Jumat, 15 Oktober 2010

Tips: Mengamankan web server IIS

Internet Information Server (IIS) adalah sebuah web server yang tersedia secara otomatis pada saat instalasi Windows edisi server dengan opsi Typical atau Full. Sayangnya instalasi default ini dapat mengakibatkan celah keamanan di sistem anda yang berakibat fatal. Bagaimana cara mengamankannya?

Web server adalah inti dari organisasi internet yang komplek saat ini. Setiap kali sebuah browser berhubungan dengan suatu situs web baik di internet ataupun intranet, maka ia terhubung dengan web server, server tersebut mendengarkan request pada jaringan dan menjawabnya kepada client atau pengirim permintaan dengan membawa data tertentu.

IIS atau yang dikenal dengan Internet Information Server adalah web server yang secara default terinstall saat kita menginstalasi secara tipikal suatu server windows.

IIS menginstal dirinya sendiri kepada partisi primer secara automatis. Ini menyebabkan suatu resiko keamanan sendiri, sebab User Internet dapat mengakses partisi sistem setiap kali mereka melihat suatu Halaman web atau menggunakan FTP untuk download suatu file.

Dibawah ini adalah daftar direktori yang dibuatkan default oleh IIS:
- %WinDir%\InetPub
- %WinDir%\System32\InetSrv
- %WinDir%\System32\InetSrv\IisAdmin
- %WinDir%\Help\IISHelp

IIS menciptakan dua akun user selama instalasi: IUSR_COMPUTERNAME dan IWAM_COMPUTERNAME. IIS menggantikan variabel "computername" dengan nama komputer kita.

Contoh, jika kita sedang menginstall IIS dan nama komputer kita "BAPUK", Maka akun komputer adalah IUSR_BAPUK dan IWAM_BAPUK. Hebatnya lagi akun tersebut tidak bisa dihapus, karena IIS memerlukannya. Akun IUSR_COMPUTERNAME digunakan untuk mengijinkan akses tanpa nama atau "Anonymous" kedalam sistem, sedang akun IWAM_COMPUTERNAME digunakan untuk menjalankan out-of-process dari aplikasi web.

Tidak setiap server windows memerlukan IIS sebagai webservernya. IIS sendiri seharusnya tidak diinstall dalam keadaan default, bila tetap memerlukan IIS ada baiknya mengubah default partisinya agar tidak sama dengan partisi sistem anda. Agar apa? ya itu tadi untuk keamanan.

Apabila IIS telah terinstall sebaiknya anda menguninstall dan reinstall lagi IIS pada partisi yang kita inginkan.

Bagaimana mengubahnya ke partisi yang kita inginkan sedang tak ada pilihan sewaktu instalasinya? Memang tidak ada cara mengubah direktori "program files" pada "Add/Remove program wizard". Untuk mengubahnya kita harus membuat sebuah "answer file" lalu menginstallnya.

Apa itu answer file? Bagaimana cara membuatnya? "Answer File" atau file jawaban kurang lebih adalah suatu file teks yang digunakan untuk mem-bypass / melewati suatu prosedur instalasi secara normal.

Tabel dibawah adalah beberapa komponen IIS yang diperlukan dalam membuat "answer file":

-----------------------------------------------------------
Sintak =>Tujuan
-----------------------------------------------------------
iis_common => Install "common file"
iis_doc => Install dokumentasi IIS
iis_ftp => Install Service FTP
Iis_htmla => Install "Web-based administration tools"
iis_inetmgr => Install "MMC-based administration tools"
iis_nntp_docs => Install dokumentasi NNTP
iis_smtp => Install Service SMTP
iis_smtp_docs => Install dokumentasi SMTP
iis_www => Install Service WWW
-----------------------------------------------------------

Untuk prosedur penggunaannya silahkan ikuti tutorial berikut:

1. Kilk menu Start > Run
2. Ketik notepad dalam kotak dialognya lalu klik OK
3. Ikuti sintak berikut yang disesuaikan dengan "table komponen answer file" di atas: [Components] iis_common = on
iis_ftp = on
iis_htmla = on
iis_www = on
[InternetServer]
PathFTPRoot= D:\Inetpub\Ftproot
PathWWWRoot=D:\Inetpub\Wwwroot
(D: Menunjukan letak partisi yang diinginkan untuk lokasi IIS.)
4. Simpan file tadi di direktori C:\ dengan nama iis.txt atau terserah anda.

Setelah membuat file jawaban tadi, berarti kita hampir siap untuk melakukan instalasi. Kenapa hampir? yup..karena kita memerlukan satu program lagi yang digunakan untuk menginstalisasi dari "answer file" yang kita buat dengan nama "iis.txt" tadi, yaitu "Sysocmgr.exe".

Lalu bagaimana instalasinya? Gampang. Masuk ke "command prompt" lalu ketik:
sysocmgr /I:%windir%\inf\sysoc.inf /u:c:\iis.txt
dan ikuti saja prosedurnya.

Keterangan:
Trik ini dilakukan di mesin Windows XP & Windows server 2003 dan seharusnya bisa untuk keluarga NT.
[Components] => parameter untuk menginstall komponen-komponen dalam Windows.
[InternetServer] => parameter untuk merubah default path FTP dan WWW.
iis_htmla = on => "on" menyatakan Kondisi siap melakukan instalasi, yaitu "web based admin tool".

Referensi:
- http://telematika.co.id/?link=dtl&id=55
- "Unattended.doc" from the Server CD, "support\tools\deploy.cab\unattend.doc"
- "www.syngress.com"

Tidak ada komentar:

Custom QSL / eQSL Cards Design

  We accept orders for making Custom QSL / eQSL Cards Maximum creation time 2 x 24 hours, 2 times revision Send the image to be processed an...