Sécurisation de votre serveur IIS

Lorsque ABBYY FlexiCapture 12 est déployé, les paramètres de sécurité IIS par défaut sont utilisés. Vous pouvez également définir des règles supplémentaires pour certaines requêtes afin de renforcer la sécurité de votre serveur web.

L’en-tête Content-Security-Policy

Content Security Policy (CSP) est une norme de sécurité utilisée par les navigateurs modernes pour se protéger contre les attaques par injection de données, telles que le cross-site scripting (XSS). CSP utilise une liste blanche pour déterminer quelles ressources peuvent être chargées en toute sécurité et ignore les sources non vérifiées. Elle consigne également toute tentative de contournement de la politique de sécurité.Pour utiliser cette politique, le serveur doit inclure un en-tête HTTP Content-Security-Policy avec une ou plusieurs directives configurées, chaque directive correspondant à un type de ressource spécifique. Les directives définissent une politique de sécurité en déclarant des règles pour les ressources.Pour configurer CSP pour votre navigateur, ajoutez le code suivant dans votre fichier web.config :

<system.webServer> 
<httpProtocol> 
<customHeaders> 
<add name="Content-Security-Policy" value="default-src https: data: 'unsafe-inline' 'unsafe-eval'" /> 
</customHeaders> 
</httpProtocol> 
</system.webServer>

Remarque : Si vous devez intégrer ABBYY FlexiCapture à des systèmes tiers et avez besoin d’accéder à d’autres hôtes, spécifiez-les dans le fichier web.config. Veillez à vérifier le bon fonctionnement du logiciel chaque fois que vous modifiez vos paramètres de sécurité.Pour plus d’informations sur l’en-tête Content-Security-Policy, consultez ce site web.

L’en-tête HTTP Strict-Transport-Security

HTTP Strict-Transport-Security (HSTS) est un mécanisme de protection des sites web qui limite toutes les interactions entre le navigateur et le site web à une connexion sécurisée utilisant le protocole SSL. Un serveur web sur lequel HSTS est configuré contient une instruction indiquant au navigateur d’utiliser exclusivement HTTPS et lui interdit d’utiliser HTTP. HSTS est principalement utilisé pour se prémunir contre les attaques d’interception impliquant des requêtes et des réponses, par exemple les attaques MITM (Man-In-The-Middle).Pour pouvoir utiliser cette politique de sécurité, vous devez utiliser des règles de réécriture d’URL pour ajouter un en-tête Strict-Transport-Security (STS) aux réponses HTTP. Cela est nécessaire pour empêcher les requêtes HTTP indésirables et rediriger tout le trafic HTTP vers HTTPS (selon la logique définie dans les règles). Pour configurer ces règles, vous devez installer le module URL Rewrite. Pour plus d’informations, consultez le site web de Microsoft.Pour configurer HSTS pour votre navigateur, ajoutez le code suivant dans votre fichier web.config :

<rule name="Add the STS header in HTTPS responses">
<match serverVariable="RESPONSE_Strict_Transport_Security" pattern=".*" />
<conditions>
<add input="{HTTPS}" pattern="on" />
</conditions>
<action type="Rewrite" value="max-age=31536000" />
</rule>

Remarque : La directive max-age spécifie la période (en secondes) pendant laquelle la règle sera appliquée. La valeur indiquée dans l’extrait de code ci-dessus correspond à une période d’un an.Pour plus d’informations sur HSTS, consultez le site web de Microsoft.

Les en-têtes X-Powered-By et X-AspNet-Version

Outre les en-têtes HTTP essentiels pour renforcer la sécurité de votre serveur web, il existe également des en-têtes facultatifs. Souvent, ces en-têtes facultatifs ne sont régis par aucune norme et leur utilisation augmente le volume de trafic généré par chaque requête HTTP, ce qui facilite les attaques malveillantes.Voici deux de ces en-têtes facultatifs :

X-Powered-By est un en-tête HTTP qui contient des informations sur diverses technologies utilisées par le serveur web.
X-AspNet-Version est un en-tête HTTP qui contient des informations sur la version d’ASP.NET utilisée pour déployer des applications sur le serveur web.

Par défaut, X-Powered-By et X-AspNet-Version sont tous deux inclus dans les réponses du serveur. Nous vous recommandons de désactiver ces en-têtes, car le fait de fournir des informations d’identification peut représenter une menace pour la sécurité.Pour supprimer l’en-tête X-Powered-By de la configuration IIS, collez le code suivant dans votre fichier web.config :

<httpProtocol> 
<customHeaders> 
<remove name="X-Powered-By" />   
</customHeaders></httpProtocol>

Pour supprimer l’en-tête X-AspNet-Version de votre configuration IIS, collez le code suivant dans votre fichier web.config :

