ツールボックス: IT プロフェッショナル向けの新製品
今月のツールボックス コラムで紹介するツールを使用すると、ソフトウェア ベースの Web アプリケーションの保護を追加し、簡単かつ手軽な方法でファイルを転送できます。
Greg Steen
ServerDefender VP
攻撃者は Web アプリケーションを標的とすることがよくあり、セキュリティをかいくぐって社会保障番号やクレジット カード情報などのきわめて重要な情報を盗みます。そのため、Web サーバーを保護するためにできる限りのことをする必要があります。たとえば、最新の修正プログラムとサービス パックを適用して Web サーバーを最新の状態に保つ、Web サーバーの外側にハードウェア ファイアウォールを実装する、保護を強化するためにソフトウェア ベースの Web アプリケーション ファイアウォールを使用して攻撃対象領域を減らし、脅威を軽減する、といった作業です。
Port80 Software 社が提供する ServerDefender VP を使用すると、ソフトウェア ベースの保護を強化できます。このエンタープライズ クラスのソリューションは、"完全な Web アプリケーション セキュリティ ライフサイクル管理ツール" として盛んに宣伝されています。ServerDefender VP をインストールする場合は、ハードウェア ファイアウォールと異なり、ダウンタイムが最小限で済みます。また、実際に着信接続をブロックする前に ServerDefender VP を log only (ログ専用) モードで実行して、ServerDefender VP がニーズに合った形で構成されていることを確認できます。
このツールは、あらかじめ構成され、実行する準備が整った状態になっていますが、組み込みの Safe Start Wizard (セーフ スタート ウィザード) という学習ツールを使用してサーバーの要求と応答のパターンを調べることができます (この作業を行わないと、アプリケーションによって警告が表示されます)。また、このツールでは、既存のログ ファイルを分析して、サイトにおける "通常の" トラフィック ガイドラインを特定します。Safe Start Wizard (セーフ スタート ウィザード) では、ログをスキャンし、404 エラーを分析して、アクティブ セッションで要求フィルターを有効にするまでの Cookie の猶予期間を設定するようにユーザーに要求します。
ServerDefender VP では、クロスサイト スクリプト攻撃、SQL およびスクリプト インジェクション攻撃、クロスサイト リクエスト フォージェリ (CSRF)、不適切なエラー処理、セッション管理、Broken アクセス コントロール、および同様の Web 攻撃から保護します。また、バッファー オーバーフロー保護、サービス拒否などのブルート フォース攻撃の検出、入力検証、Cookie の改ざんからも保護します。
ServerDefender VP は、IIS 6、7、および 7.5 に対応しており、SSL と標準の HTTP 要求と応答を処理します。ServerDefender VP は、カード所有者の情報を保護する支払いカード業界データ セキュリティ基準 (PCIDSS) に準拠しています。これは、サイトでクレジット カード情報を扱う方にとって朗報です。
このツールを log only (ログ専用) モードで実行すると、IIS ログの分析だけでなく、アプリケーション ログを分析して明確な要求パターンを把握できます。また、構成を検証して、誤検知をフィルター処理しないようにすることもできます。誤検知をフィルター処理すると、正当な要求がブロックされることがあります。ServerDefender VP に用意されている Configuration Wizard (構成ウィザード) では、サイトのバインド、アプリケーション プール、ASP.NET セッションの状態、および RSS フィードを調べて、互換性を確保し、既定の構成オプションを設定します。固定されないセッションでロード バランサーを使用しているかどうかをアプリケーションに通知できます。
ServerDefender VP のインターフェイスでは、Microsoft 管理コンソール (MMC) と類似した操作性が実現されています。サーバーと Web サイトが左ペインに表示され、構成とレポート インターフェイスがメイン ペインに表示されます。メイン ペインは、[Site Status] (サイトの状態)、[Request Management] (要求の管理)、[Response Management] (応答の管理)、[Session Management] (セッションの管理)、[Error Management] (エラーの管理)、および [Administrative Options] (管理オプション) というタブに分かれています。[Site Status] (サイトの状態) タブには、要求と応答の統計、攻撃カウンター、ブロックされた IP と 404 アラートに関するパフォーマンス カウンターのデータが表示されます。
潜在的な問題に気付くことができるように、多くのトリガーに基づいてアラートを構成できます。電子メール、SNMP、イベント ログ、および syslog を経由して通知を送信できます。また、ログを確認したり、HTML 形式の利用状況レポートを生成することもできます。
