بخشی از مقاله
چکیده
وب سرور سامانه ای است که توانایی پاسخگویی به مروگر وب و ارسال صفحات درخواستی مرورگر را داراست.در وب سرور همواره مشکلاتی وجود دارد از جمله: نقص در کارکرد، مشکلات امنیتی و انواع حملات به آن می باشد. وب سرور های مختلفی وجود دارد. وب سرورها یکسری مشکلات دارند که برای برطرف کردن این مشکلات یکسری الزامات و چک لیست های امنیتی باید اجرا شوند.در این مقاله با گردآوری این چک لیست ها یک روش و سیاست اجرایی برای امن سازی وب سرورها ارائه می شود.
-1 مقدمه:
یکی از مهمترین مسائلی که در شبکه مطرح است و به آن توجه کمتری می شود، امنیت در لایه سیستم عامل و به ویژه سیستم عامل ویندوز سرور است. بر روی یک سرور وب امکان قرار دادن صفحات وب متعدد با ساختارهای یگانه وجود دارد.وظیفه اصلی یک وب سرور ارائه صفحات وب به کاربران است و این معناست که صفحات HTML1 همراه با هر نوع مطالب اضافه ای چون:تصاویر،شیوه نامه ها و جاوا اسکریپت ها را شامل می شود. هر کامپیوتری با نصب نرم افزار وب سرور به سرور وب تبدیل می شود.در عمل بسیاری از سرور های وب ویژگی های زیر را پیاده سازی می کنند.[1]
-1شناسایی: در خواست شناسایی اختیاری قبل از اجازه دسترسی به انواع منابع
-2نه تنها مفاهیم استاتیک - مفاهیمی که روی سیستم فایلی وجود دارد - بلکه مفاهیم دینامیک را با یک و یا چند ساختار مانند - - ASP.NET,ASP,PHP,JSP,FAST CGI,SCGI,CGI,SSI اداره می کند.
-3پشتیبانی از HTTPs2 تا به کاربران اجازه دهد اتصالات مطمئنی را به سرور برروی پورت 443 به جای 80 برقرار کنند.
-4فشرده سازی مطالب تا بتوان از حجم پاسخ کم کرد توسط کد سازی - - GZIP
-5پشتیبانی از فایل های بزرگ تا بتوانند فایل های بزرگ تراز 2 گیگا بایت را سرویس دهی کنند.
-6کنترل کردن پهنای باند تا سرعت پاسخ ها محدود شود وشبکه را پر ازدحام نکند و قادر باشدتعداد بیشتری کارخواه را سرویس دهی کند.[1]
-2 انواع حملات بر روی سرویس دهنده وب
از جمله تهدید ها و کمبود هایی که برای وب سرور می توان نام برد: profiling - پروفایل - ، Denial of service - انکار سرویس - ، - دستیابی غیر مجاز - Unauthorized Access، - اجرای کد دلخواه - Arbitrary code execuation ، Elevation of privilages - ارتقا امتیازات - ، - ویروس ها ،کرم ها و اسب تروجان - .viruses,worms,terojan horsesشکل1 ،جدول.1 در این شکل از میان شایعترین تهدیدات تعدادی از آن ها مرورگر را تحت تاثیر خود قرار داده و از جمله حملات مرورگر می باشد.مانند انکار سرویس،سریز بافر ،XSS3،تزریق SQL و ..تعدادی از آن ها هم وب سرور را تحت تاثیر قرار می دهد.از جمله آسیب پذیری های وب سرور مدیریت ضعیف پچ ،سرویس ها و پروتکل های غیر ضروری،بازرسی و حسابرسی نکردن پشته TCP/IP و آسیب پذیری در اکانت های اعطا شده را می توان نام برد.