Découvrez les fonctionnalités du pare-feu WebKnight pour IIS et la procédure d’installation.

En tant qu’administrateur Middleware, ingénieur web – vous pouvez être amené à travailler sur le serveur web IIS et si vous êtes chargé de gérer l’environnement de production, vous devez à un moment donné vous occuper de la sécurité.

Si vous ne connaissez pas encore le serveur web Microsoft IIS, vous pouvez consulter ce cours en ligne.

Le rapport de vulnérabilité d’ Acunetix sur le serveur web IIS montre que 7 % des cibles de l’échantillon étaient vulnérables.

iis-vulnerability

La sécurisation des applications web est toujours un défi compte tenu de l’augmentation des menaces en ligne. Vous devez envisager toutes les possibilités pour protéger votre site web contre les pirates informatiques. Si vous cherchez à sécuriser un site hébergé sur IIS, vous pouvez envisager d’utiliser WebKnight WAF.

WebKnight est un pare-feu d’application web open-source pour le serveur web IIS par AQTRONiX. Il aide à bloquer les requêtes malveillantes en analysant toutes les requêtes qui parviennent à l’IIS.

Passons en revue quelques-unes de ses fonctionnalités avant de nous lancer dans la procédure d’installation.

  • Interface d’administration – utile pour gérer WebKnight et les statistiques
  • Journalisation – enregistrement des requêtes bloquées ou de toutes les requêtes traitées par WebKnight
  • Compatibilité – utilisation avec WebDAV, Cold Fusion, OWA, Share Point, etc.
  • Protection contre les attaques par force brute
  • Blocage de l’IP – utile pour bloquer les requêtes entrantes provenant d’une certaine IP lorsque vous savez qu’elle est malveillante
  • Protection contre les liens chauds
  • Blocage des robots
  • Analyse des charges utiles GET et POST
  • Mise à jour en temps réel – pas besoin de redémarrer IIS lorsque vous apportez des modifications à WebKnight
  • Cryptage des sessions SSL
  • SQLi, XSS, CSRF, protection contre les fuites d’informations

J’espère que vous avez maintenant une idée de ce que WebKnight WAF peut faire, alors procédons à l’installation.

WebKnight est compatible avec toutes les dernières versions majeures d’IIS 5, 6, 7, 7.5, 8, 8.5 & 10.

Pré-requis

  • La version supportée d’IIS doit être installée
  • Les filtres et extensions ISAPI doivent être activés

Comment activer les filtres et extensions ISAPI ?

Sautez cette étape et passez à la suivante si vous les avez déjà activés. Les instructions ci-dessous concernent Windows 8

  • Allez dans le Panneau de configuration >> Programme et fonctionnalités
  • Cliquez sur “Activer ou désactiver les fonctionnalités de Windows”
  • Développez “Internet Information Services” >> World Wide Web Services >> Application Development Features et sélectionnez ISAPI Extensions & Filters

isapi-filters-extension

  • Cliquez sur OK

Téléchargez et installez WebKnight

La première chose à faire est de télécharger le WAF en allant sur l’URL officielle. Téléchargez la dernière version (à l’heure où j’écris, il s’agit de la 4.4). Elle sera téléchargée au format zip.

webknight-zip

Décompressez le fichier zip téléchargé, et un nouveau dossier sera créé – WebKnight.4.4

  • Allez dans le dossier WebKnight.4.4/Setup/x64
  • Double-cliquez sur le programme d’installation de WebKnight pour démarrer l’installation
  • Cliquez sur suivant

webknight-start-install

  • Acceptez l’accord de licence
  • Sélectionnez “Terminer” et cliquez sur Installer

webknight-select-type

  • L’installation peut prendre quelques minutes et une fois terminée, vous obtiendrez un message de fin d’installation.
  • Sélectionnez “Lancer l’utilitaire de configuration” et cliquez sur Terminer

webknight-finish

Ceci conclut que vous avez installé avec succès un pare-feu WebKnight et que la configuration par défaut est prête à protéger votre serveur Web IIS.

webknight-config

Vous pouvez maintenant modifier la configuration en fonction de vos besoins. Passons en revue quelques-unes des configurations essentielles.

Journalisation

par défaut, il n’écrira que les requêtes bloquées. Cependant, si vous souhaitez écrire tous les journaux, descendez dans la section Journalisation et sélectionnez “Journalisation autorisée”.

webknight-logging

Dans la section de journalisation, vous pouvez également activer d’autres mesures telles que User-Agent, X-Forwarded-For, etc.

Méthode

Les méthodes GET, HEAD et POST sont activées. Si vous avez besoin d’autoriser une autre méthode, allez dans la section Méthodes et ajoutez-la.

Applications Web

Comme mentionné précédemment, WebKnight est compatible avec d’autres applications. Sélectionnez celle dont vous avez besoin dans cette section.

webknight-webapplications

Chaque fois que vous effectuez des changements, vous devez sauvegarder en allant dans Fichier >> Sauvegarder pour que la configuration soit active.

Essayons quelques requêtes malveillantes pour voir comment ce WAF se comporte.

Exécution du script

J’ai essayé /? dans l’URL et cela a été bloqué.

webknight-xss-attack

Bravo !

Voyons le journal

2016-08-31 ; 14:05:46 ; W3SVC1 ; OnPreprocHeaders ; ::1 ; ; localhost ; GET ; / ?<script>xss attack</script> ; BLOCKED : URL is not RFC compliant ; / ; <script>xss attack</script> ; BLOCKED : Parameter name not valid '<script>xss attack</script>' ; BLOCKED : '<script' not allowed in querystring ; HTTP/1.1 ; Mozilla/5.0 (compatible ; MSIE 10.0 ; Windows NT 6.2 ; WOW64 ; Trident/6.0) ; ; MONITORED : Adresse IP (alerte précédente) ; Referer : '' ; User-Agent : 'Mozilla/5.0 (compatible ; MSIE 10.0 ; Windows NT 6.2 ; WOW64 ; Trident/6.0)' ; From : '' ; Accept-Language : 'en-US' ; Accept : 'text/html, application/xhtml xml, */*' ; Content-Type : ''

Comme vous pouvez le voir dans le journal, l’URL est bloquée car elle n’est pas conforme à la RFC.

Le WAF open-source WebKnight pour IIS semble prometteur, et la configuration par défaut protège les serveurs web contre diverses attaques de sécurité.

Essayez-le pour voir si c’est ce que vous recherchez. Si ce n’est pas le cas, vous pouvez toujours faire appel à des fournisseurs de sécurité basés sur le cloud comme SUCURI pour des solutions complètes de sécurité des sites web.