क्या msdeploy एजेंट सेवा हमारे सर्वर पर हमला वेक्टर खोल सकती है?

13

हम अपने उत्पादन सर्वरों के लिए स्वत: परिनियोजन के लिए msdeploy वेब परिनियोजन एजेंट सेवा के उपयोग का मूल्यांकन कर रहे हैं।

एक चीज जिसके बारे में हम पता नहीं लगा सकते हैं वह है संभावित सुरक्षा प्रभाव।

एक बात के लिए, हमारे वेब सर्वर निश्चित रूप से सुरक्षित हैं (फायरवॉल और लोड बैलेंसर्स के पीछे) इसलिए केवल http (s) ट्रैफिक को बाहर से अनुमति दी जाती है।

फिर भी, वेब परिनियोजन एजेंट IIS (केवल बाहर का सामना करना पड़ रहा है) के साथ एकीकृत चलाता है, क्योंकि यह http (s) के माध्यम से सुलभ है। इसलिए हमें डर है कि उस IIS पर होस्ट किए गए जाले के माध्यम से एजेंट तक पहुंच प्राप्त करना संभव हो सकता है - और इसके माध्यम से हमारे सभी जाले तक पहुंच और पढ़ने की सुविधा मिलती है।

उत्पादन वातावरण में उपयोग के लिए msdeploy कितना सुरक्षित है?

अद्यतन: उत्पादन वेब सर्वर IIS7 चला रहे हैं।

security  msdeploy 
सेबस्टियन पीआर गिंगटर
स्रोत
क्या आप msdeploy के साथ IIS 6 या 7 का उपयोग कर रहे हैं?
अगस्त
यह मुख्य रूप से IIS7 होगा। जानकारी भी अपडेट की गई। प्रश्न में।
सेबस्टियन पीआर गिंगटर

जवाबों:

10

जब से मैंने इसका उपयोग किया है, तब से यह थोड़ी देर हो गई है, और मैंने इसे केवल IIS 6 के साथ उपयोग किया है जिसमें वेब प्रबंधन भाग शामिल नहीं है। आप दूरस्थ प्रबंधन URL और पोर्ट को संशोधित कर सकते हैं और इसे बाहरी फ़ायरवॉल पर ब्लॉक कर सकते हैं। इसे देखें: रिमोट सेवा को अनुकूलित और सुरक्षित करना । यह मुख्य सुरक्षा तंत्र उपयोगकर्ता खाता सुरक्षा प्रतीत होता है, लेकिन जैसा कि आपने कहा, यह सब IIS के भीतर है, इसलिए IIS सुरक्षाछिद्र सुरक्षा उपायों को बेकार होने तक रेंडर कर सकता है। अकेले इस कारण से, मुझे इंटरनेट से वेब सामग्री को अपडेट करने की अनुमति देने में संकोच होगा, लेकिन यह आपके ओआरजी की सुरक्षा आवश्यकताओं पर निर्भर करता है।

इंटरनेट पर वेब परिनियोजित सेवा को उजागर करने से बचने के लिए, आप निम्नलिखित कार्य कर सकते हैं:

  • डिफ़ॉल्ट वेबसाइट पर केवल आंतरिक आईपी पर सुनने के लिए है जो नास्ड या लोड-बैलेंसिंग आईपी रेंज का हिस्सा नहीं है
  • आप डिफ़ॉल्ट प्रबंधन वेबसाइट को केवल लोकलहोस्ट पर सुन सकते हैं, फिर एक स्क्रिप्ट लिख सकते हैं जो स्थानीय रूप से चलाने के लिए प्रत्येक होस्ट पर msdeploy निष्पादन योग्य कहता है (एक बिंदु से सभी होस्ट को दूरस्थ रूप से कनेक्ट करने के लिए msdeploy का उपयोग करने के बजाय)
  • आपके लोड-बैलेंसर फ़िल्टर बाहरी अनुरोध हैं जो वेब परिनियोजित URL को हिट करने का प्रयास करते हैं (उदा। https: // server: 8081 / MSPepet )
  • कि अपने सभी वेब की तैनाती से आते हैं एक नामित (आंतरिक) तैनाती मेजबान है और केवल कि आईपी तैनाती यूआरएल पर अपने वेबसर्वर (ब्लॉक कुछ भी करने के लिए कनेक्ट करने की अनुमति नहीं एकल तैनाती मेजबान से)