[Request Management] (要求の管理) タブでは、アプリケーションが着信トラフィックを処理する方法と着信要求をフィルター処理する方法を構成できます。入力検証、バッファー オーバーフローの設定、許可するリソースと HTTP 要求メソッド、特定の URL パターンの制限、ファイル アップロードの設定 (完全にブロックする設定を含む)、および任意の要求アイテムや除外パターンを構成できます。
[Response Management] (応答の管理) タブを使用すると、冗長な 500 エラーをブロックし (開発者が web.config ファイルで対象の ASP.NET オプションを設定することを失念した場合に役立ちます)、HTTP レスポンス スプリッティングを防止して、ディレクトリの参照をブロックしたり制限を強化したりすることができます。[Session Management] (セッションの管理) タブでは、セッションごとに 1 つの IP を適用し、参照を検証し、Cookie とセッションのポリシーを定義して、IP ブロックのポリシーと bot に関する制限を追加できます。[Error Management] (エラーの管理) タブでは、エラー テンプレート、要求調整、およびエラー調整の設定を定義し、(Web サーバーの構成に関する詳細情報を攻撃者に提供する可能性がある) 具体的なエラー コードの代わりに汎用エラー リターン コードを設定して、詳細なエラー メッセージを設定できます。[Administrative Options] (管理オプション) タブでは、ログの設定とアプリケーション報告の構成を管理します。
ServerDefender VP の 1 サーバー ライセンスは 1,495.95 ドルです。Port80 Software 社では ServerDefender AI というバージョンも提供しています。この製品にはエンタープライズ製品ほど多くの機能は備わっていませんが、シグネチャ ベースの保護と要求のブロック機能には対応しており、価格は 649.95 ドルです。AI バージョンには、CSRF 保護、セッション管理、ファイル転送の保護、ブルート フォースの緩和、Cookie 改ざんの保護、サイトごとの構成などのオプションはありません。Web アプリケーション インフラストラクチャの保護を強化する方法を探している場合は、ServerDefender VP または AI をチェックしてみてください。
.jpg)
Quick 'n Easy FTP Server Lite
必要なファイルが、電子メールで受け取るには大きすぎて、ファイルの受け取りに使用できる共有もないという窮地に追い込まれたことはありますか。FTP はファイルを転送する優れた方法ですが、通常は特別なプログラムを必要とするため、ちょっとした転送には最適な方法でなかったり、作業場所によっては使用できなかったりすることがあります。Pablo Software Solutions 社が提供する Quick 'n Easy FTP Server Lite は、このような状況で役立つツールです。
このツールは商用でない場合は無償で利用でき、インストーラーがないスタンドアロンの実行可能ファイルとして動作するため、外出先で "即席の" FTP サーバーとして使用できます。Quick 'n Easy FTP Server の持ち運び可能な実行可能ファイルを初めて起動すると、セットアップ ウィザードが表示され、すぐに設定を開始できます。ウィザードの指示に従って、ポート、プロキシ、ユーザー、およびディレクトリの基本構成を行います。
構成の詳細は XML ファイルに保存されるため、次回起動したときには、すぐに使い始めることができます。Quick 'n Easy FTP Server には、接続の制限、タイムアウト、アクティブ/パッシブ FTP 接続ポート、ログ記録、hello メッセージや goodbye メッセージなど、標準の FTP サーバーと同様の構成オプションがあります。Quick 'n Easy FTP Server は持ち運び可能な実行可能ファイルですが、Windows のスタートアップで起動できます。
ユーザーは簡単に追加できます。また、追加したユーザーの詳細を XML ファイルに保存して暗号化パスワードを設定します。アカウントのホーム ディレクトリを設定し、ファイルとフォルダーをアップロード、ダウンロード、削除、変更、および作成する権限を許可または拒否できます。Quick 'n Easy FTP Server では、アクティブな接続と利用状況ログを表示できるため、リアルタイムにサーバーを監視できます。また、全体的な接続、アップロードとダウンロード、およびデータの統計を表示するサーバー統計の概要ビューもあります。
商用使用の場合は、低コストで利用できる Quick 'n Easy FTP Server Pro がお勧めです。この製品は 1 ライセンス 29.95 ドルです。商用バージョンには、IP アドレス範囲のフィルター処理、仮想ディレクトリのサポート、転送速度の制限、リモート管理、ディレクトリの一覧表示形式の構成など、役立つ機能がいくつか追加されています。また、サービス ベースのバージョンもあります。IT ツールボックスに追加する、使いやすくて、構成が簡単で、インストールの必要がない FTP サーバーを探している場合は、次回 Web に関する情報を調べるときに Pablo Software Quick 'n Easy FTP Server Lite または Pro をチェックしてみてください。
.jpg)
.jpg)
Greg Steen は技術プロフェッショナルであり、企業家でもあります。また、新製品のファンであるとも言えます。より簡単な操作、品質保証、および開発に役立つ IT プロフェッショナルのための新しいツールを日夜追い求めています。