SecureIIS Web – firewall na IIS :)

Od dłuższego czasu słyszy się o nowych dziurach w IIS. Pojawiają się expolity a zaraz potem… lub długo potem patche do IIS. Czy to oznacza, że IIS nie może być bezpieczny?

Nie! Firma eEye Digital Security na swoich stronach udostępniła wersje piętnastodniową programu SecureIIS Web. Jest to firewall na IIS, który umożliwia zablokowanie dostępu nie powołanym osobom. Za pomocą przyjaznego środowiska daje nam możliwość prostego wybory opcji, które chcemy przyblokować. Umożliwia nam on także dodawanie poszczególnych filtrów w zależności od naszych potrzeb. Gorąco polecam!

Postanowiłem, że zamieszczę tutaj krótki opis jego możliwości oraz ciekawe linki do stron o IIS. Opis jest krótki, ale wystarczający aby zapoznać się możliwościami.

Krótki opis działania i zastosowania programy SecureIIS Web
I. OPIS FUNKCJI
II. KRÓTKA ADNOTACJA
III. CRACK
IV. LINKI
I. O P I S F U N K C J I

Atak Buffer Overflows:

Jak podali w readme (i z tego co ja wiem) polega na przesłaniu „dużego” żądania do komputera ofiary (np. zbyt długa nazwa) Server Web stara się skopiować to przesłanie do określonego wcześniej dużo mniejszego buffora i wtedy następuje przepełnienie buffora. Jeżeli już program będziemy używali to podobnie jak oni zalecam zaznaczenie wszystkich opcji- jest to w końcu podstawowy atak hackerów 🙂
Protekcja Shellcode:

Rozszerzenie wcześniejszej protekcji. Nie, które buffory są zbyt małe aby móc je zabezpieczyć więc shellcode chroni je (te buffory) przed złamaniem, przełamaniem. Warto zaznaczyć wszystkie w celu dobrej ochrony.
Filtrowanie Klawiatury:

Chodzi to, że wszystkie żądanie z nazwą, która jest filtrowana będą zatrzymane. W przypadku domyślnym (zaraz po instalacji) następuje automatyczna blokada UNICODE… bez potrzeby ściąganie instalowania patcha do danego sytemu. Zalecane aby te, które są zaznaczone były dalej zaznaczone. Jest możliwość dodawana nowych filtrów 🙂

Linki do patch oraz biuletynów MS na temat UNICODE:
1/2

Blokuje polecenia np.:
http://target/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir

http://target/msadc/..%c0%af../..%c0%af../..%c0%af../winnt/system32/cmd.exe?/c+dir

http://site/scripts/..%c1%9c../winnt/system32/cmd.exe?/c+copy+..\..\winnt\
system32\cmd.exe+cmd1.exe

gdzie target to nasz cel np. mp.timsi.pl

Więcej na temat UNICODE i innych kluczowych słów można znaleźć na stronach:
http://www.securityfocus.com/bid/1806
http://www.securityfocus.com/bid/1814
Zezwalanie na „przeglądanie” odpowiednich folderów:

SecuresIIS Web domyślnie wybrał kilka folderów. Jedyną odmianą do wcześniejszych opcji tutaj jest to, że zaznaczenie oznacza umożliwienie zaglądania do folderu. Oznacz to, że jeżeli nasza strona stoi u nas to jest ona w katalogu \Inetpub\wwwroot lub \Inetpub\webpub użytkownicy zewnątrz powinni mieć dostęp aby móc ogląda postawioną stronę u nas 🙂 Ale to wiąże się z pewnym niebezpieczeństwem… odwołuje więc do faq na nt.faq.net.pl:

http://nt.faq.net.pl/articles.asp?id=215

który mówi o tym w jaki sposób hacker, czy jak ktoś woli cracker wie gdzie znajduje (w jakim folderze) się strona WWW i jeżeli (jeżeli!) się do nas dostanie będzie wiedział gdzie iść aby podmienić stronę.
Metody HTTP:

Chodzi to oto, co jest zezwolone przeglądającemu. To znaczy… w opcjach domyślnych jest zezwolone:

GET: umożliwia użytkownikowi przeglądanie strony, przejście za pomocą linka do następnej strony.

POST: Umożliwia wypełnianie ankiet itp.

Inne to:

PUT: umożliwia skopiowanie pliku z dysku użytkownika na twoją stronę

OPTIONS: Umożliwia użytkownikowi na wprowadzanie wszelkiego rodzaju komend, które twój Serwer Web rozumie. Nie jest zalecane zaznaczenie tej opcji.

