[port139:00703] Re: FYI: SANS Institute レポート

[Hideaki Ihara <hideaki@xxxxxxxxxxxxx>]

Port139 伊原です。

On Fri, 05 Oct 2001 10:38:24 +0900
KOJIMA Hajime / 小島肇 <kjm@xxxxxxxxxxxxxxxxxx> wrote:

>  IIS 6.0 ではようやくデフォルト off になるようですが、気がつくの
>  が遅いんだってば……。それでも、一歩前進には違いない。

IIS Lockdown ツールも日本語に対応してでるみたいですね。
URLscan もデフォルトでインストールされてていいくらいだと思いますが...

Scan 読まれている方は気が付いたかもしれませんが、SecureIIS のレビュー
を書かせていただいた関係で、SecureIIS をいろいろテストしてたんでうすが
なかなか興味深い製品ですね。

CodeRed のログを SecureIIS の入った IIS に送信した場合

 -最初はクエリー文字列長の制限でブロックされる
 -文字列長を長くしても、ハイビット シェルコードでブロックされる

という感じでした。以前ここに出てましたように、日本語ファイル名は使えま
せんがまぁあまりこれが問題なることはないでしょうね。
で、同じことを URLscan でやってあげると

 -.ida の拡張子でまずブロックされる
 -拡張子を許している場合には当然ブロックされない

URLscan では、UTF8 などを許可するか、ASCII だけにするかというスイッチ
がありますが、仮にこれを ON にして ASCII だけにしてもフィルタできませ
ん（当然といえば当然ですが・・）

SecureIIS も URLscan も面白いのはキーワードなどを指定することでリクエ
ストをブロックできる点ですね。
IIS が安全になってもその上で動く CGI アプリケーションなどに脆弱性があ
ればやっぱり駄目だと思うのですが、Gurad3 のように文字列を認識して防御
できますので、ある意味アプリケーションの保護がやりやすいのではないかと
感じています。

Apahce で似たようなモジュールってあるんでしょうか？
＃リクエストに含まれる文字列を置換やブロックする機能

怪我の功名というのかしら・・・

ps
SecureIIS と URLscan を比べると、マージした製品が欲しくなりますね（笑）
文字列チェックはどっちもブロックしてしまい Guard3 のように置換してくれ
ないので、最悪 3つを入れるべき？

---

Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/