Documente Academic
Documente Profesional
Documente Cultură
0
2006© Microsoft Corporation
Autor:
Alejandro Adrián Ponicke
MCSA, MCSE, MCT
Guía de Seguridad para Internet Information Services 6.0
2006© Microsoft Corporation
La información en este documento incluyendo URLs y otras referencias a sitios web de Internet están sujetas a
cambio sin noticias previas.
A menos que sea explícitamente informado, las compañías, organizaciones, productos, nombres de dominio,
direcciones de mail, logotipos, persona, lugares, y eventos de ejemplo utilizados aquí, son ficticios y no existe
ningún tipo de asociación con ninguna compañía, organización, productos, nombre de dominio, dirección de mail,
logotipo, persona, lugar o eventos reales. Es responsabilidad del usuario cumplir con todas las leyes de derecho de
autor aplicables. Sin limitar los alcances de los derechos de autor, ninguna parte de este documento puede ser
reproducida, almacenada ó introducida en ningún sistema o trasmitida de ninguna forma o por cualquier medio
(electrónico, mecánico, fotocopiado, grabado, etc.) para ningún propósito, sin el expreso permiso escrito de
Microsoft Corporation.
Microsoft puede tener patentes en trámite, marcas registradas, derecho de autor y otros derechos de propiedad
intelectual cubriendo los productos objeto de este documento.
Excepto que sea proporcionado expresamente por medio de una licencia escrita por Microsoft, el contenido de este
documento no le da a usted ninguna licencia a estas patentes, derecho de autor u otras propiedades intelectuales.
La información en este documento y cualquier otro documento referenciado aquí es provisto con propósitos
informativos solamente y no puede ser interpretado como sustitución o reemplazo de servicios de información
diseñada por Microsoft Corporation para un usuario particular en un ambiente particular.
La confianza depositada en este documento y cualquier otro documento referenciado aquí es a riesgo del propio
lector. Microsoft Corporation no proporciona garantía ni confirma que la información proporcionada es apropiada
para ninguna situación y por tanto Microsoft Corporation no es ni será responsable por ningún reclamo o daño de
ningún tipo que el usuario de este documento o cualquier otro documento referenciado aquí pueda sufrir. Si usted
no acepta estos términos y condiciones, Microsoft Corporation no le proporcionará a usted ningún derecho a usar
ninguna parte de este documento o ningún documento referenciado aquí.
Microsoft, Windows, Active Directory, Internet Information Services, son todas marcas registradas de Microsoft
Corporation en Estados Unidos y/o otros países. 2006© Microsoft Corporation.
Los nombres de compañías y productos mencionados aquí pueden ser marcas registradas de sus respectivos
dueños.
Se recomienda leer esta Guía en forma completa antes de comenzar con la puesta en práctica de sus
recomendaciones.
2
Guía de Seguridad para Internet Information Services 6.0
2006© Microsoft Corporation
Índice
Índice....................................................................................................................................3
Capítulo 1: Introducción a la Guía de Seguridad para Internet Information Services 6.0...5
Sumario ejecutivo............................................................................................................5
Los desafíos ambientales.............................................................................................5
Internet Information Services.......................................................................................5
Visión general de la Guía.............................................................................................5
¿Quien debería leer esta guía?.....................................................................................6
Alcance de esta guía.....................................................................................................6
Capitulo 2: Configuración del servidor físico......................................................................7
La seguridad del servidor.................................................................................................7
Firmware......................................................................................................................7
BIOS............................................................................................................................7
Controladores de dispositivos......................................................................................7
Configuración del BIOS...............................................................................................8
Configuración Externa del servidor.............................................................................8
Consideraciones Generales..........................................................................................8
Capitulo 3: Configuración del sistema operativo.................................................................9
Windows Server 2003......................................................................................................9
Instalación....................................................................................................................9
Actualizaciones de seguridad a la instalación de Windows Server...........................10
Instalación del Componente Internet Information Services 6.0.................................12
Revisar el estado de actualizaciones..........................................................................13
Asistente para configuración de seguridad................................................................13
Servicios.....................................................................................................................33
