Transcript of Microsoft Internet Information Services 6.0 Aplicaciones Web Seguras Joshua Sáenz G....
- Diapositiva 1
- Microsoft Internet Information Services 6.0 Aplicaciones Web
Seguras Joshua Senz G. jsaenz@informatica64.com Cdigo:
HOL-IIS01
- Diapositiva 2
- Agenda Introduccin a los servicios de Internet. Mejoras de IIS
6.0. Arquitectura IIS 6.0. Aplicaciones Web. Sitios Web Seguros.
Autenticacin Control de acceso a Bases de datos Certificados de
seguridad Filtrado de puertos TCP/UDP Encriptacin con IPSec
Vulnerabilidades. Cross-Site Scripting Phising Sql Injection
WebTrojan Capa 8
- Diapositiva 3
- Introduccin a los servicios de Internet IIS 6.0 proporciona
capacidad de Servidor Web en Intranet, Internet o Extranet. Puede
ser implementado en diferentes entornos. PYMES Grandes
empresas
- Diapositiva 4
- Introduccin a los servicios de Internet IIS 6.0 no se instala
por defecto en Windows Server 2003 Ayuda a proteger los sistemas de
ataques a servicios no utilizados o no monitorizados. Las
extensiones de servicios Web estn bloqueadas por defecto. IIS solo
sirve contenido esttico. Es necesario habilitar manualmente las
extensiones especficas ASP ASP.NET Server-Side Includes WebDAV
publishing FrontPage 2002 Server Extensions Si no se habilitan IIS
responde con un error HTTP 404 (File or directory not found).
- Diapositiva 5
- Mejoras de IIS 6.0 Confiabilidad. Mejor confiabilidad al poder
aislar aplicaciones unas de otras. Manejabilidad. Mejor
manejabilidad al poder adaptar la Metabase mediante ficheros XML
configurables. Seguridad. Seguridad reforzada basada en una
estrategia de seguro por defecto. Rendimiento y escalabilidad.
Rendimiento mejorado gracias al aislamiento dentro de los procesos.
Mejor escalabilidad al ofrecer una arquitectura que permite
consolidar sitios y aplicaciones en menos Servidores.
- Diapositiva 6
- Arquitectura de IIS 6.0 IIS 6.0 se puede ejecutar en uno de los
dos modelos de procesamiento: Worker process isolation mode IIS 5.0
isolation mode
- Diapositiva 7
- Worker process isolation mode Ofrece todas las ventajas de la
arquitectura rediseada de IIS 6.0 Se pueden agrupar las
aplicaciones Web en Conjunto de aplicaciones (Application Pools)
Proporciona aislamiento de aplicaciones sin disminucin del
rendimiento.
- Diapositiva 8
- IIS 5.0 Isolation mode Se mantiene la compatibilidad con
aplicaciones que dependen de caractersticas especficas de IIS 5.0
Tambin se pueden aislar aplicaciones Low Isolation (in-process)
Medium isolation (pooled out of process) High isolation (out of
process) Disminuye el rendimiento.
- Diapositiva 9
- IIS 5.0 Isolation mode Consideraciones de seguridad: Cuando IIS
6.0 corre en modo IIS 5.0, las aplicaciones Web establecidas en
modo Low isolation corren con la cuenta local de sistema (Local
System account.) La cuenta local de sistema tiene acceso a todos
los recursos del equipo. En los modos Medium o High isolation, las
aplicaciones corren por defecto con la cuenta
IWAM_ComputerName.
- Diapositiva 10
- Arquitectura de IIS 6.0 FunctionalityIIS 4.0IIS 5.0IIS 5.1IIS
6.0 PlatformMicrosoft Windows NT 4.0 operating system Microsoft
Windows 2000 Server operating system Microsoft Windows XP
Professional operating system Windows Server 2003
Architecture32-bit 32-bit and 64-bit Network subsystem TCP/IP
kernel HTTP.sys kernel Application Request Processing model
MTX.exe: Multiple DLL hosts in High application isolation.
Inetinfo.exe: In process as DLLs with Low isolation. DLLHost.exe:
Multiple DLL hosts in Medium or High application isolation.
