Security Forum Usenet Archiv Mailing List Archive  
IDS Firewall Honeypot Honeynet Web Security Linux Security Microsoft Security Virus - Wurm Backdoors - Trojaner Links
I-EYE Security Exploits Security Dokumentationen Security Online Scanner Security Scanner Security Tools Trojaner Portliste Impressum

URLScan






Tool Beschreibung
Mit dem kostenlosen IIS Tool URLScan können Sie bestimmte Webserver Anfragen herausfiltern um Angriffe die auf den Fehlerhaften HTTP Anfragen beruhen zu unterbinden. Durch das Filtern von ungültigen Anfragen kann man solche Angriffe die zum Beispiel die Würmer Code Red und Nimda benutzen von Vornherein verhindern bevor diese überhaupt bekannt werden. Die Voraussetzung ist allerdings das Sie IIS ab Version 4.0 einsetzen.

Installation
URLScan wird installiert bei der Verwendung von Microsofts Lockdown Tools. Den man kostenlos von den Microsofts Webserver downloaden kann. Bei der Ausführung von Lockdown muss das Kontrollkästchen zur Installation von URLScan angekreuzt bleiben.

Konfiguration
Nachdem Lockdown beendet wurde, findet man in dem System32 Verzeichnis ein Ordner mit dem Namen inetsrv\urlscan (z.B. C:\WINNT\system32\inetsrv\urlscan). In dem Installationsverzeichnis finden Sie ein Konfigurationsdatei Namens urlscan.ini diese muss editiert und an unserer Bedürfnisse angepasst werden. Die Optionen die man in der Konfigurationsdatei ändern kann, sind mit kurzen Kommentaren versehen. Ich möchte aber trotzdem die wichtigsten noch einmal beschreiben.

UseAllowVerbs
Wenn diese Variable auf 1 gesetzt wird, dann werden nur Anfragen akzeptiert, die weiter unten in dem Bereich [AllowVerbs] aufgeführt sind. Bei Standard Konfiguration sind das GET, HEAD und POST. Bei dem Wert 0 werden alle Anfragen ignoriert die im Bereich [DenyVerbs] stehen.

UseAllowExtensions
Bei den Voreingestellten Wert 0 dürfen alle Dateien, die nicht explizit in dem Bereich [DenyExtensions] verboten sind, aufgeführt werden. Sollte der Wert auf 1 gesetzt werden, wird der Webserver nur die Dateien ausführen die mit der Erweiterung enden die in dem Bereich [AllowExtensions] erlaubt wurden.

NormalizeUrlBeforeScan
Bei dem Wert 1 wird die URL zuerst interpretiert und die Hexadezimale Zeichen Ersetzt. Zum Beispiel der bekannte Zeichen %20 wir durch den Leerzeichen ersetzt bevor die URL an den Server zur Weiterverarbeitung gegeben wird.

VerifyNormalization
Hier wird überprüft ob die URL die schon Hexadezimale Codierung hat noch mal Hexadezimal codiert wurde.

AllowDotInPath
Innerhalb des Pfades zur einer Datei wird nach den Zechenfolge wie ../ gesucht.

RemoveServerHeader
Bei dem Wert 1 wird das Senden des Webserver Banners unterbunden. Damit die exakte Version des Servers erschwert wird.

EnableLogging
Die Aktivitäten die URLScan unterbunden hat, werden geloggt.

PerDayLogging
Mit dem Wert 1 wirt jeden Tag eine neue Logdatei erzeugt.