<httpRuntime enableVersionHeader="false" />

L’en-tête X-XSS-Protection

X-XSS-Protection est un en-tête HTTP utilisé par les navigateurs pour empêcher les attaques de type Cross-Site Scripting. Cet en-tête fonctionne en activant un filtre XSS, qui intercepte les tentatives indésirables d’insertion de code tiers malveillant dans des pages web ouvertes dans un navigateur.X-XSS-Protection est compatible avec les navigateurs suivants : Internet Explorer 8+, Chrome et Safari. Cependant, la plupart des navigateurs modernes utilisent une politique de sécurité plus stricte (par ex. Content-Security-Policy), ce qui rend cet en-tête nécessaire uniquement si vous utilisez un ancien navigateur qui ne prend pas en charge CSP.Pour activer l’en-tête X-XSS-Protection pour votre navigateur, copiez le code suivant dans votre fichier web.config :

<system.webServer> 
<httpProtocol> 
<customHeaders> 
<add name="X-XSS-Protection" value="1; mode=block" /> 
</customHeaders> 
</httpProtocol> 
</system.webServer>

L’en-tête X-Content-Type-Options

X-Content-Type-Options est un en-tête HTTP utilisé par les navigateurs pour empêcher les attaques exploitant des vulnérabilités MIME (Multipurpose Internet Mail Extensions). MIME est une norme Internet pour le contenu transmis via une connexion Internet. Tous les fichiers servis par le serveur web sont traités par les navigateurs d’une manière qui dépend du type MIME de ces fichiers. Les navigateurs déterminent le type de ressource soit à l’aide de l’en-tête de réponse Content-Type, soit en inspectant le contenu de la ressource, ce qui permet à des attaquants de faire passer des fichiers HTML pour des fichiers d’un autre type.La seule directive disponible pour cet en-tête est la directive nosniff. Elle indique aux navigateurs d’utiliser uniquement le type MIME spécifié par le serveur web.Pour activer l’en-tête X-Content-Type-Options pour votre navigateur, collez le code suivant dans votre fichier web.config :

<system.webServer> 
<httpProtocol> 
<customHeaders> 
<add name="X-Content-Type-Options" value="nosniff" /> 
</customHeaders> 
</httpProtocol> 
</system.webServer>

L’en-tête Server

L’en-tête Server est un en-tête de réponse qui contient des informations sur l’application utilisée par le serveur source pour traiter une requête (par ex. le numéro de version de l’application). La disponibilité potentielle de ce type d’informations pour des tiers représente une menace pour la sécurité. C’est pourquoi nous vous recommandons de supprimer le contenu de l’en-tête Server.Pour supprimer le contenu de l’en-tête Server, ajoutez le code suivant dans votre fichier web.config :

<rewrite>  
     <outboundRules rewriteBeforeCache="true"> 
    <rule name="Remove Server header"> 
      <match serverVariable="RESPONSE_Server" pattern=".+" /> 
      <action type="Rewrite" value="" /> 
    </rule>   
</outboundRules> 
</rewrite>

Si vous utilisez IIS 10.0, Windows Server 2016 ou une version ultérieure, utilisez plutôt le code suivant :

Set-WebConfigurationProperty  
-pspath 'MACHINE/WEBROOT/APPHOST'   
-filter "system.webServer/security/requestFiltering"  
-name "removeServerHeader"  
-value "True"

Remarque : Les paramètres décrits ci-dessus nécessitent l’installation du module URL Rewrite. Pour plus d’informations, veuillez consulter la documentation Microsoft.

L’en-tête X-Frame-Options

Par défaut, il est possible d’intégrer les Web Stations ABBYY FlexiCapture via une iFrame dans les sites web d’autres entreprises. Cependant, si vous constatez une attaque de framesniffing, vous pouvez procéder comme suit pour empêcher que le contenu soit hébergé dans une iFrame interdomaines :

Dans le volet Connexions sur le côté gauche, développez le dossier Sites et sélectionnez le site que vous voulez protéger.
Double-cliquez sur l’icône En-têtes de réponse HTTP dans la liste des fonctionnalités au milieu.
Dans le volet Actions sur le côté droit, cliquez sur Ajouter.
Dans la boîte de dialogue qui s’ouvre, saisissez X-Frame-Options dans le champ Nom et SAMEORIGIN ou DENY dans le champ Valeur.

Pour plus d’informations, veuillez consulter la documentation Microsoft.

Vulnérabilité Slow HTTP POST

La vulnérabilité Slow HTTP POST est une variante d’une attaque par déni de service HTTP lente (DoS), également appelée attaque HTTP Slowloris. Lors d’une attaque Slow HTTP POST, l’attaquant annonce l’envoi d’un volume important de données dans une requête HTTP POST, puis les envoie très lentement. Pour corriger la vulnérabilité Slow HTTP POST chez le client, il est nécessaire de configurer les Web Limits dans la configuration IIS sur les machines où le serveur d’applications est installé. Les limites doivent être définies pour les paramètres suivants :

ConnectionTimeout
MinFileBytesPerSec.

