Sicheres Bereitstellen von Web-Angeboten mit IIS. BSI-Checkliste zur IIS-Sicherheit (ISi-Check)

Transkript

1 Sicheres Bereitstellen von Web-Angeboten mit IIS BSI-Checkliste zur IIS-Sicherheit (ISi-Check)

2 ISi-Reihe ISi-Check Sicheres Bereitstellen von Web-Angeboten mit IIS Vervielfältigung und Verbreitung Bitte beachten Sie, dass das Werk einschließlich aller Teile urheberrechtlich geschützt ist. Erlaubt ist die Vervielfältigung und Verbreitung zu nicht-kommerziellen Zwecken, insbesondere zu Zwecken der Ausbildung, Schulung, Information oder hausinternen Bekanntmachung, sofern sie unter Hinweis auf die ISi-Reihe des BSI als Quelle erfolgen. Dies ist ein Werk der ISi-Reihe. Ein vollständiges Verzeichnis der erschienenen Bände findet man auf den Internet-Seiten des BSI. oder Bundesamt für Sicherheit in der Informationstechnik ISi-Projektgruppe Postfach Bonn Tel. +49 (0) Internet: Bundesamt für Sicherheit in der Informationstechnik Bundesamt für Sicherheit in der Informationstechnik

3 ISi-Check Sicheres Bereitstellen von Web-Angeboten mit IIS ISi-Reihe Inhaltsverzeichnis 2 Einleitung Funktion der Checklisten Benutzung der Checklisten Konzeption der Grundarchitektur Konfiguration Betriebssystem IIS Web-Server Betrieb Betriebssystem IIS Web-Server Literaturverzeichnis...14 Bundesamt für Sicherheit in der Informationstechnik 3

4 ISi-Reihe ISi-Check Sicheres Bereitstellen von Web-Angeboten mit IIS 4 Bundesamt für Sicherheit in der Informationstechnik

