“Bilgi ve İletişim Güvenliği Rehberi” Web Sıkılaştırma Tedbirleri – Microsoft IIS 10 – CIS Benchmark
Bilgi ve İletişim Güvenliği Rehberi uyum çalışmalarını yürüten kurumlara destek olmak amacıyla bir dizi yazı yayınlıyorum. CIS Benchmark’lar ile Bilgi ve İletişim Güvenliği tedbirlerinin eşleştirmelerini sunmayı hedefliyorum. Bu yazımda “Microsoft IIS 10 ” işletim sistemi sıkılaştırmalarının Nessus gibi otomatize araçlarla uygulanma durumunu CIS kontrolleri ile yapabilmenize yardımcı olmayı hedefliyorum.
Tedbir Alt Başlık | Tedbir No. | Tedbir Adı | Tedbir Tanımı | CIS Microsoft IIS 10 IS_Microsoft_IIS_10_Benchmark_v1.1.1 |
5.3.1. Web Sunucusu Sıkılaştırma Tedbirleri | 5.3.1.1 | Güncel Web Sunucu Yazılımlarının Kullanılması | Web sunucu yazılımlarının güncel, zafiyet içermeyen ve üreticisi tarafından desteği devam eden kararlı sürümleri kullanılmalıdır. Ayrıca, sunucuda kullanımda olan tüm araçların/paket programların güvenlik yamaları için düzenli aralıklarla kontrol yapılmalıdır. | IIS’in en güncel versiyonu kullanılmalı. |
5.3.1. Web Sunucusu Sıkılaştırma Tedbirleri | 5.3.1.2 | WebDAV Desteğinin Kaldırılması | Web sunucusunun WebDAV (Web Distributed Authoring and Versioning) desteği kaldırılmalıdır. WebDAV ile ilgili modüller pasif hale getirilmelidir. | 1.7 (L1) Ensure WebDav feature is disabled (Scored) |
5.3.1. Web Sunucusu Sıkılaştırma Tedbirleri | 5.3.1.3 | Web Sunucusu Kullanıcı Yönetimi | Web sunucu yazılımı yönetici hesabıyla değil, bu amaç için özel olarak oluşturulmuş bir hesap ile çalıştırılmalıdır. Web sunucusunda bulunan varsayılan hesaplar/parolalar kullanım dışı bırakılmalıdır. | 1.6 (L1) Ensure ‘application pool identity’ is configured for anonymous user identity (Scored) |
5.3.1. Web Sunucusu Sıkılaştırma Tedbirleri | 5.3.1.4 | Web Sunucusunun Bilgi İfşalarını Önleyecek Şekilde Yapılandırılması | Web sunucusu bilgi ifşalarını önleyecek şekilde yapılandırılmalıdır. Varsayılan hata ve kurulum sayfaları kaldırılmalıdır. Web sunucu teknolojisi hakkında bilgi ifşasına neden olan HTTP başlıkları kaldırılmalıdır. Hatalı HTTP isteklerine dönen cevaplarda bilgi ifşasına izin verilmemelidir. | 3.3 (L2) Ensure custom error messages are not off (Scored) 3.4 (L1) Ensure IIS HTTP detailed errors are hidden from displaying remotely (Scored) |
5.3.1. Web Sunucusu Sıkılaştırma Tedbirleri | 5.3.1.5 | Desteklenen HTTP Metotlarının Kısıtlanması | POST, GET, OPTIONS ve HEAD metotları dışında diğer HTTP metotları desteklenmemelidir. PUT, DELETE, PROPFIND gibi metotlar web servisi için kullanılıyorsa, kullanımlarının sadece web servis ihtiyaçları ile sınırlı olup olmadığı kontrol edilmelidir. Bu metotların dosya yükleme veya silme gibi farklı amaçlarla kullanımı engellenmelidir. | 4.6 (L1) Ensure ‘HTTP Trace Method’ is disabled (Scored) |
5.3.1. Web Sunucusu Sıkılaştırma Tedbirleri | 5.3.1.6 | Dizin Listelemenin Pasif Hale Getirilmesi | Dizin listelemesi pasif hale getirilmelidir. | 1.3 (L1) Ensure ‘directory browsing’ is set to disabled (Scored) |