Pour plus d’informations sur les Web Limits, veuillez consulter la documentation Microsoft.

Utilisation de HTTPS au lieu de HTTP

Le protocole HTTP ne dispose pas de mécanismes de sécurité permettant de chiffrer les données, tandis que HTTPS s’appuie sur un certificat numérique SSL ou TLS pour sécuriser la communication entre le serveur et le client. Veuillez vous assurer que tout le trafic entre le navigateur de l’utilisateur et le serveur web passe obligatoirement par un canal chiffré via HTTPS. HTTP utilise le port 80 par défaut. Fermez ce port pour empêcher l’utilisation de HTTP.

Utilisation d’une version récente de TLS et de suites de chiffrement robustes

TLSv1.1 est considéré comme un protocole de chiffrement faible. Un attaquant peut exploiter les faiblesses du protocole pour lire des communications sécurisées ou modifier des messages de manière malveillante. Nous vous recommandons de toujours utiliser la version la plus récente possible de TLS et uniquement des suites de chiffrement robustes (une liste des suites appropriées est disponible sur https://wiki.mozilla.org/Security/Server_Side_TLS). Pour configurer le chiffrement SSL via une stratégie de groupe :

À l’invite de commande, saisissez gpedit.msc. L’Éditeur d’objet de stratégie de groupe s’affiche**.**
Développez Configuration ordinateur, Modèles d’administration, Réseau, puis cliquez sur Paramètres de configuration SSL.
Sous Paramètres de configuration SSL, cliquez sur le paramètre Ordre des suites de chiffrement SSL.
Dans le volet Ordre des suites de chiffrement SSL, faites défiler jusqu’en bas du volet.
Suivez les instructions intitulées Comment modifier ce paramètre.

Vous devrez redémarrer l’ordinateur pour que les modifications prennent effet.

Protection contre les attaques par déni de service distribué

Les attaques par déni de service distribué (DDoS) consistent à submerger une application de requêtes HTTP, ce qui entraîne une forte augmentation du trafic et rend l’application inaccessible aux utilisateurs légitimes. Il peut être difficile de détecter ce type d’attaque, car il est souvent compliqué de distinguer le trafic légitime du trafic malveillant.Pour protéger votre serveur web contre les attaques DDoS, nous vous recommandons de configurer votre serveur IIS pour bloquer l’accès à votre application si une personne dépasse soit le nombre de requêtes autorisé sur une période donnée, soit le nombre de requêtes simultanées autorisé.Pour configurer la protection DDoS dans IIS comme décrit ci-dessus, procédez comme suit :

Lancez IIS Manager.
Sélectionnez votre site web dans l’arborescence, puis double-cliquez sur l’icône IP Address and Domain Restrictions sur la page d’accueil du site.
Dans le volet Actions, cliquez sur Edit Dynamic Restriction Settings.
Dans la boîte de dialogue qui s’ouvre, sélectionnez la méthode souhaitée : Deny IP Address based on the number of concurrent requests ou Deny IP Address based on the number of requests over a period of time.
Cliquez sur OK.

Dans les paramètres du serveur IIS, vous pouvez également restreindre l’accès à votre application à partir d’adresses IP spécifiques et préciser le type d’action que le serveur doit effectuer en cas de tentative d’accès à votre application depuis des adresses IP restreintes :

Lancez IIS Manager.
Sélectionnez votre site web dans l’arborescence, puis double-cliquez sur l’icône IP Address and Domain Restrictions sur la page d’accueil du site.
Dans le volet Actions, cliquez sur Edit Dynamic Restriction Settings.
Dans la boîte de dialogue qui s’ouvre, sélectionnez le type d’action souhaité dans la liste déroulante Deny Action Type.
Cliquez sur OK.

Lorsque plusieurs requêtes HTTP sont envoyées par plusieurs utilisateurs à partir d’une même adresse IP, activez le mode proxy dans les paramètres du serveur IIS. Cela permettra au serveur proxy de transmettre l’en-tête x-forwarded-for au serveur web afin d’aider à identifier l’utilisateur.Pour activer le mode proxy, procédez comme suit :

Lancez IIS Manager.
Sélectionnez votre site web dans l’arborescence, puis double-cliquez sur l’icône IP Address and Domain Restrictions sur la page d’accueil du site.
Dans le volet Actions, cliquez sur Edit Feature Settings.
Dans la boîte de dialogue Edit IP and Domain Restriction Settings, sélectionnez Enable Proxy Mode.
Cliquez sur OK.

Pour plus d’informations sur l’utilisation d’IIS pour restreindre l’accès à votre application à partir de certaines adresses IP, veuillez consulter la documentation Microsoft.Remarque : L’utilisation du mode proxy pour gérer un volume important de trafic peut affecter les performances du système et rendre l’accès à votre application plus difficile pour les utilisateurs légitimes.