comment parser intelligement les logs IIS pour determiner les tentatives d'exploitations des failles de sécurité.
Comment s'en prémunir de façon cohérentes et quelles contre-mesures adopter?
 
 
   

Sous IIS tu install IISloockdown et urlscan.
Comme ça cela te bloque une bonne partie des failles. Ensuite il ne te reste qu'as le mettre à jour régullierement.
 
T'as aussi BaseLine Analyser Agent sur le sites de µsoft qui te^permets de voir les failles de ton system

 
Une façon pour s'en prèmunir de façon efficace (au niveau applicatif) :
 
1) mettre un serveur web en reverse-proxy devant ton serveur iis qui ne soit pas iis.
 
Par exemple avec apache enn reverse-proxy :
http://httpd.apache.org/docs/mod/mod_proxy.html (bien le configurer pour ne pas faire relais ouvert).
 
2) Utiliser mod_eaccess d'apache pour filter les url (attention c'est très gourmand en ressource, mieux vaut une machine dédiée).
http://www.flopgun.net/christophe/ [...] s-orig.php
 
 
Désavantage : ce n'est pas légé à mettre correctement en place. Par contre on gagne énormément au niveau sécurité.

 
iislockdown ne filtre rien à ma connaissance c'est juste un 'interrupteur' de service!

 
je ne veux pas de reverse-proxy, ni même créér une DMZ ou quoi que ce soit, mais je voudrais interpréter intelligemment des logs IIS et pouvoir faire ressortir les IDS et autres tentatives d'exploitations de failles.