5 ISi-Check Sicheres Bereitstellen von Web-Angeboten mit IIS ISi-Reihe 2 Einleitung Der vorliegende Checklisten-Katalog richtet sich vorwiegend an Administratoren, Programmierer, Web-Entwickler und Revisoren, welche für die Konzeption, Auswahl, Konfiguration und den sicheren Betrieb der Komponenten für das Bereitstellen von Web-Angeboten zuständig sind. 2.1 Funktion der Checklisten Die Checklisten fassen die relevanten Empfehlungen der vorliegenden BSI-Studie Sicheres Bereitstellen von Web Angeboten [ISi-Web-Server] in kompakter Form zusammen. Sie dienen als Anwendungshilfe, anhand derer die Umsetzung der in der Studie beschriebenen Sicherheitsmaßnahmen im Detail überprüft werden kann. Die Kontrollfragen dieser Checkliste beschränken sich auf produktspezifische Empfehlungen für die Microsoft Internet Information Services (des Weiteren mit IIS bezeichnet) im Kontext des ISi- Web-Server-Moduls. Allgemeine Grundschutzmaßnahmen, die nicht spezifisch für die beschriebene Grundarchitektur und ihre Komponenten sind, werden von den Fragen nicht erfasst. Solche grundlegenden Empfehlungen sind den BSI-Grundschutzkatalogen [ITGSK] zu entnehmen; dort finden sich auch Verweise auf entsprechende Checklisten für Grundschutzmaßnahmen. Die Grundschutzkataloge bilden das notwendige Fundament für ISi-Check. Auch Prüffragen, die bereits durch die Checkliste zur BSI Studie Sichere Anbindung lokaler Netze an das Internet [ISi-LANA] oder durch die generische Checkliste zum Sicheren Bereitstellen von Web Angeboten abgedeckt wurden, werden hier nicht wiederholt. Die Checklisten wenden sich vornehmlich an IT-Fachleute. Die Anwendung von ISi-Check setzt vertiefte Kenntnisse auf dem Gebiet der IP-Netze, der Administration von Betriebssystemen und der IT-Sicherheit voraus. Die Kontrollfragen ersetzen nicht ein genaues Verständnis der technischen und organisatorischen Zusammenhänge beim Betrieb einer Infrastruktur zur sicheren Nutzung von Web-Angeboten: Nur ein kundiger Anwender ist in der Lage, die Prüfaspekte in ihrem Kontext richtig zu werten und die korrekte und sinnvolle Umsetzung der abgefragten Empfehlungen im Einklang mit den allgemeinen Grundschutzmaßnahmen zu beurteilen. Der Zweck der Kontrollfragen besteht also vor allem darin, dem Anwender bei der Konzeption, der Realisierung und dem Betrieb eines Netzes zur Bereitstellung von Web-Angeboten die jeweils erforderlichen Maßnahmen und die dabei verfügbaren Umsetzungsvarianten übersichtlich vor Augen zu führen. Die Checklisten sollen gewährleisten, dass kein wichtiger Aspekt vergessen wird. 2.2 Benutzung der Checklisten Der ISi-Reihe liegt ein übergreifender Ablaufplan zugrunde, der im Einführungsdokument [ISi-E] beschrieben ist. Die Checklisten des ISi-Web-Server-Moduls haben darin ihren vorbestimmten Platz. Vor Anwendung der Checklisten muss sich der Anwender mit dem Ablaufplan [ISi-E] und mit den Inhalten der ISi-Web-Server-Studie vertraut machen. Um die Kontrollfragen zu den verschiedenen Prüfaspekten zu verstehen und zur rechten Zeit anzuwenden, ist die genaue Kenntnis dieser Dokumente erforderlich. Die Checklisten fragen die relevanten Sicherheitsempfehlungen der vorliegenden Studie ab, ohne diese zu begründen oder deren Umsetzung näher zu erläutern. Anwender, die den Sinn einer Kontrollfrage nicht verstehen oder nicht in der Lage sind, eine Kontrollfrage sicher zu beantworten, können vertiefende Informationen in der Studie nachschlagen. IT-Fachleute, die mit der Studie bereits Bundesamt für Sicherheit in der Informationstechnik 5

