SecureIIS chrání webové servery Microsoftu

Většina systémových administrátorů už má plné zuby starostí s nekonečným proudem bezpečnostních oprav webového ...


Většina systémových administrátorů už má plné zuby starostí s nekonečným
proudem bezpečnostních oprav webového serveru Microsoft IIS (Internet
Information Server). Ještě větším problémem pro administrátory je, že Microsoft
uvolňuje opravy reaktivně, až po činu, a aktivní servery tak často zůstávají
zranitelné i několik měsíců. Aplikační firewall SecureIIS od eEye by vám měl
nastíněné problémy pomoci vyřešit.
Vývojáři společnosti eEye zvolili s produktem SecureIIS, nyní ve verzi 2.0,
jiný přístup, jak udržet ISS servery v aktuálním stavu a bezpečné. Namísto
čekání, až Microsoft doručí opravy, SecureIIS v on-line režimu spoléhá na
techniku interní analýzy pro zjištění potenciálně nebezpečného provozu. Ani
eEye, ani my neříkáme, že můžete ignorovat správu oprav, ale SecureIIS je
efektivní hradba proti novým formám útoků, zatímco opravy proti nim se zrovna
píší a technici je testují pro bezpečnou integraci.
SecureIIS je firewall na aplikační úrovni integrovaný do IIS. Tím, že je
integrován na vrstvě ISAPI (Internet Server API), je schopen zachytit jakýkoliv
příchozí řetězec k serveru, a tak jej relativně snadno kontrolovat jak na
příznaky útoku, tak na soulad s RFC (Request for Comments) 2616, definicí
protokolu HTTP.
Kontrolou na soulad s RFC může SecureIIS efektivně omezit množství dat
přicházejících na server. Ručně kódované útoky se mohou od HTTP RFC lišit v
maličkostech, takže SecureIIS může jakožto "puntičkář a detailista" efektivně
zabránit neznámým útokům prostě tím, že jim zamezí přístup.

Snadná aplikace
Instalace SecureIIS je rychlá a snadná, nicméně musíte věnovat pozornost
požadavkům softwaru. Program je kompatibilní s NT servery 4.0 s opravným
balíčkem 6 a s IIS 4.0. Webové servery Windows 2000 IIS musejí mít instalován
alespoň Service Pack 1, ale mohou být v konfiguraci s IIS serverem 5.0 nebo
5.1. Firma eEye doporučuje alespoň 128 MB RAM a 8 MB diskového prostoru, i když
tyto parametry asi budete chtít u serverů s velkým zatížením zvětšit.

Zástupci eEye tvrdí, že filtr na vrstvě ISAPI namísto firewallu na úrovni jádra
je efektivnější, protože to umožňuje inspekci příchozích paketů dříve než
dorazí na webový server. Tvrdí dokonce, že tento koncept provozu přes ISAPI
využívá o 15 % méně systémových zdrojů než koncept provozu na úrovni jádra,
čímž naznačují, že výkonnost nebude úzkým místem produktu.

Jako v brnění
SecureIIS vlastně jednoduše zabalí IIS server do ochranného softwarového
brnění. Administrátoři mohou implementovat ochranu nastavováním
přizpůsobitelných obranných pravidel. To vás normálně může ponořit hluboko do
detailů na úrovni firewallu a protokolů, ale grafické rozhraní SecureIIS verze
2.0 překvapivě konfiguraci zjednodušuje.
Toto rozhraní je rozděleno do čtyř konfiguračních tabulek, pokrývajících
kategorie útoků, výběr serverů, kontrolní seznam možných útoků a textových
definic vybraných způsobů útoků, aby administrátoři věděli, proti čemu že se to
vlastně brání. Vyznat se v SecureIIS vyžaduje určité specifické znalosti webové
bezpečnosti, ale ne zas tolik, aby to celé bylo pro nové uživatele neúměrně
komplexní.
Abyste docílili detailnější ochrany a kvůli přidané analýze útoků umožňuje
SecureIIS monitorovat souborový systém IIS serveru. Proto je zde vyčleněno okno
File Monitor, začínající základním seznamem potenciálně zranitelných souborů
IIS, který se dá upravovat, pokud si přejete přidat další soubory. Zaškrtávací
políčka umožňují administrátorům vybrat, jaké metody přístupu k souborům chtějí
monitorovat, a to včetně rekurzí (přístup k souborům a složkám na nižší úrovni,
než je zvolená), přidávání, odstraňování a modifikací. Konečně lze zvolit
nastavení všech pravidel pro vybrané soubory nebo je možné zastavit
monitorování některých souborů, zatímco ostatní jsou pod plným dohledem.
Pro ty, kteří administrují více než jeden IIS server, je velkou výhodou
schopnost SecureIIS nastavovat ochranu založenou na pravidlech. Umožňuje
administrátorům vytvořit jedno nebo více pravidel pro SecureIIS na centrálním
úložišti a potom umisťovat, monitorovat a editovat tato pravidla na více
serverech v síti.
Podtrženo a sečteno, jedná se o skvělý produkt. S relativně malým dopadem na
výkonnost IIS serveru poskytuje SecureIIS velice efektivní ochranu proti jak
známým, tak neznámým formám útoků. To znamená, že administrátoři ISS serverů
budou moci dělat více než jen reagovat veliká výhoda sama o sobě a budou tak
snad i moci věnovat více času detekci a možná i malé odplatě. SecureIIS všechno
tohle dokáže a zároveň redukuje požadavky na zaměstnance v oblasti bezpečnosti
i řízení oprav. S ohledem na cenu SecureIIS doporučujeme.

eEye SecureIIS 2.0
+možnost vytváření bezpečnostních politik, nenáročný na systémové zdroje
-vyžaduje hlubší znalosti z oblasti webové bezpečnosti
Prodejce: Jiří Šebesta THS, www.eeye.cz
Cena (bez DPH): 30 532 Kč (256 webů)
Platformy: MS Windows NT 4.0, ISS 4.0 a Service Pack 6; Windows 2000, ISS 5.0 a
Service Pack 1 nebo vyšší; Windows 2003, ISS 6.0. (ISS Proxy Server není
podporován)









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.