5.3.1. Web Sunucusu Sıkılaştırma Tedbirleri | 5.3.1.7 | Debug Modunun Kapalı Olması | Web sunucu yazılımı debug (hata ayıklama) modunda çalıştırılmamalıdır. | 3.2 (L2) Ensure ‘debug’ is turned off (Scored) |
5.3.1. Web Sunucusu Sıkılaştırma Tedbirleri | 5.3.1.8 | İstek Limitlerinin Tanımlanması | Web sunucu yazılımının desteklediği ölçüde, istekler için limitler belirlenmelidir. | 4.1 (L2) Ensure ‘maxAllowedContentLength’ is configured (Not Scored) 4.2 (L2) Ensure ‘maxURL request filter’ is configured (Scored) 4.3 (L2) Ensure ‘MaxQueryString request filter’ is configured (Scored) 4.4 (L2) Ensure non-ASCII characters in URLs are not allowed (Scored) 4.5 (L1) Ensure Double-Encoded requests will be rejected (Scored) |
5.3.1. Web Sunucusu Sıkılaştırma Tedbirleri | 5.3.1.9 | İz Kayıtlarının Alınması | Web sunucu yazılımına ilişkin iz kayıtları alınmalıdır. Bk. Tedbir No: 3.1.8.1 | 5.1 (L1) Ensure Default IIS web log location is moved (Scored) 5.2 (L1) Ensure Advanced IIS logging is enabled (Scored) 5.3 (L1) Ensure ‘ETW Logging’ is enabled (Not Scored) CIS Controls (Version 7): 6.2 Activate audit logging Ensure that local logging has been enabled on all systems and networking devices. 6.3 Enable Detailed Logging Enable system logging to include detailed information such as an event source, date, user, timestamp, source addresses, destination addresses, and other useful elements. |
5.3.1. Web Sunucusu Sıkılaştırma Tedbirleri | 5.3.1.10 | Yazma İzni Olan Dizinlerin Kısıtlanması | Yazma izni olan dizinler belirlenmeli, yazma yetkileri sadece dosya yükleme ihtiyacı olan dizinlere verilmelidir. Uygulama üzerinden yüklenen dosyalar için oluşturulmuş dizinlerde çalıştırma izni kaldırılmalıdır. | 2.1 (L1) Ensure ‘global authorization rule’ is set to restrict access (Not Scored) 2.2 (L1) Ensure access to sensitive site features is restricted to authenticated principals only (Not Scored) |
5.3.1. Web Sunucusu Sıkılaştırma Tedbirleri | 5.3.1.11 | SSL/TLS Kullanımı | Sunucu SSL/TLS kullanımına elverişli yapılandırılmalıdır. Bu kapsamda, sunucuda sadece, bilinen zafiyet içermeyen güvenilir sürüme sahip SSL/TLS versiyonları kullanılmalıdır. Bk. Tedbir No: 3.2.9.1 | 7.2 (L1) Ensure SSLv2 is Disabled (Scored) 7.3 (L1) Ensure SSLv3 is Disabled (Scored) 7.4 (L1) Ensure TLS 1.0 is Disabled (Scored) 7.5 (L1) Ensure TLS 1.1 is Disabled (Scored) 7.6 (L1) Ensure TLS 1.2 is Enabled (Scored) |
5.3.1. Web Sunucusu Sıkılaştırma Tedbirleri | 5.3.1.12 | İsteklerin HTTP’den HTTPS’e Yönlendirilmesi | Web sunucusundaki herhangi bir HTTP bağlantı noktası, şifreleme kullanan bir sunucu bağlantı noktasına yönlendirmelidir. | 2.3 (L1) Ensure ‘forms authentication’ require SSL (Scored) 2.6 (L1) Ensure transport layer security for ‘basic authentication’ is configured (Scored) |
5.3.1. Web Sunucusu Sıkılaştırma Tedbirleri | 5.3.1.13 | Kullanılmayan Modüllerin Kaldırılması | Sunucuda sadece kullanılan modüllerin aktif olmalıdır. | NA |
