Implantación de una Implantación de una infraestructura segurainfraestructura segura

Chema AlonsoChema Alonsojmalonso@informatica64.comjmalonso@informatica64.com MVP Windows SecurityMVP Windows Security

Juan Luis RamblaJuan Luis Ramblajlrambla@informatica64.comjlrambla@informatica64.comMVP Windows SecurityMVP Windows Security

Aurelio “Calico” PorrasAurelio “Calico” Porras

Diseño de sitios Web Diseño de sitios Web SegurosSeguros

Mejoras de seguridad en IIS Mejoras de seguridad en IIS 6.06.0

IIS se instala en modo seguro por IIS se instala en modo seguro por defecto.defecto.

Extensiones “Multipurpose Internet Mail Extensiones “Multipurpose Internet Mail Extensions” (MIME) restrictivas.Extensions” (MIME) restrictivas.

Múltiples procesos de ejecución (worker Múltiples procesos de ejecución (worker processes) afectan el estado del filtro processes) afectan el estado del filtro Internet Server API (ISAPI).Internet Server API (ISAPI).

La funcionalidad ASP y ASP.NET está La funcionalidad ASP y ASP.NET está deshabilitada por defecto.deshabilitada por defecto.

Mejoras de seguridad en IIS Mejoras de seguridad en IIS 6.06.0

Las rutas de acceso primarias están Las rutas de acceso primarias están deshabilitadas por defecto (..\) deshabilitadas por defecto (..\) [[AspEnableParentPaths]AspEnableParentPaths]..Los eventos de Global.asa se ejecutan como Los eventos de Global.asa se ejecutan como usuario anónimo. usuario anónimo. [[AspRunOnEndAnonymously]AspRunOnEndAnonymously]La sincronzación de contraseñas anónimas La sincronzación de contraseñas anónimas está deshabilitado por defecto.está deshabilitado por defecto.Autenticación Microsoft® .NET Passport Autenticación Microsoft® .NET Passport authentication requiere derechos de la cuenta authentication requiere derechos de la cuenta LocalSystem.LocalSystem.El acceso a ejecutables está restringido.El acceso a ejecutables está restringido.

Sitios Web SegurosSitios Web Seguros

IIS 6.0 soporta los siguientes métodos de IIS 6.0 soporta los siguientes métodos de autenticación:autenticación:

Autenticación anónima.Autenticación anónima. Autenticación Básica.Autenticación Básica. Las credenciales se envían sin Las credenciales se envían sin encriptar.encriptar.Autenticación Digest.Autenticación Digest. Parecido al básico, excepto que la Parecido al básico, excepto que la contraseña se envía como un valor Hash. Solo disponible en contraseña se envía como un valor Hash. Solo disponible en dominios con DC Windows.dominios con DC Windows.Autenticación avanzada Digest. Autenticación avanzada Digest. Las credenciales se Las credenciales se almacenan como Message Digest (MD5) hash en Active almacenan como Message Digest (MD5) hash en Active Directory en el DC Windows 2003.Directory en el DC Windows 2003.Autenticación integrada.Autenticación integrada. Utiliza tecnología de Utiliza tecnología de encriptaciónencriptaciónAutenticación .NET Passport.Autenticación .NET Passport. Servicio de autenticación Servicio de autenticación que permite a los usuarios tener un único inicio de sesión.que permite a los usuarios tener un único inicio de sesión.Autenticación con Certificados.Autenticación con Certificados. Utiliza certificados Secure Utiliza certificados Secure Sockets Layer (SSL) para autenticar servidores y clientes.Sockets Layer (SSL) para autenticar servidores y clientes.

Sitios Web SegurosSitios Web SegurosMethodMethod Security LevelSecurity Level How Passwords Are How Passwords Are

SentSentCrosses Proxy Servers and Crosses Proxy Servers and

FirewallsFirewalls Client RequirementsClient Requirements

Anonymous Anonymous authenticatiauthenticationon

NoneNone N/AN/A YesYes Any browserAny browser

Basic Basic authenticatiauthenticationon

LowLow Base64 encoded clear textBase64 encoded clear text

Yes, but sending passwords Yes, but sending passwords across a proxy server across a proxy server or firewall in clear text or firewall in clear text is a security risk is a security risk because Base64 because Base64 encoded clear text is encoded clear text is not encrypted.not encrypted.

Most browsersMost browsers

Digest Digest authenticatiauthenticationon

MediumMedium HashedHashed YesYes Internet Explorer 5 or laterInternet Explorer 5 or later

Advanced Digest Advanced Digest authenticatiauthenticationon

MediumMedium HashedHashed YesYes Internet Explorer 5 or laterInternet Explorer 5 or later

Integrated Windows Integrated Windows authenticatiauthenticationon

HighHigh

Hashed when NTLM is Hashed when NTLM is used; Kerberos used; Kerberos ticket when ticket when Kerberos is used.Kerberos is used.

No, unless used over a PPTP No, unless used over a PPTP connectionconnection

Internet Explorer 2.0 or Internet Explorer 2.0 or later for NTLM; later for NTLM; Windows 2000 or Windows 2000 or later with internet later with internet Explorer 5 or later Explorer 5 or later for Kerberosfor Kerberos

Certificate Certificate authenticatiauthenticationon

HighHigh N/AN/A Yes, using an SSL connectionYes, using an SSL connection Internet Explorer and Internet Explorer and NetscapeNetscape

.NET Passport .NET Passport authenticatiauthenticationon

HighHigh EncryptedEncrypted Yes, using an SSL connectionYes, using an SSL connection Internet Explorer and Internet Explorer and NetscapeNetscape

DemoDemo

Tumbar un web con un exploitTumbar un web con un exploit

Protección de sitios Protección de sitios Web mediante Web mediante

arquitectura firewallarquitectura firewallISA Server 2004ISA Server 2004

Arquitectura ISA Server 2004Arquitectura ISA Server 2004

Firewall multired:Firewall multired:Nivel de Red.Nivel de Red.

Nivel de Aplicación.Nivel de Aplicación.

Servidor VPN:Servidor VPN:Túneles.Túneles.

Clientes.Clientes.

Servidor Caché.Servidor Caché.

Características de seguridad.Características de seguridad.

Filtros IP. Filtros IP.

Reglas de acceso.Reglas de acceso.

Publicación de servicios.Publicación de servicios.

Filtros de aplicación.Filtros de aplicación.

Reglas de accesoReglas de accesoControlan el tráfico de información a través de las redes.Controlan el tráfico de información a través de las redes.

Determinan la configuración de origen, destino, protocolos Determinan la configuración de origen, destino, protocolos y usuarios que realizan la conexión.y usuarios que realizan la conexión.

La aplicación de las reglas se determinan en un orden, La aplicación de las reglas se determinan en un orden, quedando predefinida una regla que deniega cualquier quedando predefinida una regla que deniega cualquier tráfico de red.tráfico de red.

ISA Server 2004 proporciona una serie de reglas con los ISA Server 2004 proporciona una serie de reglas con los que se puede controlar la información que circula por la que se puede controlar la información que circula por la red en función de:red en función de:

Protocolos.Protocolos.

Usuarios. (AD, LDAP, RADIUS, SecureID)Usuarios. (AD, LDAP, RADIUS, SecureID)

Tipos de contenido.Tipos de contenido.

Franjas de tiempo.Franjas de tiempo.

Objetos de red.Objetos de red.

Reglas de PublicaciónReglas de Publicación

Se utilizan para publicar servidores.Se utilizan para publicar servidores.

Asistentes de publicación:Asistentes de publicación:Web Server.Web Server.

Secure Web Server.Secure Web Server.

Mail Server.Mail Server.

Definición de servidores por servicios.Definición de servidores por servicios.

Filtrado a Nivel de Filtrado a Nivel de AplicaciónAplicación

Inspeccionar el tráfico al nivel de aplicación.Inspeccionar el tráfico al nivel de aplicación.

Permitir o denegar el paso de datos a Permitir o denegar el paso de datos a determinados contenidos o aplicaciones.determinados contenidos o aplicaciones.

Proporcionan controles sobre determinados Proporcionan controles sobre determinados ataques.ataques.

Sistema extensible sobre filtrados de Sistema extensible sobre filtrados de conexiones.conexiones.

Implementadas directamente sobre las reglas de Implementadas directamente sobre las reglas de acceso y las publicaciones.acceso y las publicaciones.

Como un añadido sobre reglas y publicaciones.Como un añadido sobre reglas y publicaciones.

Como funcionalidad sobre ISA a nivel Firewall.Como funcionalidad sobre ISA a nivel Firewall.

Filtro HTTPFiltro HTTPPor el puerto 80 no solo viaja tráfico HTTP puro, Por el puerto 80 no solo viaja tráfico HTTP puro, sino que puede disfrazar otras comunicaciones.sino que puede disfrazar otras comunicaciones.

Malware.Malware.

P2P.P2P.

Servicios de mensajería …Servicios de mensajería …

Determinados ataques contra Servicios Web Determinados ataques contra Servicios Web pueden ser controlados a este nivel. (SQL pueden ser controlados a este nivel. (SQL Injection, XSS, WebTrojans)Injection, XSS, WebTrojans)

Controlan el tráfico de datos en transmisión y Controlan el tráfico de datos en transmisión y recepción a través de firmas.recepción a través de firmas.

Impedir tráfico a palabras claves.Impedir tráfico a palabras claves.Control de acceso a sitios web.Control de acceso a sitios web.

Detención de comunicaciones de aplicaciones Detención de comunicaciones de aplicaciones por firma y cabecera.por firma y cabecera.

Control de aplicaciones Control de aplicaciones HTTPHTTP

AplicaciónAplicación PeticiónPetición Cabecera HTTPCabecera HTTP FirmaFirma

Windows Windows MessengerMessenger

Request headersRequest headers User-Agent:User-Agent: MSMSGSMSMSGS

AOL Messenger AOL Messenger (and Gecko (and Gecko browsers)browsers)

Request headersRequest headers User-Agent:User-Agent: Gecko/Gecko/

Yahoo MessengerYahoo Messenger Request headersRequest headers HostHost msg.yahoo.commsg.yahoo.com

KazaaKazaa Request headersRequest headers P2P-AgentP2P-Agent Kazaa, Kazaa, Kazaaclient:Kazaaclient:

KazaaKazaa Request headersRequest headers User-Agent:User-Agent: KazaaClient KazaaClient

KazaaKazaa Request headersRequest headers X-Kazaa-X-Kazaa-Network:Network:

KaZaAKaZaA

GnutellaGnutella Request headersRequest headers User-Agent:User-Agent: GnutellaGnutellaGnucleusGnucleus

EdonkeyEdonkey Request headersRequest headers User-Agent:User-Agent: e2dke2dk

MorpheusMorpheus Response headerResponse header ServerServer MorpheusMorpheus

Filtros de autentificaciónFiltros de autentificación

ISA Server 2004 presenta una serie de ISA Server 2004 presenta una serie de mecanismos para garantizar los mecanismos para garantizar los procedimientos de autentificación.procedimientos de autentificación.

Integración con Directorio Activo.Integración con Directorio Activo.

Filtro Web RSA para autentificación de usuarios SecurID.Filtro Web RSA para autentificación de usuarios SecurID.

Filtro de autentificación Radius.Filtro de autentificación Radius.

Filtros de formulario de autentificación para OWA.Filtros de formulario de autentificación para OWA.

““Problemática” HTTP-sProblemática” HTTP-s

Conexiones HTTP-s ofrecen:Conexiones HTTP-s ofrecen:Autenticación mediante certificados.Autenticación mediante certificados.

Cifrado mediante tuneles SSL.Cifrado mediante tuneles SSL.

Conexiónes HTTP-s condicionan:Conexiónes HTTP-s condicionan:Transmisión datos extremo-extremo.Transmisión datos extremo-extremo.

Paso a través de sistemas de protección de forma Paso a través de sistemas de protección de forma oculta.oculta.

““Problemática” HTTP-sProblemática” HTTP-s

Conexiones HTTP-sConexiones HTTP-sFirewalls e IDS no pueden inspeccionar Firewalls e IDS no pueden inspeccionar tráfico.tráfico.

Ataques pasan sin ser detectados por Ataques pasan sin ser detectados por firewalls:firewalls:

SQL Injections.SQL Injections.

Cross-Site Scripting (XSS)Cross-Site Scripting (XSS)

Red Code.Red Code.

Unicode.Unicode.

Bridging HTTP-sBridging HTTP-s

El proceso de Bridging en conexiones El proceso de Bridging en conexiones HTTP-s permite que las conexiones se HTTP-s permite que las conexiones se cifren en dos tramos.cifren en dos tramos.

Entre cliente y Firewall.Entre cliente y Firewall.

Entre Firewall y Servidor.Entre Firewall y Servidor.

Bridging HTTP-sBridging HTTP-s

Ventajas:Ventajas:El Firewall puede inspeccionar el contenido.El Firewall puede inspeccionar el contenido.

Se pueden aplicar reglas mediante filtros.Se pueden aplicar reglas mediante filtros.

Se pueden detectar ataques.Se pueden detectar ataques.

No se pierde seguridad.No se pierde seguridad.

Si se desea, se puede dejar descifrado para Si se desea, se puede dejar descifrado para inspecciones NIDS.inspecciones NIDS.

Bridging HTTP-sBridging HTTP-s

MS ISA Server 2004 permite:MS ISA Server 2004 permite:

Tunneling HTTPS por cualquier puerto.Tunneling HTTPS por cualquier puerto.MS ISA Server 2000 hay que configurar MS ISA Server 2000 hay que configurar puertos SSL.puertos SSL.

Bridging HTTPS con:Bridging HTTPS con:Cifrado entre cliente-firewall y firewall Cifrado entre cliente-firewall y firewall servidor.servidor.

Cifrado entre cliente-firewall.Cifrado entre cliente-firewall.

Cifrado entre firewall-Servidor.Cifrado entre firewall-Servidor.

ContactosContactos

Juan Luís RamblaJuan Luís Ramblajlrambla@informatica64.comjlrambla@informatica64.com

Chema Alonso Chema Alonso chema@informatica64.comchema@informatica64.com

(MVP Windows Server Security “los dos”)(MVP Windows Server Security “los dos”)

Evento: Seguridad Práctica para EmpresasEvento: Seguridad Práctica para EmpresasMadrid 13 de JunioMadrid 13 de Juniohttp://www.microsoft.com/spain/technethttp://www.microsoft.com/spain/technetCampaña Hands on LabCampaña Hands on Labhttp://www.microsoft.com/spain/HOLSistemashttp://www.microsoft.com/spain/HOLSistemas