M 6.86 Schutz vor schädlichem Code auf dem IIS
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Für einen Web-Server, der nur Informationen über das HTTP-Protokoll zur Verfügung stellt, ist die Bedrohung durch Computer-Viren, Würmer und Trojanische Pferde eher gering. Dennoch zeigen aktuelle Ereignisse, dass auch reine Informations-Server auf Basis von HTTP unter Ausnutzung systemspezifischer Schwachstellen mit schädlichem Code infiziert und für weitere Angriffe ausgenutzt werden können.
Ein Beispiel für eine solche Attacke ist der Computer-Virus bzw. Wurm Code Red, der seit Juli 2001 in verschiedenen Varianten auftritt. Dieser Wurm ist ein selbstreplizierendes, schädliches Programm, das sich eine Schwachstelle im Microsoft Internet Information Server zu Nutze macht, indem es einen Pufferüberlauf erzeugt. Gefährdet sind alle Computer, auf denen IIS 4.0 oder 5.0 und Index Server 2.0 (bzw. Indexing-Service bei Windows 2000) installiert sind. Dazu kommen diverse Produkte von Cisco, die mit dem IIS arbeiten.
Ein wirksamer Schutz vor Programmen, die systemspezifische Schwachstellen ausnutzen, kann nur durch zeitnahes Einspielen von Sicherheits-Patches erreicht werden. Gegen Code Red sind bei Microsoft entsprechende Patches sowohl für Windows NT als auch für Windows 2000 verfügbar (siehe http://www.microsoft.com/technet/security/bulletin/MS01-033.asp).
Um ein IIS-System auf bestehende Schwachstellen zu prüfen, werden sowohl von Microsoft wie auch von Drittherstellern verschiedene Prüfwerkzeuge und Scanner angeboten. Mit dem Tool HFCHECK.WSF von Microsoft (siehe http://www.microsoft.com/Downloads/Release.asp?ReleaseID=24168) kann beispielsweise der aktuelle Patchstatus für Windows NT und Windows 2000 sowie die aktuellen Hotfixes für IIS 4.0 und IIS 5.0 untersucht werden. Ein spezieller Scanner für den Code Red wird von der Firma eEye Digital Security kostenlos bereit gestellt (siehe http://www.eeye.com/html/Research/Tools /codered.html).
Die Gefahr einer Virusinfektion eines Web-Servers steigt bei zusätzlich angebotenen Diensten und veränderbaren Datenbeständen. Fungiert der Web-Server z. B. auch als FTP-Server oder ist ein HTTP-Download möglich, muss natürlich sichergestellt sein, dass die angebotenen Dateien vertrauenswürdig sind und keine Viren enthalten. Zum Schutz gegen Computer-Viren werden eine Reihe von Virenschutzprogrammen angeboten. Maßgeblich für die Effektivität dieser Programme ist ihre kontinuierliche Aktualisierung, da immer neue Computer-Viren auftauchen. Weitere Hinweise hierzu finden sich im Baustein B 1.6 Computer-Viren-Schutzkonzept.
Ab IIS 4.0 wird HTTP 1.1 unterstützt, so dass ein Upload von Dateien mit der HTTP-Methode PUT unter Verwendung eines kompatiblen Browsers möglich ist. Durch die Möglichkeit von Uploads auf einem Web-Server ensteht eine weitere Gefahr, dass schädlicher Code in das System eingebracht wird. Um das Risiko für Uploads auf den IIS zu minimieren, sollten folgende Empfehlungen beachtet werden:
- Wenn keine Möglichkeit zum Datei-Upload benötigt wird, ist die gesamte Unterstützung für Uploads zu deaktivieren. Beispielweise sind die Frontpage Server-Erweiterungen zu entfernen (siehe auch M 4.187 Entfernen der FrontPage Server-Erweiterung des IIS).
- Die Zugriffsrechte auf Dateien und Verzeichnisse sollten möglichst restriktiv vergeben werden (siehe auch M 4.185 Absichern von virtuellen Verzeichnissen und Web-Anwendungen beim IIS-Einsatz ). Ein allgemeines Schreibrecht der Gruppe Jeder ist zu vermeiden.
- Uploads sollten nur auf einer separaten Festplatte bzw. Partition ermöglicht werden.
- Voraussetzung zum Upload ist eine Authentisierung des Benutzers (siehe auch M 4.180 Konfiguration der Authentisierungsmechanismen für den Zugriff auf den IIS).
- Die Verzeichnisse im Upload-Bereich sollten nur über Schreibrecht (kein Ausführungsrecht) verfügen.
- Die Inhalte sind auf schädlichen Code zu prüfen, z. B. durch Einsatz eines Content-Scanners.
- Alle Uploads sind zu protokollieren.
Ergänzende Kontrollfragen:
- Wurden die aktuellen Patches und Hotfixes eingespielt?
- Werden auf den Servern geeignete Virenschutzprogramme eingesetzt?
- Wird der Server vor unberechtigten Uploads geschützt?