अगर अभी भी इंटरनेट से सीधे वेब परिनियोजन कार्यक्षमता उपलब्ध होने की आवश्यकता है, यदि आपके सभी वेब डेवलपर्स ने दूरस्थ रूप से काम किया है, (मैं कल्पना नहीं कर सकता कि यह सीधे क्यों आवश्यक होगावीपीएन के व्यापक उपयोग के साथ), आपके पास एक 2-चरण परिनियोजन प्रक्रिया हो सकती है जहां आपने एक वेब डीएमएल-सक्षम IIS 7 बॉक्स के साथ एक पृथक DMZ स्थापित किया है (अपने वेब फ़ार्म के DMZ से अलग), और अपने वेब डेवलपर्स को अनुमति दें इंटरनेट से केवल उस DMZ से कनेक्ट करें जो दूरस्थ रूप से परिवर्तनों को लागू करने के लिए है। तब आप आंतरिक रूप से उस होस्ट से कनेक्ट कर सकते हैं और परिवर्तन, परीक्षण आदि की समीक्षा करने के बाद अपने वेब सर्वर पर तैनात कर सकते हैं। यहां तक ​​कि यह विधि जोखिम के बिना नहीं है - हालांकि, एक दुर्भावनापूर्ण उपयोगकर्ता वेब परिनियोजन कार्यक्षमता से समझौता कर सकता है, कुछ को शुरू करना आपके ज्ञान के बिना दुर्भावनापूर्ण कोड और आप अनजाने में इसे अपने उत्पादन वातावरण में पेश कर सकते हैं।

अगस्त
स्रोत
अपडेट केवल उत्पादन सर्वरों के लिए सुरक्षित वीपीएन एक्सेस से किया जाएगा, इसलिए इंटरनेट से कोई एक्सेस आवश्यक नहीं है। मुझे अभी भी कुछ ऐसा स्थापित करने के बारे में बुरा लग रहा है जो वेब सर्वर कॉन्फ़िगरेशन को बदल सकता है। अभी, 'परिनियोजन अनुमतियों' वाले लोगों के पास केवल अपने विशिष्ट वेब फ़ोल्डरों के लिए एसएफटीपी पहुंच है, वेब सर्वर एक डोमेन में नहीं हैं और किसी अन्य तरीके से पूरी तरह से अलग हैं।
सेबेस्टियन पीआर गिंगटर
1
आम तौर पर मैं इस बात से सहमत होता हूं कि "मुझे अभी भी कुछ ऐसा स्थापित करने के बारे में एक बुरा अहसास है जो वेब सर्वर कॉन्फ़िगरेशन को बदल सकता है।" मैन्युअल अपडेट प्रक्रिया के माध्यम से अनपेक्षित छेद एक सेवा को सक्षम करने की तुलना में कहीं अधिक संभावना और जोखिम भरा है जो आपके सभी वेब सर्वर पर एक सुसंगत कॉन्फ़िगरेशन सुनिश्चित करता है।
अगस्त
ठीक है, मैं इसे "आसान स्वचालित तैनाती की संभावना के बदले में जोखिम लेने के लिए पर्याप्त सुरक्षित है" के रूप में ले जाऊंगा। धन्यवाद।
सेबस्टियन पीआर गिंगटर
0

सरल उत्तर। हाँ, किसी भी कंप्यूटर पर चल रहे कुछ भी हमला वैक्टर खोलता है। यह हमेशा माना जाना चाहिए कि सॉफ्टवेयर में कमजोरियां हैं। शमन एक महत्वपूर्ण कारक है, नेटवर्क, उपयोगकर्ताओं, कंप्यूटरों, आईपी आदि तक पहुंच की सीमा, भौतिक पहुंच की भी जाँच करें।

यदि आपके फ़ायरवॉल दिन के विशिष्ट समय से नियमों को संभाल सकते हैं, तो आप अपडेट होने की अनुमति दे सकते हैं।

मैं आपके वेब सर्वर (ओं) पर उपयोगकर्ताओं को प्रतिबंधित करने की सलाह दूंगा, अर्थात जो अपडेट कर सकते हैं। (आप शायद पहले से ही ऐसा कर चुके हैं) फिर मैं फायरवॉल का उपयोग करके प्रतिबंधित करूंगा कि नेटवर्क (आईपी) के प्रबंधन इंटरफ़ेस तक क्या पहुंच है। फिर अगर समर्थित है तो मैं केवल काम के घंटों (फ़ायरवॉल नियम के माध्यम से) को अपडेट करने की अनुमति दूंगा। ध्यान दें कि किसी आपातकालीन अद्यतन के लिए आप हमेशा फ़ायरवॉल व्यवस्थापक को नियम संपादित कर सकते हैं। अंत में मैं वेब परिनियोजन एजेंट में ज्ञात कमजोरियों के लिए देखता हूं और इसे आगे कम कर सकता हूं, या इसे तब तक अक्षम कर सकता हूं जब तक कि इसे ठीक नहीं किया जा सकता।

tkrabec
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.