HEAD: Komenda te zezwala osobie prowadzącej ofensywę na stronę dowiedzieć się co zostało zainstalowane, jaki serwer, jakie dodatki. Nie zalecane zaznaczenie!

DELETE: Umożliwia użytkownikowi przeglądającemu naszą stronę kasowanie plików. Nie zalecane. Niestety produkt FrontPage Server Extensions wymaga zaznaczenia tej opcji 🙁

COPY: Umożliwia kopiowanie plików na twój serwer pocztowy przez użytkownika zewnątrz.

MOVE: Umożliwia przenoszenie plików na twoim serwerze przez użytkownika zewnątrz.

MCOL: Umożliwia tworzenie plików i katalogów na twoim serwerze przez użytkownika zewnątrz.
Różne:

Na razie jest tam zawarta jedynie ochrona przeciw poruszaniu się po katalogach przez odpowiednie komendy i poprzez odpowiedni rodzaj: URL, Headers, Post Data, Query String. Rozszerzenie blokady np.: UNICODE czy problemu z ASP np.: komendy

http://target/file%2easp

gdzie target to tak jak poprzednio nasz cel np.: mp.timsi.pl

Więcej na temat tej dziury:
www.securityfocus.com/bid/1814
Selcet Error File

Jest nie dostępny w wersji Trial. Patrz III. C R A C K

II. K R Ó T K A A D N O T A C J A

Wszystkie opcje oprócz dwóch pierwszych NIE SĄ ZALECANE!!! Nie należy ich ZAZNACZAĆ dla większego bezpieczeństwa serwera.

Tak ogólnie… program służy tylko i wyłącznie zabezpieczeniom! Nie sprawdza on podatności naszego IIS na ataki. Do tego potrzebny będzie inny program.

Wersja trial obejmuje 15 dnie 🙁

Aha… po przygotowaniu wszystkich opcji (zaznaczeniu lub odhaczeniu) wciskamy „Aplly”… z restartuje to polecenie nasz serwer Web (bez potrzeby restartu komputera) i dodana lub odhaczy opcje, które zmieniliśmy.

Jeżeli pojawił nam się wcześniej lub teraz napis „Arm” to wciskamy go aby zabezpieczyć nasz system. Zmieni on wtedy nazwę na „Disarm”. Bez wciśnięcia przycisku „Arm” nasz serwer nie będzie zabezpieczony!

III. C R A C K

Aby móc korzystać z cracka, trzeba go najpierw ściągnąć

http://astalavista.box.sk

Tam wpisujemy w wyszukiwaniu: SecureIIS

Następnie wchodzimy na dwa ostatnie pojawiające się linki (oba prowadzą do tego samego pliku). Ściągamy piczek i go rozpakowujemy.

Po rozpakowaniu wchodzimy do katalogu \winnt\system32 i kasujemy katalog:

5351-8621-2429-7641-5704

Po skasowaniu uruchamiamy program SecureIIS i kopiujemy nasz Referencyjny kod.

Uruchamiamy craka. Wpisujemy użytkownika po nim wklejamy nasz kod, który skopiowaliśmy. Na dole okienka widnieje przycisk „Generate”. Obok niego po lewej pokazuje nam się kod. Kopiujemy go i idziemy do okienka z naszym uruchomionym programem SecureIIS. Tam w drugim text polu wpisujemy użytkownika a do trzeciego wklejamy wygenerowany kod. Program jest już z crakowany więc jest udostępniona opcja „Select Error File”

IV. L I N K I

Więcej informacji na temat bezpieczeństwa IIS:
http://www.securityfocus.com/…

Logi:
http://www.securityfocus.com/…

Zabezpieczanie:
http://www.securityfocus.com/…
http://www.securityfocus.com/…
http://www.securityfocus.com/…
http://www.securityfocus.com/…
http://www.securityfocus.com/…
http://www.securityfocus.com/…
http://www.securityfocus.com/…
http://www.securityfocus.com/…
http://www.securityfocus.com/focus/…

Spis patchy:
http://www.securityfocus.com/…

Spis dziur z opisami, expolitami i spolitami:
http://www.securityfocus.com/focus/…

Polskie zasoby bezpieczeństwa IIS:
http://nt.faq.net.pl/…
http://nt.faq.net.pl/…

Sprawdzian bezpieczeństwa IIS (nie działa przez firewall i przez serwer PROXY)
http://www.faq.net.pl/…