قابلیت های امنیتی IIS (بخش دوم: فعال سازی و پیکربندی قوانین Request Filtering)

پیرو اطلاعیه ی قبلی منتشر شده ی مرکز ماهر در خصوص "حملات اخیر به چند وب سایت و پورتال سازمانی" و با توجه به درخواست کاربران، مبنی بر ارائه ی جزئیات پیکربندی قابلیت های امنیتی IIS جهت پیشگیری از حملات مشابه، کارشناسان مرکز تخصصی آپا دانشگاه رازی بر آن شدند تا چندین مقاله ی آموزشی در این خصوص آماده نموده و به کاربران ارائه نمایند.

بخش دوم: فعال سازی و پیکربندی قوانین Request Filtering

یک روش مناسب برای افزایش امنیت وب سرورهای ویندوزی، محدود کردن نوع درخواست های http است که توسط IIS پردازش می شوند. ایجاد این قوانین و ممنوعیت ها مانع از ورود درخواست های مخرب به سرور می شود. IIS می تواند درخواست های ورودی را از طریق قوانین تعریف شده   Request Filtering  بلاک کند.

برای مثال می توان قانونی تنظیم کرد که ترافیک مربوط به حملات SQL Injection را فیلتر کند. این کار باعث می شود تا زمانی که این آسیب پذیری از سورس برنامه برطرف می شود، از خطر این نوع حملات جلوگیری شود. برای تنظیم این قواعد باید به صفحه Request Filtering در IIS Manager رجوع کرد. مراحل این کار عبارتند از:

1. IIS Manager  را باز کنید.
2. نام ماشین را انتخاب کنید تا این تنظیمات به صورت سراسری اعمال شود (و یا وب سایت خاصی که می خواهید تنظیمات رویش اعمال شود را مشخص کنید).
3. روی  Request Filteringدو بار کلیک کنید.
4. به تب Rules بروید.
5. Add Filtering Rule  را از قست Actions انتخاب کنید.
6. قوانین مورد نیاز خود را تنظیم کرده و روی OK کلیک کنید تا تغییرات ذخیره شوند.

در تصویر زیر قانونی تنظیم می شود که به IIS دستور می دهد درخواست هایی به صفحات .asp و .aspx که حاوی رشته های خاصی هستند (مثل  select، update،drop  و (... را چک کند. بعد از اعمال این قانون، IIS  درخواست هایی که شامل این رشته ها باشند را بلاک می کند.

منبع:    acunetix.com