IIS 6.0 cambia la seguridad de la configuración predeterminada

A medida que los servidores web son atacados por más y más hackers y creadores de gusanos, IIS se ha convertido en una de las principales prioridades de la iniciativa Trustworthy Computing de Microsoft. Como resultado, IIS 6.0 se rediseñó completamente para lograr la seguridad predeterminada y la seguridad de diseño. Este artículo se centra en cómo los cambios de seguridad de IIS 6.0 en la configuración y el diseño predeterminados lo convierten en una plataforma para aplicaciones web críticas.

Seguridad predeterminada

En el pasado, compañías como Microsoft instalaron una serie de scripts de muestra, manejo de archivos y autorización mínima de archivos en sus servidores web para mejorar la administración del administrador. Flexibilidad y usabilidad. Sin embargo, esta configuración predeterminada ha aumentado la superficie de ataque de IIS o se ha convertido en la base para atacar a IIS. Como resultado, IIS 6.0 fue diseñado para ser una plataforma más segura que los productos anteriores. El cambio más obvio es que IIS 6.0 no se instala de forma predeterminada en Windows Server 2003. En su lugar, el administrador debe instalar explícitamente este componente. Otros cambios incluyen:

· Instalar solo servidores HTTP estáticos de forma predeterminada

La instalación predeterminada de IIS 6.0 está configurada para instalar solo páginas HTML estáticas para mostrar los componentes necesarios, mientras que no permite contenido dinámico. La siguiente tabla compara los valores de instalación por defecto en IIS 5.0 y IIS 6.0:
· no se instala por defecto ejemplos de aplicación

IIS 6.0 ejemplos ya no se incluye y cualquier otra CodeBrws.asp similar o de Showcode.asp Guión o solicitud. Estos programas se diseñaron originalmente para permitir a los programadores ver y depurar rápidamente el código de conexión de la base de datos, pero debido a que showcode.asp y codebrws.asp no realizaron verificaciones de entrada correctamente para determinar si el archivo al que se accede está en la raíz del sitio. Esto permite que un atacante lo omita para leer cualquier archivo en el sistema (incluida la información confidencial y los archivos de configuración que no deberían estar visibles). Consulte el siguiente enlace para obtener más detalles sobre la vulnerabilidad: http://www.microsoft .com /technet /treeview /default.asp?

url = /technet /security /bulletin /MS99-013.asp

· Control de acceso a archivos mejorado

Anónimo La cuenta ya no tiene acceso de escritura al directorio raíz del servidor web. Además, los usuarios de FTP también están aislados unos de otros en su propio directorio raíz. Estas restricciones impiden efectivamente que los usuarios carguen programas no deseados a otras partes del sistema de archivos del servidor. Por ejemplo, un atacante podría cargar algún código ejecutable dañino en el directorio /scripts y ejecutar el código de forma remota para atacar el sitio web.

· Los directorios virtuales ya no tienen permisos de ejecución

Los programas ejecutables ya no están permitidos en los directorios virtuales. Esto evita una gran cantidad de vulnerabilidades de acceso a directorios, vulnerabilidades de código de carga y vulnerabilidades de MDAC que existían en sistemas IIS anteriores.

· Se eliminó el módulo de subverificación

IISSUBA.dll se eliminó de IIS 6.0. Cualquier cuenta que necesite este módulo DLL para verificar en versiones anteriores de IIS ahora necesita tener el acceso a esta computadora desde la red. La eliminación de este módulo DLL puede forzar que todos los accesos vayan directamente a SAM o Active Directory para la autenticación, reduciendo así la posible superficie de ataque de IIS.

· El directorio principal está deshabilitado

El acceso al directorio principal está deshabilitado de forma predeterminada en IIS 6.0. Esto evita que el atacante cruce la estructura de directorios del sitio web y acceda a otros archivos confidenciales en el servidor, como los archivos SAM. Por supuesto, tenga en cuenta que dado que el directorio principal está deshabilitado de manera predeterminada, esto puede hacer que algunas aplicaciones migradas de versiones anteriores de IIS fallen debido a la incapacidad de usar el directorio principal.
Diseño de seguridad

Seguridad en el diseño de IIS 6.0 Los cambios fundamentales se manifiestan en: disponibilidad mejorada de datos, capacidades de registro mejoradas, protección rápida de fallas, aislamiento de aplicaciones y principios de privilegios mínimos.

Validez de datos mejorada

Una nueva característica importante en el diseño de IIS 6.0 es el controlador HTTP que funciona en modo kernel: HTTP.sys. No solo mejora el rendimiento y la escalabilidad del servidor web, sino que también mejora en gran medida la seguridad del servidor. HTTP.sys actúa como un portal para el servidor web, primero analiza la solicitud del usuario al servidor web y luego asigna un proceso de trabajo de nivel de usuario adecuado para procesar la solicitud. El proceso de trabajo está restringido al modo de usuario para evitar el acceso a recursos básicos del sistema no autorizados. Esto limita en gran medida el acceso del atacante a los recursos de protección del servidor.

IIS 6.0 mejora la seguridad inherente de su diseño al integrar un conjunto de mecanismos de seguridad en los controladores en modo kernel. Estos mecanismos incluyen un mecanismo avanzado de resolución de URL que evita posibles desbordamientos de búfer, mecanismos de registro mejorados para ayudar en los procesos de respuesta a eventos y verificar las solicitudes de validez de los usuarios.