Inetinfo.exe: In process as DLLs with Low isolation. DLLHost.exe:
Multiple DLL hosts in Medium or High application isolation.
Inetinfo.exe: In process as DLLs with Low isolation. W3wp.exe: In
worker process isolation mode (multiple worker processes).
Inetinfo.exe: Only in IIS 5.0 isolation mode with in- process
applications. DLLHost.exe: Only in IIS 5.0 isolation mode with
out-of-process applications.
- Diapositiva 11
- Arquitectura de IIS 6.0 FunctionalityIIS 4.0IIS 5.0IIS 5.1IIS
6.0 Metabase configuration Binary XML SecurityWindows
authentication Secure Sockets Layer (SSL) Windows authentication
SSL Kerberos Windows authentication SSL Kerberos Windows
authentication SSL Kerberos.NET Passport support Remote
administration HTMLA 1 HTMLANo HTMLA Terminal Services Remote
Administration Tool (HTML) Terminal Services
- Diapositiva 12
- Arquitectura de IIS 5.0 isolation mode
- Diapositiva 13
- Arquitectura de IIS 6.0 worker process mode
- Diapositiva 14
- Arquitectura IIS 6.0 Procesamiento de solicitudes HTTP en modo
Worker Process Isolation Mode
- Diapositiva 15
- Arquitectura IIS 6.0 Procesamiento de solicitudes HTTPS en modo
Worker Process Isolation Mode
- Diapositiva 16
- Arquitectura IIS 6.0 Procesamiento de solicitudes HTTPS en modo
IIS 5.0 con Low Isolation Mode
- Diapositiva 17
- Arquitectura IIS 6.0 Procesamiento de solicitudes HTTPS en modo
IIS 5.0 con High Isolation Mode
- Diapositiva 18
- Servicios de IIS 6.0 Nombre del Servicio DescripcinNombre
CortoComponente PrincipalHost World Wide Web Publishing Service
(WWW service) Delivers Web publishing services.
W3SVCIisw3adm.dllSvchost.exe File Transfer Protocol (FTP)Allows
file uploads and downloads from remote systems.
MSFTPSVCFtpsvc2.dllInetinfo.exe Simple Mail Transfer Protocol
(SMTP) Sends and receives electronic messages (e-mail).
SMTPSVCSmtpsvc.dllInetinfo.exe Network News Transfer Protocol
(NNTP) Distributes network news messages.
NNTPSVCNntpsvc.dllInetinfo.exe IIS Admin ServiceManages the
metabase.IISADMINIisadmin.dllInetinfo.exe
- Diapositiva 19
- Tipos de Aplicaciones Web Web Site pblico. Informacin destinada
al pblico. Intranet (ERP/CRM/Productividad) Informacin privada de
acceso interno. Extranet (Productividad/B2B/B2C) Informacin privada
de acceso externo.
- Diapositiva 20
- Lgica de la Aplicacin Almacn de Datos Interfaz de Usuario (GUI)
Arquitectura Multicapa DCOM WebService RPC Web Servers
- Diapositiva 21
- Arquitectura: Cliente Navegador de Internet: Ejecuta cdigo en
contexto de usuario. Lenguajes potentes: HTML/DHTML
vbScript/JavaScript/Jscript Programas embebidos Applets Java
ActiveX Shockwave Flash Cdigos No protegidos Cifrado cliente:
Atrise. Ofuscacin de cdigo.
- Diapositiva 22
- Arquitectura: Lgica de Aplicacin Servidor Web Ejecuta cdigo en
contextos privilegiados. Lenguajes potentes Acceden a BBDD Envan
programas a clientes Transferir ficheros Ejecutar comandos sobre el
sistema. Soporte para herramientas de administracin de otro
software. Cdigos de Ejemplo
- Diapositiva 23
- Arquitectura: Almacn de Datos SGBD Lenguaje de 3 y 4 Generacin.
Soporta mltiples bases de datos. Catlogo global de datos. Ejecuta
programas sobre Sistema. LOPD. Transacciones econmicas. Informacin
clave de negocio.
