Herramientas y notas de seguridad para IIS.
IIS Lockdown Tool.
Configura el servidor para ser inmune a muchos ataques, deshabilita servicios innecesarios y restringe el acceso a los comandos realizados por sistema
HFNetCHK
comprobación de parches y actualizaciones de seguridad instalados en servidores.
URLscan tool
Filtro ISAPI para correr en el servidor, bloquea URLs que “lucen como” ataques. Puede ser configurado para soportar configuraciones de servidores
Microsoft personal Security Advisor
Comprueba el estatus de los patch de estaciones individuales.
mas cosas.....
Configura para activar los Logs del IIS. y configura los permisos (ACLs):
ACLs apropiado para el IIS Log File
(%systemroot%\system32\LogFiles)
-Administradores (Control total)
-Sistema (Control total)
-Todos (RWC)
Normalmente, el acceso a un servidor web se hace de forma anónima o más bien bajo la apariencia de un usuario que se crea para ello en el momento de la instalación de IIS:IUSR_nombreservidor. Los usuariosque se conecten a una sede web pública con acceso anónimo tendrán acceso a aquellos archivos para los que la cuenta especificada tenga permisos NTFS.
Para limitar el acceso a ciertas zonas sensibles servidor que contengan información importante se ha de utilizar las características de seguridad de Windows 2000 y el sistema de ficheros NTFS. Por regla general los permisos a archivos individuales y directorios deben ser establecidos con NTFS que por cierto no son los mismo que los permisos Web propios de IIs.
Para restringir el acceso al sitio web o a partes del mismo hay que modificar las propiedades predeterminadas en la pestaña "Seguridad de directorios" y configurar los métodos de autentificación de que dispone IIS.
IIS 5 incorpora un nuevo tipo de autentificación, a aprte de los normales ( además de la autentificación Windows y la autentificación básica ): Digest, que utiliza algoritmos de hashing para encriptar la contraseñas y que funciona a través de proxies y que sólo requiere que el navegador sea compatible HTTP 1.1.
Kerberos y Active Directory pueden ser usados con IIS además de los protocolos SSL y TLS (Transport Layer Security).
Desctivar tosdos los ejemplos de aplicaciones web que vienen con IIs. normalmente están en:
c:\inetpub\iissamples
c:\winnt\help\iishelp
ACLs.
Un ACL es una lista de cuentas de usuarios, grupos de usuarios y sus privilegios asociados con un recurso en particular, como un directorio o un archivo. Como configurar correctamente las ACLs:
CGI (.exe, .dll, .cmd, .pl)
Todos (X)
Administradores (Control total)
Sistema (Control total)
Archivos de comandos (.asp)
Todos (X)
Administradores (Control total)
Sistema (Control total)
Archivos de inclusión (.inc, .shtm, .shtml)
Todos (X)
Administradores (Control total)
Sistema (Control total)
Contenido estático (.txt, .gif, .jpg, .html)
Todos (R)
Administradores (Control total)
Sistema (Control total)
System (Full Control)
Normalmente si tenemos un router ADSL haciendo NAT y no ofrecemos servicio alguno, no es necesario, un principio un cortafuegos, IIS en el servidor web debe estar tras un firewall en una DMZ.
Quitar asignaciones de secuencias de comandos que no se vayan a usar: .idc, .htr, etc.
Uso de plantillas de seguridad que vienen con Windoqw2000: Una de ellas "Secureinternetwebserver.inf" sirve precisamente para la configuración segura de servidores web en internet.