Windows 2000 und IIS 5.0 härten

Seite 4: Leseschwäche

Leseschwäche

Im Advanced Mode lässt sich der Zugriff auf Skripte wie: .idc, .ida , .htr und .htw, asp-Seiten und auch Server-Side-Includes konfigurieren. Code-Red wäre mit diesen Einstellungen nicht zum Zug gekommen. Darüber hinaus löscht das Tool auch die mitinstallierten Beispielskripte des IIS und virtuelle Verzeichnisse, deaktiviert WebDAV und verhindert, dass anonyme Benutzer Schreibrechte auf dem Server erhalten oder Systemtools wie tftp.exe oder cmd.exe starten können.

Auf Wunsch beseitigt IISLockdown unbenötigte Verzeichnisse

Ein weiteres Microsoft-Tool, namens URLScan, parst und analysiert HTTP-Requests und URLs und ist mittlerweile Bestandteil von 'IISLockdown'. Es installiert sich als ISAPI-Filter im IIS und nimmt ankommende URLs unter die Lupe. Viele erfolgreiche Angriffe auf den IIS wurden in der Vergangenheit über spezielle URLs vorgenommen. Angriffe wie '.%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir' werden nun sofort verworfen: Sowohl die Dateierweiterung .exe ist nun nicht mehr in einer URL erlaubt, als auch die Verwendung von '..'. Letzteres bereitet allerdings Probleme, wenn in HTML-Seiten relative URLs verwendet werden und Bilder zum Beispiel über den Pfad "../images/" eingebunden werden. Der Wurm Nimda hätte auf gesicherten Servern keine Chance gehabt. Möglich sind nach der Installation von URLScan nur noch die HTTP-Methoden POST, GET und HEADER. Über die urlscan.ini darf man die Konfiguration editieren und URLScan seinen Sicherheitsanforderungen anpassen.

URL-Scan wird als ISAP-Filter installiert.

IISLock und URLScan sind in einigen Teilen redundant: IISLockdown löscht das Mapping auf Skripte und URLScan filtert den Zugriff darauf aus. Doch diese Redundanz schadet nicht, im Gegenteil: Je mehr Hürden ein System einem Angreifer in den Weg stellt, desto besser.

Attacke

Grundsätzlich sollte man seine eigene Arbeit überprüfen. Sowohl Port-Scanner und spezielle Schwachstellenscanner geben einen ersten Überblick, ob die Härtung gelungen ist. Auch sollte man probieren, Skripte aufzurufen und Fehlerzustände zu provozieren. Am besten führt diese Tests jemand durch, der an der Härtung des Servers nicht beteiligt war. Man selbst neigt oft dazu, Tests an Funktionen auszulassen, von denen man überzeugt ist, dass sie sicher oder ohnehin nicht installiert seien. Mit relativ wenig Aufwand sind Windows 2000 und IIS jetzt erheblich sicherer als vorher. Leider ist die Kreativität der Angreifer so groß wie die Komplexität des Servers: Mit einem Vorfall ist immer zu rechnen. Sicherheit ist ein Prozess und erfordert die Pflege und Wartung des Servers. Für den ersten Betrieb sollte die Konfiguration mit den erwähnten Tools ausreichend sein. Weitere Hinweise und Leitfäden finden sich in [1], [2] und [3], die dazu passenden Tools kann man unter [4] herunterladen.

Fazit

Natürlich läßt sich der Server noch weiter härten, solche Anleitungen füllen ganze DIN-A4-Ordner, es Bedarf hierzu aber wesentlich mehr Aufwand und Erfahrung des Administrators. Bisher nicht betrachtet wurden Zugriffsrechte auf Dateien, Verzeichnisse und Registry Keys. Auch könnten Gruppen und Benutzer auf dem Server gelöscht oder umbenannt werden und das Netzwerk ließe sich weiter gegen Angriffe abschotten.