- Diapositiva 24
- Mejoras de seguridad en IIS 6.0 IIS se instala en modo seguro
por defecto. Extensiones Multipurpose Internet Mail Extensions
(MIME) restrictivas. Mltiples procesos de ejecucin (worker
processes) afectan el estado del filtro Internet Server API
(ISAPI). La funcionalidad ASP y ASP.NET est deshabilitada por
defecto. Las rutas de acceso primarias estn deshabilitadas por
defecto (..\) [AspEnableParentPaths]. Los eventos de Global.asa se
ejecutan como usuario annimo. [AspRunOnEndAnonymously] La
sincronzacin de contraseas annimas est deshabilitado por defecto.
Autenticacin Microsoft.NET Passport authentication requiere
derechos de la cuenta LocalSystem. El acceso a ejecutables est
restringido.
- Diapositiva 25
- Cuentas de seguridad integradas en IIS 6.0 LocalSystem Alto
nivel de derechos de acceso Parte del grupo de Administradores. Si
un proceso de ejecucin corre con LocalSystem, tiene acceso completo
al sistema. En el modo de aislamiento IIS 5.0, esta es la cuenta de
ejecucin por defecto para los procesos Network Service Tiene menos
derechos que LocalSystem Puede interactuar en la red con las
credenciales del equipo Es la cuenta establecida por defecto en IIS
6.0 para los procesos de los conjuntos de aplicaciones Replace a
process-level token (SeAssignPrimaryTokenPrivilege) Adjust memory
quotas for a process (SeIncreaseQuotaPrivilege) Generate security
audits (SeAuditPrivilege) Bypass traverse checking
(SeChangeNotifyPrivilege) Access this computer from a network
(SeNetworkLogonRight) Log on as a batch job (SeBatchLogonRight) Log
on as a service (SeInteractiveLogonRight) Allow log on locally
(SeInteractiveLogonRight)
- Diapositiva 26
- Cuentas de seguridad integradas en IIS 6.0 Local Service Tiene
menos derechos que la cuenta Network Service. Los derechos estn
limitados al equipo local. Se puede utilizar si el proceso no
requiere acceso externo al servidor en donde se ejecuta Tiene los
siguientes derechos Replace a process-level token
(SeAssignPrimaryTokenPrivilege) Adjust memory quotas for a process
(SeIncreaseQuotaPrivilege) Generate security audits
(SeAuditPrivilege) Bypass traverse checking
(SeChangeNotifyPrivilege) Access this computer from a network
(SeNetworkLogonRight) Log on as a batch job
(SeBatchLogonRight)
- Diapositiva 27
- Cuentas de seguridad integradas en IIS 6.0 IIS_WPG Tiene los
mnimos derechos necesarios para iniciar y ejecutar procesos en el
servidor Web. Tiene los siguientes derechos: Log on as a batch job
(SeBatchLogonRight) Impersonate a client after authentication
(SeImpersonatePrivilege) IUSR_ComputerName Se utiliza para el
acceso annimo a IIS. El usuario que accede con autenticacin annima
es mapeado a esta cuenta de seguridad. Tiene los siguientes
derechos: Access this computer from a network (SeNetworkLogonRight)
Bypass traverse checking (SeChangeNotifyPrivilege) Log on as a
batch job (SeBatchLogonRight) Allow log on locally
(SeInteractiveLogonRight)
- Diapositiva 28
- Cuentas de seguridad integradas en IIS 6.0 IWAM_ComputerName Se
utiliza para iniciar aplicaciones con aislamiento de procesos en el
modo de aislamiento IIS 5.0. Tiene los siguientes derechos: Replace
a process-level token (SeAssignPrimaryTokenPrivilege) Adjust memory
quotas for a process (SeIncreaseQuotaPrivilege) Bypass traverse
checking (SeChangeNotifyPrivilege) Access this computer from a
network (SeNetworkLogonRight) Log on as a batch job
(SeBatchLogonRight) ASPNET Se utiliza para ejecutar el proceso
ASP.NET en el modo de aislamiento IIS 5.0. Tiene los siguientes
derechos: Access this computer from a network (SeNetworkLogonRight)
Log on as a batch job (SeBatchLogonRight) Log on as a service
(SeInteractiveLogonRight) Deny logon locally
(SeDenyInteractiveLogonRight) Deny logon through Terminal Services
(SeDenyRemoteInteractiveLogonRight)
- Diapositiva 29
- Sitios Web Seguros IIS 6.0 soporta los siguientes mtodos de
autenticacin: Autenticacin annima. Autenticacin Bsica. Las
credenciales se envan sin encriptar. Autenticacin Digest. Parecido
al bsico, excepto que la contrasea se enva como un valor Hash. Solo
disponible en dominios con DC Windows. Autenticacin avanzada
Digest. Las credenciales se almacenan como Message Digest (MD5)
hash en Active Directory en el DC Windows 2003. Autenticacin
integrada. Utiliza tecnologa de encriptacin Autenticacin.NET
Passport. Servicio de autenticacin que permite a los usuarios tener
un nico inicio de sesin. Autenticacin con Certificados. Utiliza
certificados Secure Sockets Layer (SSL) para autenticar servidores
y clientes.
