Survey Data Mining:   Home | FAQ | Archive | Glossary
Free Reports
  


You are viewing an outdated report. The latest version of this report was published on March 1st, 2024


    
Firewall-geschützte IIS Server
February 1st, 2016

Die Untersuchung

Dieser Bericht beschreibt Systeme, von denen wir durch eine konventionelle http-Anfrage herausgefunden haben, dass es sich um IIS Server handelt, die durch eine Art NAT (Network Address Translation) Firewall-geschützt werden.

Was ist NAT?
Die IETF (Internet Engineering Task Force) beschreibt die Anwendung von NAT folgendermaßen:

IP V4 Network Address Translation findet wachsende Anwendung im Internet aus verschiedenen Gründen. NAT wird benutzt, um ein privates Netzwerk, das aus unregistrierten IP-Adressen besteht, mit einem globalen IP Netzwerk zu verbinden, und dafür eine begrenzte Anzahl registrierter IP Adressen zu verwenden. NAT werden auch verwendet, um Umnumerierungen in einem privaten Netzwerk zu vermeiden, falls sich die Topologie außerhalb dieses privaten Netzes aus irgendeinem Grund ändern sollte. Es gibt viele weitere Anwendungsbeispiele für NAT.

Im Kontext eines Web Servers, den ein Browser besucht, könnte mit anderen Worten also die IP-Adresse, die wir besuchen eine Sache sein, während der Server, der die gewünschten Daten liefert an einer völlig anderen IP-Adresse zu finden ist. Zwischen beiden sitzt eine Vorrichtung (oft ein Firewall), die die notwendigen Übersetzungen vornimmt um den Datenaustausch zu ermöglichen. Wenn NAT in Gebrauch ist, verwenden die Administratoren üblicherweise eine von drei möglichen Skalen von IP-Adressen, die man private oder non-routable (etwa: nicht verbindbare) Adressen nennt. Diese Bereiche sind für den privaten Gebrauch bestimmt und können nicht direkt vom Internet erreicht werden. Eine separate Vorrichtung, etwa ein Firewall, kann so konfiguriert werden, dass Verkehr von aussen, der in einem bestimmten Anschluss ankommt (z.B. in http Port 80), an eine interne, private Adresse umgeleitet wird, und kann so den Anschein erwecken, dass der Web Server selbst eine öffentliche Adresse besitzt.

Die drei Skalen privater Adressen, wie sie von der IANA (Internet AssignedNumbers Authority) vorgeschrieben werden, sind:

     10.0.0.0     - 10.255.255.255  (10/8 prefix)
     172.16.0.0   - 172.31.255.255  (172.16/12 prefix)
     192.168.0.0  - 192.168.255.255 (192.168/16 prefix)
Wie kann man den Gebrauch von NAT herausfinden?

Wenn eine Browser nach einer Internet Seite anfrägt, benutzt er http. http-Anfragen bestehen aus Instruktionen, welche Seite zurückgeschickt werden soll, während http-Antworten aus Informationen über den Server und das Dokument, das geschickt wird, und dem Dokument selbst bestehen, sei es nun ein html-, text-, gif- oder ein anderes Dokument.

Eine Anfrage an einen typischen Web Server könnte folgendermaßen aussehen:

    $ telnet www2.securityspace.com 80
    Trying 216.201.108.18...
    Connected to www2.securityspace.com.
    Escape character is '^]'.
    GET /sample.html HTTP/1.0

Nachdem die Anfrage gestellt worden ist, die Seite sample.html zurückzusenden, antwortet der Server mit dem http-Header und einem html-Dokument:


    HTTP/1.1 200 OK
    Date: Fri, 04 May 2001 20:08:11 GMT
    Server: Apache/1.3.12 (Unix)
    Connection: close
    Content-Type: text/html

    <HTML>
    <HEAD></HEAD>
    <BODY>Sample Page</BODY>
    </HTML>
    Connection closed by foreign host.
    $

Betrachten wir nun dieselbe Antwort, die wir von einem schlecht konfigurierten IIS-Server erhalten:


    HTTP/1.1 200 OK
    Server: Microsoft-IIS/4.0
    Content-Location: http://10.1.1.1/sample.html
    Date: Wed, 11 Apr 2001 07:22:38 GMT
    Content-Type: text/html
    Accept-Ranges: bytes
    Last-Modified: Tue, 09 Jan 2001 21:41:34 GMT
    ETag: "b43f97ef847ac01:4096"
    Content-Length: 55

    <HTML>
    <HEAD></HEAD>
    <BODY>Sample Page</BODY>
    </HTML>
    Connection closed by foreign host.
    $

Das obige Beispiel zeigt, dass der IIS Server dann ein Header-Feld namens Content-Location zurückschickt, und dass der Eintrag in diesem Feld den Speicherort des angefragten Dokumentes enthält, und zwar aus der Sicht des Web Servers. In diesem Fall offenbart der Eintrag, dass der Web Server durch die private Class A - Adresse 10.1.1.1 angesprochen wird, was einen sicheres Indiz dafür ist, dass zwischen Web Server und dem Internet eine NAT-Vorrichtung sitzt, und dass diese Vorrichtung sehr wahrscheinlich eine Art Firewall ist.

Ist das wirklich ein Problem?
Leider gibt es darauf keine klare Antwort. In den meisten Fällen ist es vermutlich kein Problem. Dennoch kann diese Information, gepaart mit weiteren Misskonfigurationen, einem Hacker genügend Wissen an die Hand geben, um in Ihr Netzwerk einzudringen.

Eine generelle Faustregel ist,niemals mehr Information preiszugeben, als unbedingt nötig.

Was können wir dagegen tun?
Microsoft bietet einen Artikel an (in seiner englischen 'knowledge base'), der beschreibt, wie ein Server konfiguriert werden muss, damit er den vollen Namen der Domain (wie z.B. http://www.ihredomain.com) anstelle einer IP Adresse (wie 10.1.1.1) zurückgibt.

Die Prozedur unterscheidet sich bei den IIS Versionen 4.0 und 5.0. Zusätzlich gibt es aber auch eine alternative Methode, die beinhaltet, statische Internet Seiten mit dem Suffix .asp zu benennen und dann einen eigenen http-Header zu schreiben, der einen expliziten Eintrag in 'Content Location' vornimmt.

Die Statistik
Note when reviewing these numbers that for this report, we look only at distinct IP addresses, NOT host names. This means we're looking at a number that much more accurately reflects the number of IIS servers out there, rather than the number of web sites hosted on these servers.

BeschreibungAnzahlProzentual
Anzahl der untersuchten IIS Server1,103,216100.00%
Anzahl der IIS Server, deren 'Content-Location' - Feld die IP Adresse enthielt770.01%
Anzahl der IIS Server, deren 'Content-Location' - Feld eine IP Adresse enthielt, die sich von der IP, die die Verbindung aufgebaut hatte, unterschied1,8790.17%
Anzahl der IIS Server, die eine private, non-routable IP im Content-Location - Feld enthielten1,7200.16%
Anzahl der IIS Server, die ein privates Class A (10.*.*.*) Netzwerk benutzten6870.06%
Anzahl der IIS Server, die ein privates Class B (172.16-31.*.*) Netzwerk benutzten3190.03%
Anzahl der IIS Server, die ein privates Class C (192.168.*.*) Netzwerk benutzten7140.06%




© 1998-2024 E-Soft Inc. Alle Rechte vorbehalten.