Políticas locales..........................................................................................................35
Permisos NTFS..........................................................................................................37
Configuración del protocolo TCP/IP.........................................................................38
Consideraciones Generales........................................................................................39
Capitulo 4: Configuración del servicio WEB de Internet Information Services 6.0.........40
Configuración de sitios Web..........................................................................................40
Sitio Web...................................................................................................................40
Extensiones................................................................................................................41
Grupo de Aplicaciones...............................................................................................42
URLScan 2.5..............................................................................................................43
Consideraciones Generales........................................................................................44
Capitulo 5: Configuración del servicio FTP de Internet Information Services 6.0...........45
Configuración de sitios FTP..........................................................................................45
Sitio FTP....................................................................................................................45
Consideraciones Generales........................................................................................49
Capitulo 6: Conclusiones finales........................................................................................50
Resumen.........................................................................................................................50
Conclusión de la Guía................................................................................................50
Apéndice 1: Instalación de Internet Information Services de manera automática. ...........51
Instalación desatendida..................................................................................................51
3
Guía de Seguridad para Internet Information Services 6.0
2006© Microsoft Corporation
Setup Manager...........................................................................................................51
Winnt.sif.....................................................................................................................51
Services.vbs................................................................................................................53
4
Guía de Seguridad para Internet Information Services 6.0
2006© Microsoft Corporation
5
Guía de Seguridad para Internet Information Services 6.0
2006© Microsoft Corporation
6
Guía de Seguridad para Internet Information Services 6.0
2006© Microsoft Corporation
Firmware
El Firmware es software específico para una determinada clase de hardware.
Los discos rígidos por ejemplo, tienen dentro su propio firmware que al igual
que el BIOS es susceptible de cambios y mejoras. Consulte con el proveedor
de hardware la disponibilidad y procedimientos de actualización de dicho
software.
BIOS
El BIOS (Basic Input Output System) es el primer software que ejecutará el
servidor al iniciarse y como todo software es susceptible de fallas,
vulnerabilidades e incompatibilidades. Los fabricantes de servidores lanzan
periódicamente nuevas versiones de BIOS que incorporan cambios y mejoras
de manera tal de aprovechar mejor los componentes del servidor. Por lo tanto
es esencial que actualice el mismo siguiendo los procedimientos informados
por el fabricante.
Controladores de dispositivos
Conocidos también como Drivers son piezas de software que permiten
abstraer el hardware permitiendo interoperar al sistema operativo con los
componentes del servidor como las placas de red, la tarjeta de video, etc.
7
Guía de Seguridad para Internet Information Services 6.0
2006© Microsoft Corporation
Consideraciones Generales
Muchas de las acciones arriba descriptas pueden necesitar ayuda o
soporte del proveedor del equipo, tenga a mano los datos de soporte o
manuales específicos a la hora de efectuar los cambios. Un cambio mal
realizado puede acarrear efectos adversos.
8
Guía de Seguridad para Internet Information Services 6.0
2006© Microsoft Corporation
Instalación
Si bien este documento no cubre el proceso de instalación del sistema
operativo, asume que el lector cuenta con un servidor con Windows 2003
Server Ediciones Estándar, Enterprise o Datacenter con Service Pack 1
incorporado con sus configuraciones predeterminadas según determina el
proceso de instalación en un servidor con al menos dos particiones.
Habiendo instalado el sistema operativo en una partición y dejando la otra
partición disponible para la instalación del IIS 6.0, un direccionamiento IP fijo
acorde con la red física, y que fueron desactivados tanto Clientes para redes
Microsoft como Compartir archivos e impresoras según se observa en la
siguiente figura.
9
Guía de Seguridad para Internet Information Services 6.0
2006© Microsoft Corporation
10
Guía de Seguridad para Internet Information Services 6.0
2006© Microsoft Corporation
PSSU es una interfaz de usuario (Fig. 3) que aparece la primera vez que el
administrador inicia sesión y proporciona enlaces para la aplicación de las
actualizaciones en su servidor y configurar la descarga e instalación de las
próximas actualizaciones. PSSU informa al administrador que todas las
conexiones entrantes al servidor, distintas a aquellas especificadas durante
la instalación o aquellas configuradas a través de grupos de políticas (GPO),
están bloqueadas.