- Diapositiva 30
- Sitios Web Seguros MethodSecurity Level How Passwords Are Sent
Crosses Proxy Servers and Firewalls Client Requirements Anonymous
authentication NoneN/AYesAny browser Basic authenticationLowBase64
encoded clear text Yes, but sending passwords across a proxy server
or firewall in clear text is a security risk because Base64 encoded
clear text is not encrypted. Most browsers Digest
authenticationMediumHashedYesInternet Explorer 5 or later Advanced
Digest authentication MediumHashedYesInternet Explorer 5 or later
Integrated Windows authentication HighHashed when NTLM is used;
Kerberos ticket when Kerberos is used. No, unless used over a PPTP
connection Internet Explorer 2.0 or later for NTLM; Windows 2000 or
later with internet Explorer 5 or later for Kerberos Certificate
authentication HighN/AYes, using an SSL connectionInternet Explorer
and Netscape.NET Passport authentication HighEncryptedYes, using an
SSL connectionInternet Explorer and Netscape
- Diapositiva 31
- Sitios Web seguros Control de acceso a Bases de Datos: Utilizar
los permisos incorporados en la aplicacin de bases de datos del
DBMS. Utilizar data source name (DSN). Utilizar permisos NTFS.
Utilizar subwebs para restringir el acceso a una seccin del Web
site. Utilizar un mtodo de autenticacin apropiado para la aplicacin
Web
- Diapositiva 32
- Sitios Web seguros Certificados de seguridad Los Certificados
son documentos digitales de identificacin Permiten a los clientes y
servidores autenticarse mutuamente. Incluyen llaves que establecen
una conexin encriptada SSL. El proceso de autenticacin y transmisin
de datos est basado en el par de llaves pblica y privada. Adems se
crea una llave de sesin para la transmisin de datos.
- Diapositiva 33
- Sitios Web seguros Filtrado de puertos TCP Default TCP Port
Number Internet Service 20FTP Data Channel 21FTP Control Channel
23Telnet (enabled on some intranet or Internet servers) 25Simple
Mail Transfer Protocol (SMTP) 80HTTP for World Wide Web 119Network
News Transfer Protocol (NNTP) 443Hypertext Transfer Protocol over
TLS/SSL (HTTPS) for secure World Wide Web 563Network News Transfer
Protocol over TLS/SSL (NNTPS)
- Diapositiva 34
- Sitios Web Seguros UDP Port Number Service 53DNS name queries
(supports some Internet services) 161SNMP Filtrado de puertos
UDP
- Diapositiva 35
- Sitios Web Seguros Encriptacin con IPSec Internet Protocol
security (IPSec) est diseado para encriptar los datos que viajan en
la red. La configuracin en Windows 2000/2003 est basada en
directivas de seguridad Proporciona un mtodo robusto de seguridad
de punto a punto.
- Diapositiva 36
- IPSec - Definicin IPSec es un protocolo que sirve para proteger
las comunicaciones entre equipos. Ofrece las siguientes
caractersticas: Authenticacion Integridad Confidencialidad
(encriptacin)
- Diapositiva 37
- IPSec - Objetivos Proteger el contenido de las cabeceras IP
contra ataques activos y pasivos mediante : Autenticacin de la
cabecera. Cifrado del contendio. Defender los equipos contra
ataques de red: Filtrado de conexiones (sniffing). Autenticacin de
conexiones.
