loading...
صفحه اصلی آرشیو تماس با ما

آموزش هاستینگ

آموزش راه اندازی هاستینگ و مباحث فنی مرتبط به هاستینگ

  1. آموزش هاستینگ
  2. Proxy / Cache / Firewall
منیجر بازدید : 26 دوشنبه 09 مهر 1397 نظرات (0)
:: مقدمه
يک ***** Server يک سرويس کارآمد جهت شبکه شما يا شبکه شما و اينترنت است که امنيت بالاتری را جهت کاربران اينترنت فراهم می کند و هم چنين می تواند بعنوان يک Cache Server هم استفاده شود که باعث بالا رفتن بازدهی سرور شما و سرعت آن در دسترسي به اينترنت مي شود.
Squid، خود يک پرکسی سرور ايمن با توانايی بسيار بالا که دارای امکان استفاده در جهت Cache Server را نيز دارد که يکی از کاربردي ترين Cache Server ها در شبکه اينترنت است

:: نصب Linux
بهترين راه جهت نصب لينوکس استفاده از نمونه های مختلف در دسترس است که RedHat و Debian از مشهورترين آنهاست که براحتی از طريق اينترنت قابل دريافت هستند.

:: نصب Squid

- نصب از طريق Pack
اين را توجه داشته باشيد که معمولا بيشتر نسخه های Linux داراي يک پک Squid به صورت Pack های قابل نصب است که ممکن است در موقعی که نسخه Linux شما نصب مي شود، نصب نگردد. بعنوان مثال بعد از نصب RedHat 7.1 شما متوجه مي شود که Squid نصب نگرديده است. خود Squid در CD #2 در شاخه RedHat/RPMS قرار گرفته است. جهت نصب آن ابتدا اطمينان حاصل نماييد که شما بعنوان ROOT وارد شده ايد سپس از فرمان rpm به صورت زير استفاده کنيد:

mount /mnt/cdrom
rpm -Uhv /mnt/cdrom/RedHat/RPMS/squid-*.rpm
umount /mnt/cdrom

شما در هنگام نصب تعداد زيادی Hash (#) را مشاهده می کنيد که نشان از نصب Squid دارد. در لينوکس دبيان شما می توانيد از برنامه apt-get جهت دان لود و نصب Squid از اينترنت اقدام نماييد:
apt-get install squid
- نصب از طريق Source
اگر شما مايل به نصب Squid از طريق فايل های Source هستيد، می توانيد اين کار را جهت همه نسخه های Linux انجام دهيد . يادآور شوم که شما احتياج به دريافت جديد ترين سورس Squid از وب سايت آن هستيد. سورس Squid به صورت فايل فشرده شده tar است که شما احتياج داريد ابتدا آن را غير فشرده نماييد:
zcat squid-2.3.STABLE4-src.tar.gz | tar xf -
هنگامی که شما فايل فشرده tar را غير فشرده نموديد، احتياج به تنظيم و نصب Squid به صورت زير داريد:
cd squid-2.3.STABLE4
./configure
make all
make install
جهت اطلاعات بيشتر جهت نصب آن، فايل INSTALL که در Source Code موجود است را می توانيد مورد بررسی قرار دهيد .

:: تنظيم نمودن Squid

همه تنظيمات اين ***** Server در فايل Config آن است ( squid.conf ) که بستگی به نسخه Linux شما ممکن است در شاخه /etc/squid.conf يا /etc/squid/squid.conf باشد . قبل از انجام هرکاری بايد مسير اين فايل را در سيستم تان پيدا نماييد :
locate squid.conf
روش های متعددی جهت تنظيم نمودن Squid از طريق وب يا GUI ( واسط کاربری گرافيکی ) وجود دارد. اين GUI ها توانايی خواندن و تشخيص و نوشتن فايل Config در محل مربوطه را دارا هستند .

ما در اينجا تنظيم نمودن Squid را به صورت دستی شرح می دهيم. جهت اين کار شما به يک ويرايشگر متن مانند emacs يا ديگر نرم افزار ها احتياج داريد و اينکه فراموش نکنيد جهت انجام فرامين مربوطه، بايد از طريق ROOT وارد شويد تا دسترسی به نوشتن در فايل Config را داشته باشيد.

فايل تنظيمات Squid خود دارای پارامترهای تنظيماتی بسياری است که ما در اينجا همه آن ها را پوشش نخواهيم داد و به اصلی ترين آن ها اشاره خواهيم نمود.

:: تنظيمات پيش فرض

به صورت پيش فرض Squid همراه با فايل Config است که تقريبا جهت بيشتر سرورها صحيح و قابل استفاده است. جهت استفاده از Squid در شبکه بعنوان يک ***** Server يک سری تنظيمات وجود دارند که بايد قبل از اينکه Squid مورد استفاده قرار گيرد، تصحيح شوند.

:: شروع تنظيمات مقدماتي

در استفاده از Squid در فايل تنظيمات آن ( squid.conf ) تعداد زيادی توضيحات (Comment) وجود دارد که قابل استفاده هستند که در اين حالت حجم فايل در حدود 76 کيلو بايت است که در صورت حذف اين کامنت ها حجم آن به 600 بايت کاهش مي يابد ! که در اين صورت ويرايش آن از طريق ويرايشگر ها آسان تر خواهد شد.

جهت تنظيمات مقدماتی در فايل Config اين پارامترها را اضافه مي کنيم :

acl privatenet src 192.168.0.0/255.255.0.0
http_access allow privatenet

cache_effective_user squid
cache_effective_group squid
نکته های قابل ذکر در اين پارامترها :

acl privatenet * . براي مثال دو شبکه Private در پشت Firewall وجود دارد که از IANA، شماره IP های 192.168.x.x به آن اختصاص داده شده است
:: نمونه هاي تنظيمات فايل تنظيمات

دقت داشته باشيد که تنظيمات اشاره شده در اينجا تنها بخش کوچکی از آن چه که شما می خواهيد با Squid انجام دهيد را شامل مي شود.

- Logging

به طور پيش فرض Squid فعاليت هاي انجام شده را در چندين Log فايل ذخيره مي کند :

cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log none
با اضافه نمودن اين پارامترها Squid پيغام های خطا را در مسير /var/log/squid/cache.log و پيغام های دسترسي به سرور را در /var/log/squid/access.log ذخيره می کند که البته برنامه هايی نيز جهت آناليز access.log قابل دريافت هسنتد که از آن ها مي توان به SARG اشاره نمود ( که با نام sqmgrlog شهرت دارد )

من مطلب مفيدی را در مورد squids cache_store_log پيدا ننمودم که از همين جهت می توان توسط خط 3 بالا آن را غير فعال نمود.

- Cache Access

شما می توانيد استفاده از Cache را در Server تان مقدور سازيد که اين کار از طريق http_access امکان پذير است. اين را مد نظر داشته باشيد که خط acl يک شبکه يا يک سيستم در شبکه را تعريف می کند .

:: اندکي در مورد Upstream *****

شايد يکی از برتری های Squid استفاده از Upstream ***** باشد که مي تواند دسترسي به اينترنت تا حد قابل ملاحظه ای بالا ببرد. بعنوان مثال وقتی ISP شما دارای Cache جهت کاربرانش می باشد، Cache Server می تواند سايت های بسياري را در خود ذخيره کند که اين خود تا حد زيادی بازدهی را در مواقع ضروری بالا مي برد.

يکي ديگر از مزاياي Squid پشتيبانی به صورت چندگانه است بدين مفهوم که مي توان چندين Cache Server را با هم ارتباط داد که Squid اين کار را از طريق ICP Protocol انجام می دهد. ICP اين اجازه را به Cache Server ها می دهد که که توسط Packet های سريع UDP با هم ارتباط برقرار نمايند.

جهت استفاده از اين مزايا شما اول بايد مد نظر داشته باشيد که آدرس Cache Server ها چيست ( *****server.yourisp.com ) و همچنين از چه Port ای بدين منظور استفاده می کند . استفاده از Upstream ***** به راحتی امکان پذير است :

cache_peer *****.yourisp.com parent 3128 3130
prefer_direct off
خط cache_peer اسم Hosting و نحوه Cache کردن "parent" و پورت پراکسی "3128" و پورت ICP" 3130" را مشخص می کند. اگر کش سرور شما پروتکل ICP را پشتيبانی نمی کند از اين خط استفاده نماييد :

cache_peer *****.yourisp.com parent 3128 7 no-query default
prefer_direct off
- Sharing Caches

توجه داشته باشيد که در مواقع ضروری که يک شرکت چندين ارتباط را جهت دسترسی به اينترنت را داشته باشد، Squid، کش نمودن در حالت مشترک را پشتيبانی ميکند.( بدين مفهوم که چندين Cache Server با هم ارتباط داشته باشند ). در اين صورت بايد هر Cache Server اين خط را در فايل تنظيمات خود داشته باشند :

cache_peer theother*****.yournetwork.com sibling 3128 3130
که اگر دقت نماييد يکي از پارامترها به sibling تغيير يافته بدين مفهوم که فايل هاي کش را چنانچه در کش سرور ديگر باشد، آنها را دريافت می کند .

- رد نمودن فايل های آلوده

فايل هايی وجود دارند که به ويروس نيز آلوده هستند مانند WIN-BUGFIX.EXE که مربوط به ويروس Melissa مي شد که با يک پارامتر ساده مي توان دريافت چنين فايل هايي را از سرور رد نمود.

acl nastyfile dstdom_regex -i WIN[.*]BUG[.*]EXE
http_access deny nastyfile
:: تنظيمات پيشرفته

ترنفند هايی نيز وجود دارند که شما مي توانيد جهت Web ***** خود اعمال نماييد، مانند شناسايی کاربر و يا Transparent ***** و يا عدم دسترسي کاربر به فايل های غير مجاز در طي ساعات اداري. اما اين را فراموش نکنيد که فايل تنظيمات Squid بسيار آسيب پذير است و با يک اشتباه کوچک، Cache Server کار نمي کند !

- شناسايی

اين مرحله يکی از مهم ترين اجزا جهت مديران شبکه است. بعنوان مثال مواقعی که شرکت شما دسترسی به اينترنت را جهت کاربر امکان پذير و يا رد مي کند.

تنظيم نمودن يک acl جهت ورود يا رد نمودن کاربر به راحتي از طريق تغيير زير در فايل تنظيمات امکان پذير است :

authenticate_program /your/authentication/program
acl validusers *****_auth REQUIRED
http_access allow validusers
و اين را توجه داشته باشيد که يک برنامه مناسب ***** Authentication پيدا نماييد. قابل ذکر است Squid خود دارای شناساگری به صورت داخلی نمی باشد که شما بايد در خط authenticate_program تنظيمات مناسب را بر طبق برنامه شناساگر تغيير دهيد.

البته Squid همراه با چند برنامه شناساگر نيز می باشد که ذخيره شده در /usr/lib/squid هستند که شامل smb_auth ( شناساگر جهت دومين NT ) و squid_ldap_auth ( جهت شناسايي دايرکتوري LDAP ) که در اين ميان شناساگر مورد انتحاب من pam_auth می باشد که از Library های PAM جهت شناسايی کاربران استفاده می کند .

برتری pam_auth در شناسايی کاربران در روش های متعدد است و همه برنامه های شما ( نظير XDM, Squid, Apache و .... ) بر روی آن قرار دارند ...

جهت تنظيم pam_auth ( اين روش جهت سيستم های Red Hat است ):

- فايل /etc/pam.d/squid را ايجاد نماييد که بايد اين چنين باشد :

auth required /lib/security/pam_stack.so service=system-auth
auth required /lib/security/pam_nologin.so
account required /lib/security/pam_stack.so service=system-auth
password required /lib/security/pam_stack.so service=system-auth
session required /lib/security/pam_stack.so service=system-auth
- اطمينان حاصل نماييد که خط زير را در فايل کانفيگ Squid گنجانيده ايد:

authenticate_program /usr/lib/squid/pam_auth
- و اينکه authconfig در سرور شما اجرا شده است تا مشخص نمايد شما از چه سرور شناساگر استفاده می نماييد که مورد LDAP مناسب به نظر می رسد ...


:: ***** به صورت Transparent

Transparent نمودن ***** روشی است که شما می توانيد يک پرکسی سرور را بين شبکه و اينترنت بگذاريد و بدون اينکه نياز به تنظيمات خاصی باشد ما مستقيما به اينترنت وصل خواهيم گرديد ( توجه داشته باشيد که اين روش فقط برای WWW قابل اجراست و جهت سرويس FTP جواب نمی دهد ) کاربرها بايد متوجه باشند که Transparent نمودن ***** و اضافه نمودن شناسايی که در مرحله قبل توضيح داده شد، هر دو با هم امکان پذير نيست.

جهت نصب ***** به صورت Transparent به اين چيزها احتياج خواهيد داشت:

- يک قانون فايروال ( Rule ) و Redirect نمودن ترافيک خروجي شبکه به پرکسی سرور .

- يک قانون Squid جهت فعال کردن Squid تا اينکه به صورت Transparent عمل نمايد .

جهت اجرای يک Firewall Rule شما به Rule ای مانند زير احتياج خواهيد داشت :

/sbin/ipchains -A input -p tcp -s 0/0 -d 0/0 80 -j REDIRECT 3128
جهت iptables ( نسخه هسته 2.4 لينوکس 2.4 به بالا ) ممکن است شما مايل به نصب iptables مبني بر Firewall در Squid باشيد. در قستمی از نصب فايروال شما به ايجاد قانون DNAT جهت ارسال ترافيک بر روي پورت 80 به 3128 پرکسی سرور خواهيد داشت . برای اطلاعات بيشتر جهت ايجاد قانون های NAT می توانيد به وب سايت NET FILTER مراجعه کنيد.

تنظيمات مورد احتياج Squid جهت فعال کردن Squid به صورت Transparent در اينجا ذکر شده اند :

httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_***** on
httpd_accel_uses_host_header on
منیجر بازدید : 14 چهارشنبه 04 مهر 1397 نظرات (0)
با عرض خسته نباشید خدمت همه دوستان !
خب همونجور که میدونید دی داس یکی از بزرگترین مشکلات همه هاستینگ ها مخصوصاً ایرانی ها هست !
الان چند روزی هست که یه نفر که معلوم نیست چه مشکلی با من داره ، نه میشناسمش و نه اصلاً تا به حال باهاش رابطه ای داشتم اومده به من گیر داده و میخواد مثلاً من رو نابود کنه

البته اینم بگم روی خیلی از دامین ها میزد و من با تغییر اسم یا کلاً بعضی کار ها جلوگیری میکردم ولی امروز دیدم داره دامین خودم رو میزنه ! و اینو که دیگه نمیتونم ببندم

و نحوه دی داس هم عملاً دیداس نیست ، بوت نت هست !!!

من تا بحال دنبال این چیزا نبودم اطلاعات آنچنانی ندارم در این زمینه که دقیقاً چجور میزنند ولی اکثراً وقتی میخوان دی داس بزنند با یک سرور پکت زیادی ارسال میکنند که اکثراً یک یا ده یا 100 تا آی پی از یک رنج هست !
ولی این آقائی که با ما مشکل داره از یه رنج و حتی یه رنج کشور هم نیست !

یه فیلم از لاگ دیداس زدنش به دامین خودم گرفتم ، شاید ببینید بهتر بتونید کمک کنید Syn_Sent !!

لینک دانلود : www.roka.ir/ddos.zip

ممنون میشم دوستان اگه راهی بلدند کمک کنند
لازم به ذکر است :
سرور از giga-international
مجازی سازی openvz
پنل : directadmin
دیواره آتش : apf+csf کنار هم نصبه ! و فعاله !
هر کی هم نطق بکشه بلوک میشه ولی موقعی که دی داس میزنه این یارو اینقدر قوی هست که سرور کلاً تو هنگ تشریف داره !!!
قبلاً دیواره آتش سخت افزاری هم داشتم ، جوابگو نبود !