11
Guía de Seguridad para Internet Information Services 6.0
2006© Microsoft Corporation
Por ultimo ejecute Finalizar lo cual dará por terminado el proceso y pondrá al
servidor operativo.
[Components]
iis_common = on
iis_inetmgr = on
iis_www = on
iis_ftp = on
iis_asp = on
AspNet = on
[InternetServer]
PathFTPRoot=D:\Ftp
PathWWWRoot=D:\Www
12
Guía de Seguridad para Internet Information Services 6.0
2006© Microsoft Corporation
13
Guía de Seguridad para Internet Information Services 6.0
2006© Microsoft Corporation
14
Guía de Seguridad para Internet Information Services 6.0
2006© Microsoft Corporation
15
Guía de Seguridad para Internet Information Services 6.0
2006© Microsoft Corporation
16
Guía de Seguridad para Internet Information Services 6.0
2006© Microsoft Corporation
17
Guía de Seguridad para Internet Information Services 6.0
2006© Microsoft Corporation
18
Guía de Seguridad para Internet Information Services 6.0
2006© Microsoft Corporation
19
Guía de Seguridad para Internet Information Services 6.0
2006© Microsoft Corporation
20
Guía de Seguridad para Internet Information Services 6.0
2006© Microsoft Corporation
21
Guía de Seguridad para Internet Information Services 6.0
2006© Microsoft Corporation
En Abrir puertos y aprobar aplicaciones deje solamente tildado puerto 20, 21, 80
y 443, destilde cualquier otra opción. Haga click en Siguiente.
22
Guía de Seguridad para Internet Information Services 6.0
2006© Microsoft Corporation
23
Guía de Seguridad para Internet Information Services 6.0
2006© Microsoft Corporation
24
Guía de Seguridad para Internet Information Services 6.0
2006© Microsoft Corporation
25
Guía de Seguridad para Internet Information Services 6.0
2006© Microsoft Corporation
26
Guía de Seguridad para Internet Information Services 6.0
2006© Microsoft Corporation
27
Guía de Seguridad para Internet Information Services 6.0
2006© Microsoft Corporation
28
Guía de Seguridad para Internet Information Services 6.0
2006© Microsoft Corporation
29
Guía de Seguridad para Internet Information Services 6.0
2006© Microsoft Corporation
30
Guía de Seguridad para Internet Information Services 6.0
2006© Microsoft Corporation
31
Guía de Seguridad para Internet Information Services 6.0
2006© Microsoft Corporation
32
Guía de Seguridad para Internet Information Services 6.0
2006© Microsoft Corporation
Servicios
Una de las acciones más efectivas para la reducción de la superficie de
ataque es la deshabilitar servicios innecesarios. Dependiendo de la cantidad
de servicios instalados y de las configuraciones realizadas por le SCW, revise
qué servicios están en modo automático y deshabilítelos conforme aparecen
en la siguiente lista.
33
Guía de Seguridad para Internet Information Services 6.0
2006© Microsoft Corporation
34
Guía de Seguridad para Internet Information Services 6.0
2006© Microsoft Corporation
• Servicio de Alerta
• Servicio de aprovisionamiento de red
• Servicio de búsqueda sobre experiencia con aplicaciones
• Servicio de descubrimiento automático de Proxy WinHTTP
• Servicio de Index Server
• Servicio de puerta de enlace de capa de aplicación
• Servicios de Terminal Server
• Servicios de IPSEC
• Servidor
• Servidor de seguimiento de vínculos distribuidos
• Sistema de archivos distribuidos
• Telefonía
• Telnet
• Temas
Políticas locales
Las políticas locales configuradas en un equipo son las únicas políticas que
aplican sobre el mismo cuando éste es un servidor independiente no
perteneciente a un dominio. En caso de formar parte de un dominio las
políticas locales son sobrescritas por las políticas de sitios, dominios y
unidades organizativas conforme éstas se contradicen.
