15 consejos para proteger servidores web (IIS)

En general, la mayoría de los sitios web están diseñados para proporcionar acceso instantáneo a la información de la manera más aceptable. En los últimos años, más y más problemas de seguridad causados ​​por piratas informáticos, virus y gusanos han afectado seriamente la accesibilidad de los sitios web. Aunque los servidores Apache a menudo son el objetivo de los atacantes, el Servicio de Información de Internet (IIS) de Microsoft. Los servidores web son el verdadero objetivo del público.

Las organizaciones de educación avanzada a menudo luchan por encontrar un equilibrio entre crear un sitio web dinámico y fácil de usar o crear un sitio web altamente seguro. Además, ahora deben trabajar para mejorar la seguridad de sus sitios web ante la reducción de los presupuestos de tecnología (de hecho, muchos de sus sectores privados también enfrentan situaciones similares).

Debido a esto, estoy aquí para proporcionar algunos consejos para los gerentes de TI de las universidades que tienen un dolor de cabeza por el presupuesto para ayudarlos a proteger sus servidores IIS. Aunque principalmente para los profesionales de TI de la universidad, estas técnicas son básicamente aplicables a los administradores de IIS que desean aumentar la seguridad con un presupuesto pequeño. De hecho, algunas de las técnicas también son muy útiles para los gerentes de IIS con presupuestos sólidos.

Primero, desarrolle una política de seguridad

El primer paso para proteger un servidor web es asegurarse de que el administrador de red conozca todos los sistemas de la política de seguridad. Si la alta dirección de la empresa no considera la seguridad del servidor como un activo que debe protegerse, entonces el trabajo de protección no tiene ningún significado. Este trabajo requiere esfuerzos a largo plazo. Si el presupuesto no lo admite o si no forma parte de una estrategia de TI a largo plazo, los administradores que pasan mucho tiempo protegiendo la seguridad del servidor no obtendrán un apoyo de administración significativo.

¿Cuáles son las consecuencias directas de que los administradores de red establezcan la seguridad de todos los aspectos de los recursos? Algunos usuarios que son particularmente aventureros se mantendrán fuera de la puerta. Esos usuarios se quejarán de la administración de la compañía y la administración le preguntará al administrador de la red qué sucedió. Entonces, los administradores de red no pueden crear documentos que admitan su trabajo seguro, por lo que se han producido conflictos.

Al etiquetar el nivel de seguridad del servidor web y la política de seguridad de disponibilidad, los administradores de red podrán implementar varias herramientas de software en diferentes sistemas operativos con facilidad.

Consejos de seguridad de IIS

Los productos de Microsoft siempre han sido objeto de críticas, por lo que el servidor IIS es particularmente fácil de convertirse en el objetivo del atacante. Teniendo esto en cuenta, los administradores de red deben estar preparados para implementar una serie de medidas de seguridad. Lo que le voy a ofrecer es una lista que los operadores de servidores pueden encontrar útil.

1. Mantenga la actualización de Windows:

Debe actualizar todas las actualizaciones a tiempo y corregir todos los parches para su sistema. Considere la posibilidad de descargar todas las actualizaciones a un servidor dedicado en su red y publicar los archivos en la máquina como un sitio web. A través de estas tareas, puede evitar que su servidor web acepte el acceso directo a Internet.

2. Uso de las herramientas de prevención de IIS:

Esta herramienta tiene muchas ventajas prácticas, sin embargo, utilice esta herramienta con precaución. Si su servidor web interactúa con otros servidores, primero pruebe la herramienta de prevención para asegurarse de que esté correctamente configurada para garantizar que no afecte la comunicación entre el servidor web y otros servidores.

3. Elimine el sitio web predeterminado:

Muchos atacantes atacan la carpeta inetpub y colocan algunos ataques furtivos en ella, provocando fallos en el servidor. La forma más fácil de prevenir este tipo de ataque es deshabilitar el sitio predeterminado en IIS. Luego, debido a que los gusanos acceden a su sitio a través de direcciones IP (pueden tener acceso a miles de direcciones IP al día), sus solicitudes pueden estar en problemas. Dirija su sitio web real a una carpeta con partición posterior y debe incluir permisos NTFS seguros (que se describen con más detalle en la sección NTFS a continuación).

