M 5.102 Installation von URL-Filtern beim IIS-Einsatz
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Uniform Resource Locators (URLs) werden im Internet eingesetzt, um Objekte, z. B. Dokumente und HTML-Seiten, zu spezifizieren. Dadurch kann beispielsweise ein Browser auf eine bestimmte Web-Seite auf einem IIS zugreifen.
Das Ziel eines URL-Angriffs kann die Beeinträchtigung der Verfügbarkeit des Web-Servers sein. Dies wird z. B. durch überlange URLs, die einen Puffer-Überlauf verursachen, erreicht. Bei einem anderen URL-Angriff versucht ein Angreifer, die URL so zu verändern, dass er zusätzliche Rechte erhält und z. B. auf Verzeichnisse außerhalb des Webroot-Verzeichnisses oder auf Systemdateien zugreifen kann.
Um beispielsweise aus dem Webroot-Verzeichnis auszubrechen, werden so genannte UNICODE-Zeichen in der URL verwendet. Bei der englischen Version des IIS stellen die Zeichenfolgen %c0%af und %c1%9c die Zeichen "/" und "\" in UNICODE dar und ermöglichen einen Zugriff auf das nächst höhere Verzeichnis.
Durch die Installation von URL-Filtern kann die Sicherheit eines Web-Servers erhöht werden, da die Möglichkeit besteht, bestimmte Zeichenfolgen oder URLs mit Überlänge zu erkennen. Dies ist als zusätzliche Maßnahme zur Installation von aktuellen Patches und Hotfixes anzusehen, durch die z. B. ein Ausbruch aus dem Webroot-Verzeichnis unter Verwendung von UNICODE Zeichen verhindert wird.
Auf dem Markt werden URL-Filter von Microsoft aber auch von Drittherstellern angeboten. Ein Beispiel ist das URLScan Security Tool von Microsoft (http://www.microsoft.com/Downloads/Release.asp?ReleaseID= 32571). In dem Produkt SecureIIS von der Firma eEye ist ebenfalls ein URL-Filter enthalten (http://www.eeye.com/html/Products/SecureIIS/index.html).
Ergänzende Kontrollfragen:
- Wurde ein URL-Filter installiert?