Vlastnosti SecureIIS

Protože webové servery často poskytují veřejnou bránu do vaší interní sítě, vyžadují silnější a přizpůsobitelnou ochranu nad rámec toho, co mohou nabídnout síťové firewally nebo IDS (systémy pro detekci průniků). Firewally jsou navrženy k propuštění definovaného provozu určeného pro webový server tak, aby dorazil na místo svého určení aniž by prošel důkladnou bezpečnostní kontrolou. Řešení IDS jsou zase určeny ke zjišťování a blokování útoků založených na známých útocích dle signatur, avšak jsou bezbranné čelí-li novým pro web-specifickým útokům. Code Red a Nimda jsou dokonalými příklady, kdy firewally a řešení IDS bohužel neuspějí.

SecureIIS, vyvinutý týmem eEye Digital Security pro webové servery na platformě Windows, aktivně prověřuje v rámci Microsoft IIS všechny příchozí požadavky na všech úrovních zpracovávaných dat. Tímto způsobem SecureIIS předchází průniku potencionálně škodlivého síťového provozu (ať již šifrovaného nebo nešifrovaného) na vaše servery. SecureIIS chrání před známými a neznámými útoky dokonce servery bez akutálních záplat (patches), protože se nespoléhá na signatury útoků, nýbrž na širokou škálu hackerských metod.

SecureIIS nabízí intuitivní grafické uživatelské rozhraní, pomocí kterého máte možnost rychle a s jistotou přizpůsobovat bezpečnost vašich webových serverů bez nutnosti deaktivovat důležité funkce aplikací závisejících na IIS. SecureIIS je plně přizpůsobitelný a umožňuje vícenásobné nastavení politik pro fyzický server. SecureIIS je připraven k ochraně okamžitě po instalaci a nevyžaduje konfiguraci metodou "pokus-omyl".

eEye Digital Security představil koncepci ochrany na úrovni aplikace, která způsobila revoluci pojetí proaktivní bezpečnosti. Na rozdíl od produktů zajišťujících ochranu na úrovni sítě, řešení pracující na úrovni aplikace funguje přímo v aplikaci, kterou chrání. SecureIIS kontroluje požadavky když přicházejí ze síťové vrstvy, při jejich předávání pro vrstvu jádra (kernel) a na každé úrovni zpracovávání mezi těmito body. Jestliže SecureIIS zjistí v jakémkoliv místě možný útok, může převzít kontrolu a zabránit nepovolenému přístupu a/nebo poškození webového serveru.

SecureIIS byl vyvinut jako aplikace ISAPI, což mu umožňuje co nejtěsnější integraci se samotným webovým serverem. SecureIIS monitoruje data, které IIS zpracovává, přičemž může prakticky kdykoliv blokovat požadavky, které jsou klasifikovány jako webové útoky nebo třeba jen nesou jejich znaky. Vlastní rozsáhlá znalostní databáze o způsobech napadení IIS a aplikační firewall jako takový chrání webový server i před dosud neobjevenými způsoby útoků.

Aplikační firewall SecureIIS na rozdíl od síťových firewallů a IDS není závislý na databázi vzorových útoků, která by vyžadovala pravidelné aktualizace. SecureIIS místo toho využívá vícenásobných bezpečnostních filtrů ke sledování webového provozu a kontroluje, zda-li nemůže dojít např. k přetečení zásobníku (buffer overflow), syntaktickým poruchám (parser evasion), průnikům do adresářů (directory traversal) a k spoustě dalším. Proto je SecureIIS schopen zablokovat celé třídy útoků včetně těch, které dosud nebyly objeveny, neobjevené útoky totiž také splňují atributy indikující příslušnost k různým třídám ůtoků.

Po celém světe je společnost eEye uznávána jako jeden z nejdůvěryhodnějších a nejrespektovanějších zdrojů věnujících se vylepšování bezpečnosti IIS. Výzkumnému týmu eEye se přičítá zásluha za objevení mnoha vysoce závažných zranitelností IIS, včetně těch, které umožňovaly útočníkovi úplnou vzdálenou kontrolu nad serverem.

Vlastnosti a výhody

Centrální správa bezpečnostních politik

SecureIIS vám nabízí možnost spravovat nastavení pro jakýkoliv počet fyzických serverů z jediného centrálního počítače. Jakmile je nakonfigurována a vyexportována politika z centrálního počítače, mohou být ostatní servery nastaveny na automatický import politiky.

SecureIIS udržuje seznam(log) všech zablokovaných požadavků. Log je jednoduše dostupný z hlavního interface SecureIIS. Log poskytuje detailní vysvětlení proč byl požadavek blokován, navíc je možné pomocí logu analyzovat výkonostní problémy webového serveru, jako např. odkazy na neexistující objekty, odkazy do zakázaných adresářů apod.