- Diapositiva 38
- IPSec - Polticas Se configura mediante polticas Almacenadas en
el Directorio Activo o en en Registro Local del Servidor. Controlan
la entrada y salida de paquetes permitidos en un determinado
interfaz. Las Politicas IPSec estn formadas por listas de filtros.
Estn compuestas de asociaciones de acciones y protocolos. Se
definen a nivel de protocolo o a nivel de puerto. Acciones
permitidas: Bloquear. Permitir. Pedir seguirdad. Se aplica el
filtro ms permisivo.
- Diapositiva 39
- IPSec - Polticas Podrn utilizarse polticas por defecto o las
creadas manualmente. El sistema proporciona 3 polticas por defecto
que van a determinar diferentes comportamientos de la mquina con
respecto a IPSEC. Cliente. Servidor. Servidor seguro.
- Diapositiva 40
- IPSec - Poltica de cliente. Modo de solo respuestas. Un sistema
en modo cliente responde a peticiones que le realicen en IPSEC. No
inicia conversaciones en modo IPSEC, solamente en claro.
- Diapositiva 41
- IPSec - Poltica de servidor. Intenta establecer comunicaciones
cifradas, pero si la otra mquina no tiene configurado IPSEC la
comunicacin se establece en claro. Este modo est definido por 3
reglas que determinan el comportamiento general del sistema a las
peticiones IP, ICMP y el resto de trfico.
- Diapositiva 42
- IPSec - Poltica Servidor Seguro El equipo solo puede establecer
comunicaciones seguras. La poltica establece 3 reglas, para el
trfico de peticiones IP, ICMP y el resto de trfico.
- Diapositiva 43
- IPSEC - Reglas Las reglas IPSEC determinan el comportamiento
del sistema en la transmisin de la informacin. Las reglas estn
compuestas por los siguientes objetos: Filtros. Accin de filtros.
Mtodo de autentificacin.
- Diapositiva 44
- IPSec - Filtros En la configuracin de los filtros hay que
especificar los siguientes parmetros: Determinar la posibilidad o
no de establecer un tnel de comunicacin. Qu redes o equipos se van
a ver afectados. El mtodo de autentificacin para la transmisin.
Mtodos de seguridad. Las acciones de filtrado.
- Diapositiva 45
- IPSec - Autenticacin Kerberos Requiere tiempo de sincronizacin.
Solo dentro del bosque. Certificados Requiere la implementacin de
PKI. CRL est deshabilitado por defecto. Secretos Compartidos. Tan
seguro como sea el secreto. En entornos grandes es dificil de
mantener.
- Diapositiva 46
- Vulnerabilidades: Cross-Site Scripting (XSS)
- Diapositiva 47
- Explotacin del Ataque Datos almacenados en servidor desde
cliente. Datos van a ser visualizados por otros cliente/usuario.
Datos no filtrados. No comprobacin de que sean dainos al cliente
que visualiza.
- Diapositiva 48
- Riesgos Ejecucin de cdigo en contexto de usuario que visualiza
datos. Navegacin dirigida Webspoofing Spyware Robo de credenciales
Ejecucin de acciones automticas Defacement
- Diapositiva 49
- Tipos de Ataques Mensajes en Foros. Firma de libro de visitas.
Contactos a travs de web. Correo Web. En todos ellos se envan
cdigos Script dainos.
- Diapositiva 50
- Contramedidas Fortificacin de aplicacin Comprobacin fiable de
datos Fortificacin de Clientes Ejecucin de clientes en entorno
menos privilegiado. Fortificacin de navegador cliente. MBSA.
Polticas.
- Diapositiva 51
- XSS - Ejemplos
- Diapositiva 52
- Diapositiva 53
- Vulnerabilidades: Phising
- Diapositiva 54
- Explotacin del Ataque Basado en tcnicas de Ingeniera Social. Se
aprovecha de la confianza de los usuarios. Se aprovecha de la falta
de formacin en seguridad de los usuarios. Certificados digitales no
generados por Entidades Emisoras de Certificados de confianza.
