By QuocNH
Phần mềm máy chủ dịch vụ web Microsoft IIS, được sử dụng khá rộng rãi trên Internet, trong tháng 7/2001 đã từng bị tấn công bởi virus Code Red và sau đó là Nimda gây thiệt hại không nhỏ. Cách thức các virus này tấn công là khai thác các lỗ hổng bảo mật của IIS và sử dụng các yêu cầu (request) đặc biệt để dò tìm và thực thi lệnh trên máy chủ bị nhiễm. Với công cụ URLScan và SecureIIS các máy chủ web IIS có thể được bảo vệ trước những dạng tấn công này.
URLScan là một công cụ miễn phí của Microsoft cho phép người quản trị nâng cao tính bảo mật cho hệ thống máy chủ web sử dụng IIS. Khi được cài đặt cùng với IIS, URLScan sẽ giám sát tất cả các yêu cầu đến máy chủ web và cho phép hoặc từ chối phục vụ dựa vào các luật do người quản trị thiết lập. Các yêu cầu có dạng đặc biệt có thể được lọc và phát hiện, từ đó có thể giảm thiểu các nguy cơ bị tấn công của máy chủ.
Sử dụng URLScan
Download URLSCan tại web site của Microsoft:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=32571
URLScan có thể được cài đặt tự động (double-click vào file URLScan.exe) hoặc add bằng tay vào ISAPI filter của IIS server.
Khi cài đặt ở chế độ tự động, URLScan được cài đặt vào thư mục: "%winnt%/system32/inetsrv/urlscan" và tự động khởi động ở chế độ nền (background) mỗi khi dịch vụ IIS được khởi động. Để chắc chắn URLScan đã được cài đặt chính xác, bạn có thể kiểm tra xem có các file urlscan.dll và urlscan.ini tại thư mục: "%winnt%/system32/inetsrv/urlscan".
Để add URLScan vào ISAPI filter bằng tay, bạn có thể làm như sau:
Giải nén URLScan ra một thư mục tạm
Copy file urlscan.ini và urlscan.dll vào một thư mục local
Right-click vào Internet Information Services trong Microsoft Management Console và chọn Properties
Chọn "WWW Service" trong "Master Properties" và click "Edit"
Chọn "ISAPI Filters" tab và click vào "Add"
Trong "Filter Properties" dialog, gõ vào "URLScan" (hoặc bất cứ tên gì bạn thích) trong "Filter Name" và đường dẫn đến file urlscan.dll trong "Executable".
Click "OK" và restart lại IIS service
Khi thực thi, dịch vụ IIS sẽ dựa vào các luật đã được thiết lập trong file urlscan.ini để cho phép hoặc từ chối phục vụ các yêu cầu được gửi đến máy chủ web. Với các luật được thiết lập một cách chính xác, máy chủ web có thể được tăng cường tính bảo mật, giảm thiểu các nguy cơ bị tấn công.
Các luật cho URLScan được thiết lập trong file urlscan.ini. Các luật có thể được thiết lập theo: file extension, URL filter,... Sau mỗi lần sửa file urlscan.ini, IIS cần được khởi động lại để kích hoạt các luật.
Khi chạy URLScan sẽ tạo ra file urlscan.log trong cùng thư mục với urlscan.dll để ghi lại hoạt động của URLScan như quá trình bật tắt, các yêu cầu bị từ chối phục vụ,...
Chi tiết về URLScan có thể xem thêm tại website của Microsoft.
SecureIIS
Công ty eEye Digital Security cũng có công cụ SecureIIS dùng để bảo vệ IIS server trước các yêu cầu phục vụ có thể gây nguy hiểm cho hệ thống. SecureIIS và URLScan có cách thức họat động giống nhau, tuy nhiên SecureIIS có giao diện tiện lợi và phần hướng dẫn cài đặt tốt hơn.
Bản dùng thử của SecureIIS có thời hạn trong 15 ngày có thể download tại đây.
Thông tin chi tiết về SecureIIS có thể xem tại: http://www.eeye.com/html/Products/SecureIIS/
Tài liệu tham khảo:
- Protect IIS with the URLScan Security Tool - Steven Warren
- URLScan Security Tool