Dynamic IP Restrictions Extension pour lutter contre les Dénis de Service avec IIS

Par Xavier Poli, secuobs.com
Le 24/02/2009

---

Résumé : Dynamic IP Restrictions Extension est un module gratuit pour IIS qui va lui permettre de lutter dynamiquement contre les Dénis de Service via des règles de filtrage temporaires ou permanentes à l'encontre des adresses IP des clients HTTP incriminés. - Lire l'article



En 2008, Microsoft a publié des outils ( lien ) à destination des administrateurs système et bases de données ainsi que pour les développeurs web afin qu’ils puissent réduire les impacts des attaques dites par injection SQL ( voir notre dossier - lien ). Aujourd’hui, ils réitèrent l’expérience avec un utilitaire gratuit visant à réduire les probabilités de réussite des attaques basiques par Déni de Service ( lien ) sur les serveurs Web de la marque.

Cet utilitaire, prévu pour garantir une disponibilité maximale des serveurs Web de type Internet Information Server ( IIS - lien ), est connu sous le nom de Dynamic IP Restrictions Extension ( lien ), il se trouve dès à présent disponible au téléchargement en version beta pour les architectures 32-bit ( lien ) et 64-bit ( lien ). Plus concrètement, il s’intègre de façon homogène au sein de la version 7.0 des serveurs Microsoft Internet Information Services en ajoutant une couche additionnelle de sécurisation et de défense face aux attaques externes par Déni de Service.

Il se destine avant tout aux professionnels et aux hébergeurs de serveurs qui souhaitent avoir à disposition un module configurable et flexible permettant de bloquer des attaques par Déni de Service ou tout au moins en réduire les conséquences sur les cibles attaquées. Il peut aussi s’avérer utile pour endiguer les attaques par injection SQL au même titre que celles par force brute ( lien ) visant le cassage des mots de passe associés à des services Web hébergés par IIS. La détection est alors également opérée, lors de l’inspection des requêtes, via des recherches sur des chaînes spécifiques et significatives d’attaques de ce type.

Pour ce faire, Dynamic IP Restrictions Extension va mettre en place automatiquement, après analyse et détection, des blocages d’ordre temporaires qui vont porter sur les adresses IP des clients HTTP semblant être à l’origine de trafics malicieux pouvant impliquer des tentatives hostiles d’attaques comme celles précédemment citées. A noter que l’analyse et le blocage peuvent être réalisés aussi bien au niveau du serveur Web dans sa globalité que plus particulièrement pour un ou plusieurs sites donnés, sans pour autant impacter l’accessibilité de ce client à l’ensemble des sites hébergés par le serveur IIS.

Le blocage temporaire des adresses IP concernées par la détection peut être contrôlé en fonction du nombre de requêtes concurrentes effectuées depuis une même source. De plus, ce blocage peut également être configuré de façon à ce que la détection de l’ensemble des requêtes concurrentes soit répartie dans une fenêtre temporelle donnée afin de garder une traçabilité dans le temps via la linéarité des activités. Dynamic IP Restrictions Extension est compatible avec les serveurs IIS installés sur des systèmes de type Microsoft Windows Server 2008, Microsoft Windows Vista SP1 et Windows Seven.

Parmi les réponses possibles à une attaque, il est possible de configurer le serveur de façon à renvoyer une 403 ( pas d’autorisation - lien ), une 404 ( contenu manquant - lien ) ou tout simplement ne pas renvoyer de réponse du tout en jetant au préalable la connexion http incriminée. Sont également supportées les listes statiques d’adresses IP ou de noms de domaine qui sont à bloquer de façon permanente. Les différents éléments qui ne doivent jamais être bloqués temporairement sont également définissables par une liste statique.

L’ensemble des éléments détectés est enregistré dans un fichier journalisé ( voir notre dossier - lien ) au format W3C ( lien ). Les adresses IP temporairement bloquées peuvent ensuite être consultées en temps réel soit avec l’interface de gestion, soit via la commande appcmd ( lien ) ou bien encore avec l’interface de programmation ( API - lien ) Runtime Status and Control ( RSCA - lien ) de IIS. A savoir également qu'il gère tout aussi bien le protocole IPv4 ( lien ) que IPv6 ( lien ).

A noter que si le serveur Internet Information Server 7.0 est déjà installé sur le système d’exploitation avec les anciennes ( lien ) fonctionnalités de restriction statique par domaine et par adresse IPv4, celles-ci devront être désinstallées lors du processus d’installation du module Dynamic IP Restrictions Extension, sans pour autant que les anciennes configurations soient perdues au passage car il fonctionnera alors comme un remplaçant pour l’ancien module et récupérera donc activement les configurations qui avaient été jusqu’alors mises en place à ce niveau.

La version 32-bit ( lien )
La version 64-bit ( lien )
Le forum de support ( lien )

Source : Ars Technica Security ( lien )