از طرفی امروز با توجه به مشکلاتی که توی ایران بود نتونستم به سرور وصل بشم و سرعت اونقدر پائین بود که نتونستم حتی ریموت کنم با جائی !
به شرکت گیگا هم تلفنی زنگ زدم و ازشون کمک خواستم بعد از کلی ور رفتن با سرور گفتند که از ما کار خواصی بر نمیاد و اون وی پی اس رو خاموش کنید تا زمانی که اون طرف بی خیال بشه

ممنون میشم دوستان اگه نظری دارند ، تجربه دارند یا پیشنهادی دارند ( حتی اگه یه چیزائی به گوشتون رسیده بگید من تست میکنم و اگه نتیجه بخش بود آموزشش رو توی همین سایت میزارم )

با سپاس
منیجر بازدید : 41 پنجشنبه 11 مرداد 1397 نظرات (0)
تعریف الگوریتمهای Load Balancing

1- Weighted Balance : این الگوریتم در اکثر تجهیزات لود بالانسر و بعضی نرم افزارهایی که به
نوعی قادر به بالانس کردن ترافیک هستند مانند TMG و Kerio استفاده میشه . تقسیم ترافیک اینترنت بر روی لینکهای مختلف بر اساس نسبت و یا به اصطلاح وزنی که توسط کاربر بر اساس
مقدار سرعت لینکها در اختیار سیستم قرار میگیره . بطور مثال زمانی که شما دو لینک اینترنت با سرعتهای 256 و 1 مگ دارید ، سیستم رو با استفاده از این الگوریتم طوری تنظیم میکنید که 25% ترافیک از لینک 256 رد بشه و 75% ترافیک از لینک 1 مگ.

2- Priority : استفاده اینترنت از لینکی که اولویت اون بالاتر از بقیه هست تا زمانی که لینک مورد نظر سالمه ( یعنی قطع نیست یا Packet loss نداره ) . بطور مثال اگر شما یک لینک اینترنت با حجم ترافیک نامحدود ماهیانه دارید و یکی هم با حجم دانلود محدود ( مثلا" 10 گیگ)
در ماه دارید مسلما" اولویت شما استفاده از لینک اولی هست مگر اینکه لینک اول به هر دلیلی قطع بشه و ترافیک به لینک با حجم محدود منقل بشه.

3- Overflow : استفاده از لینکهای اینترنت تا زمانی که پهنای باند اونها به ترتیب پر بشه .
بطور مثال شما 3 لینک اینترنت دارید . این 3 لینک را بر اساس اولویتتون تنظیم میکنید بطوریکه زمانی که پهنای باند اولی پر شد سایر ترافیک از لینک دوم استفاده کنه و وقتی هم که لینک دوم پر شد ترافیک به لینک سوم منقل بشه و به همین ترتیب.

4- Persistence : بطور اتوماتیک لود بالانسر ها ترافیک رو بر اساس Session بین لینکهای مختلف توزیع میکنند . اما در بعضی حالتها و شرایط خاص شما نیاز دارید که Session شما در حین ارتباط از یک لینک به یک لینک دیگه تغییر نکنه ... نمونه بارز این قضیه هم زمانیه که شما با بعضی از وب سایتها از طریق پروتوکل HTTPS ارتباط بر قرار میکنید مثل سایت بانکها و یا کنترل پنل بعضی از هاستینگ ها . پروتوکل HTTPS به آدرس IP مبدا حساسه و اگر در حین ارتباط IP شما عوض بشه کلا" Session شما رو به اصطلاح Terminate میکنه.

5- Least Used : در این حالت ترافیک اینترنت از بین تمامی لینکهای موجود لینکی رو انتخاب
میکنه که پهنای باند آزاد تری نسبت به بقیه داره . مثال بارز این هم استفاده از این الگوریتم برای پروتوکل VoIP هست که هرچی پهنای باند بیشتری داشته باشه کیفیت صدای بهتری خواهید داشت .

6- ( Lowest Latency (Best Path Routing : در این حالت ترافیک مورد نظر شما از لینکی استفاده میکند که در مقایسه با سایر لینکهای موجود دارای Response time بهتر و Latency کمتری برای اون مقصد مورد نظر هست . بطور مثال این الگوریتم در بازیهای آنلاین که باید عکس العمل کاربر سریعا" به سرور اون بازی منتقل بشه بسیار مورد استفاده قرار میگیره .

7- Enforced : در این حالت ترافیک مورد نظر شما همیشه و همیشه از لینک اینترنتی استفاده خواهد کرد که شما انتخاب کرده باشید . چه اون لینک سالم باشه و چه قطع باشه . بطور مثال شما از جایی سرویس *** دارید که فقط از یک IP خاص به شما اجازه برقراری ارتباط رو میده . در این حالت میتونید از این الگوریتم استفاده کنید و برای ارتباط با اون *** سرور همواره از لینک اینترنت با IP مجاز استفاده کنید.

8- Layer 7 Application Routing : این الگوریتم این توانایی رو داره که ترافیک Application های مختلف و محتوای مختلف رو ( از قبیل عکس ، صدا ، تصویر ، فایل و ... ) با توجه به انتخاب شما بر روی لینکهای مختلف بالانس کنه . بطور مثال شما میخواید زمانی که یک کاربر فایلی رو دانلود میکنه از لینک 1 استفاده کنه و زمانی که داره اینترنت رو Browse میکنه از لینک 2 استفاده بشه.
منیجر بازدید : 11 يكشنبه 24 تير 1397 نظرات (0)
IIS Security Checklist

The following checklist is a summary of the security points which should be checked prior to bringing an IIS server online. In cases where these points are not followed, the admin may want to securely document the known security issues for referral should a security compromise occur.

General assumptions:

- No IIS on a domain controller

- Install only services needed (ftp, www, smtp, nntp). Mailing out does NOT require smtp; use CDOSYS.DLL (a COM based method native to Windows) or a 3rd party executable like blat.exe for web applications that require outgoing mail.

- Virtual directories are NEVER used across servers.

- The underlying Windows OS has been secured.

- Only system administrators are local administrators.


Design Guidelines

- Websites should NEVER be on the system drive.

- Setup SSL if transmitted information is sensitive. Require SSL (Remove ability to access via port 80) if SSL is enabled.


- All FTP sites, and as needed WWW sites should enable IP filtering for stanford-only sites. Ipsec filters can be used to accomplish this.

- Virtual directories should be used as little as possible. They aren’t needed unless you need to span drives. And if you need to span drives reconsider based on the security implications.

- Remove NTFS write perms everywhere possible.

- Don’t make it easy to find your scripts and code. Hackers target code seeking vulnerabilities they can use to take control of the server. Good ideas include:

o Don’t use an obvious name for your scripts directory. ‘Scripts’, ‘cgi-bin’, ‘exchange’, and ‘bin’ are so common that automated tools look for them.

o Consider renaming the extension on all of your scripts to something uncommon. For example, rename myscript.asp to myscript.dum. This will require adding an ISAPI extension mapping for .dum to the appropriate code handler (asp.dll in this case). This makes your scripts harder to find. Incidentally, specifically renaming all .asp scripts to .html works fine without modifying the ISAPI extension mapping.

o Consider compiling scripts into dll files. This not only protects the code from analysis, but it also results in a major performance gain. Compiled code runs about 20 times faster.

o Web applications (i.e. scripts and executables) only need a limited amount of permissions to run properly. Giving more permissions than is necessary allows a malicious hacker to download and analyze your code for vulnerabilities. The minimum permissions needed are: NTFS: Read, IIS: Execute. IIS: Read is NOT required, and will allow a hacker to download your code.

- Be careful when using the Add/Remove control panel on an IIS Server. If you open the Windows components, Windows will inadvertently reset all ISAPI filter and extensions to the default, and may reset other things. This is a poor design by Microsoft that you need to be careful with.


Installation configuration

- Delete all default virtual directories (icon w/ world on top of folder) and application roots (icon w/ green ball in box)

o Delete iisadmin

o Delete iissamples

o Delete msadc.

o Delete iishelp

o Delete scripts

o Delete printers

- Delete ALL default content.

o Delete %systemdirectory%inetsrviisadmin

o Delete %systemdirectory%inetsrviisadmpwd

o Delete inetpubwwwroot (or ftproot or smtproot)

o Delete inetpubscripts

o Delete inetpubiissamples

o Delete inetpubadminscripts

o Delete %systemroot%helpiishelpiis

o Delete %systemroot%webprinters

o Delete %systemdrive%program filescommon filessystemmsadc. Only websites that integrate with Microsoft Access databases need msadc.

- Configure Default Website with extremely secure settings (e.g. require ssl, Integrated Windows auth only, accessible from only one IP, NTFS perms to none on an empty home directory, etc.), then stop the site. This results in a broken default website that 80% of hackers will blindly attack, instead of your real website.

