Notes
Slide Show
Outline
1
Instalación Segura de un servidor IIS
  • Juan Carlos G. Cuartango
    cuartango@instisec.com
2
Reglas básicas
  • Las recomendaciones siguen se basan estos cuatro puntos :
  • Instalar software actualizado
  • Configuración segura del sistema
  • Medidas preventivas
  • No dar información
3
¿ Contra que nos defendemos ?
  • Vulnerabilidades en S.O. y productos integrados
  • Defectos de configuración
  • B.O. en extensiones ISAPI
  • “Accesos transversales”  ../..
  • Codificaciones %25%99%..
  • Verbos y cabeceras mal construidos
  • Elevaciones de privilegios
  • “Magnificación” de pequeñas vulnerabilidades
  • ...
4
Instalación W-2000 y componentes
  • No instalar sobre directorio por defecto x:\winnt
  • (Dejar un C:\winnt\system32 trampa auditado)
  • No montar IIS sobre x:\inetpub\wwwroot
  • Sistema e IIS en unidades de disco distintas
  • Versión Inglesa del sistema operativo
  • No instalar productos no necesarios
5
Aplicar el último Service Pack
  • Aplicar SP-2
  • Ejecutar HKNetchk o consultar www.microsoft.com/security
  • Aplicar hot-fixes (considerar desfases de SP)  :
  • MS00-079 : HyperTerminal Buffer Overflow Vulnerability
  • MS01-007 : Network DDE Agent Requests Can Enable Code to Run in System Context
  • MS01-011 : Malformed Request to Domain Controller Can Cause CPU Exhaustion
  • MS01-013 : Windows 2000 Event Viewer Contains Unchecked Buffer
  • MS01-022 : WebDAV Service Provider Can Allow Scripts to Levy Requests as User
  • MS01-024 : Malformed Request to Domain Controller can Cause Memory Exhaustion
  • MS01-025 : Index Server Search Function Contains Unchecked Buffer
  • MS01-031 : Predictable Name Pipes Could Enable Privilege Elevation via Telnet
  • MS01-033 : Unchecked Buffer in Index Server ISAPI Extension Could Enable Web Server Compromise
  • MS01-036 : Function Exposed via LDAP over SSL Could Enable Passwords to be Changed
  • MS01-037 : Authentication Error in SMTP Service Could Allow Mail Relaying
  • MS01-040 : Invalid RDP Data Can Cause Memory Leak in Terminal Services
  • MS01-041 : Malformed RPC Request Can Cause Service Failure
  • MS01-043 : NNTP Service in Windows NT 4.0 and Windows 2000 Contains Memory Leak
  • MS01-044 : 15 August 2001 Cumulative Patch for IIS
  • MS01-046 : Access Violation in Windows 2000 IRDA Driver Can Cause System to Restart
  • MS01-052 : Invalid RDP Data can Cause Terminal Service Failure
6
Plantillas de seguridad
  • Utilizar el editor de configuraciones de seguridad
  • Existen diversas plantillas recomendadas
  • Microsoft :  hisecweb.inf
  • NSA : http://nsa1.www.conxion.com/win2k/download.htm
  • Además en NSA hay más información interesante (Guías de seguridad)
7
Eliminar o renombrar archivos
  • Después una intrusión se usan :
  • xcopy.exe, wscript.exe, cscript.exe, net.exe, ftp.exe, telnet.exe, arp.exe, edlin.exe, ping.exe, route.exe, at.exe, finger.exe, posix.exe, rsh.exe atsvc.exe qbasic.exe runonce.exe syskey.exe cacls.exe ipconfig.exe, rcp.exe, secfixup.exe, nbtstat.exe, rdisk.exe, debug.exe, regedt32.exe, regedit.exe, edit.com, netstat.exe, tracert.exe, nslookup.exe, rexec.exe, cmd.exe, nslookup.exe, tftp.exe, command.com
8
Cuenta administrador
  • Es la única que se puede creer que existe
  • Objetivo de los ataques de “fuerza bruta”
  • Hay que renombrarla (no puede eliminarse)
  • Si se usan otras cuentas establecer políticas rígidas de contraseñas y de bloque de cuentas
9
Desactivar servicios innecesarios
  • Alerter
  • Clipbook
  • Application management
  • COM+ Event system
  • Computer Browser
  • DHCP client
  • Distributed Link Tracking Client
  • Distributed Transaction Coordinator
  • Fax Service
  • Indexing Services
  • Internet Connection Sharing
  • Message Queuing
  • Messenger
  • Net Logon
  • Network DDE
  • Network DDE DSDM
  • Performance Logs and Alerts
  • Print Spooler
10
Eliminación de Netbios
11
Filtrado de paquetes
12
Eliminación de directorios innecesarios
  • Eliminar los directorios
13
Configurar derechos de acceso (ACL)
  • Depende de la aplicación pero orientativamente pueden darse las siguientes reglas :
14
Eliminar ext. ISAPI no utilizadas
  • HTW , IDC , IDQ , HTR , IDC , PRINTER
15
Eliminar componentes COM
  • Objeto “File System Object”


  • regsvr32 scrrun.dll /u


  • Unico objeto que permite acceder al sistema de archivos desde .ASP
16
Prohibir directorios “padre”
  • Si las aplicaciones lo permiten :
17
Configuración de los “logs” de IIS
  • Activar al menos
      • "Client IP Address “
      • “User Name”
      • “Method”
      • “URI Stem”
      • “HTTP Status”
      • “Win32 Status”
      • “User Agent”
  • Permisos solo a “System” y “Administrators”

    (Así el se dificulta el borrado de pistas)


  • No olvidar la potente auditoría de W-2000
18
Herramienta IIS LockDown
  • Herramienta de aplicación automatizada de las medidas de configuración más importantes.
  • Atención : elimina .ASP !!!
19
URLScan
  • FILTRA ENTRADAS
  • “verbos” HTTP poco utilizadas
  • URLs “Hostiles”
  • extensiones de archivos
    caberas HTTP
  • EN SALIDA
  • Filtra cabecera “server”
20
Cabecera “server”
  • Fuente de la mayoría de los ataques
  • Ataques automatizados (la mayor parte)
  • No permite cambiarla, solo eliminarla
21
URLScan
  • Ventajas
  • Buena protección frente a vulnerabilidades desde el punto de vista “histórico”
  • Separa “logs” de ataques
  • Eliminación cabecera “server”
  • Mejoras posibles
  • Cabecera “server” configurable
  • Configuración de cadenas “hostiles”
22
Cambio de cabecera “Server”

  • Es posible hacerlo
  • Pero no recomendable
  • Para paranoicos ...
23
Conclusiones
  • Instalar un servidor Internet con un nivel razonable de seguridad es muy fácil
  • Existe la información
  • Existen las herramientas
  • Tan solo se necesitan administradores con una formación en seguridad
  • La seguridad es un proceso continuo
24
¿Cuestiones?
  • Juan Carlos G. Cuartango
    cuartango@instisec.com