5.3.1. Web Sunucusu Sıkılaştırma Tedbirleri | 5.3.1.14 | Açık Portların Kısıtlanması | Web sunucusu yalnızca yetkili bağlantı noktalarındaki ağ bağlantılarını dinlemelidir. Kullanımda olmayan portlar kapatılmalıdır. Bk. Tedbir No: 5.1.1.2 | CIS Controls (Version 7): 9.2 Ensure Only Approved Ports, Protocols and Services Are Running Ensure that only network ports, protocols, and services listening on a system with validated business needs, are running on each system. |
5.3.1. Web Sunucusu Sıkılaştırma Tedbirleri | 5.3.1.15 | Kaynak Kullanım Optimizasyonu | Uygulama seviyesinde yapılabilecek servis dışı bırakma saldırılarına karşı aşağıdaki sunucu üzerinde aşağıdaki sıkılaştırmalar yapılmalıdır: Sunucunun kabul edebileceği maksimum kullanıcı sayısı artırılmalıdır. Tek bir IP adresinden yapılabilecek bağlantı sayısı sınırlandırılmalıdır. Her bir bağlantının kullanabileceği maksimum ve minimum transfer hızı belirlenmelidir. Bağlantılar için zaman aşım değeri belirlenmeli, belirli bir süre açık kalan bağlantılar sonlandırılmalıdır. | 2.4 (L2) Ensure ‘forms authentication’ is set to use cookies (Scored) 3.6 (L2) Ensure ‘httpcookie’ mode is configured for session state (Scored) |
5.3.1. Web Sunucusu Sıkılaştırma Tedbirleri | 5.3.1.16 | Sunucunun Korumalı ve Ayrıştırılmış Şekilde Kurulumu | İnternete açık olarak çalışan web sunucu ayrı bir bölgede (DMZ vb.) tutulmalıdır. Bk. Tedbir No: 3.2.5.3 Bk. Tedbir No: 3.1.6.6 | NA |
5.3.1. Web Sunucusu Sıkılaştırma Tedbirleri | 5.3.1.17 | Sunucuda Koruyucu HTTP Başlıklarının Kullanımı | Sunucu tarafında koruyucu HTTP başlıkları (X-Frame- Options, Strict-Transport-Security vb.) yapılandırılmalıdır. | 7.1 (L2) Ensure HSTS Header is set (Not Scored) |
5.3.1. Web Sunucusu Sıkılaştırma Tedbirleri | 5.3.1.18 | Sunucunun Özel Anahtarının (Private Key) Korunması | Sunucunun özel anahtarına (private key) yapılacak yetkisiz erişimlere karşı önlemler alınmalıdır. | 3.8 (L2) Ensure ‘MachineKey validation method – .Net 3.5’ is configured (Scored) 3.9 (L1) Ensure ‘MachineKey validation method – .Net 4.5’ is configured (Scored) |
5.3.1. Web Sunucusu Sıkılaştırma Tedbirleri | 5.3.1.19 | İz Kayıtlarının Merkezi Kayıt Sistemine Gönderilmesi | Web sunucularından alınan iz kayıtları merkezi bir kayıt sistemine gönderilmelidir. Bk. Tedbir No: 3.1.8.6 | NA |
5.3.1. Web Sunucusu Sıkılaştırma Tedbirleri | 5.3.1.20 | Sunucuya IP Adresi Üzerinden Erişimlerin Engellenmesi | Sunucuya IP adresi üzerinden yapılan erişimler engellenmelidir. | 4.11 (L1) Ensure ‘Dynamic IP Address Restrictions’ is enabled (Not Scored) |
06.07.2019 tarihli ve 2019/12 sayılı Bilgi ve İletişim Güvenliği Tedbirleri konulu Cumhurbaşkanlığı Genelgesi’ndeki; “… kamu kurum ve kuruluşları ile kritik altyapı niteliğinde hizmet veren işletmelerde uygulanmak üzere farklı güvenlik seviyeleri içeren”, “Bilgi ve İletişim Güvenliği Rehberi“, T.C. Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Başkanlığı tarafından 27.07.2020 tarihinde https://cbddo.gov.tr/bgrehber adresinden yayımlanarak erişime sunulmuştur.
CIS kıyas dokümanları ile Bilgi ve İletişim Güvenliği Rehberi Tedbirleri eşleştirmelerinde eksiklik, hata ya da yanlışlık tespit ederseniz lütfen iletişime geçiniz, teşekkürler.