none
Sicurezza in IIS6 sui IP range RRS feed

  • Domanda

  • Qualcuno mi spiega perchè IIS6 (sia win2k3 che win2k3 R2), pur mettendo sia in FTP (che HTTP) il range sul gruppo: 218.0.0.0 / 218.255.255.255 sti brute force riescono a pasasre ugualmente?

    **** Log:
    C:\WINDOWS\system32\LogFiles\MSFTPSVC1\ex101020.log

    #Fields: time c-ip cs-method cs-uri-stem sc-status sc-win32-status
    02:24:13 218.242.182.42 [3]USER Administrator 331 0
    02:24:13 218.242.182.42 [3]USER Administrator 331 0
    02:24:13 218.242.182.42 [3]PASS - 530 1326
    02:24:14 218.242.182.42 [3]USER Administrator 331 0
    02:24:14 218.242.182.42 [3]closed - 426 64


    Fritz [MVP Expression Web] and web editors Ms Frontpage Sharpoint Designer 2007
    venerdì 22 ottobre 2010 16:01

Risposte

  • Qualcuno mi spiega perchè IIS6 (sia win2k3 che win2k3 R2), pur mettendo sia in FTP (che HTTP) il range sul gruppo: 218.0.0.0 / 218.255.255.255 sti brute force riescono a pasasre ugualmente?

    **** Log:
    C:\WINDOWS\system32\LogFiles\MSFTPSVC1\ex101020.log

    #Fields: time c-ip cs-method cs-uri-stem sc-status sc-win32-status
    02:24:13 218.242.182.42 [3]USER Administrator 331 0
    02:24:13 218.242.182.42 [3]USER Administrator 331 0
    02:24:13 218.242.182.42 [3]PASS - 530 1326
    02:24:14 218.242.182.42 [3]USER Administrator 331 0
    02:24:14 218.242.182.42 [3]closed - 426 64


    Fritz [MVP Expression Web] and web editors Ms Frontpage Sharpoint Designer 2007

    Ciao Fritz, scusa ma ti sei spiegato come un libro chiuso ;-)

    che vuol dire "mettendo sul range..." ? se il web server è pubblicato su internet (in qualunque modo lo sia) è ovvio che un portscanning e un tentativo di brute force possano subirlo. ma se tu disabiliti l'account administrator e ti crei un'altro account con diritti amministrativi, come consigliato nelle best practices, vivi felice e sereno.

    buon fine settimana.


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    sabato 23 ottobre 2010 08:10
    Moderatore
  • [CONCLUSIONE test su articolo di Chris Stinson]

    http://www.iishacks.com/2009/11/10/block-ip-addresses-using-ip-security-policy-in-windows-server-2003/

    come indicato nel messaggio di attenzione del wizard, la creazione del blocco IP inserendo un nuovo criterio, non funziona se non si ha un server di dominio. Un server webfarm come i miei non possono quindi adottare questa soluzione. Peccato.

    Per mettere in sicurezza dai fastidiosi brute force su FTP ed HTTP ho dovuto usare le apposite proprietà di FTP ed HTTP di IIS (protezione directory) mentre per tagliare fuori i tentativi di brute force su RDP ho dato un'ambito ai miei IP nelle eccezioni di windows firewall.

    La soluzione di un punto centrale unico sul quale aggiornare l'elenco dei IP bannati non è possibile.


    Fritz [MVP Expression Web] and web editors Ms Frontpage Sharpoint Designer 2007
    venerdì 24 dicembre 2010 09:45

Tutte le risposte

  • Qualcuno mi spiega perchè IIS6 (sia win2k3 che win2k3 R2), pur mettendo sia in FTP (che HTTP) il range sul gruppo: 218.0.0.0 / 218.255.255.255 sti brute force riescono a pasasre ugualmente?

    **** Log:
    C:\WINDOWS\system32\LogFiles\MSFTPSVC1\ex101020.log

    #Fields: time c-ip cs-method cs-uri-stem sc-status sc-win32-status
    02:24:13 218.242.182.42 [3]USER Administrator 331 0
    02:24:13 218.242.182.42 [3]USER Administrator 331 0
    02:24:13 218.242.182.42 [3]PASS - 530 1326
    02:24:14 218.242.182.42 [3]USER Administrator 331 0
    02:24:14 218.242.182.42 [3]closed - 426 64


    Fritz [MVP Expression Web] and web editors Ms Frontpage Sharpoint Designer 2007

    Ciao Fritz, scusa ma ti sei spiegato come un libro chiuso ;-)

    che vuol dire "mettendo sul range..." ? se il web server è pubblicato su internet (in qualunque modo lo sia) è ovvio che un portscanning e un tentativo di brute force possano subirlo. ma se tu disabiliti l'account administrator e ti crei un'altro account con diritti amministrativi, come consigliato nelle best practices, vivi felice e sereno.

    buon fine settimana.


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    sabato 23 ottobre 2010 08:10
    Moderatore
  • > che vuol dire "mettendo sul range

    Nelle proprietà della cartella Siti FTP (come in quella siti web) accedendo alle proprietà si trova la cartella "protezione directory" in cui è possibile impostare le limitazioni di accesso ai siti.

    > ovvio che un portscanning e un tentativo di brute force possano subirlo

    Quando si inserisce in questa cartella di protezione (Limitazioni sull'indirizzo IP e sul nome di dominio) un IP o un range IP, si inibisce la risposta di IIS e, al IP entrante, viene restituito un log di accesso non consentito. Questo funziona benissimo con molti dei IP e range già immessi. Ma a quanto pare su quello indicato (su due macchine) no. La mia domanda era finalizzata a comprendere se questa funzionalità di protezione abbia delle limitazioni di memoria o di testo o altro.