4. Si no necesita los servicios de FTP y SMTP, desinstálelos:

La forma más fácil de ingresar a su computadora es a través de FTP. El propio FTP está diseñado para manejar el acceso simple de lectura /escritura. Si realiza la autenticación, encontrará que su nombre de usuario y contraseña se transmiten a través de la red en texto sin cifrar. SMTP es otro servicio que permite el acceso de escritura a las carpetas. Al deshabilitar estos dos servicios, puede evitar más ataques de piratería.

5. Verifique sus grupos de administradores y servicios con regularidad:

Un día ingresé a nuestro aula y descubrí que había un usuario más en el grupo de administradores. Esto significa que alguien ha ingresado con éxito a su sistema en este momento, él o ella puede lanzar la bomba a su sistema, lo que de repente destruirá todo su sistema o ocupará una gran cantidad de ancho de banda para los piratas informáticos. Los piratas informáticos también tienden a dejar un servicio de ayuda. Una vez que esto sucede, puede ser demasiado tarde para realizar alguna acción. Solo puede reformatear su disco y recuperar los archivos de los que realiza copias de seguridad todos los días desde el servidor de respaldo. Por lo tanto, revisar su lista de servicios en el servidor IIS y mantener la menor cantidad posible de servicios debe ser su tarea diaria. Debe recordar qué servicio debería existir y qué servicio no debería existir. El Kit de recursos de Windows 2000 nos ofrece un programa útil llamado tlist.exe, que enumera los servicios que se ejecutan bajo svchost en cada caso. La ejecución de este programa puede encontrar algunos servicios ocultos que desea conocer. Darle una pista: cualquier servicio que contenga algunas palabras del demonio puede no ser un servicio que contenga Windows, y no debería existir en el servidor IIS. Para obtener una lista de los servicios de Windows y saber qué hacen, haga clic aquí.

6. Controle estrictamente el acceso de escritura del servidor:

Esto suena fácil, sin embargo, en un campus universitario, un servidor web en realidad tiene muchos "autores". Los miembros de la facultad quieren que la información de su clase sea accesible para los estudiantes remotos. El personal quisiera compartir su información de trabajo con otro personal. Las carpetas en el servidor pueden tener derechos de acceso extremadamente peligrosos. Una forma de compartir o difundir esta información es instalar un segundo servidor para proporcionar propósitos de almacenamiento y compartición dedicados, y luego configurar su servidor web para que apunte al servidor compartido. Este paso le permite al administrador de la red limitar el acceso de escritura al servidor web al grupo de administradores.

7. Configuración de contraseñas complejas:

Recientemente ingresé al aula y encontré muchos hackers posibles desde el visor de eventos. La estructura de dominio en la que él o ella ingresó al laboratorio es lo suficientemente profunda como para ejecutar una herramienta de descifrado de contraseñas para cualquier usuario. Si un usuario usa una contraseña débil (como " contraseña " o changeme " o cualquier palabra del diccionario), el hacker puede invadir la cuenta del usuario de forma rápida y fácil.

8. Reduzca /excluya el uso compartido en el servidor web:

Si el administrador de la red es el único que tiene acceso de escritura al servidor web, no existe ninguna razón para que exista ningún recurso compartido. Compartir es la mayor tentación para los hackers. Además, al ejecutar un simple archivo por lotes de bucle, el pirata informático puede ver una lista de direcciones IP y usar el comando \\\\ para encontrar el Compartir de todos /Control total.

9. Deshabilite NetBIOS en el protocolo TCP /IP:

Esto es cruel. Muchos usuarios desean acceder al servidor web a través de una ruta de acceso UNC. Con NETBIOS desactivado, no pueden hacer esto. Por otro lado, con NETBIOS deshabilitado, los piratas informáticos no pueden ver los recursos en su LAN. Esta es una espada de doble filo. Si el administrador de la red implementa esta herramienta, el siguiente paso es cómo educar a los usuarios de la Web sobre cómo publicar información si NETBIOS falla.

