Cmo asegurar los servidores WEB FTP TERMINAL?

Pertenece: Manuel Palacios Rodriguez

[Ao]

Cmo asegurar un servidor web? Actualmente las empresas anuncian sus servicios mediante portadas web por eso, un portal o pagina web es un objetivo claro de ataque. Para asegurar el funcionamiento interno del servidor, se van a realizar los siguientes pasos: Filtros ISAPI Los filtros de interfaz de programacin para servidores de internet (ISAPI) son DLLs opcionales que llevan a cabo acciones concretas cuando IIS procesa una solicitud http de un cliente. Existen muchos tipos de filtros ISAPI, pero uno de los ms utilizados es UrlScan. UrlScan V2.5 es una herramienta de seguridad que restringe los tipos de peticiones HHTP que puede procesar internet information Services. UrlScan introduce las siguientes caractersticas: Cambio del directorio del archivo logs.- Su funcin es permitir o especifica la carpeta en la cual se va a guardar el fichero de registro (log). Registro de URLs Largas.- la opcin logLongUrls se incorporo para incrementar la longitud de las URLs que se van a almacenar en el archivo. Restricciones del tamao de las peticiones.- aadido la opcin RequestLimits para forzar los limites de tamao, en bytes de partes independientes que llegan al servidor. La seccin RequestLimits incluye las tres entradas siguientes: MaxAllowedContentLength.- fuerza el valor mximo de la variable contentlength. MaxUrl. Restringe la longitud de la URL en bytes.- de por si el valor por defecto es de 16 KB. MaxQueryString.- Restringe la longitud de la cadena de consulta (query string). El valor por defecto es 4 KB.

UrlScan.dll y UrlScan.ini en el directorio c: \windows\system32\inetsrv\UrlScan. Para activar la herramienta abrimos el sitio Web donde queremos establecer el filtro pulsamos en la pestaa filtros ISAPI y aada el filtro que se encuentra en la carpeta c:\system32\inetsrv\UrlScan

Seguridad de directorios El control de seguridad de directorios se puede realizar de dos formas: habilitando la autentificacin y el control de acceso, estableciendo restricciones por nombre de dominio y direccin IP y estableciendo conexiones seguras.

Autentificacin y control de acceso Para habilitar la autentificacin y el control de acceso, hacer click en el botn modificar y nos aparecer la ventana donde podemos establecer el acceso annimo, utilizando la cuenta de usuario IUSR_SERVIDOR o puede habilitar el acceso autentificado. Existen 3 maneras de autentificacin: Autentificacin bsica (la contrasea se enva o manda mediante texto no cifrado) Autentificacin de texto implcita para servidores de windows Autentificacin de Windows integrada (utilizada habitualmente). Cuando se habilita un de los mtodos de autentificacin, al conectarse al sitio Web aparece una venta de dialogo que le solicita el nombre de usuario, contrasea y dominio con el que se desea conectarse.

Restricciones de nombre de dominio y direccin IP La pestaa de seguridad de directorios tambin permite restringir el acceso al sitio Web a los clientes mediante una direccin IP o un nombre de dominio DNS concreto. Las restricciones se establecen de dos formas diferentes: Estableciendo el acceso a todos los equipos menos a los que estn en lista de negacin. sino restringiendo el acceso a todos los equipos a excepcin de los que estn autorizados en lista.

Conexiones seguras SSL Para poder permitir conexiones seguras (SSL/TLS) en internet Information Server (IIS) es necesario un certificado de seguridad para el sitio web que se desea proteger. Podra obtener dicho certificado de una empresa certificadora oficial o emitir su propio certificado. Para instalar el certificado seleccione el sitio web donde quiere instalar el certificado y en propiedades selecciones la pestaa seguridad de directorios. Estando en esta seccin tiene que acceder a certificados de servidores que se muestra en el bloque de comunicaciones seguras. A travs del asistente para certificado de servidor para instalar el certificado de dos formas

diferentes: puede preparar una peticin para ms tarde solicitarla y procesarla en una entidad emisora o si tenemos una entidad emisora en lnea puede realizar la peticin directamente. Pero si realiza una peticin para despus solicitarla debe realizar los pasos siguientes: 1.- a travs de un asistente genere una peticin 2.- conctese a la entidad emisora y a travs de una serie de formularios rellene sus datos e indique la ubicacin del fichero de texto que tiene la peticin. 3.- al cabo de unos instantes la entidad emisora le enva a su correo electrnico el certificado para instalarlo en el servidor. 4.- guarde la respuesta en un fichero pulse en el botn certificado del servidor y finalice el proceso indicando donde se encuentra el fichero que almacena la respuesta de la entidad emisora. 5.- para comprar si el certificado funciona conctese al sitio web en el caso poner (https://www.miempresa.com *) y compruebe si se activa el candado o cerrojo de seguridad que se encuentra en la parte inferior izquierda de la pagina. Si pulsa en el cando podr ver los certificados de seguridad.

Cmo asegurar un servidor web? Qu pasos o directicas debemos considerar para asegurar un servidor FTP: permitir solo acceso annimo.- al igual que la mayora de los protocolos los datos de los usuarios (usuario y contrasea) viajan a travs de internet en texto plano pudiendo ser reconocidos por un sniffer. Para evitar la interceptacin de las credenciales utilice solo conexiones annimas. Deshabilite el permiso escribir en el servidor FTP. Utilice una cuenta de usuarios annimas personalizada.- pro defecto el servidor Web y Ftp utilizan la misma cuenta de usuario annimo. Si quieres diferenciar a los servicios, cree una cuenta de usuario personalizada Habilitar registro.- habilite el registro de todas las conexiones FTP. Restrinja el acceso al servidor de direcciones.- solo indicando las direcciones IP que van a poder acceder a su servidor. De esta forma evitaramos que el servidor sea utilizado como equipo para almacenar informacin ajena a la empresa. Aisl a los usuarios en su directorio particular FTP.

Aqu solo mostramos el listado de aplicaciones permitidas

Cmo asegurar el Terminal Server? Elegir el modo de servicios de terminal correcto: durante la instalacin seleccione el modo que mejor se adapte a las necesidades del usuario (administracin remota, servidor de aplicaciones). Restringir que usuarios y grupos pueden iniciar una sesin: el inicio de sesin local es necesario para conectarse al servidor de terminales. Impedir el control remoto de servicios terminal server: el control remoto permite a los administradores visualizar las acciones de sesin de una conexin terminal server. Adems de permitir que los administradores examinen sus sesiones, el control permite realizar acciones de sesiones de terminal server. Para deshabilitar esta opcin, vaya a propiedades de una cuenta de usuario, pulse en la pestaa control remoto y deshabilite la opcin control remoto. Restringir las aplicaciones que se puedan ejecutar: en lugar de permitir que los usuarios se conecten a cualquier aplicacin puede restringir las aplicaciones que se ejecutan. Puede restringir a los usuarios a una nica aplicacin. 1.- restringir a una nica aplicacin 2.- restringir a una lista de aplicaciones especficas Cambiar el puerto de escucha de terminal server: para cambiar el puerto predeterminado del servicio terminal server modifique la siguiente clave de registro para asignarle el numero de puerto que desee en lugar de 3389:

\HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp Value: PortNumeber REG_DWORD:3389