    > disabiliti l'account administrator

    E' la prima cosa che mi hai insegnato e che perseguo da sempre! Anzi, sto informandomi per trovare qualche software per *rispondere* ai tentativi di brute force. Non ho tempo di studiarmi codifiche e cerco roba già pronta. Mi hai già indicato di guardare ISA Server - che farò con la prossima macchina.

    > vivi felice e sereno.

    Questi parassiti asiatici (perchè e da li sopratutto che vengono queste aggressioni medievali) mi riempono di log e questo mi rompe. Per sorveglianza devo tenerli aperti e quando questi avventurieri ci provano mi si riempe C:\WINDOWS\system32\LogFiles\MSFTPSVC1.

    Grazie della tua onnipresente presenza ...;)))


    Fritz [MVP Expression Web] and web editors Ms Frontpage Sharpoint Designer 2007
    sabato 23 ottobre 2010 09:39
  • Grazie della tua onnipresente presenza ...;)))
    Fritz [MVP Expression Web] and web editors Ms Frontpage Sharpoint Designer 2007


    hai verificato con un range di test bloccato nella security di IIS se qualcosa venga loggato ugualmente ?

    potrebbe anche essere che vedi eventi cme quelli che hai postato venir loggati ma che il blocco dell'ip stia funzionando ugualmente.

    comunque, ormai ISA non lo trovi più, potrai usare Forefront Threat Management Gateway o, ancor meglio, Forefront Unified Access Gateway.

    spero di incontrarti ai prossimi OD.


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    sabato 23 ottobre 2010 10:07
    Moderatore
  • > se qualcosa venga loggato ugualmente ?

    Si avevo già fatto questa prova e non c'era traccia di log mentre all'IP veniva restituito errore ??? non possibile accesso senza autorissazione o roba simile; non ricordo il tipo di log.

    > spero di incontrarti ai prossimi OD.

    Ho avvertito Alead di un grave problema in famiglia che sta avendo il suo epilogo proprio in queste settimane. Se ci sarò lo potrò decidere solo all'ultimo momento....

    Grazie per le tue dritte!

    P.S:= ISA Server lo trovo su MSDN. Dovrebbe andare bene; quanto meno me lo devo guardare... Altri prodotti poi.


    Fritz [MVP Expression Web] and web editors Ms Frontpage Sharpoint Designer 2007
    sabato 23 ottobre 2010 10:36
  • Ho avvertito Alead di un grave problema in famiglia
    spero che si risolva tutto, un abbraccio.
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    sabato 23 ottobre 2010 17:43
    Moderatore
  • Edo... ho trovato questo articolo sulla chiusura per qualsiasi servizio di un certo range di IP utilizzando questa procedura via MMC e IP Security Policy Management. Tu ci hai mai provato?

    http://www.iishacks.com/2009/11/10/block-ip-addresses-using-ip-security-policy-in-windows-server-2003/

    Esiste un articolo italiano su questa procedura?


    Fritz [MVP Expression Web] and web editors Ms Frontpage Sharpoint Designer 2007
    giovedì 2 dicembre 2010 20:03
  • Ciao Fritz,

    l'articolo in italiano non lo trovo comunque è abbastanza facile da seguire anche in inglese.

    Questo metodo non l'ho mai provato ma ho letto tutto e funzia di sicuro.


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    venerdì 3 dicembre 2010 08:52
    Moderatore
  • > non l'ho mai provato ma ho letto tutto e funzia di sicuro.

    Sto facendo i test in questi giorni. A parte che, come sempre, la traduzione italiana è fatta da cani... ho seguito le istruzioni ma è apparso un problema che il redattore Chris Stinson non ha menzionato. Il server deve essere un server di domino (mi è apparso il messaggio di attenzione); mentre invece la mia webfarm non lo è (non ho assegnato un dominio). Ho proseguito ugualmente con la creazione del nuovo criterio e ti saprò dire se funziona anche con la mia attuale impostazione. 

    Secondo te funzionerà ugualmente?
    Fritz [MVP Expression Web] and web editors Ms Frontpage Sharpoint Designer 2007
    giovedì 23 dicembre 2010 16:14
  • [CONCLUSIONE test su articolo di Chris Stinson]

    http://www.iishacks.com/2009/11/10/block-ip-addresses-using-ip-security-policy-in-windows-server-2003/

    come indicato nel messaggio di attenzione del wizard, la creazione del blocco IP inserendo un nuovo criterio, non funziona se non si ha un server di dominio. Un server webfarm come i miei non possono quindi adottare questa soluzione. Peccato.

    Per mettere in sicurezza dai fastidiosi brute force su FTP ed HTTP ho dovuto usare le apposite proprietà di FTP ed HTTP di IIS (protezione directory) mentre per tagliare fuori i tentativi di brute force su RDP ho dato un'ambito ai miei IP nelle eccezioni di windows firewall.

    La soluzione di un punto centrale unico sul quale aggiornare l'elenco dei IP bannati non è possibile.


    Fritz [MVP Expression Web] and web editors Ms Frontpage Sharpoint Designer 2007
    venerdì 24 dicembre 2010 09:45
  • grazie per aver aggiornato la community con i risultati del tuo test.

    Buon Natale.

    ciao.


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    venerdì 24 dicembre 2010 10:27
    Moderatore