> Tech > 3.2 Les options générales du filtre http

3.2 Les options générales du filtre http

Tech - Par Renaud ROSSET - Publié le 24 juin 2010
email

L'onglet Général du filtre HTTP permet de configurer les options suivantes :

• Le paramètre Taille maximale des en-têtes (octets) permet de bloquer toutes requêtes HTTP dont l'en-tête (+ la requête) dépasse la valeur indiquée. Par défaut, les requêtes possédant un en-tête supérieur à 32768 octets sont arrêtées

3.2 Les options générales du filtre http

par le serveur ISA. Ce paramètre est commun à toutes les règles utilisant le protocole HTTP ! C’est d’ailleurs le seul du filtre HTTP qui n’est pas spécifique à une règle d’accès ou à une règle de publication donnée.
Il est recommandé de ne pas modifier de manière trop importante la valeur de ce paramètre mais plutôt de jouer avec les paramètres Taille maximale des URL (octets) et Taille maximale des requêtes (octets) pour augmenter la sécurité. La somme des valeurs de ces deux derniers paramètres doit au passage, être inférieure à celle du paramètre Taille maximale des en-têtes (octets). Il est recommandé de baisser la valeur de ce paramètre à 10Ko et de l’augmenter uniquement si des problèmes sont rencontrés. Cela permet de se protéger de certaines attaques de type "Buffer Overflow" et "Denial Of Service" (DOS). Voir Figure 9.

• Le paramètre Taille maximale des charges utiles (octets) permet de bloquer les requêtes HTTP dont le corps (lorsqu’il existe; par exemple avec la méthode POST) excède la valeur configurée. Par défaut ce paramètre n’est pas activé et il n’est pas recommandé de l’activer sur n’importe quelle règle. En effet, si ce paramètre est activé avec une valeur trop faible, certaines applications ne fonctionneront plus ! Par exemple, sur la majorité des sites Web (ex. : http://www.laboratoire-microsoft.org), les données d’identification sont envoyées via la méthode POST pour authentifier les utilisateurs. Si la valeur de la charge utile est trop faible, l’authentification sera impossible.

• Le paramètre Taille maximale des URL (octets) permet de bloquer les requêtes HTTP dont l’URL demandée dépasse le seuil configuré (par défaut, la limite est de 10240 octets). Il peut s’avérer très intéressant de réduire la taille prédéfinie à une valeur plus faible (ex. : 512 octets ou 1024 octets) surtout dans le cadre d’une publication de serveur Web. En effet, cela empêcherait un éventuel pirate d’utiliser un script dans la barre d’adresse.
Dans l’exemple, la requête HTTP tente de télécharger le fichier http://www.laboratoire- microsoft.org/ inc/css/site.css. Si la taille maximale autorisée pour les URL est configurée à 15, alors la requête sera bloquée par le serveur ISA car l’URL de cet exemple (entourée en rouge) fait 17 caractères (le caractère "/" est aussi compté). Figure 10.

• Le paramètre Taille maximale des requêtes (octets) permet de limiter la longueur des paramètres envoyés via la méthode GET au sein d’une requête HTTP. Il peut être intéressant de réduire la valeur de cette option au même titre celle de la taille maximale des charges utiles (c’est-à-dire pour limiter les attaques de type "SQL injection"). Bien évidemment si la taille configurée est trop basse cela posera des problèmes pour afficher certains sites (exemple : moteurs de recherche) !
Dans l’exemple, on tente d’effectuer une recherche sur le site http://www.google.fr avec les mots clefs laboratoire+microsoft. Si la taille maximale des requêtes est limitée à 30 alors notre requête HTTP sera bloquée car sa longueur est de 35 caractères (le caractère "?" n’est pas compté). La chaîne de caractères passée en paramètre dans notre exemple (recherche sur les mots laboratoire et Microsoft) est encadrée en rouge dans la capture d’écran figure 11.

• Le paramètre Vérifier la normalisation, lorsqu’il est activé, bloque toutes les URLs contenant des caractères d’échappement (ex. : \n).

• Le paramètre Bloquer les caractères étendus permet de bloquer toutes les URLs contenant des caractères non présents dans jeu de caractère ASCII. Certains caractères des jeux DBCS et latin-1 (ou ISO-8859-1) seront notamment bloqués. Par exemple, lorsque cette option est activée, si une page Web, une image ou un fichier possède des accents, il sera bloqué par le filtre HTTP au niveau du serveur ISA. De plus l’activation de ce paramètre peut aussi poser problème avec Outlook Web Access (OWA) ou bien encore Sharepoint Portal Server. Dans l’exemple, on peut remarquer que la version française d’OWA fait appel à des caractères latin-1 (l’accent de boite de réception) directement dans l’URL de certaine page (figure 12).

• Le paramètre Bloquer les réponses contenant un exécutable Windows permet de bloquer le téléchargement d’exécutables. Lorsque ce paramètre est activé, le serveur ISA vérifie que le fichier commence bien par la chaîne de caractère "MZ" (cela permet au serveur de s’assurer que le fichier est bien un exécutable Windows). Voir Figure 13.

Téléchargez cette ressource

Guide inmac wstore pour l’équipement IT de l’entreprise

Guide inmac wstore pour l’équipement IT de l’entreprise

Découvrez toutes nos actualités à travers des interviews, avis d'experts et témoignages clients et ainsi, retrouvez les dernières tendances et solutions IT autour de nos 4 univers produits : Poste de travail, Affichage et collaboration, Impression et capture et Infrastructure.

Tech - Par Renaud ROSSET - Publié le 24 juin 2010