- Configure all website(s) with host header matching the DNS name of the site. Go to ISM, Web Site tab, Advanced button, Select “All Unassigned” (or the specific IP) and Edit Button, and designate the host header in the appropriate field. Do this for both http and https. Do NOT configure default website with host header. This will prevent 90% of all automated hacking tools from working by sending them to your crippled default website.

- Home directory IIS perms: Enable Read and Log. TURN OFF Write, Index, Browsing, Script Source Access (only WebDAV uses this), and Frontpage Web permissions. Set execute permissions to None. Enable execute permissions for the directory that holds your scripts.

- Disable all unnecessary ISAPI filters. Do this under ISM, ISAPI filters tab.

o Delete the Frontpage ISAPI filter (or extensions on older IIS servers), if you have a choice. If Frontpage ISAPI (extensions) is required, make them read only. On older IIS servers, you disable Frontpage extensions with the following command: “c:program filescommon filesmicrosoft sharedweb server extensions40binfpsrvadm –o uninstall –p all”.

o Digest Authentication. This authentication method requires support for reversibly encrypted passwords—which is a bad idea. Reversible encrypted passwords aren’t supported in the Stanford Windows Infrastructure. Delete this filter.

o HTTP Compression. This filter allows compression of the http stream. This is a nice feature, but might be at the expense of security.

o SSL. It’s unlikely you wouldn’t want SSL support, but if you don’t need it, then delete it.

- Delete the dll files associated with ISAPI filters that you disabled. Frontpage: fpexdll.dll, Digest: md5filt.dll, Compression: compfilt.dll, SSL: sspifilt.dll.

- Unmap the following extensions (if possible):
.asa, .asp, .bat, .cdx, .cer, .htr, .htw, .ida, .idc, .idq, .printer, .shtm, .shtml, .stm
Within ISM, go to the Home Directory tab, and choose Configuration button.

- Disable “Enable Parent Paths” setting. Go to ISM, Home Directory tab, Configuration button, App Options tab, uncheck checkbox. This prevents malicious web traversal without knowing the underlying directory structure. Web developers can not use paths like ....default.htm and must use fully qualified paths.


Patch level

- Apply Service Packs and hotfixes. UpdateExpert makes this very easy or Microsoft’s HfCheck tool can be used.

- Install high encryption pack (comes with Windows 2000 SP2) so 128 bit encryption is available.


Authentication model:

- Basic authentication disabled at site level, virtual directory level, directory level –Everywhere!

- Digest authentication disabled everywhere.

- IUSR & IWAM accounts should not be domain users nor should they be guests. If no anonymous access is required, delete these accounts.

- If web data is ultra-sensitive consider placing server outside a domain.


Authorization Changes

- Enable IIS auditing, change to W3 extended logging, and check that the info that is being logged is appropriate. (e.g. Is username needed?) Consider enabling the following items: Date and time, IP address of the client, IP address of the server, Server port, Username, HTTP method used to access your site, URI Stern, URI Query, Status of the request.

- Set permission to IIS logs to system and local administrators only.

- Remove write perms to hklmsoftware for non-admin accounts. Administrators & System: FULL, Everyone: Read/Execute

- Restrict NTFS perms to ALL executables on system. NTFS perms: Administrators & System: FULL, Users: Read/Execute. Give IUSR account execute permissions sparingly.

- Restrict perms to any script interpreters such as perl. NTFS perms: Administrators & System: FULL, Everyone: Read/Execute. Give IUSR account execute permissions sparingly.

- Ensure Everyone has only read on:
Web root
%systemroot%
%systemroot%system32
%systemroot%system32inetsrv
%systemroot%system32inetsrvasp
%systemroot%program filescommon files
منیجر بازدید : 12 جمعه 15 تير 1397 نظرات (0)
خوب بعد از کلی تاخیر و بد قولی و هزار جور بهانه برای کار نکردن خودم بتراشم ولی واقعاْ معذرت می خوام سرم بشدت شلوغ بود و متاسفانه اتفاقات بدی هم برایم پیشامد کرد که باعث شد تنبلی من رو چند برابر کند . و اما از دوستان خوبی که در کامنت اظهار لطف کرده بودند و مخصوصاْ جناب رامین دوست خوبی که لطف کردند و جواب همکارن را دادند متشکر هستم دوستان من در صدد انجام کاری هستم که در وقت مناسب در موردش کاملاْ توضیح می دهم .
خوب و اما مطلب امروز رو که البته ماه پیش آماده کرده بودم و قصد دارم نتشر و در اختیار همکاران قرار بدهم . برنامه BandWidthSplitter یکی از امکانات جذابی که دارد امکان واگذاری اشتراک هایی با محدودیت دریافت و ارسال را به شما می دهد و این کار رو با دقت زیاد انجام میدهد بطوری که در هنگامی که میزان تعریف شده به پایان می رسد تنها کاربر می تواند صفحات خود برنامه BandWidthSplitter را ببیند که نشان دهنده پایان میزان مجاز دریافت است .
خوب برای اینکار باید ابتدا به قسمت BandWidthSplitter در برنامه ISA SERVER وارد می شویم و بر روی گزینه Quota Rules راست کلیک می کنیم و از گزینه New را انتخاب کرده و از زیر مجموعه این گزینه Rule را انتخاب می کنیم .
سپس وارد صفحه این گزینه می شویم .
در قسمت Quota rule name نامی متناسب با کاربری Rule وارد کرده و بر روی دکمه Next کلیک کنید تا وارد صفحه بعد شویم
در این صفحه باید گزینه IP address sets specified below را نتخاب کنیم و بر روی دکمه Add کلیک می کنیم تا وارد صفحه مربوط به این قسمت شویم
در این صفحه بر روی گزینه Computers کلیک می کنیم و از اسامی که زیر مجموعه این قسمت اضافه شده است نام کاربری که قصد داریم محدودیت دریافتی داشته باشد را انتخاب می کنیم و بر روی دکمه Add کلیک می کنیم و سپس بر روی دکمه Close کلیک کرده تا به صفحه قبل بر گردیم
نام کاربر مورد نظر در قسمت IP Sets اضافه می شود سپس بر روی دکمه Next کلیک می کنیم تا وارد صفحه بعد شویم
از لیست پائین افتادنی اول گزینه Limit total traffic - incoming + outgoing را انتخاب می کنیم و در کادر روبروی total (MB مقداری که مایل هستیم کاربر دریافت و ارسال داشته باشد را وارد می کنیم و از لیست Reset period گزینه Monthly را انتخاب می کنیم و گزینه Transfer remainder to the next period را انتخاب می کنیم تا در صورتی که با پایان یافتن ماه مقداری از اشتراک باقیمانده باشد به دوره بعدی انتقال پیدا کند سپس بر روی دکمه Next کلیک می کنیم تا به صفحه بعد برویم
در این صفحه باید گزینه assign quota individually to each applicabel user / address را انتخاب کنیم و بر روی دکمه Next کلیک کنیم تا وارد مرحله بعد شویم
اکنون وارد مرحله آخر شده ایم و باید بر روی دکمه Finish کلیک کنیم تا کار ما تمام شود و وارد صفحه اصلی برنامه ISA SERVER شویم
خوب اکنون کار ما تمام شده و کاربر مورد نظر ما میزانی را که مورد نظر ما بوده و یا مورد نظر خودش بوده را شروع به دریافت می کند . این برنامه بشدت بر روی میزان دریافتی کاربران حساس بوده و بر خلاف بعضی از برنامه که می توان به سادگی از ***** کنترل میزان دریافتی عبور کرد از ***** این برنامه نمی توان عبور کرد و شما می توانید با خیالی آسوده از قابلیت های این برنامه به انجام کارهای خود بدون نگرانی بپردازید .
منیجر بازدید : 21 يكشنبه 27 خرداد 1397 نظرات (0)
در این مقاله قصد دارم از کلیات بیرون بیام و وارد جزئیات بشم .در واقع می خوام با یهه ذره بین به عمق فایروالها بروم .اینکه در بطن فایروالها چه اتفاقی می افتد و این packet های بیچاره در عبور از فایروالها چه بلایی بر سرشان می آید و از چه زوایایی مورد کالبد شکافی قرار میگیرند موضوع مورد بررسی در این مقاله است.به عبارتی در این مقاله به معرفی چهار تکنولوژی فایروال می پردازم و این چهار تکنولوژی رو از نظر پیکربندی،مزایا و عملکردشون مورد بررسی قرار میدهم.