35
Guía de Seguridad para Internet Information Services 6.0
2006© Microsoft Corporation
En Opciones de seguridad:
36
Guía de Seguridad para Internet Information Services 6.0
2006© Microsoft Corporation
Permisos NTFS
Los permisos NTFS controlan el usuario y el tipo de acceso a carpetas y a
archivos, la incorrecta configuración de permisos puede acarrear graves
consecuencias ya que permisos mal puestos pueden permitir crear, modificar
o borrar archivos esenciales para el normal funcionamiento de los sistemas.
En esta guía se sugirió usar dos discos distintos para el sistema operativo en
sí mismo y para la instalación de Internet Information Services. Eso dá la
posibilidad de tratar de diferente manera ambas unidades.
37
Guía de Seguridad para Internet Information Services 6.0
2006© Microsoft Corporation
La siguiente lista explica cómo configurar los valores de registry que deben
ser modificados para adaptar el protocolo TCP/IP en máquinas conectadas
directamente a Internet.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
Nombre: SynAttackProtect
Clave: Tcpip\Parameters
Tipo: REG_DWORD
Valor:1
Nombre: EnableDeadGWDetect
Clave: Tcpip\Parameters
Tipo: REG_DWORD
Valor: 0
Nombre: EnablePMTUDiscovery
Clave: Tcpip\Parameters
Tipo: REG_DWORD
Valor: 0
Nombre: KeepAliveTime
Clave: Tcpip\Parameters
Tipo: REG_DWORD-Tiempo en milisegundos
Default: 300000 (5 minutos)
Nombre: NoNameReleaseOnDemand
Clave: Netbt\Parameters
Tipo: REG_DWORD
Valor: 1
38
Guía de Seguridad para Internet Information Services 6.0
2006© Microsoft Corporation
http://support.microsoft.com/default.aspx?scid=kb;en-
us;324270#XSLTH3123121122120121120120
Consideraciones Generales
Las operaciones antes descriptas configuran y preparan el sistema operativo
para realizar las operaciones de webserver. Recuerde analizar y probar
concienzudamente cada configuración en un ambiente de prueba antes de
aplicarlas en el ambiente de producción.
39
Guía de Seguridad para Internet Information Services 6.0
2006© Microsoft Corporation
Sitio Web
Elimine el sitio web llamado Sitio Web predeterminado. No es una buena
práctica mantenerlo. Haga click derecho sobre él y elija eliminar.
Cree un sitio nuevo haciendo click derecho en el nodo Sitios Web, elija
nuevo, y luego Sitio Web, para iniciar el asistente de creación de sitios.
Haga click en Siguiente para pasar la pantalla de bienvenida. Escriba un
nombre suficientemente identificatorio y haga click en Siguiente. Luego
elija una dirección IP en Escriba la dirección IP para este sitio Web. No deje
nunca (Ninguna Asignada). Elija el puerto, típicamente puerto 80 y Asigne
el Encabezado host en la caja de texto Encabezado de host para este sitio
web (predeterminado ninguno), por el cual el sitio responderá (Ej.:
40
Guía de Seguridad para Internet Information Services 6.0
2006© Microsoft Corporation
Elija la ruta de acceso donde el contenido del sitio reside (recuerde que
esta guía sugiere al menos dos particiones, no use la partición de sistema
como directorio raíz de WEB) y deje tildado Permitir accesos anónimos a
este sitio web si no va a exigir autenticación y va a ser un sitio público,
haga click en Siguiente.
Extensiones
En su instalación por omisión, IIS reduce al máximo la superficie de
ataque el no ofrecer extensiones para contenido dinámico.
iis_asp = on
AspNet = on
41
Guía de Seguridad para Internet Information Services 6.0
2006© Microsoft Corporation
Grupo de Aplicaciones
A menos que el contenido del sitio web deba ser accedido vía red, cambie
el contexto de seguridad de los grupos de aplicaciones a Servicio Local.
42
Guía de Seguridad para Internet Information Services 6.0
2006© Microsoft Corporation
URLScan 2.5
Si bien IIS 6 incluye varias características de URLScan ya incorporadas,
es conveniente utilizar la versión separada proporcionada por Microsoft de
manera de tener un control mucho mas preciso del comportamiento del
IIS.
