Securitate IIS (interpretarea rapoartelor Secunia din introducere in IIS)
Securitatea IIS a fost intotdeauna o problema. Site-ul Secunia.com compara securitatea IIS5, IIS6 raportata la Apache. Se pare ca Microsoft si in special echipa de dezvoltare IIS a invatat ceva din experienta Code Red si Nimda.
Din 2003 au fost raportate de catre Secunia:
- 9 vulnerabilitati de securitate pentru IIS 6.0 (9 rapoarte Secunia, din care 1 nerezolvata)
- 2 vulnerabilitati de securitate pentru IIS 7.0 (2 rapoarte Secunia, din care 0 nerezolvate)
- 28 vulnerabilitati de securitate pentru Apache 2.0.x (42 rapoarte Secunia, din care 4 nerezolvate)
- 31 vulnerabilitati de securitate pentru Apache 2.2.x (18 rapoarte Secunia, din care 2 nerezolvate)
Rapoartele Secunia pot fi vizualizate la urmatoarele adrese:
- IIS 6.0 – http://secunia.com/advisories/product/1438/
- IIS 7.0 – http://secunia.com/advisories/product/17543/
- Apache 2.0.x – http://secunia.com/advisories/product/73/
- Apache 2.2.x – http://secunia.com/advisories/product/9633/
Trebuie insa avut in vedere anii in care au aparut versiunile de server web. Oricum putem observa ca IIS si-a imbunatatit securitatea de la o versiune la alta.
Vulnerabilitati Apache
Nota: Desi numarul de vulnerabilitati Apache pare mult mai mare decat cel al IIS, unele vulnerabilitati de securitate atribuite Apache, facand parte din LAMP(Linux, Apache, MySQL, PHP) sunt “inerente in alte aplicatii” asa cum afirma Ben Laurie, Director of Security – The Apache Foundation acum cativa ani. (http://itc.conversationsnetwork.org/shows/detail933.html)
Statistici vulnerabilitati
1. Statistici lunare
In grafice sunt reprezentate numarul de rapoarte Secunia din 2003 lunar pe fiecare produs in parte.
| sursa: http://secunia.com/advisories/product/1438/?task=statistics | http://secunia.com/advisories/product/17543/?task=statistics |
2. Starea solutionarii
Urmatorul grafic prezinta procentul de rapoarte de securitate care au fost rezolvate/partial rezolvate/nerezolvate. Desi IIS 7.x a avut 2 rapoarte de securitate acestea au fost rezolvate, in timp ce IIS 6 inca prezinta rapoarte nerezolvate.
sursa: http://secunia.com/advisories/product/1438/?task=statistics |
3. Nivel vulnerabilitate
Graficul prezinta nivelul vulnerabilitatii pentru fiecare raport in parte. Se observa ca IIS 7 a prezentat pana acum doar rapoarte cu vulnerabilitati mai putin importante.
4. Sursa atacului
Graficul prezinta sursa atacului potential. Se observa ca in IIS 6 majoritatea surselor sunt remote.
5. Impactul
Graficul Impact prezinta tipul de vulnerabilitate prezenta in fiecare server Web. Observam ca in IIS 7 din cele 2 raportate unul a fost de DoS si unul de ocolire privilegii.
Securitate IIS 7
Pentru a imbunatati securitatea, IIS 7 nu este instalat implicit pe Windows Server 2008. Cand se instaleaza IIS 7, acesta poate deservi doar continut HTML si imagini. Trebuie configurat sa poata deservi continut dinamic: PHP, ASP, etc.
Imbunatatiri securitate in IIS 7:
- IIS 7 are o structura modulara. Ceea ce inseamna ca facilitatile pe care nu le doriti nu sunt incarcate. In IIS6 se puteau dezactiva facilitati pe care nu le doreati, dar acestea erau incarcate.
- “Suprafata de atac” este limitata. Prin reducerea numarului de module care se incarca, numarul de zone de atac potentiale este mult mai mic.
- IIS7 permite sa avem contul IUSR copiat mult mai usor impreuna cu setarile sale de securitate de pe un server pe altul.
- Unul din modulele noi din IIS 7 il reprezinta modulul de filtrare cereri bazat pe filtrul ISAPI URLScan din IIS 6.
Resurse
http://learn.iis.net/page.aspx/88/configuring-security/
http://technet.microsoft.com/en-us/library/cc731278%28WS.10%29.aspx
http://channel9.msdn.com/posts/scobleizer/Brent-Hill-and-Roger-Grimes-Chatting-about-IIS-7s-security/
http://learn.iis.net/page.aspx/143/use-request-filtering/
http://learn.iis.net/page.aspx/139/iis7-security-improvements/
http://channel9.msdn.com/shows/TechNet+Radio/TechNet-radio-Learn-about-the-IIS7-Security-features-and-benefits/
