Foros del Web » Administración de Sistemas » IIS »

Notas de seguridad para IIS

Estas en el tema de Notas de seguridad para IIS en el foro de IIS en Foros del Web. Herramientas y notas de seguridad para IIS. IIS Lockdown Tool. Configura el servidor para ser inmune a muchos ataques, deshabilita servicios innecesarios y restringe el ...
  #1 (permalink)  
Antiguo 21/07/2003, 11:01
Avatar de Alfon
Colaborador
 
Fecha de Ingreso: octubre-2000
Mensajes: 1.976
Antigüedad: 24 años, 1 mes
Puntos: 14
Notas de seguridad para IIS

Herramientas y notas de seguridad para IIS.



IIS Lockdown Tool.

Configura el servidor para ser inmune a muchos ataques, deshabilita servicios innecesarios y restringe el acceso a los comandos realizados por sistema

HFNetCHK

comprobación de parches y actualizaciones de seguridad instalados en servidores.

URLscan tool

Filtro ISAPI para correr en el servidor, bloquea URLs que “lucen como” ataques. Puede ser configurado para soportar configuraciones de servidores

Microsoft personal Security Advisor

Comprueba el estatus de los patch de estaciones individuales.

mas cosas.....

Configura para activar los Logs del IIS. y configura los permisos (ACLs):

ACLs apropiado para el IIS Log File

(%systemroot%\system32\LogFiles)

-Administradores (Control total)
-Sistema (Control total)
-Todos (RWC)

Normalmente, el acceso a un servidor web se hace de forma anónima o más bien bajo la apariencia de un usuario que se crea para ello en el momento de la instalación de IIS:IUSR_nombreservidor. Los usuariosque se conecten a una sede web pública con acceso anónimo tendrán acceso a aquellos archivos para los que la cuenta especificada tenga permisos NTFS.

Para limitar el acceso a ciertas zonas sensibles servidor que contengan información importante se ha de utilizar las características de seguridad de Windows 2000 y el sistema de ficheros NTFS. Por regla general los permisos a archivos individuales y directorios deben ser establecidos con NTFS que por cierto no son los mismo que los permisos Web propios de IIs.

Para restringir el acceso al sitio web o a partes del mismo hay que modificar las propiedades predeterminadas en la pestaña "Seguridad de directorios" y configurar los métodos de autentificación de que dispone IIS.

IIS 5 incorpora un nuevo tipo de autentificación, a aprte de los normales ( además de la autentificación Windows y la autentificación básica ): Digest, que utiliza algoritmos de hashing para encriptar la contraseñas y que funciona a través de proxies y que sólo requiere que el navegador sea compatible HTTP 1.1.

Kerberos y Active Directory pueden ser usados con IIS además de los protocolos SSL y TLS (Transport Layer Security).

Desctivar tosdos los ejemplos de aplicaciones web que vienen con IIs. normalmente están en:

c:\inetpub\iissamples
c:\winnt\help\iishelp

ACLs.

Un ACL es una lista de cuentas de usuarios, grupos de usuarios y sus privilegios asociados con un recurso en particular, como un directorio o un archivo. Como configurar correctamente las ACLs:


CGI (.exe, .dll, .cmd, .pl)

Todos (X)
Administradores (Control total)
Sistema (Control total)

Archivos de comandos (.asp)

Todos (X)
Administradores (Control total)
Sistema (Control total)

Archivos de inclusión (.inc, .shtm, .shtml)

Todos (X)
Administradores (Control total)
Sistema (Control total)

Contenido estático (.txt, .gif, .jpg, .html)

Todos (R)
Administradores (Control total)
Sistema (Control total)
System (Full Control)


Normalmente si tenemos un router ADSL haciendo NAT y no ofrecemos servicio alguno, no es necesario, un principio un cortafuegos, IIS en el servidor web debe estar tras un firewall en una DMZ.

Quitar asignaciones de secuencias de comandos que no se vayan a usar: .idc, .htr, etc.


Uso de plantillas de seguridad que vienen con Windoqw2000: Una de ellas "Secureinternetwebserver.inf" sirve precisamente para la configuración segura de servidores web en internet.
__________________
Un saludo,

Alfon
http://seguridadyredes.nireblog.com
  #2 (permalink)  
Antiguo 21/07/2003, 13:41
Avatar de cvander
Moderador
 
Fecha de Ingreso: abril-2001
Ubicación: Ciudadano del mundo
Mensajes: 13.638
Antigüedad: 23 años, 7 meses
Puntos: 1792
Excelentes consejos. Ahora mismo me encargo de aplicar algunas de estas medidas a un servidor que tengo algo descuidado.
__________________
- Christian Van Der Henst
Platzi
  #3 (permalink)  
Antiguo 21/07/2003, 23:57
Avatar de Alfon
Colaborador
 
Fecha de Ingreso: octubre-2000
Mensajes: 1.976
Antigüedad: 24 años, 1 mes
Puntos: 14
Jajaja, ok. me alegro de que te hallan servido.
__________________
Un saludo,

Alfon
http://seguridadyredes.nireblog.com
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 09:20.