Ovládání za běhu

SecureIIS umožňuje provádění modifikací bezpečnostní konfigurace a její následnou aplikaci bez nutnosti restartovat samotný webový server, takže nenarušuje plynulý chod pro vaše uživatele.

Statistické grafy v reálném čase

SecureIIS vám také umožňuje sledovat činnost v reálném čase pomocí prohlížení grafů, které reprezentují počet aktuálních logovaných položek. Graf existuje pro každou z nejběžnějších tříd útoků stejně jako pro počet úspěšných neútočných přístupů na webové stránky.

Ochranný engine SecureIIS je modul, které se načítá v rámci IIS. Jelikož kód SecureIIS běží ve stejném prostoru jako IIS, může provádět veškeré své ochranné činnosti bez vlivu na úrovně služeb na vašich webových serverech. V případě právě probíhajícího útoku dokonce SecureIIS vylepšuje výkonnost serveru.

Účinnost SecureIIS se neomezuje na konkrétní zranitelnosti IIS, ale je také schopna zastavit útoky na aplikace webového serveru od jiných výrobců nebo útoky na specificky navržené skripty pro webové stránky, které může provozovat vaše firma. Tato vlastnost zajišťuje proaktivní vyhodnocování bezpečnostních otázek a udrží vaše webové servery bezpečné i v případě, že hledisko bezpečnosti bylo při vývoji opominuto.

Široké možnosti exportu  

SecureIIS archivuje seznam blokovaných požadavků a umožňuje jeho export do různých formátů (text, csv, SQL, Excel a další).

SecureIIS je kompatibilní se všemy stávajícími aplikacemi založenými na webu jako je např. Flash, Cold Fusion, FrontPage nebo Outlook Web Access.

Na rozdíl od tradičních síťových firewallů je SecureIIS schopen analyzovat relace HTTPS před a po zakódování SSL (Secure Socket Layer) - je tedy schopen zastavovat útoky kódovaných i nekódovaných relací.

Sledování aktivity souborového systému

SecureIIS může sledovat soubory a adresáře na vašem serveru zda-li nedošlo k přidání, smazání nebo úpravám. SecureIIS nabízí implicitní seznam těchto souborů a složek ke kterým je samozřejmě možné přidávat nové soubory a složky.

Úprava globálních nastavení

Pokud není implicitní nastavení SecureIIS pro vaše webové servery optimální, můžete jej překonfigurovat buď globálně pro všechny webové sídla serveru, samostatně pro každé webové sídlo nebo pro jednotlivé virtuální adresáře - vše pomocí intuitivního rozhraní typu point-and-click (ukaž a klikni).

• Útoky spojené s přetečením zásobníku (Buffer Overflow)

SecureIIS kontroluje délku všech klientských zásobníků. Jestliže jsou data větší než maximální povolená velikost, SecureIIS přeruší spojení (connection) a tím se zamezí přetečení zásobníku.

• Útoky spojené se syntaxí (Parser Evasion)

Nedostatečně chráněná syntaxe může umožnit útočníkům vzdáleně provádět příkazy na stroji, kde je v provozu webový server. SecureIIS kontroluje přítomnost různých znaků v řetězci, které by útočníkovi umožnily přidávat příkazy mezi běžné hodnoty. Jsou-li takové znaky zjištěny tak SecureIIS přeruší spojení.

• Útoky spojené s průnikem do adresáře (Directory Traversal)

Za určitých okolností mohou být různé znaky a symboly použity k úniku z kořenového adresáře webového serveru a k přístupu k souborům ve zbytku souborového systému. SecureIIS tyto znaky hledá a navíc blokuje přístup do určitých adresářů.

• Obecné zneužití (General Exploitation)

Hledáním obvyklých prostředků útočníků, jako je například cmd.exe mezi daty, může SecureIIS zabránit útočníkovi získat nepovolený přístup k vašemu webovému serveru a jeho datům.

• Ochrana před High-Bit znaky (High-Bit Shellcode Protection)

Normální provoz webu v anglickém jazyce neobsahuje high-bit znaky. SecureIIS odmítne všechny požadavky obsahující tyto znaky, jelikož tyto často signalizují potenciální útok spojený s přetečením zásobníku.

• Shoda s RFC

SecureIIS zabraňuje útočníkům manipulovat s protokolem http při pokusu obejít zabezpečení systému a využít mezery v ochraně.

• Ostatní útoky

SecureIIS provádí dodatečné kontroly za účelem identifikace a odmítnutí požadavků, které obsahují definované příznaky. Omezení se také kladou na velikosti jednotných zdrojových lokátorů (URL/URI), proměnných HTTP, Request metod, velikosti záhlaví Request a ostatního obsahu, který se vztahuje k HTTP.

Chápání obvyklých metod útoku hackerů (CHAM)

Použití bezpečnostních opatření

Poznámka: SecureIIS nepodporuje IIS Proxy Server.