Msdeploy aracısı hizmeti sunucularımızda bir saldırı vektörü açabilir mi?

13

üretim sunucularımıza otomatik dağıtımlar için msdeploy Web Dağıtım Aracısı'nın kullanımını değerlendiriyoruz.

Bulamayacağımız şeylerden biri potansiyel güvenlik etkileri.

Birincisi, web sunucularımız elbette güvenlidir (güvenlik duvarlarının ve yük dengeleyicilerin arkasında), bu nedenle dışarıdan yalnızca http (s) trafiğine izin verilir.

Bununla birlikte, web dağıtım aracısı, http (s) aracılığıyla erişilebilir olduğu için IIS (dışarıya bakan tek şey) ile tümleşik çalışır. Bu nedenle, söz konusu IIS'de barındırılan web'ler aracılığıyla aracıya erişmenin ve böylece tüm web sitelerimize okuma ve yazma erişimi elde etmenin mümkün olabileceğinden korkuyoruz.

Msdeploy'un üretim ortamlarında kullanımı ne kadar güvenlidir?

Güncelleme: Üretim web sunucusu IIS7 çalıştırıyor.

security  msdeploy 
Sebastian PR Gingter
kaynak
msdeploy ile IIS 6 veya 7 mi kullanıyorsunuz?
Ağustos
Bu esas olarak IIS7 olacaktır. Bilgi de güncellendi. söz konusu.
Sebastian PR Gingter

Yanıtlar:

10

Onu kullandığımdan beri bir süre oldu ve sadece web yönetimi bölümünü içermeyen IIS 6 ile kullandım. Uzaktan yönetim URL'sini ve bağlantı noktasını değiştirebilir ve harici güvenlik duvarında engelleyebilirsiniz. Şuna bakın: Uzaktan Hizmeti Özelleştirme ve Güvence altına alma . Ana güvenlik mekanizması kullanıcı hesabı güvenliği gibi görünüyor, ancak dediğin gibi, hepsi IIS içinde, bu nedenle bir IIS güvenlik açığı yamalı olana kadar güvenlik önlemlerini işe yaramaz hale getirebilir. Bu nedenle, yalnızca web içeriğinin internetten güncellenmesine izin vermekten çekinmeyin, ancak bu, kuruluşunuzun güvenlik gereksinimlerine, web geliştiricinizin ihtiyaçlarına göre değişir.

Web dağıtım hizmetinin Internet'e maruz kalmasını önlemek için aşağıdakileri yapabilirsiniz:

  • Varsayılan web sitesinin NAT olmayan veya yük dengeleme IP aralığının bir parçası olan yalnızca dahili bir IP'de dinlemesini sağlama
  • varsayılan yönetim web sitesinin yalnızca localhost üzerinde dinlemesini, ardından her ana bilgisayarda msdeploy yürütülebilir dosyasını yerel olarak çalışmasını çağıran bir komut dosyası yazabilirsiniz (tek bir noktadan tüm ana bilgisayarlara uzaktan bağlanmak için msdeploy kullanmak yerine)
  • yük dengeleyicinizin web dağıtım URL'sine ulaşmaya çalışan harici istekleri filtrelemesini sağlayın (ör. https: // sunucu: 8081 / MSDeploy )
  • tüm web dağıtımlarınızın geldiği belirlenmiş (dahili) bir dağıtım barındırıcınız varsa ve yalnızca bu IP'nin dağıtım URL'sindeki web sunucularınıza bağlanmasına izin verir ( tek dağıtım ana bilgisayarından olmayan her şeyi engelle )

Web dağıtım işlevinin doğrudan internetten edinilmesine hala ihtiyaç duyuluyorsa, tüm web geliştiricileriniz uzaktan çalışıp çalışmadığını söylüyorsa (bunun neden doğrudan gerekli olacağını hayal edemiyorumyaygın VPN kullanımıyla), içinde Web Dağıtımı etkinleştirilmiş IIS 7 kutusuyla (web grubunuzun DMZ'sinden ayrı olarak) yalıtılmış bir DMZ ayarladığınız ve web geliştiricilerinizin değişiklikleri uzaktan dağıtmak için yalnızca İnternet'ten DMZ'ye bağlanın. Daha sonra dahili olarak bu ana bilgisayara bağlanabilir ve değişiklikleri, testleri vb. İnceledikten sonra web sunucularınızın geri kalanına dağıtabilirsiniz. Bu yöntem bile risksiz değildir - kötü niyetli bir kullanıcı web dağıtım işlevinden ödün vererek bazılarını tanıtabilir. kötü niyetli kod bilginiz olmadan ve bilmeden üretim ortamınıza tanıtabilirsiniz.

Ağustos
kaynak
Güncellemeler yalnızca üretim sunucularına güvenli bir VPN erişiminden yapılacaktır, bu nedenle internetten erişim gerekmez. Web sunucusu yapılandırmalarını değiştirebilecek bir şey yüklemekle ilgili hala kötü bir his var. Şu anda, 'dağıtım izinleri' olan kişilerin yalnızca belirli web klasörlerine SFTP erişimi var, web sunucuları bir etki alanında değil ve başka bir şekilde tamamen yalıtılmış.
Sebastian PR Gingter
1
normalde "web sunucusu yapılandırmalarını değiştirebilecek bir şey yükleme konusunda hala kötü bir hisim var" fikrine katılıyorum, ancak bu durumda, bir web grubunuz olduğunda, sunuculardan birinde bir şeyi yanlış yapılandırma ve bir manuel güncelleme işlemiyle istenmeyen delik, tüm web sunucularınızda tutarlı bir yapılandırma sağlayan bir hizmeti etkinleştirmekten çok daha olası ve risklidir.
Ağustos
Tamam, "daha kolay otomatik dağıtım şansı karşılığında riski almak için yeterince güvenli" olarak kabul ediyorum. Teşekkürler.
Sebastian PR Gingter
0

Basit cevap. EVET, Herhangi bir bilgisayarda çalışan her şey saldırı vektörlerini açar. Her zaman yazılımda güvenlik açıkları olduğu varsayılmalıdır. Azaltma önemli bir faktördür, ağlara, kullanıcılara, bilgisayarlara, IP'lere vb. Erişimi sınırlandırın. Ayrıca fiziksel erişimi kontrol edin.

Güvenlik duvarınız günün belirli saatlerindeki kuralları işleyebiliyorsa, güncellemelerin gerçekleşmesine izin verilen süreyi de kısıtlayabilirsiniz.

Web sunucularınızdaki kullanıcıların kısıtlanmasını, yani güncellemeyi kimlerin yapabileceğini öneriyorum. (Muhtemelen bunu zaten yapmışsınızdır) O zaman güvenlik duvarlarını, hangi ağların (IP) yönetim arayüzüne erişimi olduğunu kısıtlamak için kullanırdım. Daha sonra desteklenirse güncellemelerin yalnızca çalışma saatlerinde (bir güvenlik duvarı kuralı aracılığıyla) işlenmesine izin veririm. Güvenlik duvarı yöneticisinin acil durum güncellemesi için kuralı her zaman düzenlemesini sağlayabileceğinizi unutmayın. Son olarak, Web Dağıtım Aracısı'ndaki bilinen güvenlik açıklarını izler ve daha fazla hafifletirim veya bir düzeltme uygulanana kadar devre dışı bırakırım.

tkrabec
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.