View
212
Download
0
Category
Tags:
Preview:
Citation preview
Implantación de una Implantación de una infraestructura segurainfraestructura segura
Chema AlonsoChema Alonsojmalonso@informatica64.comjmalonso@informatica64.com MVP Windows SecurityMVP Windows Security
Juan Luis RamblaJuan Luis Ramblajlrambla@informatica64.comjlrambla@informatica64.comMVP Windows SecurityMVP Windows Security
Aurelio “Calico” PorrasAurelio “Calico” Porras
Diseño de sitios Web Diseño de sitios Web SegurosSeguros
Mejoras de seguridad en IIS Mejoras de seguridad en IIS 6.06.0
IIS se instala en modo seguro por IIS se instala en modo seguro por defecto.defecto.
Extensiones “Multipurpose Internet Mail Extensiones “Multipurpose Internet Mail Extensions” (MIME) restrictivas.Extensions” (MIME) restrictivas.
Múltiples procesos de ejecución (worker Múltiples procesos de ejecución (worker processes) afectan el estado del filtro processes) afectan el estado del filtro Internet Server API (ISAPI).Internet Server API (ISAPI).
La funcionalidad ASP y ASP.NET está La funcionalidad ASP y ASP.NET está deshabilitada por defecto.deshabilitada por defecto.
Mejoras de seguridad en IIS Mejoras de seguridad en IIS 6.06.0
Las rutas de acceso primarias están Las rutas de acceso primarias están deshabilitadas por defecto (..\) deshabilitadas por defecto (..\) [[AspEnableParentPaths]AspEnableParentPaths]..Los eventos de Global.asa se ejecutan como Los eventos de Global.asa se ejecutan como usuario anónimo. usuario anónimo. [[AspRunOnEndAnonymously]AspRunOnEndAnonymously]La sincronzación de contraseñas anónimas La sincronzación de contraseñas anónimas está deshabilitado por defecto.está deshabilitado por defecto.Autenticación Microsoft® .NET Passport Autenticación Microsoft® .NET Passport authentication requiere derechos de la cuenta authentication requiere derechos de la cuenta LocalSystem.LocalSystem.El acceso a ejecutables está restringido.El acceso a ejecutables está restringido.
Sitios Web SegurosSitios Web Seguros
IIS 6.0 soporta los siguientes métodos de IIS 6.0 soporta los siguientes métodos de autenticación:autenticación:
Autenticación anónima.Autenticación anónima. Autenticación Básica.Autenticación Básica. Las credenciales se envían sin Las credenciales se envían sin encriptar.encriptar.Autenticación Digest.Autenticación Digest. Parecido al básico, excepto que la Parecido al básico, excepto que la contraseña se envía como un valor Hash. Solo disponible en contraseña se envía como un valor Hash. Solo disponible en dominios con DC Windows.dominios con DC Windows.Autenticación avanzada Digest. Autenticación avanzada Digest. Las credenciales se Las credenciales se almacenan como Message Digest (MD5) hash en Active almacenan como Message Digest (MD5) hash en Active Directory en el DC Windows 2003.Directory en el DC Windows 2003.Autenticación integrada.Autenticación integrada. Utiliza tecnología de Utiliza tecnología de encriptaciónencriptaciónAutenticación .NET Passport.Autenticación .NET Passport. Servicio de autenticación Servicio de autenticación que permite a los usuarios tener un único inicio de sesión.que permite a los usuarios tener un único inicio de sesión.Autenticación con Certificados.Autenticación con Certificados. Utiliza certificados Secure Utiliza certificados Secure Sockets Layer (SSL) para autenticar servidores y clientes.Sockets Layer (SSL) para autenticar servidores y clientes.
Sitios Web SegurosSitios Web SegurosMethodMethod Security LevelSecurity Level How Passwords Are How Passwords Are
SentSentCrosses Proxy Servers and Crosses Proxy Servers and
FirewallsFirewalls Client RequirementsClient Requirements
Anonymous Anonymous authenticatiauthenticationon
NoneNone N/AN/A YesYes Any browserAny browser
Basic Basic authenticatiauthenticationon
LowLow Base64 encoded clear textBase64 encoded clear text
Yes, but sending passwords Yes, but sending passwords across a proxy server across a proxy server or firewall in clear text or firewall in clear text is a security risk is a security risk because Base64 because Base64 encoded clear text is encoded clear text is not encrypted.not encrypted.
Most browsersMost browsers
Digest Digest authenticatiauthenticationon
MediumMedium HashedHashed YesYes Internet Explorer 5 or laterInternet Explorer 5 or later
Advanced Digest Advanced Digest authenticatiauthenticationon
MediumMedium HashedHashed YesYes Internet Explorer 5 or laterInternet Explorer 5 or later
Integrated Windows Integrated Windows authenticatiauthenticationon
HighHigh
Hashed when NTLM is Hashed when NTLM is used; Kerberos used; Kerberos ticket when ticket when Kerberos is used.Kerberos is used.