6 ISi-Reihe ISi-Check Sicheres Bereitstellen von Web-Angeboten mit IIS vertraut sind, sollten die Kontrollfragen in der Regel jedoch ohne Rückgriff auf die Studie bearbeiten können. Format der Kontrollfragen Alle Kontrollfragen sind so formuliert, dass die erwartete Antwort ein JA ist. Zusammenhängende Kontrollfragen sind soweit sinnvoll hierarchisch unter einer übergeordneten Frage gruppiert. Die übergeordnete Frage fasst dabei die untergeordneten Kontrollfragen so zusammen, dass ein Bejahen aller untergeordneten Kontrollfragen ein JA bei der übergeordneten Kontrollfrage impliziert. Bei hierarchischen Kontrollfragen ist es dem Anwender freigestellt, nur die übergeordnete Frage zu beantworten, soweit er mit dem genannten Prüfaspekt ausreichend vertraut ist oder die Kontrollfrage im lokalen Kontext nur eine geringe Relevanz hat. Die untergeordneten Fragen dienen nur der genaueren Aufschlüsselung des übergeordneten Prüfkriteriums für den Fall, dass sich der Anwender unschlüssig ist, ob die betreffende Vorgabe in ausreichendem Maße umgesetzt ist. Die hierarchische Struktur der Checklisten soll dazu beitragen, die Kontrollfragen effizient abzuarbeiten und unwichtige oder offensichtliche Prüfaspekte schnell zu übergehen. Iterative Vorgehensweise Die Schachtelung der Kontrollfragen ermöglicht auch eine iterative Vorgehensweise. Dabei beantwortet der Anwender im ersten Schritt nur die übergeordneten Fragen, um sich so einen schnellen Überblick über potenzielle Umsetzungsmängel zu verschaffen. Prüfkomplexe, deren übergeordnete Frage im ersten Schritt nicht eindeutig beantwortet werden konnte oder verneint wurde, werden im zweiten Schritt priorisiert und nach ihrer Dringlichkeit der Reihe nach in voller Tiefe abgearbeitet. Normaler und hoher Schutzbedarf Alle Kontrollfragen, die nicht besonders gekennzeichnet sind, beziehen sich auf obligatorische Anforderungen bei normalem Schutzbedarf. Diese müssen bei hohem Schutzbedarf ebenfalls berücksichtigt werden. Sind für hohen Schutzbedarf besondere Anforderungen zu erfüllen, ist der entsprechenden Kontrollfrage ein [hoher Schutzbedarf] zur Kennzeichnung vorangestellt. Bezieht sich die Frage auf einen bestimmten Sicherheits-Grundwert mit hohem Schutzbedarf, so lautet die Kennzeichnung entsprechend dem Grundwert zum Beispiel [hohe Verfügbarkeit]. Anwender, die nur einen normalen Schutzbedarf haben, können alle so gekennzeichneten Fragen außer Acht lassen. Varianten Mitunter stehen bei der Umsetzung einer Empfehlung verschiedene Realisierungsvarianten zur Wahl. In solchen Fällen leitet eine übergeordnete Frage den Prüfaspekt ein. Darunter ist je eine Kontrollfrage für jede der möglichen Umsetzungsvarianten angegeben. Die Fragen sind durch ein oder miteinander verknüpft. Um das übergeordnete Prüfkriterium zu erfüllen, muss also mindestens eine der untergeordneten Kontrollfragen bejaht werden. Befinden sich unter den zur Wahl stehenden Kontrollfragen auch Fragen mit der Kennzeichnung [hoher Schutzbedarf], so muss mindestens eine der so gekennzeichneten Varianten bejaht werden, um das übergeordnete Prüfkriterium auch bei hohem Schutzbedarf zu erfüllen. 6 Bundesamt für Sicherheit in der Informationstechnik

7 ISi-Check Sicheres Bereitstellen von Web-Angeboten mit IIS ISi-Reihe 3 Konzeption der Grundarchitektur Die Konzeptionsphase der sicheren Grundarchitektur erfolgt vor der Auswahl der sicheren Komponenten bzw. der Konfiguration und des Betriebs der Infrastruktur bzw. der Web-Angebote. Da dieser Abschnitt bereits abgeschlossen sein sollte, bevor der IIS Web-Server konfiguriert wird, behandelt diese Checkliste die Konzeption nicht erneut. Bundesamt für Sicherheit in der Informationstechnik 7

8 ISi-Reihe ISi-Check Sicheres Bereitstellen von Web-Angeboten mit IIS 4 Konfiguration Nach der Beschaffung der benötigten Software erfolgt die Konfiguration durch die Administratoren. Bei der als Ausgangspunkt verwendeten Version handelt es sich um Microsoft Internet Information Services 6.0. Die für eine sichere Konfiguration eines IIS Web-Servers zu beachtenden Punkte können durchaus auch für andere Versionen anwendbar sein, auch wenn eine Portierung der Einstellungen nicht eins zu eins möglich ist. Des Weiteren kann die Checkliste von Revisoren eingesetzt werden, um die bestehende IIS Web-Server Konfiguration zu überprüfen. Da selbst bei einer Deutschen Version des IIS nicht alle Optionen und Einstellungen in Deutscher Sprache zu tätigen sind, werden aus Konsistenzgründen alle Optionen mit ihren englischen Namen bezeichnet. Des Weiteren sichert dies die Kompatibilität mit etwaiger Fachliteratur und beugt Missverständnissen und Übersetzungsfehlern vor. Für nähere Informationen und Hintergründe zu den angeführten Fragestellungen, wird auf die BSI Studie [ISi-Web-Server] verwiesen. 4.1 Betriebssystem Da der IIS 6.0 Web-Server sowohl unter Windows Server 2003 als auch unter Windows XP Professional (in eingeschränkter Form) betrieben werden kann, wird auf das Betriebssystem nicht explizit eingegangen. Es wird jedoch vorrausgesetzt, dass das Betriebssystem entsprechend den Vorgaben der generischen Checkliste zu [ISi-Web-Server] konfiguriert wurde. c [hoher Schutzbedarf] Wurden privilegierte Benutzerkonten auf dem Web-Server System, wie z. B. Administrator, deaktiviert oder umbenannt? 4.2 IIS Web-Server Software c Befindet sich die eingesetzte IIS Version auf einem aktuellen Patch-Stand? c Wurden nicht benötigte IIS Dienste wie beispielsweise FTP, SMTP und NNTP deaktiviert oder deinstalliert? c Wurden Sicherheitserweiterungen wie beispielsweiseurlscan installiert? Konfigurationsgrundlagen c Werden die Vorteile des erweiterten Rechtemanagements unter NTFS genutzt? c Ist der IIS auf einer NTFS formatierten Partition installiert? c Befinden sich die Web Inhalte auf einer NTFS Partition die nicht der System Partition oder dem Standardverzeichnis entspricht? c Wurde die initiale Konfiguration (Metabase) zu Wiederherstellungszwecken gesichert? c Befindet sich der IIS vor der Konfiguration in einem Locked Down Status, indem nur statische Seiten ausgeliefert werden? 8 Bundesamt für Sicherheit in der Informationstechnik

