Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Asegurando Las Cabeceras de Respuestas HTTP en Servidores Web IIS

    Cargado por

    David Fernando Olmos Moscoso
    4 vistas10 páginas
    ASegurando cabeceras http

    Título original

    Asegurando las cabeceras de respuestas HTTP en servidores web IIS

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    ASegurando cabeceras http

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    4 vistas10 páginas

    Asegurando Las Cabeceras de Respuestas HTTP en Servidores Web IIS

    Cargado por

    David Fernando Olmos Moscoso
    ASegurando cabeceras http

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 10

    9/10/2019 Asegurando las cabeceras de respuestas HTTP en servidores web IIS

    Asegurando las cabeceras de respuestas


    HTTP en servidores web IIS
    Josmell Chavarri
    Feb 6, 2018 · 5 min read

    En el artículo “Asegurando las cabeceras de respuestas HTTP en servidores web


    Apache y NGINX” realizamos algunos cambios a las cabeceras de respuestas HTTP en
    estos servidores web. Ahora toca el turno de realizar algunas configuraciones que se
    pueden realizar en los servidores web IIS, con el fin de tener una mejor postura de
    seguridad en nuestros sistemas operativos de Microsoft.

    Antes de comenzar me gustaría compartir algunos datos que desde Guayoyo Labs
    hemos venido estudiando, con respecto a los servidores web más utilizados
    actualmente. Realizando una simple búsqueda en Shodan podemos obtener un
    aproximado de los servidores web IIS, APACHE y NGINX que actualmente se
    encuentran expuestos y que al igual que nosotros, cualquier posible atacante tiene
    acceso a esta información.

    https://medium.com/guayoyo/asegurando-las-cabeceras-de-respuestas-http-en-servidores-web-iis-e19b224af6fa 1/10
    9/10/2019 Asegurando las cabeceras de respuestas HTTP en servidores web IIS

    Viendo la cantidad de servidores, podríamos preguntarnos en cuántos de éstos


    podríamos obtener información sobre versiones o software que se está ejecutando a
    través de las cabeceras de las respuestas HTTP.

    Para configurar las cabeceras HTTP en los servidores de Windows, debemos cumplir
    estos tres pasos:

    1.- Abrir el Administrador de IIS

    2.- Seleccionar el sitio al que se desea agregar el encabezado

    3.- Seleccionar “HTTP Response Headers”

    https://medium.com/guayoyo/asegurando-las-cabeceras-de-respuestas-http-en-servidores-web-iis-e19b224af6fa 2/10
    9/10/2019 Asegurando las cabeceras de respuestas HTTP en servidores web IIS

    Content Security Policy


    El encabezado CSP le permite definir una lista blanca de fuentes de contenido
    aprobadas para su sitio. Al restringir los activos que un navegador puede cargar para su
    sitio, como JS y CSS, CSP puede actuar como una contramedida efectiva para los
    ataques XSS.

    HTTP Strict Transport Security (HSTS)


    HSTS permite decirle a un navegador que siempre quiere que un usuario se conecte
    usando HTTPS en lugar de HTTP. Esto significa que cualquier marcador, enlace o
    dirección, forzará a los usuarios a usar HTTPS, incluso si especifican HTTP.

    https://medium.com/guayoyo/asegurando-las-cabeceras-de-respuestas-http-en-servidores-web-iis-e19b224af6fa 3/10
    9/10/2019 Asegurando las cabeceras de respuestas HTTP en servidores web IIS

    X-Frame-Options
    El encabezado X-Frame-Options ( RFC ) protege a los visitantes contra ataques de
    clickjacking. Un atacante puede cargar un iFrame en su sitio y establecer su sitio web
    como la fuente. Es bastante fácil, por ejemplo: <iframe src="https://tudominio.com">

    </iframe> .

    Posibles valores para la cabecera X-Frame-Options:

    •DENY: Esta configuración es la más restrictiva e impide que la página del sitio se
    incluya en un iFrame. Esta opción es óptima si no tiene usuarios válidos para un
    iFrame.
    • SAMEORIGIN: Si una página padre es para el mismo dominio que la página del sitio,
    la página del sitio puede incluirse en el iFrame.
    • ALLOW-FROM: Puede especificar un URI única permitida para enmarcar la página
    del sitio.

