En el articulo de ayer
servicios configuraciones por defecto hablamos de que aunque las opciones para mejorar la seguridad de un servicio están ahí,
no están habilitadas o configuradas por defecto.
Servidor Web de Microsoft el IIS.
Algunos de los servicios o configuraciones de seguridad no son necesarias en todos los casos, y que estén desactivados también mejora el rendimiento de la maquina. Instalar el rol de servicio web en Microsoft es relativamente sencillo, añades el rol, siguiente, siguiente, y en el navegador tecleas localhost ......y ahí esta funcionando.
La posibilidad de Iniciar Servicios con una cuenta determinada es muy importante, conocer que cuenta y los privilegios que utiliza cada Rol no solo se mejora la seguridad además es mas fácil registrar la actividad de dicha función en los archivos de LOG.
Un momento para revisar la instalación del IIS comprobamos que hay muchas opciones para configurar seguridad aunque no están seleccionadas por defecto, en este caso las marcamos todas.
No hay que olvidar que los archivos que se van a publicar están en una ubicación especifica, que además puede ser diferente para cada sitio que se aloje ............
Esto nos permite someter cada Sitio que publicamos a permisos de comparticion y seguridad específicos según las distintas necesidades.
Seleccionar los archivos que se enviaran si no se especifica en la petición para evitar sorpresas cuando el esquema de la pagina es complejo.
El Listado de directorios esta deshabilitado, así debe ser salvo necesidades especificas, mucho ojo con esta opción, en este caso la configuracion por defecto de Microsoft es correcta para la Seguridad.
Las paginas de Errores que se muestran pueden facilitar distintos ataques, sobre todo si la web consulta una base de datos, configurar una pagina de error personalizada dificulta varios ataques.
Configurar Filtros a determinados Rangos de direcciones puede ser para empresas determinadas un obstáculo para atacantes, y mejorar la seguridad ante ataques automatizados desde algunos países.
Una vez habilitada la seguridad podremos decidir que usuarios acceden a nuestro sitio, cada día se utiliza el servicio web para mas funciones dentro de una empresa, desde listas de revocacion de certificados a publicaciones de Escritorio Remoto, aplicaciones compartidas o contenidos multimedia.
Algunos de estos servicios están orientados solo a los trabajadores de nuestra empresa y los permisos para solicitar esos contenidos deberían estar restringidos.
Una vez que los usuarios están Autenticados entonces podemos seleccionar distintas Autorizaciones a los recursos de la pagina.
Además podemos especificar mas el ámbito con Filtros, por Segmentos, grupos usuarios. Esta característica es una de las mas interesantes puedes determinar que verbos están permitidos, limites de solicitudes y extensiones de archivos a los que se podrá acceder.
Los Filtros del IIS se pueden dificultar mucho un ataque, por defecto es muy permisivo cuidado con estas opciones tomate un tiempo para conocerlas y configurarlas.
Utilizar el HTTPS puerto 443 es un buen recurso dentro del directorio activo, los certificados de nuestro AD nos servirán siempre y cuando sean usuarios del dominio.
Solicitamos el certificado necesario desde el propio IIS, recordar las reglas para que un Certificado sea valido, CA, CRC, etc......
Requerir a los Clientes que tengan su propio certificado es una medida añadida de seguridad, si pedimos usuarios Autenticados con certificados tenemos un sitio mucho mas seguro.
Habréis visto que realmente hay muchas opciones y características que vienen asociadas a un servidor web de Microsoft, implementadas correctamente según las necesidades de nuestra empresa pueden mejorar en gran medida la seguridad, esto no excluye implementar Firewall o Detectores de intrusos en nuestras empresa, pero conocer estas opciones puede proporcionar seguridad en profundidad.
Seguridad a lo Jabali para Todos!!
