Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 5.102 Installation von URL-Filtern beim IIS-Einsatz - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 5.102 Installation von URL-Filtern beim IIS-Einsatz

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

Uniform Resource Locators (URLs) werden im Internet eingesetzt, um Objekte, z. B. Dokumente und HTML-Seiten, zu spezifizieren. Dadurch kann beispielsweise ein Browser auf eine bestimmte Web-Seite auf einem IIS zugreifen.

Das Ziel eines URL-Angriffs kann die Beeinträchtigung der Verfügbarkeit des Web-Servers sein. Dies wird z. B. durch überlange URLs, die einen Puffer-Überlauf verursachen, erreicht. Bei einem anderen URL-Angriff versucht ein Angreifer, die URL so zu verändern, dass er zusätzliche Rechte erhält und z. B. auf Verzeichnisse außerhalb des Webroot-Verzeichnisses oder auf Systemdateien zugreifen kann.

Um beispielsweise aus dem Webroot-Verzeichnis auszubrechen, werden so genannte UNICODE-Zeichen in der URL verwendet. Bei der englischen Version des IIS stellen die Zeichenfolgen %c0%af und %c1%9c die Zeichen "/" und "\" in UNICODE dar und ermöglichen einen Zugriff auf das nächst höhere Verzeichnis.

Durch die Installation von URL-Filtern kann die Sicherheit eines Web-Servers erhöht werden, da die Möglichkeit besteht, bestimmte Zeichenfolgen oder URLs mit Überlänge zu erkennen. Dies ist als zusätzliche Maßnahme zur Installation von aktuellen Patches und Hotfixes anzusehen, durch die z. B. ein Ausbruch aus dem Webroot-Verzeichnis unter Verwendung von UNICODE Zeichen verhindert wird.

Auf dem Markt werden URL-Filter von Microsoft aber auch von Drittherstellern angeboten. Ein Beispiel ist das URLScan Security Tool von Microsoft (http://www.microsoft.com/Downloads/Release.asp?ReleaseID= 32571). In dem Produkt SecureIIS von der Firma eEye ist ebenfalls ein URL-Filter enthalten (http://www.eeye.com/html/Products/SecureIIS/index.html).

Ergänzende Kontrollfragen: