繼上次的服務延伸與佈署模組的介紹後,緊接著試用管理與應用方面的模組。在這裡 TigerLin 要特別推薦 Administration Pack for IIS 7.0 這個模組,安裝之後除了可讓 IIS 有 Request Filter 的功能外,還多了讓 IIS 具有 Report 的功能,可以即時分析狀況,讚啦!!
-- Manage additional features with IIS Manager UI Extensions -- Manage your configuration files with the Configuration Editor -- View key statistics about your Web site with IIS Reports 簡單的說,他提供了良好的 UI 界面讓 IT人員不用再以記事本編輯一些轎底層的設定,而是可以透過 UI 界面輕鬆的設定完成。除此之外,還提供了精美的報表功能,在管理設定的同時還可更方便的監控 IIS 統計報告。 安裝後,在「管理」的項目中多了一個 "Configuration Editor" 的項目。經由這個功能我們可以更快速的編輯平常只能用記事本編輯的組態設定。 圖二 管理工具項目中多了 Configuration Editor。 圖三 Configuration Editor 可編輯的項目。 第二個新稱的功能為 "Request Filtering",該功能有點類似 URLScan 中的過濾副檔名功能,但比 URLScan 延伸出更多的應用。這裡 TigerLin 覺得有一個功能可以大大的提升安全性:Hidden Segment。使用 ASPNET 的 WEB Application 都有某些資料夾透過 WEB 無法存取的特性,藉由此方法保護 bin 中的元件,也保護 App_Code 中的共用程式碼,但那只能保護 ASP.NET 的。而在 IIS 7.0 加掛此模組後,不只 .NET 的應用程式,PHP 或 HTML 的站台都可使用此方式保護特定的 Folder 了,安全性又向上提升了一個層級! 圖四 Request Filrering 位於 IIS 類別中。 圖五 類似 URLScan 中的 File Name Extensions 的管理 。 圖六 Hidden Segment 中預設的保護位置。 第三個新稱的功能為 "IIS Reports",也是 TigerLin 最激賞的一個功能啊!! 這個功能可以在 IIS 瀏覽狀態與統計報表,除了有精美的圖表以外,更加上了日期過濾,讓 IT人員在除錯時可以輕易比對兩個日期區間是否有不一樣的異常狀態。 圖七 IIS Reports 的 "Most Popular Page" 圖表,下為統計表格。 內建的報表提供的資訊以一般來說是很夠用了,如果需要更進階的報表可以嗎?當然! 如果一個報表系統不支援新增報表的話,那這個系統就遜掉了,這也是該功能讓 TigerLin 讚賞不已的原因啊。在報表的新增上可以參閱 Walkthrough for creating an IIS Report 一文,裡面鉅細靡遺的說明如何將自訂報表新增到 IIS Reports 的方法與訣竅,幫助 IT 輕鬆找出潛在的威脅 :D
想知道現在資安的趨勢從哪裡著手?IBM Internet Security System 每年都會推出資訊安全趨勢報告,雖然這些報告都是針對自家的解決方案延伸出來的報告,但 TigerLin 看過之後覺得仍然有參考的價值。
每份報告約 80 頁左右,裡面有許多統計圖表輔助閱讀,並可藉此觀察出幾年前與現在的資安事件 & 漏洞暴露的次數
從這些報告看起來,2000 時 WEB 的漏洞幾乎是 0,但 2008 年就變成暴增的趨向。TigerLin認為,多多了解趨勢才可以在客戶面前表達更專業的素養,在採購時也可以針對趨勢定義正確的方針與方向。總之,知識就是力量的啦 :D~
參閱連結 X-Force 2007 Trend Statistics - http://www.iss.net/x-force_report_images/2008/index.html 2008 Mid-Year Trend and Risk Report Report - http://www-935.ibm.com/services/us/iss/xforce/trendreports/ IBM Internet Security System - http://www-935.ibm.com/services/tw/index.wss/offerfamily/sec/b1330852
自從 Windows 2008 with Hyper-V 推出後,TigerLin 也非常熱情的測試與使用,且越用越覺得 Hyper-V 真是好物,VM 也越用越多,研究起來真的是事半功倍。而目前的架構是這樣(5台):
之前發現了一個現象,當 Windows 2008 進行 Eventlog 的蒐集,Windows 2003 又在進行 DFS 檔案複寫時父系統會 LAG 異常,連開個瀏覽器都可以感覺出來速度變慢了。而 TigerLin 在公司使用的工作機也是使用 Windows 2008 DataCenter x64 系統,上面的 VM 數量比家中的 Server 多一倍以上 (13台):
這樣看起來,公司用的工作機怎麼看數量都比家中的多,資源使用也大多了。神奇的是...TigerLin 的工作機只有一點小LAG,用 Maxthon 開 30 個以上的瀏覽視窗都還是很順暢,穩的很!!在這個星期三終於受不了了,直接跟我們的會計小姐詢問當初採買的配備清單,決定買一台一樣的 PC 來架設。當看到之後,被價格嚇到 – 34K !! 這價格太高了吧 O_o~比對之下也終於知道差異了:
RAM 一樣都是 8G,便先從不用花錢的 SATA Mode 著手。
將 SATA mode 調整成 ACHI 模式之後,硬碟速度使用 HD Turn 觀察有明顯的提升,且讀取的曲線也穩定許多,但在多工處理上一樣會 LAG。看來只好下定決心將現有配備換成 Quan Core 的配備了,現有關鍵配備如下:
以上加起來的價格其實很便宜 (AMD 走平價路線),差不多八張小朋友而已。為什麼說 "而已"?難道是 TigerLin 有錢嗎?不...因為 Intel 平台四核心真的貴好多啊...一顆 CPU 的價格就打死以上全部的東西了…
加一加就已經 20K 了 Orz,還不含 POWER 與機殼的錢啊啊啊!!!想說已經要敗了,乾脆徹底一點,直接增購熱抽換抽取盒模組,POWER 也買 Server 級用的 Zippy GP2 500W,一切...一切都是為了快速的研究啊啊啊啊啊啊啊啊。現在就等星期二配備寄達之後開始組裝這台有史以來砸最多錢 的 PC (研究機, 個人 Server),這就是說明了:人不要用到比自己現有更好的東西,不然一定不會滿足現狀的 ><
後記 在使用的過程中,Hyper-V 以一樣的配備比起來感覺真的比 VMWARE (Work Station 與 ESXi 版) 順暢,在使用原本配備下一次跑五台以內也都是沒問題的。在這裡也可以感覺到 Intel 貴有貴的道理,普通的應用軟體與流量不大的 Server 都還 OK, 在大量的運算下效能差異馬上就看出來了。寫到這裡想到 TigerLin 的好友 DEMO 有一篇文章提到:「公司真的很照顧員工」,真的是感受頗深啊~這也是在職場生涯以來用的最好的個人工作機,也能讓我在工作時測試各種不同的可能性,讓失誤降至最低,只能說~~INTEL CPU 好威!!! Will 大大好威!!! XD P.S 「錢的力量 決定電腦的力量」與「荷包一直瘦 人卻瘦不下來」 這兩句話真是說得太好了 XD
從 Windows 2003 的 IIS 6 到現在的 WIndows 2008 IIS 7,中間演變的差異非常的大,從 UI 的界面變更到底層的管理模式,與以前都是大大的不同。其中 TigerLin 覺得變化最大的就是 IIS7 可藉由 「模組化」的方式安裝其他的功能模組,也有很方便的佈署程式可以快速的部屬,讓我們 IT 在架設環境上面可以比以前更省時快速不少。以下針對 RD 部門與安全性方面常提到的需求,精選一些 IT 可能會常用到的模組作試用與分享。
本週五 (2009/02/13) TigerLin 跟公司申請參加了國內權威的資安顧問 - 阿碼科技所舉辦的系統工程師 Training 課程,一整個星期五都泡在 "資訊安全" 的相關話題中,感覺很特殊,跟大家分享一下。雖然說這一次主要的課程是著重在 "產品技術" 方面,但整場課程下來後發現國內的資安觀念似乎真的沒那麼好。去年恰巧有參加 OWASP 2008 亞洲年會,當初所列的 TOP 10 Attack 如下:
A1 - Cross Site Scripting (XSS) A2 - Injection Flaws A3 - Malicious File Execution A4 - Insecure Direct Object Reference A5 - Cross Site Request Forgery (CSRF) A6 - Information Leakage and Improper Error Handling A7 - Broken Authentication and Session Management A8 - Insecure Cryptographic Storage A9 - Insecure Communications A10 - Failure to Restrict URL Access
第一名的 Cross Site Scripting 到目前為止,國內依然有許多網站正被攻擊或感染中,不信?到 Google 找就可輕易找到了。
而在下課休息時間,習慣性開啟了 Internet Explorer ,印入眼簾的是 "阿碼外傳" 的 BLOG,第一篇文章斗大的標題吸引到我...「模擬實戰點閱綁架手法(Challenge to Clickjacking)」。點閱綁架 (Clickjacking) 攻擊是在 OWASP 2008 美國年會被禁講的攻擊,且以各種攻擊型態來說算是很新穎的攻擊類型,之前有聽 RSnack 說明 Clickjacking 的可怕與嚴重性,大概的原理約為:
聽起來沒什麼嗎?到這裡試試看就知道其攻擊的奧妙了。測試完之後有一點點 SHOCK 到,怎麼到的地方跟狀態列顯示的不同?? 馬上開了原始碼看,果然...連結上有一個 <DIV> ,按下連結時馬上被觸發了,而教室內的學員似乎也有驚嚇到,差不多有 1/3 的人都發出驚嘆的聲音。
如果今天我到某家網路購物站台要購買東西,而登入的連結被綁架到另外一個釣魚網站,帳號密碼就這麼莫名的被偷取了,還是神不知鬼不覺的狀況下,想到就毛…此攻擊目前還沒有完整防禦方法,只能經由某些瀏覽器或停用 SCRIPT 的方式來預防,上網的時候還是要提高更多警覺才是。
參考連結: 阿碼外傳 http://armorize-cht.blogspot.com/ RSnack Blog http://ha.ckers.org/