9 ISi-Check Sicheres Bereitstellen von Web-Angeboten mit IIS ISi-Reihe c Ist der IIS so konfiguriert, dass nur explizit benötigte Web-Service-Erweiterungen wie z. B. ASP.DLL aktiviert sind? c Ist die Administration mittels WMI-basierten Skripten deaktiviert, oder wird diese ausschließlich über verschlüsselte Kanäle durchgeführt? Benutzermanagement und Rechtemanagement c Haben nur Benutzer mit administrativen Rechten die Möglichkeit im IIS-Manager Konfigurationseinstellungen zu verändern? c Wird der IIS aus einer sicheren Umgebung heraus konfiguriert? c Wird für die Anmeldung am System ein Benutzer ohne administrative Rechte verwendet? c Wird der IIS Manager mithilfe des Run As Kommandos, mit administrativen Rechten gestartet? c Ist der IIS so konfiguriert, dass die Worker Processes mit den Rechten eines möglichst niedrig privilegierten Benutzers, zum Beispiel als Network Service (Voreinstellung), laufen? c Wurden nicht zusammenhängende Seiten oder Applikationen mithilfe von verschiedenen Worker Process Identities auf Application Pool Ebene getrennt? c Ist sichergestellt, dass der IUSER_<Computername> Benutzer über keine globalen Schreib- und Ausführungsrechte verfügt, und diese nur wenn benötigt vergeben werden? c Wird unter keinen Umständen der IIS 5.0 Isolation Mode des IIS 6.0 verwendet? c Werden Write, Script Source Access oder Script And Executables Rechte nur vergeben wenn diese explizit benötigt werden? c Sind keine Write, Script Source Access oder Script And Executables Rechte auf das gesamte Wurzelverzeichnis des Web Servers vergeben? c Werden gefährliche Rechte Kombinationen wie Write und Script Source Access vermieden? c Ist die Bereitstellung von Daten und Verzeichnissen mittels WebDAV ausreichend geschützt? O O Ist die Verwendung von WebDAV deaktiviert? -oder- Werden starke Authentifizierungsmaßnahmen wie beispielsweise die integrierte Windows Authentifizierung mit Kerberos V5 Unterstützung verwendet? Vertrauenswürdigkeit und Verschlüsselung c Ist die Require Secure Channel (SSL) Check-Box für vertrauenswürdige Inhalte aktiviert? c [hoher Schutzbedarf] Ist die Require 128 bit Encryption Check Box aktiviert? c [hoher Schutzbedarf] Läuft SSL ausschließlich im User Mode und nie im Kernel Mode? c [hoher Schutzbedarf] Wurde beim Anlegen des Server-Zertifikats der kryptographische Schlüssel durch ein Passwort geschützt? c Entspricht das verwendete Passwort der Passwortrichtlinie? c [hohevertraulichkeit] Läuft jegliche Kommunikation mit dem Web-Server über HTTPS? Bundesamt für Sicherheit in der Informationstechnik 9

