“Bilgi ve İletişim Güvenliği Rehberi” Web Sıkılaştırma Tedbirleri – Microsoft IIS 10 – CIS Benchmark

Bilgi ve İletişim Güvenliği Rehberi

Bilgi ve İletişim Güvenliği Rehberi uyum çalışmalarını yürüten kurumlara destek olmak amacıyla bir dizi yazı yayınlıyorum. CIS Benchmark’lar ile Bilgi ve İletişim Güvenliği tedbirlerinin eşleştirmelerini sunmayı hedefliyorum. Bu yazımda “Microsoft IIS 10 ” işletim sistemi sıkılaştırmalarının Nessus gibi otomatize araçlarla uygulanma durumunu CIS kontrolleri ile yapabilmenize yardımcı olmayı hedefliyorum.

Tedbir Alt BaşlıkTedbir
No.
Tedbir AdıTedbir TanımıCIS Microsoft IIS 10 IS_Microsoft_IIS_10_Benchmark_v1.1.1
5.3.1. Web Sunucusu Sıkılaştırma Tedbirleri5.3.1.1Güncel Web Sunucu Yazılımlarının KullanılmasıWeb sunucu yazılımlarının güncel, zafiyet içermeyen ve üreticisi tarafından desteği devam eden kararlı sürümleri kullanılmalıdır. Ayrıca, sunucuda kullanımda olan tüm araçların/paket programların güvenlik yamaları için düzenli aralıklarla kontrol yapılmalıdır.IIS’in en güncel versiyonu kullanılmalı.
5.3.1. Web Sunucusu Sıkılaştırma Tedbirleri5.3.1.2WebDAV Desteğinin KaldırılmasıWeb sunucusunun WebDAV (Web Distributed Authoring and Versioning) desteği kaldırılmalıdır. WebDAV ile ilgili modüller pasif hale getirilmelidir.1.7 (L1) Ensure WebDav feature is disabled (Scored)
5.3.1. Web Sunucusu Sıkılaştırma Tedbirleri5.3.1.3Web Sunucusu Kullanıcı YönetimiWeb sunucu yazılımı yönetici hesabıyla değil, bu amaç için özel olarak oluşturulmuş bir hesap ile çalıştırılmalıdır. Web sunucusunda bulunan varsayılan hesaplar/parolalar kullanım dışı bırakılmalıdır.1.6 (L1) Ensure ‘application pool identity’ is configured for anonymous user identity (Scored)
5.3.1. Web Sunucusu Sıkılaştırma Tedbirleri5.3.1.4Web Sunucusunun Bilgi İfşalarını Önleyecek Şekilde YapılandırılmasıWeb sunucusu bilgi ifşalarını önleyecek şekilde yapılandırılmalıdır. Varsayılan hata ve kurulum sayfaları kaldırılmalıdır. Web sunucu teknolojisi hakkında bilgi ifşasına neden olan HTTP başlıkları kaldırılmalıdır. Hatalı HTTP isteklerine dönen cevaplarda bilgi ifşasına izin verilmemelidir.3.3 (L2) Ensure custom error messages are not off (Scored)
3.4 (L1) Ensure IIS HTTP detailed errors are hidden from displaying remotely (Scored)
5.3.1. Web Sunucusu Sıkılaştırma Tedbirleri5.3.1.5Desteklenen HTTP Metotlarının KısıtlanmasıPOST, GET, OPTIONS ve HEAD metotları dışında diğer HTTP metotları desteklenmemelidir. PUT, DELETE, PROPFIND gibi metotlar web servisi için kullanılıyorsa, kullanımlarının sadece web servis ihtiyaçları ile sınırlı olup olmadığı kontrol edilmelidir. Bu metotların dosya yükleme veya silme gibi farklı amaçlarla kullanımı engellenmelidir.4.6 (L1) Ensure ‘HTTP Trace Method’ is disabled (Scored)
5.3.1. Web Sunucusu Sıkılaştırma Tedbirleri5.3.1.6Dizin Listelemenin Pasif Hale GetirilmesiDizin listelemesi pasif hale getirilmelidir.1.3 (L1) Ensure ‘directory browsing’ is set to disabled (Scored)
5.3.1. Web Sunucusu Sıkılaştırma Tedbirleri5.3.1.7Debug Modunun Kapalı OlmasıWeb sunucu yazılımı debug (hata ayıklama) modunda çalıştırılmamalıdır.3.2 (L2) Ensure ‘debug’ is turned off (Scored)
5.3.1. Web Sunucusu Sıkılaştırma Tedbirleri5.3.1.8İstek Limitlerinin TanımlanmasıWeb sunucu yazılımının desteklediği ölçüde, istekler için limitler belirlenmelidir.4.1 (L2) Ensure ‘maxAllowedContentLength’ is configured (Not Scored)
4.2 (L2) Ensure ‘maxURL request filter’ is configured (Scored)
4.3 (L2) Ensure ‘MaxQueryString request filter’ is configured (Scored)
4.4 (L2) Ensure non-ASCII characters in URLs are not allowed (Scored)
4.5 (L1) Ensure Double-Encoded requests will be rejected (Scored)
5.3.1. Web Sunucusu Sıkılaştırma Tedbirleri5.3.1.9İz Kayıtlarının AlınmasıWeb sunucu yazılımına ilişkin iz kayıtları alınmalıdır. Bk. Tedbir No: 3.1.8.15.1 (L1) Ensure Default IIS web log location is moved (Scored)
5.2 (L1) Ensure Advanced IIS logging is enabled (Scored)
5.3 (L1) Ensure ‘ETW Logging’ is enabled (Not Scored)