حتما همه ی شما شنیدید که میگن خونه ای که پی اش محکم نباشه خونه نمیشه ! این در مورد فایروالها هم صدق میکنه.فایروالی که سیاست های محافظت در ریشه و عمق اون قوی باشه حتما یک فایروال خوب و محکم خواهد بود.اصطلاح و سیاست محافظت در عمق از سیاست های نظامی گرفته شده است که در این سیاست ها برای تضعیف هر چه بیشتر دشمن ،لایه های محافظتی متعددی ساخته میشده است.براساس IA یا Information Assurance ،محافت در عمق یعنی تولید سطوح مختلف حفاظ در شبکه برای محافظت از منابع، البته نه تنها برای یک محصول و تکنولوژی خاص ! به عنوان یک فردی که در زمینه ی IT مشغول فعالیت است،حتما هر وقت حرفی از لایه ها در شبکه باشد ذهن شما به سمت لایه های OSI کشیده می شود.بله درست حدس زدید ! فایروالها هم برای ساختن یک ریشه ی محکم و داشتن سیاست ها و استراتژیک های صحیح و اصولی در شبکه از لایه های OSI استفاده کرده اند.

هر بسته یا packet دارای یک آدرس مبدا و یک آدرس مقصد می باشد و لایه ی network بر اساس این IP آدرس ها بسته ها را در شبکه منتقل می کند.زمانی که packet متوجه شد که در شبکه به کجا باید برود، لایه ی session دست بکار میشود و درواقع یک session تشکیل می شود.لایه ی session وظیفه ی شروع،مدیریت و اتمام session ها در شبکه را بر عهده دارد.درواقع شروع session ،سپس handshake یا همون دست دادن و در نهایت اتمام جلسه است.این لایه از پروتکل TCP استفاده می کند.لایه کاربردی یا Application Layer که به طور مستقیم با کاربر در ارتباط است برای انجام فعالیتهای شبکه به کار میرود.کلیه ی نرم افزارها در این لایه اجرا می شوند.این لایه از پروتکل http و ftp استفاده میکند

حال به سراغ انواع تکنولوژی در فایروال می رویم.این تکنولوژی ها به 4 دسته تقسیم می شوند:

• Pcket Filtering Firewall
• Circuit Level Gateways
• Aplication Level Gateway
• Stateful Multilevel Inspection


Packet Filtering Firewall


این نوع فایروالها یکی از ساده ترین و معمولی ترین انواع فایروالها است که در سال 1985 عرضه شد . درواقع عنوان packet filtering بیان کننده همه چیز در رابطه با این دسته از فایرواهاست.داده های خام به عنوان frame یا packet وارد شبکه می شوند.در این مدل ،بسته ها براساس پروتکل،پورت یا آدرس مبدا و مقصد از کارت شبکه عبور می کنند یا در آن block می شوند.به عبارتی در این مدل،فایروال آدرس مبدا و مقصد هر بسته را چک میکند،در صورتی که آن آدرس با پروتکل،پورت و آدرس هایی که برایش غیر مجاز تعریف شده است منافاتی نداشته باشد بسته اجازه خروج یا ورود را دارد،اما اگر منافات داشت یا آنها را بی سروصدا دور می اندازد و یا به مبدایی که از آنجا می آیند پیغام خطایی جهت عدم ارسال بسته میفرستد.همانطور که پیداست این نسل از فایروالها تنها با لایه های اول OSI ،برای به دست آوردن IP ها سروکار دارند .به عنوان مثال اگر در شبکه ای استفاده از Remote desktop غیرمجاز محسوب شود،پورت 3389 که پورت مربوط به remote است بسته می شود از اینرو هر بسته ای که در IP خود این پورت را داشته باشد نیز بسته ی غیرمجاز محسوب می شود و توسط فایروال به دور انداخته می شود.

Stateful Packet Inspection تکامل یافته ی packet filtering است که در سال 1993 ارائه شد.SPI عملکردی مشابه با packet filtering دارد با این تفاوت که دارای حافظه ای است که کلیه ی ارتباطات داخلی و خارجی را ذخیره و نگهداری میکند.


Circuit Level Gateway


این دسته از فایروالها از دسته ی قبلی حرفه ای تر هستند.این نسل از فایروالها در سال 1989-1990 به میان آمدند.این دسته در لایه ی session مدل OSI کار می کنند و به عنوان واسط بین لایه کاربردی و لایه ی انتقال TCP/IP عمل می کنند و ترافیک شبکه را براساس آدرس و پورتها در لایه ی session ***** میکنند.زمانی که یک کامپیوتر تصمیم به برقراری ارتباط ( ایجاد session ) با کامپیوتری دیگر در خارج از شبکه میگیرد،gateway اطلاعات مربوط به این ارتباط را بررسی و چک میکند که این ارتباط بر اساس آدرس و شماره پورتش در شبکه مجاز است یا نه،سپس آن را به کامپیوتر مقصد میفرستد.تازمانی که gateway ارتباط را مجاز نشمارد،هیچ گونه دیتایی منتقل نمی شود.زمانی که دیتایی از gateway عبور میکند،کامپیوتر مقصد آدرس gateway را می بیند نه کامپیوتری که از آن دیتا ارسال شده است.این دسته از فایروالها از دسته ی قبلی دارای امنیت بیشتری هستند چرا که به عنوان مثال پس از ارسال اطلاعات به خارج از شبکه ، زمانی که همچنان یک session باز داریم،اگر به داخل شبکه نیز ارتباطی داشته باشیم،باز هم تنها پورتها و اطلاعات مجاز به ورود به داخل شبکه باز می شوند.همچنین از ورود ترافیک بیجا به داخل شبکه نیز جلوگیری می کنند. از معایبش این است که مادامی که circuit level gateway شبکه را در برابر ایجاد session های غیرمجاز محافظت میکند،قادر نیست آن را در برابر برخی حملات احتمالی محافظت کند که در مورد این موضوع بعدا صحبت خواهیم کرد.NAT مثالی از circuit level gateway است.NAT هم IP آدرس شبکه داخلی را از host مقصد مخفی نگه میدارد.سپس از packet filtering برای انتقال packet ها به مقصدصحیح خودشان استفاده میکند.

برای تفهیم بهتر این روش مثالی میزنم:فرض کنید کامپیوتر A در شبکه ای که توسط circuit level gateway محافظت می شود قرار دارد، و می خواهد یک صفحه وب را که در کامپیوتر B که واقع در خارج از شبکه است مشاهده کند.کامپیوتر A درخواست خود را برای تماشای صفحه وب به کامپیوتر B ارسال می کند که این درخواست توسط فایروال ضبط و مورد بررسی قرار میگیرد.کامپیوتر B درخواست را میگیرد و در پاسخ شروع به فرستادن صفحات میکند.زمانی که صفحات به فایروال میرسند،فایروال آنها را با درخواست کامپیوتر A مقایسه می کند تا ببیند که آدرس و پورتها یکی هستند و بسته مجاز به وارد شدن به شبکه است یا خیر ، در نهایت براساس سیاست ها packet ها یا وارد می شوند یا به دور انداخته می شوند.


