Dynamic IP Restrictions for IIS

Czasem pojawia sie jakis nowy produkt, który moze nie jest specjalnie odkrywczy, ale i tak cieszy. Dla mnie przykladem takiego wynalazka jest tytulowy Dynamic IP Restrictions for IIS. Cala idea jest bardzo prosta: skoro z jednego adresu IP, do naszego IISa przychodzi zbyt wiele zadan, to moze ten adres IP jest niegrzeczny i nalezaloby go zablokowac?

Koncepcja stara jak serwery w Internecie, ale do tej pory wymagala kombinowania. OK., powiedzmy, ze nawet ten produkt nie jest nowy, ale wersja beta 2 jest calkiem swieza i a nuz warto ja obejrzec?

Najcenniejsza funkcjonalnoscia jest ograniczanie zapedów rozmaitych automatów, które od serwera IIS chca za duzo i za szybko. W praktyce oznacza to albo jakies skanowanie, albo automaty odgadujace haslo albo atak DoS. Po zainstalowaniu dodatku, w konsoli zarzadzajacej IIS pojawia sie nowa ikonka pozwalajaca na zablokowanie zadan z danego adresu IP jezeli jest ich zbyt duzo równoczesnie lub jezeli ich ilosc bedzie zbyt duza w zadanym czasie.

image

image

Proste i dziala. Oczywiscie mozna tez skonfigurowac adresy, które nigdy nie zostana zablokowane. Blokady sa oczywiscie logowane.

Zablokowanie zadan w praktyce oznacza jedna z trzech rzeczy:

  • Zerwanie polaczenia i brak jakiejkolwiek odpowiedzi
  • Odpowiedz z kodem 404
  • Odpowiedz z kodem 403

Klient dostaje wtedy ladny IISowy komunikat, który oczywiscie mozna dowolnie zmodyfikowac.

image

Jak dla mnie, Microsoft Dynamic IP Restrictions for IIS jest kandydatem na obowiazkowa pozycje na wszelkich "checklistach" dla serwerów IIS.

Autor: Grzegorz Tworek [MVP]