CIS Controls (Version 7):
6.2 Activate audit logging
Ensure that local logging has been enabled on all systems and networking devices.
6.3 Enable Detailed Logging
Enable system logging to include detailed information such as an event source, date, user, timestamp, source addresses, destination addresses, and other useful elements.
5.3.1. Web Sunucusu Sıkılaştırma Tedbirleri5.3.1.10Yazma İzni Olan Dizinlerin KısıtlanmasıYazma izni olan dizinler belirlenmeli, yazma yetkileri sadece dosya yükleme ihtiyacı olan dizinlere verilmelidir. Uygulama üzerinden yüklenen dosyalar için oluşturulmuş dizinlerde çalıştırma izni kaldırılmalıdır.2.1 (L1) Ensure ‘global authorization rule’ is set to restrict access (Not Scored)
2.2 (L1) Ensure access to sensitive site features is restricted to authenticated principals only (Not Scored)
5.3.1. Web Sunucusu Sıkılaştırma Tedbirleri5.3.1.11SSL/TLS KullanımıSunucu SSL/TLS kullanımına elverişli yapılandırılmalıdır. Bu kapsamda, sunucuda sadece, bilinen zafiyet içermeyen güvenilir sürüme sahip SSL/TLS versiyonları kullanılmalıdır. Bk. Tedbir No: 3.2.9.17.2 (L1) Ensure SSLv2 is Disabled (Scored)
7.3 (L1) Ensure SSLv3 is Disabled (Scored)
7.4 (L1) Ensure TLS 1.0 is Disabled (Scored)
7.5 (L1) Ensure TLS 1.1 is Disabled (Scored)
7.6 (L1) Ensure TLS 1.2 is Enabled (Scored)
5.3.1. Web Sunucusu Sıkılaştırma Tedbirleri5.3.1.12İsteklerin HTTP’den HTTPS’e YönlendirilmesiWeb sunucusundaki herhangi bir HTTP bağlantı noktası, şifreleme kullanan bir sunucu bağlantı noktasına yönlendirmelidir.2.3 (L1) Ensure ‘forms authentication’ require SSL (Scored)
2.6 (L1) Ensure transport layer security for ‘basic authentication’ is configured (Scored)
5.3.1. Web Sunucusu Sıkılaştırma Tedbirleri5.3.1.13Kullanılmayan Modüllerin KaldırılmasıSunucuda sadece kullanılan modüllerin aktif olmalıdır.NA
5.3.1. Web Sunucusu Sıkılaştırma Tedbirleri5.3.1.14Açık Portların KısıtlanmasıWeb sunucusu yalnızca yetkili bağlantı noktalarındaki ağ bağlantılarını dinlemelidir. Kullanımda olmayan portlar kapatılmalıdır. Bk. Tedbir No: 5.1.1.2CIS Controls (Version 7):
9.2 Ensure Only Approved Ports, Protocols and Services Are Running
Ensure that only network ports, protocols, and services listening on a system with validated business needs, are running on each system.