Puede descargar URLScan 2.5 desde:
http://www.microsoft.com/technet/security/tools/urlscan.mspx
43
Guía de Seguridad para Internet Information Services 6.0
2006© Microsoft Corporation
[AllowVerbs]
GET
HEAD
POST ; En caso de usar contenido dinámico y que se pasen parámetros
por POST
[AllowExtensions]
.htm
.html
.jpg
.jpeg
.gif
.png
.asp ; En caso de utilizar contenido dinámico
.aspx ; En caso de utilizar contenido dinámico
Consideraciones Generales
Las configuraciones de IIS 6 arriba descriptas son dependientes de las
aplicaciones a colocar en el servidor web. En servidores donde la seguridad es un
tema crítico deben ajustarse los parámetros de la manera más segura posible, y
luego probar la aplicación y revisar los logs para ir encontrando qué configuración
intercede con el normal funcionamiento de la misma y evaluar la relajación o no
de dicha configuración. Este tipo de operaciones pueden resultar tediosas pero es
necesario entender que no pueden ofrecerse ventajas de ningún tipo a la hora de
exponer un servicio en ambientes no controlados.
44
Guía de Seguridad para Internet Information Services 6.0
2006© Microsoft Corporation
Sitio FTP
Este documento va a utilizar la característica que incorpora IIS6
denominada Aislar Usuarios. Este modo autentica a los usuarios contra
cuentas locales o de dominio antes de permitirles el acceso al directorio
particular correspondiente a su nombre de usuario. Todos los directorios
principales de los usuarios se encuentran en un mismo directorio raíz
FTP, en el que cada usuario únicamente puede obtener acceso y esta
restringido a su directorio particular.
45
Guía de Seguridad para Internet Information Services 6.0
2006© Microsoft Corporation
Cree un nuevo sitio FTP haciendo click derecho en Sitios FTP, elija
Nuevo y luego Sitio FTP, haga click en Siguiente para aceptar la pantalla
de bienvenida. Escriba una descripción que identifique claramente al sitio
y haga click en Siguiente. Asigne una dirección IP (necesitará una
dirección IP por cada sitio FTP que necesite crear) y deje el puerto 21 si
desea publicarlo en el puerto estándar. Haga click en Siguiente. Elija la
opción Aislar Usuarios para permitir que cada usuario deje el contenido en
su propio directorio y no pueda acceder a ningún otro y haga click en
Siguiente. Elija la ruta del directorio raíz (recuerde que esta guía sugiere
al menos dos particiones, no use la partición de sistema como directorio
raíz de FTP). Haga click en Siguiente y elija lectura y escritura. Haga click
en Siguiente y luego en Finalizar.
46
Guía de Seguridad para Internet Information Services 6.0
2006© Microsoft Corporation
.
Cree un usuario por cada sitio web para el cual se cargará contenido. En
este ejemplo crearemos dos usuarios. Abra una consola de comandos y
ejecute:
Vaya al directorio raíz que indicó en la creación del sitio FTP (en nuestro
ejemplo D:\>FTP) y cree una subcarpeta llamada LocalUser.
Dentro de LocalUser cree una carpeta por cada usuario de cada sitio web
autorizado a subir contenido. En nuestro ejemplo crearemos las carpetas
sitioweb1 y sitioweb2.
47
Guía de Seguridad para Internet Information Services 6.0
2006© Microsoft Corporation
48
Guía de Seguridad para Internet Information Services 6.0
2006© Microsoft Corporation
Testee el procedimiento iniciando una sesión ftp con uno de los usuarios
creados recientemente. Suba un archivo de prueba y verifique que el
archivo esté en la carpeta que coincide con el nombre de la cuenta con la
cual inició sesión en el FTP.
Consideraciones Generales
La característica que permite el aislamiento de usuarios es un
complemento ideal para la carga y descarga de archivos de un servidor
que no posee los mecanismos tradicionales encontrados normalmente en
los servidores Microsoft. Además resulta uno de los protocolos que mejor
performance ofrecen, al momento de manejar transferencias con gran
cantidad de información.
