Netcraft duomenimis Microsoft IIS yra antras pagal populiarumą web serveris pasaulyje. Praėjusiais metais daugybė web aplikacijų veikiančių būtent šiame serveryje nukentėjo nuo internetinių kirminų, kurie išnaudodavo SQL injekcijos pažeidžiamumus, reaguodama į tai Microsoft pateikė keletą saugumo sprendimų, padedančių IIS administratoriams kovoti su įsilaužėliais bei neatsakingais programuotojais.

Pirmoji priemonė skirta HTTP užklausų filtravimui. UrlScan v3.1 saugumo įrankis blokuodamas specifines HTTP užklausas, neleidžia potencialiai pavojingoms pasiekti web aplikacijų. Įrankis turi pakankamai lankstų konfigūracinį failą, kurį IIS administratorius gali nuolatos papildyti ir taip likviduoti naujo tipo atakas. UrlScan v3.1 įsidiegia kaip ISAPI filtras ir yra suderinamas  su IIS 5.1 bei vėlesnėmis IIS versijomis. Taip pat keletas programos kopijų gali veikti nepriklausomai viena nuo kitos kaip svetainės filtrai ir turėti savo konfigūracinį failą. 

Dabartinė UrlScan programos versija gali apriboti HTTP užklausos ilgį bei blokuoti HTTP užklausų tipus, pavyzdžiui, daugumos web aplikacijų normaliam darbui užtenka tik GET, HEAD ir POST užklausų. Saugumo įrankio konfigūracija leidžia sudaryti atskiras taisykles taip pat jų grupes HTTP užklausų antraščių, URL ir jos parametrų filtravimui, turint galvoje, kad IIS web serveris naudojamas ne tik .NET aplikacijoms talpinti, to visiškai pakanka SQL ir CRLF injekcijų, XSS ir RFI/LFI atakų  vykdomų naudojant HTTP GET užklausas likvidavimui , kadangi šiuo metu UrlScan dar neturi galimybės filtruoti HTTP POST užklausoje perduodamų duomenų.

Taisyklės skirtos SQL injekcijos blokavimui pavyzdys:

[SQL Injection Strings]
'
"
--
%3b ; a semicolon
/*
@ ; also catches @@
char ; also catches nchar and varchar
alter
begin
cast
convert
create
cursor
declare
delete
drop
end
exec ; also catches execute
fetch
insert
kill
open
select
union
sys ; also catches sysobjects and syscolumns
table
update
substring
benchmark

Kita IIS saugumo priemonė, kurios Beta versiją neperseniausiai išleido Microsoft, skirta apsaugai nuo DoS  ir slaptažodžių parinkimo atakų. Dynamic IP Restrictions modulis laikinai blokuoja tų HTTP klientų IP adresus, kurie per trumpą laiko tarpą viršija maksimalų leistiną prisijungimų skaičių arba tuo pačiu metu sukuria neįprastai daug susijungimų.  Modulis suderimas tik su IIS 7, todėl senesnių IIS versijų naudotojai jo privalumais pasinaudoti negalės.

Dynamic IP Restrictions modulio konfigūracijoje galima nurodyti, koks atsakymas bus gražintas HTTP klientui, kurio IP adresas yra užblokuotas. Modulis gali gražinti 403 ir 404  būsenos kodus taip pat iškarto nutraukti susijungimą. Be abejo, visi nutraukti susijungimai yra registruojami žurnaluose, o einamuoju laiku užblokuotus IP adresus galima peržiūrėti IIS tvarkytuvėje.

Dynamic IP Restrictions modulio konfigūracijos pavyzdys:

Pabaigai, Microsoft pateiktos IIS saugumo gerinimo priemonės šiuo metu nėra labai pažangios, pavyzdžiui, lyginant IIS konkurentui Apache HTTP Server skirtą modulį ModSecurity ir UrlScan, pirmasis turi žymiai platesnes galimybes, tačiau bet kurio atveju geriau dalinai apsaugotas  nei visiškai „nuogas“ IIS web serveris.

Komentarai