- Diapositiva 55
- Riesgos Suplantacin de Sitios Web para engaar al usuario. Robo
de credenciales de acceso a web restringidos. Robo de dinero
Compras por Internet Bromas pesadas
- Diapositiva 56
- Tipos de Ataques Se falsea la direccin de DNS del servidor
Falsificacin hosts Troyanos, Fsicamente, Shellcodes exploits DHCP
DNS Spoofing Man in The Middle Se engaa la navegacin. Frames
Ocultos URLs falseadas. Se implanta en la nueva ubicacin un
servidor replica. Se implantan hasta fakes de certificados
digitales
- Diapositiva 57
- Phising Ejemplos
- Diapositiva 58
-
http://www.hispasec.com/directorio/laboratorio/Software/tests/xssie.html
- Diapositiva 59
- Exploits infohacking.com
- Diapositiva 60
- Spoofing ARP Suplantar identidades fsicas. Saltar protecciones
MAC. Suplantar entidades en clientes DHCP. Suplantar routers de
comunicacin. Solo tiene sentido en comunicaciones locales.
- Diapositiva 61
- Direccin Fsica Tiene como objetivo definir un identificador
nico para cada dispositivo de red. Cuando una mquina quiere
comunicarse con otra necesita conocer su direccin fsica. Protocolo
ARP No se utilizan servidores que almacenen registros del tipo:
Direccin MAC Direccin IP. Cada equipo cuenta con una cach local
donde almacena la informacin que conoce.
- Diapositiva 62
- Puerto 12 MAC 4 Sniffing en Redes Conmutadas PC HACKER PC 1 PC
2 PC 3 PC 4 Sniffer Datos PC 4 MAC 1 MAC 2 MAC H MAC 3 MAC 4 Puerto
1 MAC 1 Puerto 2 MAC 2 Puerto 6 MAC H Puerto 11 MAC 3
- Diapositiva 63
- Envenenamiento de Conexiones Man in the Middle La tcnica
consiste en interponerse entre dos sistemas. Para lograr el
objetivo se utiliza el protocolo ARP. El envenenamiento puede
realizarse entre cualquier dispositivo de red.
- Diapositiva 64
- Envenenamiento de Conexiones Man in the Middle PC 1 IP 1 MAC 1
PC 2 IP 2 MAC 2 IP 2 MAC H IP 1 MAC H CACHE ARP IP 2 MAC H CACHE
ARP IP 1 MAC HCONEXINPC2 REENVO A HOST
- Diapositiva 65
- Man in the Middle Sirve como plataforma para otros ataques. DNS
Spoofing. Phising. Hijacking. Sniffing Se utiliza para el robo de
contraseas.
- Diapositiva 66
- Contramedidas Contra Phising Uso de CA de confianza Formacin a
usuarios Gestin de actualizaciones de seguridad Cdigos de
aplicaciones seguras Control fsico de la red Comprobacin DHCP
Contra Spoofing ARP Autenticado de conexiones IPSec Deteccin de
Sniffers IDS
- Diapositiva 67
- Vulnerabilidades: SQL Injection
- Diapositiva 68
- Explotacin del Ataque Aplicaciones con mala comprobacin de
datos de entrada. Datos de usuario. Formularios Text Password
Textarea List multilist Datos de llamadas a procedimientos. Links
Funciones Scripts Actions Datos de usuario utilizados en consultas
a base de datos. Mala construccin de consultas a bases de
datos.
- Diapositiva 69
- Riesgos Permiten al atacante: Saltar restricciones de acceso.
Elevacin de privilegios. Extraccin de informacin de la Base de
Datos Parada de SGBDR. Ejecucin de comandos en contexto usuario bd
dentro del servidor.
