucuk işaretlenmezse, tüm kullanıcı ve bilgisayarlar IIS SMTP Server’e erişebilir. Eğer Basic Authentication veya Windows Security kutucukları seçilir ve Anonymous access kutucuğu seçilmezse, IIS 5.0 SMTP server’a erişim için bir authentication gerekir. Bu durumda, kullanıcı veya bilgisayar başarılı olarak authenticate olmazsa, bu serverı kullanarak mail atamaz. 5- OK sonra Relay seçilir.
5- Relay Restriction dialog kutusunda birkaç seçenek vardır. Seçili ve geçerli olan seçenek tüm authenticate olan kullanıcı ve bilgisayarların Relay’a açık olduğudur. 6- Add butonu seçilir ve relay yapmasına izin verilmek istenen bilgisayar veya kullanıcılar seçilir. Eğer değişiklik yapılmak istenmiyorsa Cancel tuşuna basılarak mevcut durum korunur. 7- Relay Restrictions dialog kutusunda OK tuşuna basılır. 8- Default SMTP Virtual Server Properties dialog kutusunda, Apply tuşuna basılır ve sonra OK kliklenerek kapatılır.
ftp:// /IIS5/iislockd.exe ftp:// /IIS5/IISPerms.exe
TEŞEKKÜRLER 0 (312)