|
Firewall-geschützte IIS Server
September 1st, 2019
Dieser Bericht beschreibt Systeme, von denen wir durch eine konventionelle http-Anfrage herausgefunden haben, dass es sich um IIS Server handelt, die durch eine Art NAT (Network Address Translation) Firewall-geschützt werden.
IP V4 Network Address Translation findet wachsende Anwendung im Internet aus verschiedenen Gründen. NAT wird benutzt, um ein privates Netzwerk, das aus unregistrierten IP-Adressen besteht, mit einem globalen IP Netzwerk zu verbinden, und dafür eine begrenzte Anzahl registrierter IP Adressen zu verwenden. NAT werden auch verwendet, um Umnumerierungen in einem privaten Netzwerk zu vermeiden, falls sich die Topologie außerhalb dieses privaten Netzes aus irgendeinem Grund ändern sollte. Es gibt viele weitere Anwendungsbeispiele für NAT. Im Kontext eines Web Servers, den ein Browser besucht, könnte mit anderen Worten also die IP-Adresse, die wir besuchen eine Sache sein, während der Server, der die gewünschten Daten liefert an einer völlig anderen IP-Adresse zu finden ist. Zwischen beiden sitzt eine Vorrichtung (oft ein Firewall), die die notwendigen Übersetzungen vornimmt um den Datenaustausch zu ermöglichen. Wenn NAT in Gebrauch ist, verwenden die Administratoren üblicherweise eine von drei möglichen Skalen von IP-Adressen, die man private oder non-routable (etwa: nicht verbindbare) Adressen nennt. Diese Bereiche sind für den privaten Gebrauch bestimmt und können nicht direkt vom Internet erreicht werden. Eine separate Vorrichtung, etwa ein Firewall, kann so konfiguriert werden, dass Verkehr von aussen, der in einem bestimmten Anschluss ankommt (z.B. in http Port 80), an eine interne, private Adresse umgeleitet wird, und kann so den Anschein erwecken, dass der Web Server selbst eine öffentliche Adresse besitzt. Die drei Skalen privater Adressen, wie sie von der IANA (Internet AssignedNumbers Authority) vorgeschrieben werden, sind:
10.0.0.0 - 10.255.255.255 (10/8 prefix)
172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
192.168.0.0 - 192.168.255.255 (192.168/16 prefix)
Wenn eine Browser nach einer Internet Seite anfrägt, benutzt er http. http-Anfragen bestehen aus Instruktionen, welche Seite zurückgeschickt werden soll, während http-Antworten aus Informationen über den Server und das Dokument, das geschickt wird, und dem Dokument selbst bestehen, sei es nun ein html-, text-, gif- oder ein anderes Dokument. Eine Anfrage an einen typischen Web Server könnte folgendermaßen aussehen:
$ telnet www2.securityspace.com 80
Trying 216.201.108.18...
Connected to www2.securityspace.com.
Escape character is '^]'.
GET /sample.html HTTP/1.0
Nachdem die Anfrage gestellt worden ist, die Seite sample.html zurückzusenden, antwortet der Server mit dem http-Header und einem html-Dokument:
HTTP/1.1 200 OK
Date: Fri, 04 May 2001 20:08:11 GMT
Server: Apache/1.3.12 (Unix)
Connection: close
Content-Type: text/html
<HTML>
<HEAD></HEAD>
<BODY>Sample Page</BODY>
</HTML>
Connection closed by foreign host.
$
Betrachten wir nun dieselbe Antwort, die wir von einem schlecht konfigurierten IIS-Server erhalten:
HTTP/1.1 200 OK
Server: Microsoft-IIS/4.0
Content-Location: http://10.1.1.1/sample.html
Date: Wed, 11 Apr 2001 07:22:38 GMT
Content-Type: text/html
Accept-Ranges: bytes
Last-Modified: Tue, 09 Jan 2001 21:41:34 GMT
ETag: "b43f97ef847ac01:4096"
Content-Length: 55
<HTML>
<HEAD></HEAD>
<BODY>Sample Page</BODY>
</HTML>
Connection closed by foreign host.
$
Das obige Beispiel zeigt, dass der IIS Server dann ein Header-Feld namens Content-Location zurückschickt, und dass der Eintrag in diesem Feld den Speicherort des angefragten Dokumentes enthält, und zwar aus der Sicht des Web Servers. In diesem Fall offenbart der Eintrag, dass der Web Server durch die private Class A - Adresse 10.1.1.1 angesprochen wird, was einen sicheres Indiz dafür ist, dass zwischen Web Server und dem Internet eine NAT-Vorrichtung sitzt, und dass diese Vorrichtung sehr wahrscheinlich eine Art Firewall ist.
Eine generelle Faustregel ist,niemals mehr Information preiszugeben, als unbedingt nötig.
Die Prozedur unterscheidet sich bei den IIS Versionen 4.0 und 5.0. Zusätzlich gibt es aber auch eine alternative Methode, die beinhaltet, statische Internet Seiten mit dem Suffix .asp zu benennen und dann einen eigenen http-Header zu schreiben, der einen expliziten Eintrag in 'Content Location' vornimmt.
Sicherheits Überprüfungen | Verwaltete DNS | Netzwerk Überwachung | Webseiten Analysator | Internet Recherche Berichte Web Sonde
© 1998-2019 E-Soft Inc. Alle Rechte vorbehalten. | |||||||||