10. Bloque usando el puerto TCP:

Esta es otra herramienta cruel. Si está familiarizado con cada puerto TCP que accede a su servidor por razones legítimas, puede ir a la pestaña Propiedades de su tarjeta de interfaz de red, seleccionar el protocolo TCP /IP al que está enlazando y bloquear todos los puertos que no necesita. Debe utilizar esta herramienta con cuidado porque no desea bloquearse fuera del servidor web, especialmente si necesita iniciar sesión en el servidor de forma remota. Para obtener los detalles del puerto TCP, haga clic aquí.
11. Vuelva a verificar los archivos * .bat y * .exe: busque los archivos * .bat

y * .exe una vez a la semana para verificar si hay un hacker favorito en el servidor, pero para usted Es un archivo ejecutable para una pesadilla. Entre estos archivos destructivos, puede haber algunos archivos * .reg. Si hace clic derecho y selecciona Editar, puede ver que el pirata informático ha creado y les permitirá acceder a los archivos de registro de su sistema. Puede eliminar estas claves primarias que no tienen sentido pero que son convenientes para el intruso.

12. Administración de la seguridad de directorios de IIS:

La seguridad de directorios de IIS le permite denegar direcciones IP específicas, subredes e incluso nombres de dominio. Alternativamente, elegí un software llamado WhosOn que me permite saber qué direcciones IP están intentando acceder a un archivo en particular en el servidor. WhosOn enumera una serie de excepciones. Si encuentra a un tipo que intenta acceder a su cmd.exe, puede optar por denegar el acceso de este usuario al servidor web. Por supuesto, en un sitio web ocupado, esto puede requerir un empleado de tiempo completo. Sin embargo, en la intranet, esta es realmente una herramienta muy útil. Puede proporcionar recursos a todos los usuarios dentro de la LAN, así como a usuarios específicos.

13. Uso de la seguridad de NTFS:

De forma predeterminada, las unidades NTFS utilizan los permisos de TODOS /Control total a menos que los desactive manualmente. La clave no es el bloqueo, las diferentes personas necesitan permisos diferentes, los administradores necesitan un control total y las cuentas de administración en segundo plano necesitan un control completo. Cada sistema y servicio necesita un nivel de acceso, dependiendo de los diferentes archivos. La carpeta más importante es System32. Cuanto más pequeños sean los permisos de acceso de esta carpeta, mejor. El uso de permisos NTFS en un servidor web puede ayudarlo a proteger archivos y aplicaciones importantes.

14. Administrar cuentas de usuario: si ya instaló IIS, es posible que haya generado una cuenta de TSInternetUser. A menos que realmente necesite esta cuenta, debe deshabilitarla. Este usuario es fácil de penetrar y es un objetivo importante para los hackers. Para ayudar a administrar las cuentas de usuario, asegúrese de que su política de seguridad local esté bien. Los permisos de los usuarios de IUSR también deben ser lo más pequeños posible.

15. Auditoría de su servidor web:

La auditoría tiene un gran impacto en el rendimiento de su computadora, por lo que si no la verifica con frecuencia, no realice una auditoría. Si realmente puede usarlo, audite los eventos del sistema y agregue las herramientas de auditoría cuando las necesite. Si está utilizando la herramienta WhosOn mencionada anteriormente, la auditoría es menos importante. De forma predeterminada, IIS siempre registra el acceso, y WhosOn coloca estos registros en una base de datos muy fácil de leer que puede abrir a través de Access o Excel. Si observa la base de datos de excepciones con frecuencia, puede encontrar la vulnerabilidad del servidor en cualquier momento.

Resumen

Todos los consejos y herramientas de IIS anteriores (excepto WhosOn) se incluyen con Windows. No olvide utilizar estos consejos y herramientas uno por uno antes de probar la accesibilidad de su sitio. Si se implementan juntos, los resultados pueden costarle mucho y es posible que deba reiniciar para perder el acceso.

Último consejo: inicie sesión en su servidor web y ejecute netstat -an desde la línea de comandos. Observe cuántas direcciones IP están tratando de establecer una conexión con su puerto, y luego tendrá que realizar muchas investigaciones e investigaciones.