10 ISi-Reihe ISi-Check Sicheres Bereitstellen von Web-Angeboten mit IIS Einbinden von Dateien c Sind Server-Side-Includes explizit deaktiviert? c Werden nur explizit benötigte Dateinamenerweiterungen (MIME-Typen), die in der IIS-Metabase definiert wurden, vom Web-Server bereitgestellt? Filterung von Web-Anwendungen c Kann der Web-Server so konfiguriert werden, dass Schwachstellen in Web-Anwendungen mit vertretbarem Aufwand geschlossen werden können, falls für die verwendete Software das Einspielen eines Patches nicht möglich ist? O O Werden in IIS 6.0 eingebaute Funktionen verwendet um temporär Schwachstellen in Web- Anwendungen zu schließen? -oder- Wird UrlScan verwendet um temporär Schwachstellen in Webapplikationen zu schließen? System- und Fehlermeldungen c Sind die Default-Seiten sowie etwaige phpinfo-dateien, Demo-Anwendungen und Systemdokumentationen aus dem Wurzelverzeichnis des Web-Servers entfernt worden? c Wird die IIS Versionsnummer und sensible Informationen mit Hilfe der UrlScan Funktion RemoveServerHeader versteckt? Logging c Ist sichergestellt, dass die Verzeichnisse, in die der IIS Web-Server seine Log-Dateien schreibt, nur den Administratoren und dem IIS_WPG Benutzer zugänglich sind? c Wurde der IIS so konfiguriert, dass verschlüsselt auf einen externen Logging-Server protokolliert wird? (Zum Beispiel über Centralized Binary Logging oder W3C Centralized Logging und IPsec geschützte Netzwerk-Freigaben.) c Ist der Detaillierungsgrad der aufgezeichneten Log-Dateien dem Einsatzzweck des Servers angepasst? c Werden in den Log Dateien auch HTTP Status Codes protokolliert? c Werden sowohl erfolgreiche als auch nicht erfolgreiche Anfragen protokolliert? c Werden Versuche, gesperrte Kommandos auszuführen, protokolliert? c Werden fehlerhafte Anmeldeversuche protokolliert? Verhinderungs Schutzmaßnahmen c Werden der Hardware und dem Einsatzzweck des Server entsprechend sinnvolle Beschränkungen auf Application Pools vergeben? c Werden der Priorität des Application Pools entsprechende Request queue limits gesetzt? (Richtwert: 1,000 Anfragen) c Werden entsprechende ConnectionTimeout Werte gesetzt? (Richtwert: 120 Sekunden) c Werden, falls vorhanden, etwaige wichtige Web Seiten mit mehr Bandbreite ausgestattet? 10 Bundesamt für Sicherheit in der Informationstechnik

11 ISi-Check Sicheres Bereitstellen von Web-Angeboten mit IIS ISi-Reihe c Werden der Hardware und dem Einsatzzweck des Servers entsprechend sinnvolle Beschränkungen für gleichzeitige Verbindungen eingestellt? (Richtwert: Tausend Verbindungen bei 4 GB Ram) Bundesamt für Sicherheit in der Informationstechnik 11

