La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Securización Internet Information Services 6.0 y SQL Server 2000 Iván González Vilaboa Microsoft MVP Windows Server - IIS.

Presentaciones similares


Presentación del tema: "Securización Internet Information Services 6.0 y SQL Server 2000 Iván González Vilaboa Microsoft MVP Windows Server - IIS."— Transcripción de la presentación:

1 Securización Internet Information Services 6.0 y SQL Server 2000 Iván González Vilaboa Microsoft MVP Windows Server - IIS

2 Internet Information Services 6.0 ¿Qué es? Proporciona a Windows... Un servidor de aplicaciones Web Un servidor de FTP Un servidor de news (NNTP) Un servidor de SMTP Da soporte a aplicaciones Web: Active Server Pages (.asp) ASP.NET (.aspx) … Esto último es uno de sus factores de éxito

3 Internet Information Services 6.0 ¿Qué ha cambiado? IIS 6.0 no es simplemente una nueva versión Practicamente se ha rehecho Cambios en la arquitectura Aislamiento de Worker Process Kernel-Mode Queuing en el almacenamiento de la metabase en la consola de administración en el servicio de FTP

4 Internet Information Services 6.0 Nueva arquitectura HTTP.SYS: proceso en modo kernel (núcleo); recibe y encamina peticiones http WAS: proceso de configuración y gestión (WAS = Web Administration Service) W3WP.exe: entorno de ejecución para aplicaciones web (WP=Worker Process) Nuevo esquema de aislamiento de aplicaciones Soporte para múltiples procesos WP web app WAS W3WP.exe HTTP.SYS kernel W3WP.exe W3WP.exe

5 Internet Information Services 6.0 Proceso de peticiones en el kernel: HTTP.sys Cache Motor HTTP NamespaceMapper Cola Peticiones Envío Respuesta Petición Worker Process HTTP.sys HSE_REQ_ENABLE_CACHE Cola Peticiones Respuesta

6 Internet Information Services 6.0 Fiabilidad: la arquitectura Aislamiento total de procesos uno o más procesos en comunicación directa con el kernel Independiente de otros procesos Application Pools Agrupan sites y aplicaciones Una cola de peticiones por Application Pool Web Gardens Colas gestionadas en modo kernel HTTP.sys WAS Worker Process Filtro ISAPI Extensión ISAPI Worker Process Filtro ISAPI Extensión ISAPI Application Pool

7 Internet Information Services 6.0 Application Pools Podemos tener uno o más Cada uno servido por uno o más W3WP.exe Cada W3WP.exe solo sirve un pool Peticiones redirigidas al pool por HTTP.sys Podemos aislar las aplicaciones Web basándonos: En sitio/cliente En la funcionalidad En la fiabilidad

8 Internet Information Services 6.0 Reciclado periódico de los procesos Qué es Reiniciamos las aplicaciones Web basándonos en: El tiempo que llevan funcionando El número de peticiones En un calendario En el consumo de memoria Bajo demanda Porqué usarlo Prevenir que aplicaciones defectuosas afecten al sistema Refrescar las aplicaciones para aumentar la disponibilidad

9 Internet Information Services 6.0 Arquitectura con autorecuperación Qué es Diseñada para detectar bloqueos de threads dentro de W3WP.exe Cómo funciona W3SVC consulta cada W3WP.exe (pinging) El proceso tiene un tiempo para responder Si no responde en ese tiempo: Matar el proceso, publicar un evento y lanzar uno nuevo (por defecto) IIS puede ser configurado para realizar una acción sobre el proceso

10 Internet Information Services 6.0 Detección de fallos y recuperación Detección de fallos W3SVC detecta casques en W3WP.exe W3SVC lanzará un nuevo W3WP.exe si es necesario Las peticiones son encoladas por HTTP.sys mientras se crea el nuevo W3WP Resultado: no existe interrupción en el servicio Protección Solo se permiten x fallos en y minutos El pool será detenido si se superan estos valores (error 503 para las peticiones)

11 Internet Information Services 6.0 Fiabilidad: gestión de procesos HTTP.SYSHTTP.SYS WebAdminService WAS) ( WAS)WebAdminService Extensión ISAPI Filtro ISAPI Worker Process ExtensiónISAPI Filtro ISAPI Worker Process Extensión ISAPI Filtro ISAPI Worker Process INETINFO metabase Extensión ISAPI Filtro ISAPI Worker Process

12 Internet Information Services 6.0 Escalabilidad: Dynamic Kernel Caching GET PeticiónRespuesta SinCacheConCache PeticiónRespuesta

13 Internet Information Services 6.0 Seguridad IIS no se instala por defecto en una instalación limpia En una actualización se instala solo si teníamos instalado URLScan Las URLs están ahora limitadas a 16KB y presentan mayores restricciones Que no existan caracteres especiales, etc. Restricciones Solo se ejecutan peticiones para extensiones permitidas Solo se sirven ficheros con extensiones conocidas Definidas en MIMEMAP Herramientas de línea de comandos limitadas al grupo de administradores

14 Internet Information Services 6.0 Rendimiento Web Garden Application pool con más de un Worker Process Afinidad de procesador Vincular los procesos de un Application pool a uno o más procesadores Se hace caché de las respuestas en HTTP.sys (kernel) Se liberan los procesos después de un tiempo de inactividad Se relanzarán cuando sea necesario (peticiones) Esto no implica que la aplicación no esté activa!!