No, unless used over a PPTP No, unless used over a PPTP connectionconnection
Internet Explorer 2.0 or Internet Explorer 2.0 or later for NTLM; later for NTLM; Windows 2000 or Windows 2000 or later with internet later with internet Explorer 5 or later Explorer 5 or later for Kerberosfor Kerberos
Certificate Certificate authenticatiauthenticationon
HighHigh N/AN/A Yes, using an SSL connectionYes, using an SSL connection Internet Explorer and Internet Explorer and NetscapeNetscape
.NET Passport .NET Passport authenticatiauthenticationon
HighHigh EncryptedEncrypted Yes, using an SSL connectionYes, using an SSL connection Internet Explorer and Internet Explorer and NetscapeNetscape
DemoDemo
Tumbar un web con un exploitTumbar un web con un exploit
Protección de sitios Protección de sitios Web mediante Web mediante
arquitectura firewallarquitectura firewallISA Server 2004ISA Server 2004
Arquitectura ISA Server 2004Arquitectura ISA Server 2004
Firewall multired:Firewall multired:Nivel de Red.Nivel de Red.
Nivel de Aplicación.Nivel de Aplicación.
Servidor VPN:Servidor VPN:Túneles.Túneles.
Clientes.Clientes.
Servidor Caché.Servidor Caché.
Características de seguridad.Características de seguridad.
Filtros IP. Filtros IP.
Reglas de acceso.Reglas de acceso.
Publicación de servicios.Publicación de servicios.
Filtros de aplicación.Filtros de aplicación.
Reglas de accesoReglas de accesoControlan el tráfico de información a través de las redes.Controlan el tráfico de información a través de las redes.
Determinan la configuración de origen, destino, protocolos Determinan la configuración de origen, destino, protocolos y usuarios que realizan la conexión.y usuarios que realizan la conexión.
La aplicación de las reglas se determinan en un orden, La aplicación de las reglas se determinan en un orden, quedando predefinida una regla que deniega cualquier quedando predefinida una regla que deniega cualquier tráfico de red.tráfico de red.
ISA Server 2004 proporciona una serie de reglas con los ISA Server 2004 proporciona una serie de reglas con los que se puede controlar la información que circula por la que se puede controlar la información que circula por la red en función de:red en función de:
Protocolos.Protocolos.
Usuarios. (AD, LDAP, RADIUS, SecureID)Usuarios. (AD, LDAP, RADIUS, SecureID)
Tipos de contenido.Tipos de contenido.
Franjas de tiempo.Franjas de tiempo.
Objetos de red.Objetos de red.
Reglas de PublicaciónReglas de Publicación
Se utilizan para publicar servidores.Se utilizan para publicar servidores.
Asistentes de publicación:Asistentes de publicación:Web Server.Web Server.
Secure Web Server.Secure Web Server.
Mail Server.Mail Server.
Definición de servidores por servicios.Definición de servidores por servicios.
Filtrado a Nivel de Filtrado a Nivel de AplicaciónAplicación
Inspeccionar el tráfico al nivel de aplicación.Inspeccionar el tráfico al nivel de aplicación.
Permitir o denegar el paso de datos a Permitir o denegar el paso de datos a determinados contenidos o aplicaciones.determinados contenidos o aplicaciones.
Proporcionan controles sobre determinados Proporcionan controles sobre determinados ataques.ataques.
Sistema extensible sobre filtrados de Sistema extensible sobre filtrados de conexiones.conexiones.
Implementadas directamente sobre las reglas de Implementadas directamente sobre las reglas de acceso y las publicaciones.acceso y las publicaciones.
Como un añadido sobre reglas y publicaciones.Como un añadido sobre reglas y publicaciones.
Como funcionalidad sobre ISA a nivel Firewall.Como funcionalidad sobre ISA a nivel Firewall.
Filtro HTTPFiltro HTTPPor el puerto 80 no solo viaja tráfico HTTP puro, Por el puerto 80 no solo viaja tráfico HTTP puro, sino que puede disfrazar otras comunicaciones.sino que puede disfrazar otras comunicaciones.
Malware.Malware.
P2P.P2P.
Servicios de mensajería …Servicios de mensajería …
Determinados ataques contra Servicios Web Determinados ataques contra Servicios Web pueden ser controlados a este nivel. (SQL pueden ser controlados a este nivel. (SQL Injection, XSS, WebTrojans)Injection, XSS, WebTrojans)
Controlan el tráfico de datos en transmisión y Controlan el tráfico de datos en transmisión y recepción a través de firmas.recepción a través de firmas.
Impedir tráfico a palabras claves.Impedir tráfico a palabras claves.Control de acceso a sitios web.Control de acceso a sitios web.
Detención de comunicaciones de aplicaciones Detención de comunicaciones de aplicaciones por firma y cabecera.por firma y cabecera.
