Transcript Mejores prácticas para la implantación de una infraestructura segura

Implantación de una
infraestructura segura
Chema Alonso
[email protected]
MVP Windows Security
Juan Luis Rambla
[email protected]
MVP Windows Security
Aurelio “Calico” Porras
Diseño de sitios Web
Seguros
Mejoras de seguridad en IIS 6.0
IIS se instala en modo seguro por defecto.
Extensiones “Multipurpose Internet Mail
Extensions” (MIME) restrictivas.
Múltiples procesos de ejecución (worker
processes) afectan el estado del filtro Internet
Server API (ISAPI).
La funcionalidad ASP y ASP.NET está
deshabilitada por defecto.
Mejoras de seguridad en IIS 6.0
Las rutas de acceso primarias están deshabilitadas
por defecto (..\) [AspEnableParentPaths].
Los eventos de Global.asa se ejecutan como usuario
anónimo. [AspRunOnEndAnonymously]
La sincronzación de contraseñas anónimas está
deshabilitado por defecto.
Autenticación Microsoft® .NET Passport authentication
requiere derechos de la cuenta LocalSystem.
El acceso a ejecutables está restringido.
Sitios Web Seguros
IIS 6.0 soporta los siguientes métodos de autenticación:
Autenticación anónima.
Autenticación Básica. Las credenciales se envían sin encriptar.
Autenticación Digest. Parecido al básico, excepto que la contraseña se
envía como un valor Hash. Solo disponible en dominios con DC Windows.
Autenticación avanzada Digest. Las credenciales se almacenan como
Message Digest (MD5) hash en Active Directory en el DC Windows 2003.
Autenticación integrada. Utiliza tecnología de encriptación
Autenticación .NET Passport. Servicio de autenticación que permite a los
usuarios tener un único inicio de sesión.
Autenticación con Certificados. Utiliza certificados Secure Sockets Layer
(SSL) para autenticar servidores y clientes.
Sitios Web Seguros
Method
Security Level
How Passwords Are Sent
Crosses Proxy Servers and Firewalls
Client Requirements
Anonymous
authentication
None
N/A
Yes
Any browser
Most browsers
Basic authentication
Low
Base64 encoded clear text
Yes, but sending passwords across a
proxy server or firewall in
clear text is a security risk
because Base64 encoded
clear text is not encrypted.
Digest authentication
Medium
Hashed
Yes
Internet Explorer 5 or later
Advanced Digest
authentication
Medium
Hashed
Yes
Internet Explorer 5 or later
Integrated Windows
authentication
High
Hashed when NTLM is used;
Kerberos ticket when
Kerberos is used.
No, unless used over a PPTP
connection
Internet Explorer 2.0 or later for
NTLM; Windows 2000 or
later with internet
Explorer 5 or later for
Kerberos
Certificate
authentication
High
N/A
Yes, using an SSL connection
Internet Explorer and Netscape
.NET Passport
authentication
High
Encrypted
Yes, using an SSL connection
Internet Explorer and Netscape
Demo
Tumbar un web con un exploit
Protección de sitios Web
mediante arquitectura
firewall
ISA Server 2004
Arquitectura ISA Server 2004
Firewall multired:
Nivel de Red.
Nivel de Aplicación.
Servidor VPN:
Túneles.
Clientes.
Servidor Caché.
Características de seguridad.
Filtros IP.
Reglas de acceso.
Publicación de servicios.
Filtros de aplicación.
Reglas de acceso
Controlan el tráfico de información a través de las redes.
Determinan la configuración de origen, destino, protocolos y usuarios
que realizan la conexión.
La aplicación de las reglas se determinan en un orden, quedando
predefinida una regla que deniega cualquier tráfico de red.
ISA Server 2004 proporciona una serie de reglas con los que se puede
controlar la información que circula por la red en función de:
Protocolos.
Usuarios. (AD, LDAP, RADIUS, SecureID)
Tipos de contenido.
Franjas de tiempo.