- Diapositiva 70
- Tipos de Ataques Ejemplo 1: Autenticacin de usuario contra base
de datos. Select idusuario from tabla_usuarios Where
nombre_usuario=$usuario And clave=$clave; Usuario Clave
****************
- Diapositiva 71
- Tipos de Ataques Ejemplo 1 (cont) Select idusuario from
tabla_usuarios Where nombre_usuario=Administrador And clave= or
1=1; Usuario Clave Administrador or 1=1
- Diapositiva 72
- Tipos de Ataques Ejemplo 2: Acceso a informacin con
procedimientos de listado.
http://www.miweb.com/prog.asp?parametro1=hola
http://www.miweb.com/prog.asp?parametro1=1
- Diapositiva 73
- Tipos de Ataques Ejemplo 2 (cont):
http://www.miweb.com/prog.asp?parametro1= union select nombre,
clave,1,1,1 from tabla_usuarios; otra instruccin; xp_cmdshell(del
c:\boot.ini); shutdown --
http://www.miweb.com/prog.asp?parametro1=-1 union select.....; otra
instruccin; --
- Diapositiva 74
- Contramedidas No confianza en medias de proteccin en cliente.
Comprobacin de datos de entrada. Construccin segura de sentencias
SQL. Fortificacin de Servidor Web. Cdigos de error. Restriccin de
verbos, longitudes, etc.. Filtrado de contenido HTTP en Firewall.
Fortificacin de SGBD. Restriccin de privilegios de motor/usuario de
acceso desde web. Aislamiento de bases de datos.
- Diapositiva 75
- Vulnerabilidades: WebTrojan
- Diapositiva 76
- Explotacin de Ataque Servidores Web no fortificados Ejecucin de
programas en almacenes de ficheros. Subida de ficheros a
servidores. Imgenes para publicaciones. Archivos de informes.
Currculos, cuentos, etc... Almacenes de ficheros accesibles en
remoto Usuario en contexto servidor Web no controlado
- Diapositiva 77
- Riesgos Implantacin de un troyano que puede: Gestionar ficheros
Ejecutar programas Destrozar el sistema Defacement Robo de
informacin ....
- Diapositiva 78
- Tipos de Ataques Programacin de un troyano en PHP, ASP o JSP
Utilizacin de objetos FileObject Subida mediante ASP Upload
Busqueda del lugar de almacenamiento Invocacin por URL pblica del
servidor Web
- Diapositiva 79
- Contramedidas Fortificacin de servidores Web Menor Privilegio
Ejecucin de programas en sitios restringidos Listado de directorios
ocultos Usuario de servidor en contexto controlado Subida de
archivos controlada Ubicacin no accesible desde URL pblica Tipos de
ficheros controlados Tamao, tipo, extensin, etc.. Filtrado vrico
-> Rootkits
- Diapositiva 80
- Vulnerabilidades: Capa 8
- Diapositiva 81
- Explotacin de Ataque Falta de conocimiento SD3 Diseo
Configuracines Implantacin Administradores/Desarrolladores no
formados en Seguridad Hacking tico Falta de conocimiento del
riesgo
- Diapositiva 82
- Riesgos Insospechados: Bases de datos pblicas No proteccin de
datos No proteccin de sistemas .....
- Diapositiva 83
- Tipos de Ataques Hacking Google Administradores predecibles
http://www.misitio.com/administracion
http://www.misitio.com/privado http://www.misitio.com/gestion
http://www.misitio.com/basedatos Ficheros log pblicos WS_ftp.log
Estadsticas pblicas Webalyzer
- Diapositiva 84
- Prximas Acciones 17/09/2005. HOL Windows Server 2003. IPSec
18/09/2005. Evento Windows Update Services 20/10/2005.
Contramedidas Hacker. 21/10/2005: Gira Seguridad Technet.
17/09/2005. HOL Windows Server 2003. IPSec 18/09/2005. Evento
Windows Update Services 20/10/2005. Contramedidas Hacker.
21/10/2005: Gira Seguridad Technet. 20/10/2005. Contramedidas
Hacker. 21/10/2005: Gira Seguridad Technet.
- Diapositiva 85
- Boletn quincenal TechNews
- Diapositiva 86
- Contactos Informtica 64
http://www.informatica64.comhttp://www.informatica64.com
i64@informatica64.comi64@informatica64.com +34 91 146 20 00 Joshua
Senz G. jsaenz@informatica64.comjsaenz@informatica64.com