Aplication Level Gateway


دودسته ی قبلی فایروالها تنها هدرهای لایه های network و session را مورد بررسی قرار می دادند.در آنها امکان دیدن payload بسته ها وجود نداشت. هیچ کدام از فایروالها آنقدر قدرتمند نبودند که بتوانند محتویات بسته ها را مشاهده کنند.تا قبل ازاین نسل از فایروالها،ارتباطی مجاز بود که IP و پورت مجازی داشته باشد و session مجازی را نیز تشکیل دهد که این می توانست موجب بروز حملاتی به داخل شبکه شود.مثلا اگر در شبکه ای استفاده از telnet مجاز نبوده اما استفاده از HTTP مجاز بوده باشد،از نظر این فایروال ارتباط مجاز است اگر از پورت 80 استفاده شده باشد و غیرمجاز است اگر از پورت 23 استفاده شود.خوب اگراز telnet پورت 80 استفاده کنیم فایروال متوجه نخواهد شد چون محتویات داخل بسته ها را چک نمیکند و فقط شماره پورت ها رو بررسی می کند.application level gateway یا فایروالهای ***** ،نرم افزارهای کاربردی هستند که دو mode یا حالت دارند:***** server و ***** client .زمانی که یک user در یک trusted network یا شبکه مطمئن می خواهد با یک user دیگر در یک untrusted network یا شیکه غیرمطمئن مانند اینترنت متصل شود،درخواست به صورت مستقیم به ***** server ارسال می شود.***** server یه جورایی حکم سرور واقعی در اینترنت را دارد.او درخواست هایی که به آن می شود را بررسی می کند و براساس قوانینی که برایش تعریف شده ، تصمیم می گیرد که درخواست ها را تائید یا رد کند.درواقع او اینکار را با یررسی محتویات بسته ها ،پورتها و IP ها انجام میدهد.اگر درخواستی تائید شد،***** server آن را به ***** client که با سرور واقعی در اینترنت مرتبط است ،ارسال می کند. همانطور که کلیه ی درخواست هایی که از داخل شبکه می خواهند به بیرون بروند،به ***** server ارسال می شود، درخواست هایی که از بیرون می خواهند به داخل شبکه وارد شوند،به client server ارسال می شود،که client ***** آنها را برای تحویل دادن به client ها ،به ***** server ارسال می کند.در این روش شما اطمینان دارید که کلیه ارتباطات داخلی همیشه به ***** server و کلیه ی ارتباطات خارجی توسط client server برقرار می شوند.بنابراین هیچ ارتباط مستقیمی میان شبکه های مطمئن ( trusted ها ) با غیرمطمئن ( untrusted ها ) وجود ندارد.از مزایای این روش این است که:


میتواند قوانین را براساس پروتکل های سطح بالا وضع کند.وضعیت اطلاعات در مورد ارتباطاتی که از سرور فایروال گذشته اند را نگه میدارد.جزئیات را در مورد فعالیت ها ضبط میکند.

اما عیب اصلی این روش این است که *****ینگ پیچیده و تصمیمات در کنترل دسترسی ها نیازمند منابع محاسباتی مهم است که این باعث پایین آمدن کارایی و آسیب پذیری سیستم عامل می شود.Microsoft Internet Security و Acceleration مثالی خوب از application level gateway هستند.


(Staeful Multi Level Inspection ( SMLI


فایروالهای SMLI نسل چهارم از فایروالها هستند که در سال 1994 ارائه شدند.در این فایروالها از تکنولوژی بکار برده شده در سه نسل قبلی استفاده شده است.درواقع SMLI ها می توانند عمل filter packet یا *****کردن بسته ها را در لایه شبکه ،session و همچنین لایه کاربردی نیز انجام دهند.درواقع این فایروال با مانیتورینگ داده هایی که در حال رد و بدل در لایه کاربردی و یا پورتها هستندسطح امنیتی بالایی را برقرار می کند. ارتباطاتی که از طریق SMLI انجام می شود برای طرفین کاملا مشخص و شفاف بوده و compatibility به هیچ عنوان مشکل ساز نمی باشد.به جای استفاده از application level filtering یا نسل سوم تکنولوژی فایروالها، در فایروالهای دیگر،SMLI device از الگوریتم هایی استفاده میکنند که منابع کمتری را برای بررسی بسته ها در لایه کاربردی لازم داشته باشند (استفاده از منابع زیاد در نسل سوم از فایروالها از معایب آن دسته بود ).این دسته از فایروالها سطح بالایی از امنیت را برقرار میکنند و دارایی کارایی خوبی نیز هستند اما قیمت آنها نیز بالاست .تنظیم قوانین در این فایروالها کمی پیچیده است و اگر اینکار خوب صورت نپذیرد،فایروال قادر به برقراری امنیت نخواهد بود. یکی از مزایای آنها این است که زمانی که یک session کامل شد،هر پورتی که در آن session استفاده می شده است ،بسته می شود.SMLI ها می توانند به صورت داینامیکی پورتها را برای هر session بسته یا باز کنند،که در نسل اول یا packet filtering بعد از هر session آن پورت درهمان وضعیت قبلی باقی می ماند . آخرین ورژن Checkpoint Firewall-1 نمونه ای ازتکنولوژی SMLI فایروالهاست.


خلاصه:


چیزی که همیشه باید در مورد فایروالها به خاطر داشته باشید این است که آنها باید بتوانند محافظت را در عمق شبکه شما انجام دهند و از جزئیات نیز نگذرند.هر تکنولوژی فایروالی راهکارهایی برای کاربردهای مختلفی دارد.packet filtering firewall از ساده ترین تکنولوژی هاست که به آسانی پیاده سازی می شود و ارزان هم هست اما ایمنی کمتری دارد.circiut level gateway هم ،ارازن است و راحت پیاده سازی می شود اما از آنها می توان برای حفظ امنیت چندکامپیوتر استفاده کرد.از circuit level gateway میتوان در NAT که از یک شبکه خانگی محافظت می کند استفاده کرد و تک تک کامپیوتر های آن شبکه می توانند از packet filtering استفاده کنند.aplication level firewall ها پیچیده ترند و پیاده سازی آنها گرانتر است اما میتوان برای محافظت از سرورهای زیادی از آنها استفاده کرد.و در نهایتدر شبکه های بسی یزرگتر،که نیازمند محافظت بیشتری هستند و امنیت نیز اهمیت مضاعفی دارد،می توان از SMLI ها استفاده کرد.
منیجر بازدید : 18 يكشنبه 27 خرداد 1397 نظرات (0)
آخرین نسخه نرم افزار CacheXpress، نسخه 3.0.10 می باشد که از طریق وب سایت رسمی آن قابل دریافت است.
http://www.cachexpress.com

لینک مستقیم دریافت CacheXpress:
http://www.cachexpress.com/CacheXpress-3.0.10.zip


کرک CacheXpress:
نرم افزار پس از نصب به مدت 15 روز به صورت Demo قابل استفاده می باشد. با انجام تغییری کوچک در Registry، می توان این زمان را به بیش از 4500 سال ! افزایش داد و به عبارتی محدودیت زمانی آن را از بین برد. در حقیقت این یک Trick است.

فایل ضمیمه را دریافت کنید. با کمک Winrar آن را Extract کنید.
پس از نصب نرم افزار، آن را اجرا نمایید تا تغییر مورد نیاز در Registry انجام شود. (برای دریافت، عضویت الزامی است.)

اگر با فایل دریافتی مشکل داشتید، کد زیر را کپی کنید و در یک Text File با پسوند .reg ذخیره کنید و آن را اجرا کنید.

Code:

Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurr entVersion] "SystemSetting"=hex:ff,ff,ff,00



تکمیل: توصیه اخلاقی: لطفا تا اطلاع بعدی از استفاده به عنوان سیستم اصلی خودداری فرمایید و صرفا به عنوان تست آن را راه اندازی نمایید. مسئولیت مشکلات بعدی به عهده مصرف کننده است. توصیه می شود فعلا از همان نسخه 2.1.11 به عنوان Stable استفاده نمایید.

علت: امروز تست های مختلف بر روی آن انجام دادم، متوجه شدم این نسخه هنوز تکمیل نشده است. به نظر می رسد قسمت های مختلف آن (که انصافا بسیار جالب هستند و در Interface پیش فرض آن قابل مشاهده نیستند.) هنوز در دست تکمیل هستند. قسمتهایی نظیر کنترل پهنای باند، Firewall، NAT، کنترل Eth Interface ها و ... از این قبیل هستند.
در ضمن اگر در صفحه Registration بر روی دکمه Save کلیک کنید، نرم افزار از حالت Demo خارج می شود و ظاهرا تنها راه باز گرداندن آن به حالت قبل، Uninstall کردن و نصب مجدد آن است!

دریافت نسخه های 2.1.11 و 3.0.10
hxxp://rapidshare.com/files/186484160/CacheXpress.rar

رمز: forum.persiannetworks.com
منیجر بازدید : 10 شنبه 25 فروردين 1397 نظرات (0)
IIS Security Checklist

The following checklist is a summary of the security points which should be checked prior to bringing an IIS server online. In cases where these points are not followed, the admin may want to securely document the known security issues for referral should a security compromise occur.

General assumptions:

- No IIS on a domain controller

- Install only services needed (ftp, www, smtp, nntp). Mailing out does NOT require smtp; use CDOSYS.DLL (a COM based method native to Windows) or a 3rd party executable like blat.exe for web applications that require outgoing mail.

