On 19 Apr 2002 at 10:01, Fabio Muzzi wrote:
> Hello erlug,
>
> Ho due idee in testa:
> 1- mi hanno chiesto di rendere sicuro un IIS. Ora, a parte la ovvia
> riposta "cancellalo e installa apache, e gia` che ci sei installa
> anche linux", che il cliente non accetta, mi chiedevo: a parte
> prodotti commerciali costosissimi, cosa si potrebbe fare con uno
> squid installato come "transparent proxy"? Pensate che si potrebbe
> cercare di creare un set di regole per squid che impedisca il
> transito verso IIS dei "ben noti" URL craccatori?
Se sono ben noti, ci sono le ben note patch.
Qualcuno è tutt'ora senza ben nota patch ma riguarda roba su NetBIOS,
SQL e compagnia che puoi sanificare semplicemente chiudendo le
rispettive porte.
L'unica cosa scocciante dei ben noti worm è l'utilizzo di banda e i log
intasati da tutti gli exploit. Per l'utilizzo di banda ti tocca
preparare dei 404 tarocchi, metodi più eleganti e a basso costo uomo
non me ne sovvengono... se non bloccare il tutto ancor prima che
raggiunga la macchina.
Qua mi sa che vai nel campo generico degli IDS. Indovinare quali
potrebbero essere gli URL o i POST malvagi ancora prima di averne una
signature... bhe è una scienza :)
Altra cosa per gli exploit futuri, ti suggerirei di seccare tutte le
associazioni che non ti servono in "Mapping Applicazioni"... PS a volte
ritornano... quindi quando lo hai fatto, al boot successivo controlla
che il mapping non ci sia PIU'.
Fatti il solito giretto su http://www.microsoft.com/security/
dx menu Security Bullettins
sx IT Professionals -> Downloads
+
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/secur
ity/bestprac/MCSWebBP.asp
dove c'è una lista di "cose da fare" e un po' di link a tools.
--
Salve
Ivan Sergio Borgonovo
http://www.webthatworks.it/
uniq life || sleep 24h
|