5.3.1. Web Sunucusu Sıkılaştırma Tedbirleri5.3.1.15Kaynak Kullanım OptimizasyonuUygulama seviyesinde yapılabilecek servis dışı bırakma saldırılarına karşı aşağıdaki sunucu üzerinde aşağıdaki sıkılaştırmalar yapılmalıdır: Sunucunun kabul edebileceği maksimum kullanıcı sayısı artırılmalıdır. Tek bir IP adresinden yapılabilecek bağlantı sayısı sınırlandırılmalıdır. Her bir bağlantının kullanabileceği maksimum ve minimum transfer hızı belirlenmelidir. Bağlantılar için zaman aşım değeri belirlenmeli, belirli bir süre açık kalan bağlantılar sonlandırılmalıdır.2.4 (L2) Ensure ‘forms authentication’ is set to use cookies (Scored)
3.6 (L2) Ensure ‘httpcookie’ mode is configured for session state (Scored)
5.3.1. Web Sunucusu Sıkılaştırma Tedbirleri5.3.1.16Sunucunun Korumalı ve Ayrıştırılmış Şekilde Kurulumuİnternete açık olarak çalışan web sunucu ayrı bir bölgede (DMZ vb.) tutulmalıdır. Bk. Tedbir No: 3.2.5.3 Bk. Tedbir No: 3.1.6.6NA
5.3.1. Web Sunucusu Sıkılaştırma Tedbirleri5.3.1.17Sunucuda Koruyucu HTTP Başlıklarının KullanımıSunucu tarafında koruyucu HTTP başlıkları (X-Frame- Options, Strict-Transport-Security vb.) yapılandırılmalıdır.7.1 (L2) Ensure HSTS Header is set (Not Scored)
5.3.1. Web Sunucusu Sıkılaştırma Tedbirleri5.3.1.18Sunucunun Özel Anahtarının (Private Key) KorunmasıSunucunun özel anahtarına (private key) yapılacak yetkisiz erişimlere karşı önlemler alınmalıdır.3.8 (L2) Ensure ‘MachineKey validation method – .Net 3.5’ is configured (Scored)
3.9 (L1) Ensure ‘MachineKey validation method – .Net 4.5’ is configured (Scored)
5.3.1. Web Sunucusu Sıkılaştırma Tedbirleri5.3.1.19İz Kayıtlarının Merkezi Kayıt Sistemine GönderilmesiWeb sunucularından alınan iz kayıtları merkezi bir kayıt sistemine gönderilmelidir. Bk. Tedbir No: 3.1.8.6NA
5.3.1. Web Sunucusu Sıkılaştırma Tedbirleri5.3.1.20Sunucuya IP Adresi Üzerinden Erişimlerin EngellenmesiSunucuya IP adresi üzerinden yapılan erişimler engellenmelidir.4.11 (L1) Ensure ‘Dynamic IP Address Restrictions’ is enabled (Not Scored)

06.07.2019 tarihli ve 2019/12 sayılı Bilgi ve İletişim Güvenliği Tedbirleri konulu Cumhurbaşkanlığı Genelgesi’ndeki; “… kamu kurum ve kuruluşları ile kritik altyapı niteliğinde hizmet veren işletmelerde uygulanmak üzere farklı güvenlik seviyeleri içeren”,  “Bilgi ve İletişim Güvenliği Rehberi“, T.C. Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Başkanlığı tarafından 27.07.2020 tarihinde https://cbddo.gov.tr/bgrehber adresinden yayımlanarak erişime sunulmuştur.

CIS kıyas dokümanları ile Bilgi ve İletişim Güvenliği Rehberi Tedbirleri eşleştirmelerinde eksiklik, hata ya da yanlışlık tespit ederseniz lütfen iletişime geçiniz, teşekkürler.