49
Guía de Seguridad para Internet Information Services 6.0
2006© Microsoft Corporation
Resumen
Conclusión de la Guía
Esta guía ha presentado la manera en que Microsoft recomienda la
instalación, configuración y ajuste de Internet Information Services 6 para
implementaciones críticas en cuanto a seguridad. Las configuraciones
aquí descriptas pueden asistir a organizaciones de todos los tamaños a
obtener respuestas a los riesgos de seguridad a los que puedan verse
enfrentados al publicar contenido vía web usando IIS. La decisión de la
aplicación de esta guía debe basarse en un análisis de riesgo que
sobrepase el nivel definido como aceptable.
50
Guía de Seguridad para Internet Information Services 6.0
2006© Microsoft Corporation
Instalación desatendida
Setup Manager
Esta herramienta permite crear archivos de respuesta que automatizan la
instalación de servidores. setupmgr.exe se encuentra dentro del archivo
deploy.cab que se encuentra en el CD de instalación de Windows 2003
Server \Support\Tools\deploy.cab.
Winnt.sif
;SetupMgrTag
[Data]
AutoPartition=1
MsDosInitiated="0"
UnattendedInstall="Yes"
[Unattended]
UnattendMode=FullUnattended
OemSkipEula=Yes
OemPreinstall=No
TargetPath=so\www
[GuiUnattended]
AdminPassword=P@ssw0rd
EncryptedAdminPassword=No
AutoLogon=Yes
51
Guía de Seguridad para Internet Information Services 6.0
2006© Microsoft Corporation
AutoLogonCount=2
OEMSkipRegional=1
TimeZone=70
OemSkipWelcome=1
[UserData]
ProductKey=AAAAA-BBBBB-CCCCC-DDDDD-EEEEE
FullName="Admin"
OrgName="Compania"
ComputerName=wwwsrv
[LicenseFilePrintData]
AutoMode=PerSeat
[TapiLocation]
CountryCode=54
AreaCode=11
[RegionalSettings]
LanguageGroup=1
Language=00002c0a
[GuiRunOnce]
Command0=a:\services.vbs
[Identification]
JoinWorkgroup=WORKGROUP
[Networking]
InstallDefaultComponents=No
[NetAdapters]
Adapter1=params.Adapter1
[params.Adapter1]
INFID=*
[NetProtocols]
MS_TCPIP=params.MS_TCPIP
[params.MS_TCPIP]
DNS=No
UseDomainNameDevolution=No
EnableLMHosts=Yes
AdapterSections=params.MS_TCPIP.Adapter1
[NetBindings]
Disable = "MS_Server MS_NetBeui Adapter1"
Disable = "MS_MSClient MS_NetBeui Adapter1"
Disable = "ms_msclient ms_netbt ms_tcpip Adapter1"
52
Guía de Seguridad para Internet Information Services 6.0
2006© Microsoft Corporation
[params.MS_TCPIP.Adapter1]
SpecificTo=Adapter1
DHCP=No
IPAddress=192.168.1.2
SubnetMask=255.255.255.0
DefaultGateway=192.168.1.1
WINS=No
NetBIOSOptions=2
[Components]
iis_common = on
iis_ftp = on
iis_inetmer = on
iis_asp = on
AspNet = on
iis_www = on
Accessopt = Off
RootAutoUpdate = off
Calc = off
CharMap = off
ClipBook = off
DeskPaper = off
Paint = off
MSWordpad = off
Chat = off
IEHardenAdmin = off
IEHardenUser = off
SCW=on
[InternetServer]
PathFTPRoot = c:\srv\iis\ftps
PathWWWRoot = c:\srv\iis\webs
Services.vbs
53
Guía de Seguridad para Internet Information Services 6.0
2006© Microsoft Corporation
strComputer = "."
arrTargetSvcs =
Array("AeLookupSvc","Clipsrv","Browser","Alerter",
"appmgmt", "DCOMLaunch", "DHCP", "DFS", "Helpsvc",
"SamSS", "Seclogon", "lanmanServer", "lanmanWorkstation")
54
Guía de Seguridad para Internet Information Services 6.0
2006© Microsoft Corporation
Next
55
Guía de Seguridad para Internet Information Services 6.0
2006© Microsoft Corporation
56