12 ISi-Reihe ISi-Check Sicheres Bereitstellen von Web-Angeboten mit IIS 5 Betrieb Die Anforderungen für einen sicheren Betrieb der Komponenten für ein sicheres Bereitstellen von Web-Angeboten finden sich auch zu einem großen Teil in den BSI IT-Grundschutz-Katalogen abgedeckt. Für den sicheren Betrieb eines IIS Web-Servers sind neben technischen Maßnahmen auch organisatorische Maßnahmen wichtig. Die folgenden Kontrollfragen sollen noch einmal explizit hervorgehoben werden: 5.1 Betriebssystem Auf die Absicherung des Betriebssystems wird hier nicht explizit eingegangen. Es werden jedoch jene Eigenschaften für das Betriebssystem vorausgesetzt, die in der generischen Checkliste zu [ISi- Web-Server] spezifiziert werden. c [hoher Schutzbedarf] Sind privilegierte Benutzerkonten auf dem Web-Server System, wie z. B. Administrator, deaktiviert oder umbenannt worden? 5.2 IIS Web-Server Status c Befindet sich die zur Zeit verwendete IIS Version auf einem aktuellen Patch-Stand? c Sind nur ausschließlich benötigte IIS Dienste installiert und in Betrieb? c Wird der zur Zeit ablaufende IIS Worker Process mit den Rechten eines möglichst niedrig privilegierten Benutzers betrieben? c Läuft der IIS 6.0 unter keinen Umständen im IIS 5.0 Isolation Mode? c Werden im Betrieb die Vorteile des erweiterten Rechtemanagements unter NTFS genutzt? c Ist der IIS auf einer NTFS formatierten Partition installiert? c Befinden sich die Web Inhalte auf einer NTFS Partition die nicht der System Partition entspricht? Logging c Werden die von IIS produzierten Log-Dateien regelmäßig ausgewertet? c Werden die von IIS produzierten Log-Dateien regelmäßig gesichert? c Ist der Detaillierungsgrad der aufgezeichneten Log-Dateien an den Einsatzzweck des Servers angepasst und können diese auch von Menschen gelesen werden? c [Falls Centralized Binary Logging verwendet wird]: Existiert ein Programm das die Log Dateien in Menschen lesbare Form umwandelt? Filterung von Web-Anwendungen c Werden sämtliche an die Web-Anwendung herangetragenen Daten als potenziell gefährlich behandelt und mittels UrlScan oder IIS 6.0 Funktionen entsprechend gefiltert (epatching)? 12 Bundesamt für Sicherheit in der Informationstechnik

13 ISi-Check Sicheres Bereitstellen von Web-Angeboten mit IIS ISi-Reihe Backup c Wird die Grundkonfiguration (Metabase) zu Wiederherstellungszwecken vor Änderungen gesichert? c Gelten die gleichen Zugriffsrechte für die Konfiguration auch für deren Sicherungskopie? c Wird mit der Sicherheitskopie auch Datum und Zeit der Sicherung gespeichert? c Wird die fehlerfreie Wiederherstellung der Sicherungskopien regelmäßig überprüft? Kontrolle und Überprüfung c Ist, falls vorhanden, dass Administrationsinterface ausschließlich über das Management-Netz erreichbar? (Zum Beispiel Remote Desktop) c Erfolgt eine regelmäßige Überprüfung der Server-Sicherheit? Bundesamt für Sicherheit in der Informationstechnik 13

14 ISi-Reihe ISi-Check Sicheres Bereitstellen von Web-Angeboten mit IIS 6 Literaturverzeichnis [ISi-Web-Server] [ITGSK] [ISi-LANA] [ISi-E] Bundesamt für Sicherheit in der Informationstechnik (BSI), "BSI-Schriftenreihe zur Internet-Sicherheit: Sicheres Bereitstellen von Web-Angeboten", 2008, Bundesamt für Sicherheit in der Informationstechnik (BSI), "IT Grundschutzkataloge", Stand 2006, Bundesamt für Sicherheit in der Informationstechnik (BSI), "BSI-Schriftenreihe zur Internet-Sicherheit: Sichere Anbindung lokaler Netze an das Internet", 2007, Bundesamt für Sicherheit in der Informationstechnik (BSI), "BSI-Schriftenreihe zur Internet-Sicherheit: Einführung, Grundlagen, Vorgehensweise", in Bearbeitung, 14 Bundesamt für Sicherheit in der Informationstechnik