    X-Xss-Protection
    Este encabezado se usa para configurar la protección contra un XSS reflejado. Las
    configuraciones válidas para el encabezado son:

    0 desactiva la protección

    1 habilita la protección

    1; mode=block le dice al navegador que bloquee la respuesta si detecta un ataque


    en lugar de desinfectar el script.

    https://medium.com/guayoyo/asegurando-las-cabeceras-de-respuestas-http-en-servidores-web-iis-e19b224af6fa 4/10
    9/10/2019 Asegurando las cabeceras de respuestas HTTP en servidores web IIS

    X-Content-Type-Options
    Esta cabecera sólo tiene un valor válido, nosniff . Impide que Google Chrome e

    Internet Explorer intenten detectar el tipo de contenido de una respuesta distinta de la


    que el servidor declara.

    Removiendo cabecera “Server”


    Una de las cabeceras que es importante eliminar es la “SERVER”. Este encabezado
    muestra la versión del servidor web que se está ejecutando. Esta información sería un
    buen punto de inicio para un atacante, ya que podría investigar todas las posibles
    vulnerabilidades que estén asociadas a esa versión y realizar ataques más efectivos.

    Para realizar este trabajo necesitamos tener instalado la extensión URL-Rewrite,


    luego nos dirigimos al administrador, seleccionamos nuestro sitio y luego reescritura
    https://medium.com/guayoyo/asegurando-las-cabeceras-de-respuestas-http-en-servidores-web-iis-e19b224af6fa 5/10
    9/10/2019 Asegurando las cabeceras de respuestas HTTP en servidores web IIS

    de URL.

    Seleccionamos la variables de servidor y agregamos una nueva variable llamada


    RESPONSE_SERVER

    https://medium.com/guayoyo/asegurando-las-cabeceras-de-respuestas-http-en-servidores-web-iis-e19b224af6fa 6/10
    9/10/2019 Asegurando las cabeceras de respuestas HTTP en servidores web IIS

    Luego de que tengamos la nueva variable de servidor, regrese a la página de reglas,


    agregue una nueva regla y seleccione una regla de salida en blanco.

    https://medium.com/guayoyo/asegurando-las-cabeceras-de-respuestas-http-en-servidores-web-iis-e19b224af6fa 7/10
    9/10/2019 Asegurando las cabeceras de respuestas HTTP en servidores web IIS

    https://medium.com/guayoyo/asegurando-las-cabeceras-de-respuestas-http-en-servidores-web-iis-e19b224af6fa 8/10
    9/10/2019 Asegurando las cabeceras de respuestas HTTP en servidores web IIS

    Coloque el nombre a la regla, el nombre de la variable es RESPONSE_SERVER y


    colocar el patrón en * , esto es para que coincida con cualquier contenido que tengamos
    en nuestros servidor web. Luego “aplicar” y listo, se crea la nueva regla.

    https://medium.com/guayoyo/asegurando-las-cabeceras-de-respuestas-http-en-servidores-web-iis-e19b224af6fa 9/10
    9/10/2019 Asegurando las cabeceras de respuestas HTTP en servidores web IIS

    Como resultado obtendremos algo como esto:

    Como vemos para IIS se realizaron muchos más pasos, pero igual se logró eliminar esa
    información que sería útil para un atacante. Con esto estaríamos agregando una capa
    de seguridad a nuestro servidor web, y por ende mejoraríamos la postura de seguridad
    de los sistemas que se ejecuten en ese servidor web.

    Artículo relacionado:

    Asegurando las cabeceras de respuestas HTTP en servidores web Apache y NGINX

    Historia Iis Windows Hardening Security

    About Help Legal

    https://medium.com/guayoyo/asegurando-las-cabeceras-de-respuestas-http-en-servidores-web-iis-e19b224af6fa 10/10

    También podría gustarte