- Virtual directories are NEVER used across servers.

- The underlying Windows OS has been secured.

- Only system administrators are local administrators.


Design Guidelines

- Websites should NEVER be on the system drive.

- Setup SSL if transmitted information is sensitive. Require SSL (Remove ability to access via port 80) if SSL is enabled.


- All FTP sites, and as needed WWW sites should enable IP filtering for stanford-only sites. Ipsec filters can be used to accomplish this.

- Virtual directories should be used as little as possible. They aren’t needed unless you need to span drives. And if you need to span drives reconsider based on the security implications.

- Remove NTFS write perms everywhere possible.

- Don’t make it easy to find your scripts and code. Hackers target code seeking vulnerabilities they can use to take control of the server. Good ideas include:

o Don’t use an obvious name for your scripts directory. ‘Scripts’, ‘cgi-bin’, ‘exchange’, and ‘bin’ are so common that automated tools look for them.

o Consider renaming the extension on all of your scripts to something uncommon. For example, rename myscript.asp to myscript.dum. This will require adding an ISAPI extension mapping for .dum to the appropriate code handler (asp.dll in this case). This makes your scripts harder to find. Incidentally, specifically renaming all .asp scripts to .html works fine without modifying the ISAPI extension mapping.

o Consider compiling scripts into dll files. This not only protects the code from analysis, but it also results in a major performance gain. Compiled code runs about 20 times faster.

o Web applications (i.e. scripts and executables) only need a limited amount of permissions to run properly. Giving more permissions than is necessary allows a malicious hacker to download and analyze your code for vulnerabilities. The minimum permissions needed are: NTFS: Read, IIS: Execute. IIS: Read is NOT required, and will allow a hacker to download your code.

- Be careful when using the Add/Remove control panel on an IIS Server. If you open the Windows components, Windows will inadvertently reset all ISAPI filter and extensions to the default, and may reset other things. This is a poor design by Microsoft that you need to be careful with.


Installation configuration

- Delete all default virtual directories (icon w/ world on top of folder) and application roots (icon w/ green ball in box)

o Delete iisadmin

o Delete iissamples

o Delete msadc.

o Delete iishelp

o Delete scripts

o Delete printers

- Delete ALL default content.

o Delete %systemdirectory%inetsrviisadmin

o Delete %systemdirectory%inetsrviisadmpwd

o Delete inetpubwwwroot (or ftproot or smtproot)

o Delete inetpubscripts

o Delete inetpubiissamples

o Delete inetpubadminscripts

o Delete %systemroot%helpiishelpiis

o Delete %systemroot%webprinters

o Delete %systemdrive%program filescommon filessystemmsadc. Only websites that integrate with Microsoft Access databases need msadc.

- Configure Default Website with extremely secure settings (e.g. require ssl, Integrated Windows auth only, accessible from only one IP, NTFS perms to none on an empty home directory, etc.), then stop the site. This results in a broken default website that 80% of hackers will blindly attack, instead of your real website.

- Configure all website(s) with host header matching the DNS name of the site. Go to ISM, Web Site tab, Advanced button, Select “All Unassigned” (or the specific IP) and Edit Button, and designate the host header in the appropriate field. Do this for both http and https. Do NOT configure default website with host header. This will prevent 90% of all automated hacking tools from working by sending them to your crippled default website.

- Home directory IIS perms: Enable Read and Log. TURN OFF Write, Index, Browsing, Script Source Access (only WebDAV uses this), and Frontpage Web permissions. Set execute permissions to None. Enable execute permissions for the directory that holds your scripts.

- Disable all unnecessary ISAPI filters. Do this under ISM, ISAPI filters tab.

o Delete the Frontpage ISAPI filter (or extensions on older IIS servers), if you have a choice. If Frontpage ISAPI (extensions) is required, make them read only. On older IIS servers, you disable Frontpage extensions with the following command: “c:program filescommon filesmicrosoft sharedweb server extensions40binfpsrvadm –o uninstall –p all”.

o Digest Authentication. This authentication method requires support for reversibly encrypted passwords—which is a bad idea. Reversible encrypted passwords aren’t supported in the Stanford Windows Infrastructure. Delete this filter.

o HTTP Compression. This filter allows compression of the http stream. This is a nice feature, but might be at the expense of security.

o SSL. It’s unlikely you wouldn’t want SSL support, but if you don’t need it, then delete it.

- Delete the dll files associated with ISAPI filters that you disabled. Frontpage: fpexdll.dll, Digest: md5filt.dll, Compression: compfilt.dll, SSL: sspifilt.dll.

- Unmap the following extensions (if possible):
.asa, .asp, .bat, .cdx, .cer, .htr, .htw, .ida, .idc, .idq, .printer, .shtm, .shtml, .stm
Within ISM, go to the Home Directory tab, and choose Configuration button.

- Disable “Enable Parent Paths” setting. Go to ISM, Home Directory tab, Configuration button, App Options tab, uncheck checkbox. This prevents malicious web traversal without knowing the underlying directory structure. Web developers can not use paths like ....default.htm and must use fully qualified paths.


Patch level

- Apply Service Packs and hotfixes. UpdateExpert makes this very easy or Microsoft’s HfCheck tool can be used.

- Install high encryption pack (comes with Windows 2000 SP2) so 128 bit encryption is available.


Authentication model:

- Basic authentication disabled at site level, virtual directory level, directory level –Everywhere!

- Digest authentication disabled everywhere.

- IUSR & IWAM accounts should not be domain users nor should they be guests. If no anonymous access is required, delete these accounts.

- If web data is ultra-sensitive consider placing server outside a domain.


Authorization Changes

- Enable IIS auditing, change to W3 extended logging, and check that the info that is being logged is appropriate. (e.g. Is username needed?) Consider enabling the following items: Date and time, IP address of the client, IP address of the server, Server port, Username, HTTP method used to access your site, URI Stern, URI Query, Status of the request.

- Set permission to IIS logs to system and local administrators only.

- Remove write perms to hklmsoftware for non-admin accounts. Administrators & System: FULL, Everyone: Read/Execute

- Restrict NTFS perms to ALL executables on system. NTFS perms: Administrators & System: FULL, Users: Read/Execute. Give IUSR account execute permissions sparingly.

- Restrict perms to any script interpreters such as perl. NTFS perms: Administrators & System: FULL, Everyone: Read/Execute. Give IUSR account execute permissions sparingly.

- Ensure Everyone has only read on:
Web root
%systemroot%
%systemroot%system32
%systemroot%system32inetsrv
%systemroot%system32inetsrvasp
%systemroot%program filescommon files
1

تعداد صفحات : 1

موضوعات

  • ارائه دهندگان خدمات پرداخت در محل

  • اسکریپت های فروشگاه ساز

  • بازارچه محصولات و خدمات اینترنتی

  • سفارش طرح گرافیکی ، چاپ و نشر

  • خرید و فروش تبلیغات اینترنتی

  • مباحث و منابع آموزشی

  • مباحث دیگر

  • Colocation

  • فروش سرور مجازی

  • ثبت دامنه و میزبانی وب

  • موتور جستجو ، سئو و بهینه سازی

  • خدمات سئو و بهینه سازی وب سایت

  • فروش دامین

  • وب سرورها

  • معرفی سایت ، فروشگاه ، کانال و...

  • فروش پستی و پرداخت در محل

  • اشتراک گذاری

  • دیگر زبان ها

  • گفتگوی آزاد

  • درگاه های پرداخت

  • درخواست سرویس

  • فروش پنل پیام کوتاه،پیام رسان اجتماعی،تلفن مجازی

  • به دنبال کارمند هستم

  • محصولات نرم افزاری

  • خرید و فروش تلفن های همراه

  • محصولات چند رسانه ای

  • آموزشگاه گرافیک و انیمیشن

  • راه اندازی و مدیریت وب سایت اینترنتی

  • سوالات و مشکلات

  • نیازمند کار یا کارمند هستم

  • درخواست سرور مجازی

  • فروش نمایندگی هاستینگ

  • اسکریپت و قالب سایت

  • مباحث و منابع آموزشي

  • دامنه ، سایت ، گروه و کانال

  • محصولات فرهنگی آموزشی

  • اسکریپت های دیگر

  • به دنبال کار هستم

  • روابط عمومی بازارچه

  • برنامه نویسی

  • تبلیغات اینترنتی و بازاریابی آنلاین

  • کالاهای مصرفی فروشگاه اینترنتی

  • سایر محصولات و کالاها

  • سی پنل CPanel

  • ارائه دهندگان خدمات پرداخت اینترنتی

  • اسکریپت های مدیریت سایت و وبلاگ

  • Wordpress

  • شبکه های ویندوزی

  • سیستم های مدیریت محتوا

  • فروش انواع ماژول،پلاگین،قالب،افزونه،امکانات سفارشی

  • Proxy / Cache / Firewall

  • اوپن وی زد OpenVZ

  • فروش هاست اشتراکی

  • درخواست هاست اشتراکی

  • فروش سرور اختصاصی

  • وی ام ور Vmware

  • بازارچه محصولات سخت افزاری

  • سیسکو Cisco

  • سرویس دهندگان خارجی

  • پنل اس ام اس ، تلگرام و ...

