Introductie
In dit artikel leggen we uit hoe je enkele beveiligingsmaatregelen kunt implementeren om de WebDAV-verbinding vanuit het internet te beveiligen.
Stap 1. Schakel 'IP-adres- en domeinrestricties' in
IIS heeft een functie genaamd 'IP-adres- en domeinrestricties' waarmee je de verbinding kunt beveiligen.
Je kunt deze functie inschakelen door deze op je WebDAV-server te installeren via de Server Manager. Ga naar:
Add Roles and Features -> Server Roles -> Web Server (IIS) -> Web Server -> Security -> schakel IP en Domain Restrictions in.
Stap 2. Configureer IP-adressen en de regels
Na het installeren van de functie 'IP en domeinrestricties' kun je de IP-adressen en de regels configureren.
Open IIS op je WebDAV-server.
Navigeer naar de website die de WebDAV host.
Dubbelklik op IP-adressen en domeinrestricties.
In het menu Acties aan de rechterkant, klik op Feature-instellingen bewerken.
Er verschijnt een dialoogvenster. Zorg ervoor dat het eruitziet zoals hieronder afgebeeld. Klik op OK.
Deze instellingen verbreken de verbinding wanneer een niet-gespecificeerde client probeert verbinding te maken met de WebDAV-web-URL.
In het menu Acties aan de rechterkant, klik op Toestaan-entry toevoegen...
Er verschijnt een dialoogvenster. Specificeer het IP-adres of IP-adresbereik dat toegang heeft.
Klik op OK wanneer je klaar bent.
Je moet een aparte 'Toestaan-entry' maken voor elk IP-adres of IP-adresbereik. Welke IP-adressen en/of bereik je moet toestaan, hangt af van je netwerkconfiguratie, bijvoorbeeld de Workspace 365-webserver, client IP-adressen of router/gateway IP. Als Workspace door ons wordt gehost, plaats ons IP-bereik op de whitelist. Raadpleeg de IIS-logboeken indien nodig om te zien vanaf welk IP-adres verbindingen worden gemaakt.
Controleer of je toegang hebt tot de WebDAV-bestandsshares vanaf de clients zoals gedefinieerd in IIS.
Stap 3. Voorkom bestandsuitvoering
IIS gebruikt 'Handler Mappings' om het uitvoeren van bestanden te voorkomen of toe te staan.
De implementatie van WebDAV in Workspace vereist geen bestandsuitvoering, daarom adviseren we om bestandsuitvoering uit te schakelen.
Er zijn drie verschillende mappings:
Read – schakelt handlers in of uit die leesrechten vereisen.
Scripts – schakelt handlers in of uit die scriptrechten vereisen.
Execute – schakelt handlers in of uit die uitvoeringsrechten vereisen.
Selecteer de WebDAV-site in IIS.
Dubbelklik op Handler Mappings.
In het menu Acties aan de rechterkant, klik op Feature-machtigingen bewerken.
Er verschijnt een dialoogvenster. Haal het vinkje weg bij het vakje Script.
Klik op OK.
Stap 4. Verzoekfiltering
WebDAV gebruikt twee speciale HTTP-methoden voor administratieve taken:
MKCOL (maak een nieuwe verzameling, zoals een directory).
MOVE (verplaats bestanden van de ene URL naar de andere of hernoem bestanden).
Deze worden niet gebruikt door Workspace 365. Workspace heeft zijn eigen implementatie gemaakt om deze acties uit te voeren en om het veiliger te maken. Daarom beschrijven we hieronder hoe je MKCOL- en MOVE-acties kunt weigeren.
Zorg ervoor dat Verzoekfiltering is geïnstalleerd via de IIS-functies.
Selecteer de WebDAV-site in IIS.
Dubbelklik op Verzoekfiltering.
Klik op het tabblad HTTP-werkwoorden.
In het menu Acties aan de rechterkant, klik op Weiger werkwoord...
Er verschijnt een dialoogvenster. Voer MOVE in en klik op OK.
Herhaal stap 4 en 5, maar voer deze keer MKCOL in en klik op OK.
Stap 5. Bestandsextensies blokkeren
Daarnaast is het mogelijk om specifieke bestandsextensies te blokkeren via de WebDAV-URL. We adviseren om de volgende bestandsextensies te blokkeren:
.php
.cs
.cc
.cpp
.asp
.exe
.aspx
Om een bestandsextensie te blokkeren, volg je de onderstaande stappen.
In de sectie Verzoekfiltering, klik op het tabblad Bestandsextensies.
In het menu Acties aan de rechterkant, klik op Weiger bestandsextensies...
Er verschijnt een dialoogvenster. Voer de extensienaam in die je wilt blokkeren en klik op OK. Herhaal deze stap voor elke extensie die je wilt blokkeren.
Klik op het tabblad Verborgen segmenten.
Controleer of de web.config is toegevoegd. Zo niet, klik op Verborgen segment toevoegen in het menu Acties aan de rechterkant om deze toe te voegen.