15 Internet Information Services 6.0 Administración y gestión Metabase en formato XML - ¡Menos reinicios! Importación y exportación de la configuración Elección entre varios interfaces de gestión Nueva consola de administración vía Web

16 Internet Information Services 6.0 Mejoras en la metabase La metabase almacena la configuración de IIS XML Metabase La metabase ahora se almacena en XML Existe un histórico de la metabase Modo EditWhileRunning Permite hacer cambios a metabase.xml mientras IIS está funcionando Es más seguro usar ADSI o el UI para hacer cambios \systemroot\system32\inetsrv\ Metabase.xml MBSchema.xml

17 Seguridad en SQL Server 2000 Servicio SQL Por seguridad crearemos en Windows 2000 un usuario para lanzar el servidor SQL, sqluser,si no creamos este usuario, el servicio será lanzado por el usuario LocalSystem. Una vulnerabilidad que ejecute comandos en el sistema, sería ejecutado con privilegios de administración. De esta forma con el usuario sqluser (no es parte del grupo de administradores) los riegos que corre el sistema son mucho menores

18 Seguridad en SQL Server 2000

19 Autentificación: Windows Siempre que sea posible. SQL Server Vulnerable a la fuerza Bruta Contraseñas Tamaño, caracteres,...

20 Seguridad en SQL Server 2000

21

22 Seguridad a Nivel de Red Filtrar puertos 1433 TCP/UDP 1434 TCP/UDP

23 Seguridad en SQL Server 2000

24 Eliminar las Bases de Datos de ejemplos Para mayor seguridad en el sistema eliminaremos todos las bases de datos de ejemplo que dispone SQL Server Northwind Pub

25 Seguridad en SQL Server 2000

26 Habilitar registro de logs Mediante el Administrador corporativo. Mediante el Analizador de consultas u osql.exe Master..xp_instance_regwrite NHKEY_LOCAL_MACHINE,NSOFTWARE\ Microsoft\MSSQLServer\MSSQLServer,NA uditLevel,REG_WORD,3 Deshabilitar SQL Agent En caso de no ser necesario

27 Seguridad en SQL Server 2000

28

29 Cifrar los datos que sean posibles dentro de la Base de Datos No ejecutar SQLServer en el contexto de una cuenta privilegiada Eliminar los procedimientos almacenados que no se utilicen como xp_cmdshell (Permisos) Quitar los permisos débiles de los procedimientos almacenados y dejar sólo sa Utilizar alertas para detectar posibles incidencias o ataques

30 Seguridad en SQL Server 2000

31 Asignar los permisos adecuados a las tablas, vistas y campos de las mismas para cada usuario. Trabajo costoso, pero que tiene recompensa Realizar un buen diseño de la BD Público Privado

32 Seguridad en SQL Server 2000

33 Seguridad en la Aplicación Realizar un parseo adecuado de caracteres: Mediante expresiones regulares Validación de caracteres Permitidos Consultas con sa Las imprescindibles Crear una cuenta de usuario con permisos mínimos. invitadodb

34 y ahora… Fiesta!!!

35 Recursos de la comunidad IIS Community Portal Portal de IIS Grupos de noticias de IIS microsoft.public.inetserver.iis microsoft.public.inetserver.iis.ftp microsoft.public.inetserver.iis.security Grupos de noticias Recursos de la comunidad Most Valuable Professional (MVP) Grupos de usuarios

36 Lecturas recomendadas TÍTULO IDIOMA Microsoft® Windows® Security Resource Kit ISBN: Inglés Internet Information Services (IIS) 6.0 Resource Kit ISBN: Inglés

37 Al salir de aquí… Cubrir el formulario de evaluación Descargar esta presentación Ver otras sesiones sobre seguridad Descargar la guía de seguridad Windows Windows Server Tomarnos unas cañas juntos!!!

38 examinanos! examinanos!

39 © 2004 Microsoft Corporation. Todos los derechos reservados. Esta presentación es sólo con propósitos formativos. MICROSOFT NO GARANTIZA, EXPLÍCITA O IMPLÍCITAMENTE, LOS CONTENIDOS DE ESTA PRESENTACIÓN.

40 © 2004 Microsoft Corporation. Todos los derechos reservados. Esta presentación es sólo con propósitos formativos. MICROSOFT NO GARANTIZA, EXPLÍCITA O IMPLÍCITAMENTE, LOS CONTENIDOS DE ESTA PRESENTACIÓN.


Descargar ppt "Securización Internet Information Services 6.0 y SQL Server 2000 Iván González Vilaboa Microsoft MVP Windows Server - IIS."

Presentaciones similares


Anuncios Google