  • نرم افزار

  • PHP-MySQL

  • همکاری در فروش

  • لپ تاپ و لوازم جانبی

  • Joomla-Mambo

  • کار آفرینی و مدیریت کسب و کار

  • اخبار دنیای فناوری

  • محصولات و نجهیزات ورزشی

  • 2

  • فروش انواع وب سایت،گروهای اطلاع رسانی

  • زیور آلات و جواهرات تزئینی

  • کیف ، کفش و پوشاک

  • سئو ، بک لینک و افزایش بازدید

  • فروش نقدی و پرداخت الکترونیک

  • پلاگین طراحی کنید و 200

  • آموزشگاه زبان های برنامه نویسی

  • عینک های طبی و آفتابی

  • مسائل مربوط به انجمن

  • فروش انواع لایسنس

  • وام های بانکی و تسهیلات کم بهره

  • CentOS

  • خدمات طراحی و گرافیکی

  • دايرکت ادمين DirectAdmin

  • درخواست سرور اختصاصی

  • خرید و فروش لوازم جانبی موبایل

  • ssd

  • ubuntu

  • ایده پروری ، ایده یابی و ایده پردازی

  • انجمن خیریه

  • درخواست انواع اسکریپت،سیستم عامل،نرم افزار و ..

  • متمرکزکننده کسب و کارهای اینترنتی

  • مباحث عمومی مرکز داده

  • بازی های رایانه ای

  • دامین

  • درخواست خدمات برنامه نویسی

  • نماد اعتماد الکترونیکی (اینماد)

  • راه اندازی و مدیریت فروشگاه اینترنتی

  • اثاثیه منزل و لوازم خانگی

  • فروش انواع اسکریپت،سیستم عامل،نرم افزار و ..

  • مباحث و منابع آموزش

  • مباحث و منایع آموزشی

  • کلوکسو يا ال ايکس ادمين Kloxo or LXAdmin

  • اتصالات به اینترنت و ارایه دهندگان پهنای باند

  • vBulletin

  • سرور مجازی

  • تا 70 درصد تخفیف فروش دامین

  • ارائه دهندگان وبلاگ فروشگاهی

  • آرایشی و بهداشتی

  • خدمات برنامه نویسی

  • خدمات کانفیگ سرور و وب سایت

  • درخواست نمایندگی هاستینگ

  • بازارچه خدمات برنامه نویسی

  • درخواست سخت افزار

  • ماژول ، قالب و افزونه ها

  • سرور اختصاصی

  • عطر ، اسپری و ادکلن

  • درخواست انواع ماژول،پلاگین،قالب،امکانات سفارشی

  • فروش سخت افزار

  • PHPNUKE

  • WHMCS

  • زن Xen

  • فروش ویژه شماره مجازی روسیه مخصوص تلگرام

  • شبکه های بی سیم

  • ساير مجازي سازي ها

  • دیگر سیستم ها

  • بازارچه کار و سرمایه

  • نیازمند php

  • هاست اشتراکی

  • تبلت ها و دیوایس های پرتابل

  • HTML-XHTML

  • ساير کنترل پنل ها

  • فروش عیدانه : آفر ویژه ارائه نمایندگی

  • Debian

  • دیجی سرور| فروش ویژه و استثنایی سرور مجازی از اروپا|256 مگابایت رم

  • درخواست توضیحات برای میزان مصرف cpu

  • ASP-ASP.net-Access-MSSQL

  • ارسال ایمیل تبلیغاتی و ایمیل مارکتینگ

  • شارژ خط به خط و کارت شارژ

  • درخواست خدمات کانفیگ سرور و وب سایت

  • درخواست پنل پیام کوتاه،پیام رسان اجتماعی،تلفن مجازی

  • ساعت ، تایمر و شمارنده

  • فیلم های آموزشی

  • ذخیره سازی / SAN /NSA

  • اسکریپت های مدیریت انجمن گفتگو

  • انجمن نظرسنجی

  • سایر لینوکس ها

  • کولرگازی

  • مالیات کسب و کارهای اینترنتی

  • لایک

  • درخواست کالا و خدمات

  • طراحی حرفه ای بنر

  • الگوریتم های روتینگ

  • شرکتهای خصوصی جا به جایی کالا

  • Review دیتا سنترها

  • JavaScript

  • فایروال سخت افزاری

  • بحث در مورد نرم افزار / سخت افزار مرکز داده

  • دو سرور بدون ستاپ هتزنر ex41-ssd

  • درخواست دامین

  • Diablo 3

  • گیاهان آپارتمانی و حیوانات خانگی

  • سایر مجازی سازی ها

  • سامان

  • US

  • پلسک Plesk

  • مدیریت

  • بزرگان

  • اکانتینگ Accounting

  • پلیر ها و پخش کننده ها

  • درخواست انواع وب سایت،گروهای اطلاع رسانی

  • نمایندگی میزبانی وب

  • فروشگاه صنایع دستی

  • سيتريکس Citrix Systems

  • سوالی در مورد فتوشاپ

  • AJAX

  • شبکه های لینوکسی

  • درخواست خدمات Payment Credit card

  • STP(Unshielded Twisted Pair)

  • هايپر وي Microsoft Hyper-V

  • نیروی انسانی

  • info

  • درخواست خدمات طراحی و گرافیکی

  • کردیت کارت ، گیفت کارت و ارز اینترنتی

  • Hard Enterprise

  • [بنـــر20 : طراحـی حرفه ای بنــر

  • ns1

  • یه مشکل در گوگل +1

  • مشکل با تمامی ماژول ها

  • صفحه اول گوگل و bing.com

  • 29IPs

  • سخت افزار

  • سیستم های بک آپ و بازیابی اطلاعات

  • trace

  • به مناسبت عيد سعيد فطر - ارائه درگاه پرداخت اختصاصی سامان

  • کارکرد عالی

  • ایندکس گوگل

  • onda

  • رفع خطای اتصال Remote به سرور MS SQL 2008 - Microsoft SQL Server

  • ساير لينوکس ها

  • %25 تخفیف دانشجویی

  • .info

  • KIMSUFI

  • معروف ترین سیستم همکاری در فروش

  • فروش سرور مجازی آمریکا با قیمت ویژه ( دائمی ) 512 =9

  • آموزش (10) mcsa

  • هايپر وي ام HyperVM

  • فروشگاه تبلیغاتی لونو

  • فروش دامنه های tp24

  • کلاسترینگ و محاسبات ابری

  • فروش ویژه اینترنت پرسرعت +adsl2 آسیاتک در سراسر کشور + 15

  • درخواست خدمات سئو و بهینه سازی وب سایت

  • پذیرش نمایندگی فروش هاستینگ

  • آزمون تومر

  • جشنواره اقساطی فروش سرور اختصاصی ex-px هتزنر آلمان با 65٪ تخفیف

  • پشتیبانی

  • PHPBB

  • سرور مجازی ماهانه 7 هزار تومان ، تحویل آنی ، مجازی ساز kvm

  • هاستینگ نامحدود + دامین رایگان + 1 ماه گارانتی بازگشت پول + آپ تایم 99.99 فقط 29
    آمار سایت
  • کل مطالب : 1,521
  • کل نظرات : 0
  • افراد آنلین : 20
  • تعداد اعضا : 0
  • بازدید امروز : 2,540
  • باردید دیروز : 7,846
  • بازدید هفته : 24,125
  • بازدید ماه : 24,125
  • بازدید سال : 1,143,489
  • بازدید کلی : 1,144,115