اطیمنان از تنظیم امنیت لایه Transport برای Basic Authentication (Scored)
Profile Applicability
• Level 1 – IIS 10
Description
Basic Authentication میتواند Credentials را در سرتاسر شبکه به صورت Clear text منتقل کند. بنابراین ضروری است که ترافیک بین کلاینت و سرور رمزگذاری شود، به خصوص در مواردی که سایت در دسترس عموم است و توصیه میشود که برای هر سایت یا اپلیکیشنی که از Basic Authentication استفاده میکند TLS پیکربندی شود.
Rationale
Credential های ارسال شده به صورت clear text میتوانند به راحتی توسط کدهای مخرب یا اشخاص ردیابی شوند. اجرای استفاده از امنیت لایه Transport شانس Hijack شدن Credential ها را کاهش میدهد.
Audit
بعد از پیکربندی Transport Layer Security برای یک سایت یا اپلیکیشن، فقط آدرس https:// در دسترس خواهد بود. با تلاش برای Load کردن یک سایت یا اپلیکیشن که بر اساس Basic Authentication ای که از http:// استفاده میکند، درخواست fail شده و IIS یک ارور 403.4 – Forbidden را بارگذاری میکند.
مستند امن سازی IIS 10 – بخش دوازدهم
یا
برای تایید از طریق PowerShell دستور زیر را وارد کنید:
Remediation
برای محافظت از Basic Authentication با Transport Layer Security:
1-IIS Manager را باز کنید
2-در صفحه Connections از سمت چپ، سرور مورد نظر که قرار است پیکربندی شود را انتخاب کنید.
3-در صفحه Connections سرور مورد نظر را باز کنید سپس Sites را باز کنید و سایت مورد نظر را انتخاب کنید.
4-در صفحه Actions روی Bindings کلیک کنید تا site bindings dialog ظاهر شود.
5-اگر یک HTTPS binding موجود بود، روی close کلیک کنید و بخش To Require SSL که در ادامه آورده شده است را ببینید.
6-اگر هیچ HTTPS binding ای مشهود نبود، مراحل زیر را انجام دهید:
برای add کردن یک HTTPS binding:
1-در Site Binding Dialog، روی Add کلیک کنید تا Add Site Binding Dialog ظاهر شود.
2-زیر Type، HTTPS را انتخاب کنید.
3-زیر SSL certificate یک X,509 certificate را انتخاب کنید.
4-روی OK کلیک کنید و پنجره را ببندید.
To Require SSL :
1-در Features View روی SSL settings کلیک کنید.
2-در صفحه SSL settings روی Require SSL کلیک کنید.
3-در صفحه Actions روی Apply کلیک کنید.
یا
دستور زیر را در PowerShell برای پیکربندی وارد کنید:
Default Value
به صورت پیشفرض Transport Layer Security زمانی که Basic Authentication تنظیم میشود فعال نیست.
مطالب این بخش برگرفته از مستند امن سازی وب سرور IIS مربوط به وب سایت CIS می باشد.
مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.