Objetos de red.
Reglas de Publicación
Se utilizan para publicar servidores.
Asistentes de publicación:
Web Server.
Secure Web Server.
Mail Server.
Definición de servidores por servicios.
Filtrado a Nivel de Aplicación
Inspeccionar el tráfico al nivel de aplicación.
Permitir o denegar el paso de datos a determinados
contenidos o aplicaciones.
Proporcionan controles sobre determinados ataques.
Sistema extensible sobre filtrados de conexiones.
Implementadas directamente sobre las reglas de acceso y
las publicaciones.
Como un añadido sobre reglas y publicaciones.
Como funcionalidad sobre ISA a nivel Firewall.
Filtro HTTP
Por el puerto 80 no solo viaja tráfico HTTP puro, sino que
puede disfrazar otras comunicaciones.
Malware.
P2P.
Servicios de mensajería …
Determinados ataques contra Servicios Web pueden ser
controlados a este nivel. (SQL Injection, XSS, WebTrojans)
Controlan el tráfico de datos en transmisión y recepción a
través de firmas.
Impedir tráfico a palabras claves.
Control de acceso a sitios web.
Detención de comunicaciones de aplicaciones por firma y
cabecera.
Control de aplicaciones HTTP
Aplicación
Petición
Cabecera HTTP
Firma
Windows Messenger
Request headers
User-Agent:
MSMSGS
AOL Messenger (and
Gecko browsers)
Request headers
User-Agent:
Gecko/
Yahoo Messenger
Request headers
Host
msg.yahoo.com
Kazaa
Request headers
P2P-Agent
Kazaa, Kazaaclient:
Kazaa
Request headers
User-Agent:
KazaaClient
Kazaa
Request headers
X-Kazaa-Network:
KaZaA
Gnutella
Request headers
User-Agent:
Gnutella
Gnucleus
Edonkey
Request headers
User-Agent:
e2dk
Morpheus
Response header
Server
Morpheus
Filtros de autentificación
ISA Server 2004 presenta una serie de mecanismos
para garantizar los procedimientos de autentificación.
Integración con Directorio Activo.
Filtro Web RSA para autentificación de usuarios SecurID.
Filtro de autentificación Radius.
Filtros de formulario de autentificación para OWA.
“Problemática” HTTP-s
Conexiones HTTP-s ofrecen:
Autenticación mediante certificados.
Cifrado mediante tuneles SSL.
Conexiónes HTTP-s condicionan:
Transmisión datos extremo-extremo.
Paso a través de sistemas de protección de forma oculta.
“Problemática” HTTP-s
Conexiones HTTP-s
Firewalls e IDS no pueden inspeccionar tráfico.
Ataques pasan sin ser detectados por firewalls:
SQL Injections.
Cross-Site Scripting (XSS)
Red Code.
Unicode.
Bridging HTTP-s
El proceso de Bridging en conexiones HTTP-s
permite que las conexiones se cifren en dos
tramos.
Entre cliente y Firewall.
Entre Firewall y Servidor.
Bridging HTTP-s
Ventajas:
El Firewall puede inspeccionar el contenido.
Se pueden aplicar reglas mediante filtros.
Se pueden detectar ataques.
No se pierde seguridad.
Si se desea, se puede dejar descifrado para inspecciones
NIDS.
Bridging HTTP-s
MS ISA Server 2004 permite:
Tunneling HTTPS por cualquier puerto.
MS ISA Server 2000 hay que configurar puertos SSL.
Bridging HTTPS con:
Cifrado entre cliente-firewall y firewall servidor.
Cifrado entre cliente-firewall.
Cifrado entre firewall-Servidor.
Contactos
Juan Luís Rambla
[email protected]
Chema Alonso
[email protected]
(MVP Windows Server Security “los dos”)
Evento: Seguridad Práctica para Empresas
Madrid 13 de Junio
http://www.microsoft.com/spain/technet
Campaña Hands on Lab
http://www.microsoft.com/spain/HOLSistemas