【IIS7】 Tech・Ed 2008 セッション振り返り(16)
さて、このタイトルでご紹介するOOBツールとしては最後の一つになりました。実はIIS7以外でもとても重要なものなので、Tech・Edのセッションでも最後に取り上げたものになります。
アイテム №15
「UrlScan 3.0」
(アイコンなし)
説明
管理者が設定したルールに基づいてリクエストをフィルタリングするセキュリティツール
特徴
●UrlScan 2.5よりも自由度の高い構成
●IIS5.1以降へのインストールを可能にするインストーラ
●URL、クエリーストリング、へッダー あるいはこれらの組合せに対して拒否ルールの設定
●エスケープシーケンスを含むURLやクエリーストリング対応
●ワーカープロセスをリサイクルしないで構成反映
ベネフィット
管理者が指定したルールに従ってリクエストをフィルタリングすることでサーバーを攻撃から守る。フィルタリングを通過したリクエストのみがWebサーバーで処理される。
利用可能 OS
Windows Server XP SP2 (IIS 5.1) 以降。IIS7も含む。
IIS7環境では管理者実行でインストールしなければいけない
その他前提条件
このツールによって攻撃を受ける危険性は減少しますが、最新のセキュリティ更新、HotFixの評価、適用は引き続き実施すべきです。
入手先
UrlScan version 3.0 RTW - x86
UrlScan version 3.0 RTW - x64
開発ステージ
製品版(RTW)
ドキュメンテーション
Using UrlScan
https://learn.iis.net/page.aspx/473/using-urlscan/
セッションより
このツールはすごく重要なので急ブレーキをかけてきちんとお話したつもりです。まず、このツールは繰り返しますが、IIS7.0 に限定したものではありません。IIS6.0 開発後に登場したリクエストをフィルターするツールとして UrlScan2.5 がありますが、それのバージョンアップです。大きな注目点は SQLインジェクションの対応です。
IIS7.0にはリクエストフィルタリングという機能が標準でついていますが、これは UrlScan2.5 の機能を標準機能として取り込んだものになっています。なのでリクエストフィルタリングは UrlScan2.5+α 相当ということになります。しかし、UrlScan3.0の持っているクエリーストリングをベースにしたフィルタリングができないので、要するにSQLインジェクション対応はしていません。なので、このツールは現時点ではIIS7.0にも適用すべきです。 将来的な予想としては リクエスト フィルタリング モジュールのUpdate版が出る方向性です。
SQLインジェクション対応を全アプリケーションでちゃんとやっているのでなければこのツールはIIS5.1以降の環境では必ず検討した方がいいでしょう。
感想
IIS は6.0からセキュリティには大変敏感な製品になりました。IIS7.0の開発後も新バージョンの UrlScan を提供する方針を貫いてくれた点はすごくうれしく思っています。
余談
適用するべきよくあるシナリオに関しては以下の記事をご覧ください。