Control de aplicaciones Control de aplicaciones HTTPHTTP
AplicaciónAplicación PeticiónPetición Cabecera HTTPCabecera HTTP FirmaFirma
Windows Windows MessengerMessenger
Request headersRequest headers User-Agent:User-Agent: MSMSGSMSMSGS
AOL Messenger AOL Messenger (and Gecko (and Gecko browsers)browsers)
Request headersRequest headers User-Agent:User-Agent: Gecko/Gecko/
Yahoo MessengerYahoo Messenger Request headersRequest headers HostHost msg.yahoo.commsg.yahoo.com
KazaaKazaa Request headersRequest headers P2P-AgentP2P-Agent Kazaa, Kazaa, Kazaaclient:Kazaaclient:
KazaaKazaa Request headersRequest headers User-Agent:User-Agent: KazaaClient KazaaClient
KazaaKazaa Request headersRequest headers X-Kazaa-X-Kazaa-Network:Network:
KaZaAKaZaA
GnutellaGnutella Request headersRequest headers User-Agent:User-Agent: GnutellaGnutellaGnucleusGnucleus
EdonkeyEdonkey Request headersRequest headers User-Agent:User-Agent: e2dke2dk
MorpheusMorpheus Response headerResponse header ServerServer MorpheusMorpheus
Filtros de autentificaciónFiltros de autentificación
ISA Server 2004 presenta una serie de ISA Server 2004 presenta una serie de mecanismos para garantizar los mecanismos para garantizar los procedimientos de autentificación.procedimientos de autentificación.
Integración con Directorio Activo.Integración con Directorio Activo.
Filtro Web RSA para autentificación de usuarios SecurID.Filtro Web RSA para autentificación de usuarios SecurID.
Filtro de autentificación Radius.Filtro de autentificación Radius.
Filtros de formulario de autentificación para OWA.Filtros de formulario de autentificación para OWA.
““Problemática” HTTP-sProblemática” HTTP-s
Conexiones HTTP-s ofrecen:Conexiones HTTP-s ofrecen:Autenticación mediante certificados.Autenticación mediante certificados.
Cifrado mediante tuneles SSL.Cifrado mediante tuneles SSL.
Conexiónes HTTP-s condicionan:Conexiónes HTTP-s condicionan:Transmisión datos extremo-extremo.Transmisión datos extremo-extremo.
Paso a través de sistemas de protección de forma Paso a través de sistemas de protección de forma oculta.oculta.
““Problemática” HTTP-sProblemática” HTTP-s
Conexiones HTTP-sConexiones HTTP-sFirewalls e IDS no pueden inspeccionar Firewalls e IDS no pueden inspeccionar tráfico.tráfico.
Ataques pasan sin ser detectados por Ataques pasan sin ser detectados por firewalls:firewalls:
SQL Injections.SQL Injections.
Cross-Site Scripting (XSS)Cross-Site Scripting (XSS)
Red Code.Red Code.
Unicode.Unicode.
Bridging HTTP-sBridging HTTP-s
El proceso de Bridging en conexiones El proceso de Bridging en conexiones HTTP-s permite que las conexiones se HTTP-s permite que las conexiones se cifren en dos tramos.cifren en dos tramos.
Entre cliente y Firewall.Entre cliente y Firewall.
Entre Firewall y Servidor.Entre Firewall y Servidor.
Bridging HTTP-sBridging HTTP-s
Ventajas:Ventajas:El Firewall puede inspeccionar el contenido.El Firewall puede inspeccionar el contenido.
Se pueden aplicar reglas mediante filtros.Se pueden aplicar reglas mediante filtros.
Se pueden detectar ataques.Se pueden detectar ataques.
No se pierde seguridad.No se pierde seguridad.
Si se desea, se puede dejar descifrado para Si se desea, se puede dejar descifrado para inspecciones NIDS.inspecciones NIDS.
Bridging HTTP-sBridging HTTP-s
MS ISA Server 2004 permite:MS ISA Server 2004 permite:
Tunneling HTTPS por cualquier puerto.Tunneling HTTPS por cualquier puerto.MS ISA Server 2000 hay que configurar MS ISA Server 2000 hay que configurar puertos SSL.puertos SSL.
Bridging HTTPS con:Bridging HTTPS con:Cifrado entre cliente-firewall y firewall Cifrado entre cliente-firewall y firewall servidor.servidor.
Cifrado entre cliente-firewall.Cifrado entre cliente-firewall.
Cifrado entre firewall-Servidor.Cifrado entre firewall-Servidor.
ContactosContactos
Juan Luís RamblaJuan Luís Ramblajlrambla@informatica64.comjlrambla@informatica64.com
Chema Alonso Chema Alonso chema@informatica64.comchema@informatica64.com
(MVP Windows Server Security “los dos”)(MVP Windows Server Security “los dos”)
Evento: Seguridad Práctica para EmpresasEvento: Seguridad Práctica para EmpresasMadrid 13 de JunioMadrid 13 de Juniohttp://www.microsoft.com/spain/technethttp://www.microsoft.com/spain/technetCampaña Hands on LabCampaña Hands on Labhttp://www.microsoft.com/spain/HOLSistemashttp://www.microsoft.com/spain/HOLSistemas
Recommended