Para evitar el posible uso de búferes y vulnerabilidades de desbordamiento de memoria, Microsoft implementó la configuración especial de resolución de URL en HTTP.sys para implementar el principio de defensa en profundidad en el diseño de seguridad de IIS 6.0. Estas configuraciones también pueden optimizarse aún más modificando valores clave específicos en el registro. La siguiente tabla proporciona la ubicación de los valores de la clave del registro principal (ambos en la siguiente ruta HKLMSystemCurrentControlSetServicesHTTPParameters):

Mecanismo de registro mejorado

Un registro completo es un requisito básico para detectar o responder a un incidente de seguridad. Microsoft también es consciente de la importancia de un mecanismo de registro completo y confiable en HTTP.sys. HTTP.sys registra antes de que se asigne a un proceso de trabajo específico. Esto garantiza que se retenga un registro de errores incluso si se interrumpe el proceso de trabajo. El registro consta de entradas como la marca de tiempo del error, la IP y el puerto de destino, la versión del protocolo, la acción HTTP, la dirección URL, el estado del protocolo, la ID del sitio y el motivo del HTTP.sys. La explicación del motivo puede proporcionar información detallada sobre la causa del error, como un error debido a un tiempo de espera o un error causado por la desconexión forzada del grupo de aplicaciones debido a una terminación anormal del proceso de trabajo.

La siguiente conexión puede ver un ejemplo del archivo de registro HTTP.sys http://www.microsoft.com/technet/treeview/default.asp

? url = /technet /prodtechnol /iis /iis6/proddocs/resguide/iisrg_log_qlow.asp
Fast Failure Protection

Además de modificar el registro, los administradores de IIS 6.0 también pueden usar la configuración del servidor para cerrar los procesos que fallan repetidamente en el tiempo. O volver a ejecutar. Esta protección adicional es para evitar que la aplicación falle constantemente debido a un ataque. Esta característica se llama protección de falla rápida.

La protección rápida contra fallas se puede configurar en la herramienta de administración de servicios de información de Internet siguiendo estos pasos:

1. En el Administrador de servicios de información de Internet (IIS), expanda Equipo local.

2. Expande el grupo de aplicaciones.

3. Haga clic con el botón derecho en el grupo de aplicaciones en el que desea configurar la protección rápida contra fallas.

4. Selecciona un atributo.

5. Seleccione la pestaña Salud y marque Habilitar protección rápida contra fallas.

6. En el número de fallas, complete la cantidad de procesos de trabajo fallidos (antes del final del proceso). 7. En el período de tiempo, complete el tiempo contado para el número acumulado de fallas en el proceso de trabajo.

Aislamiento de aplicaciones

En versiones anteriores de IIS (5.0 y versiones anteriores), el aislamiento de aplicaciones web en unidades separadas daría lugar a una grave degradación del rendimiento y, por lo tanto, no se implementó. Aislamiento de la aplicación. A menudo, el fallo de una aplicación web afecta a otras aplicaciones en el mismo servidor. Sin embargo, IIS 6.0 duplicó el rendimiento al procesar la solicitud al aislar la aplicación en un cambio de diseño llamado una unidad aislada llamada grupo de aplicaciones. Cada grupo de aplicaciones suele estar compuesto por uno o más procesos de trabajo. Esto le permite determinar la ubicación del error y evitar que un proceso de trabajo afecte a otros procesos de trabajo. Este mecanismo también aumenta la confiabilidad del servidor y sus aplicaciones.

Se adhiere al principio de privilegio mínimo

IIS 6.0 se adhiere a un principio de seguridad básico: el principio de privilegio mínimo. Es decir, todo el código en HTTP.sys se ejecuta con el permiso del sistema local, y todos los procesos de trabajo se ejecutan con el permiso del servicio de red. El Servicio de red es una cuenta recién restringida y estrictamente restringida en Windows 2003. Además, IIS 6.0 solo permite a los administradores ejecutar herramientas de línea de comandos para evitar el uso malicioso de las herramientas de línea de comandos. Estos cambios de diseño han reducido la probabilidad de atacar servidores a través de vulnerabilidades potenciales. Parte de los cambios de diseño básicos, algunos cambios de configuración simples (incluida la eliminación de usuarios anónimos para escribir en el directorio raíz del servidor web y el aislamiento del acceso de los usuarios de FTP en sus respectivos directorios principales) han mejorado enormemente IIS 6.0. Seguridad

IIS 6.0 es el paso correcto para que Microsoft ayude a los clientes a mejorar su seguridad. Proporciona una plataforma confiable y segura para aplicaciones web. Estas mejoras de seguridad se deben a la configuración de seguridad predeterminada de IIS 6.0, las consideraciones de seguridad durante el proceso de diseño y las capacidades mejoradas de supervisión y registro. Pero los administradores no deberían pensar que la seguridad integral se puede lograr con una simple migración a una nueva plataforma. Lo correcto es tener una configuración de seguridad de múltiples capas para una seguridad más completa. Esto también es consistente con los principios de defensa de seguridad profunda para las amenazas de virus Code Red y Nimda.