Securización Internet Information Services 6.0

y SQL Server 2000

Iván González VilaboaMicrosoft MVPWindows Server - IIS

Internet Information Services 6.0 ¿Qué es?

Proporciona a Windows...Un servidor de aplicaciones Web

Un servidor de FTP

Un servidor de news (NNTP)

Un servidor de SMTP

Da soporte a aplicaciones Web:Active Server Pages (.asp)

ASP.NET (.aspx)

…

Esto último es uno de sus factores de éxito

Internet Information Services 6.0 ¿Qué ha cambiado?

IIS 6.0 no es simplemente una nueva versión

Practicamente se ha rehecho

Cambiosen la arquitectura

Aislamiento de Worker Process

Kernel-Mode Queuing

en el almacenamiento de la metabase

en la consola de administración

en el servicio de FTP

Internet Information Services 6.0 Nueva arquitectura

HTTP.SYS: proceso en modo kernel (núcleo); recibe y encamina peticiones httpWAS: proceso de configuración y gestión (WAS = Web Administration Service)W3WP.exe: entorno de ejecución para aplicaciones web

(WP=Worker Process)Nuevo esquema de aislamiento de aplicacionesSoporte para múltiples procesos WP

web web appapp

WASWAS W3WP.exeW3WP.exe

web web appapp

HTTP.SYSHTTP.SYS

kern

elke

rnel

W3WP.exeW3WP.exe

web web appapp

W3WP.exeW3WP.exe

web web appapp

Internet Information Services 6.0 Proceso de peticiones en el kernel: HTTP.sys

CacheCacheMotor HTTPMotor HTTP

NamespaceNamespaceMapperMapper

Co

laC

ola

Pet

icio

nes

Pet

icio

nes

EnvíoEnvíoRespuestaRespuesta

PeticiónPetición

Worker ProcessWorker Process

HTTP.sysHTTP.sys

HSE_REQ_ENABLE_CACHEHSE_REQ_ENABLE_CACHE

Co

laC

ola

Pet

icio

nes

Pet

icio

nes

Co

laC

ola

Pet

icio

nes

Pet

icio

nes

RespuestaRespuesta

Internet Information Services 6.0 Fiabilidad: la arquitectura

Aislamiento total de procesos

uno o más procesos en comunicación directa con el kernel

Independiente de otros procesos

Application PoolsAgrupan sites y aplicaciones

Una cola de peticiones por Application Pool

Web Gardens

Colas gestionadas en modo kernel

HTTP.sysHTTP.sys

WASWAS

Worker Worker ProcessProcess

Filtro ISAPIFiltro ISAPI

ExtensiónExtensiónISAPIISAPI

Worker Worker ProcessProcess

Filtro ISAPIFiltro ISAPI

ExtensiónExtensiónISAPIISAPI

Application PoolApplication Pool Application PoolApplication Pool

Internet Information Services 6.0 Application Pools

Podemos tener uno o másCada uno servido por uno o más W3WP.exe

Cada W3WP.exe solo sirve un pool

Peticiones redirigidas al pool por HTTP.sys

Podemos aislar las aplicaciones Web basándonos:

En sitio/cliente

En la funcionalidad

En la fiabilidad

Internet Information Services 6.0 Reciclado periódico de los procesos

Qué esReiniciamos las aplicaciones Web basándonos en:

El tiempo que llevan funcionando

El número de peticiones

En un calendario

En el consumo de memoria

Bajo demanda

Porqué usarloPrevenir que aplicaciones defectuosas afecten al sistema

Refrescar las aplicaciones para aumentar la disponibilidad

Internet Information Services 6.0 Arquitectura con autorecuperación

Qué esDiseñada para detectar bloqueos de threads dentro de W3WP.exe

Cómo funcionaW3SVC consulta cada W3WP.exe (pinging)

El proceso tiene un tiempo para responder

Si no responde en ese tiempo:Matar el proceso, publicar un evento y lanzar uno nuevo (por defecto)

IIS puede ser configurado para realizar una acción sobre el proceso

Internet Information Services 6.0 Detección de fallos y recuperación

Detección de fallosW3SVC detecta “casques” en W3WP.exe

W3SVC lanzará un nuevo W3WP.exe si es necesario

Las peticiones son encoladas por HTTP.sys mientras se crea el nuevo W3WP

Resultado: no existe interrupción en el servicio

ProtecciónSolo se permiten x fallos en y minutos

El pool será detenido si se superan estos valores (error 503 para las peticiones)

Internet Information Services 6.0 Fiabilidad: gestión de procesos

HTTP.SYSHTTP.SYSHTTP.SYSHTTP.SYS

Web Web AdminAdminServiceService

(WAS)WAS)

Web Web AdminAdminServiceService

(WAS)WAS)ExtensiónExtensión

ISAPIISAPI

Filtro ISAPIFiltro ISAPI

Worker Worker ProcessProcess

ExtensiónExtensiónISAPIISAPI

Filtro ISAPIFiltro ISAPI

Worker Worker ProcessProcess

ExtensiónExtensiónISAPIISAPI

Filtro ISAPIFiltro ISAPI

Worker Worker ProcessProcess

INETINFOINETINFO

metabasemetabaseExtensiónExtensión

ISAPIISAPI

Filtro ISAPIFiltro ISAPI

Worker Worker ProcessProcess

Internet Information Services 6.0 Escalabilidad: Dynamic Kernel Caching

Cache

Network Stack

HTTP.SYS

W3WP.EXE (IIS6.0)

ASP.NET/CLR

User Application

UserKernel

Database

GET http://www.acme.com/store/sproketcatalog.aspxGET http://www.acme.com/store/sproketcatalog.aspx

PeticiónPetición RespuestaRespuesta

SinSinCacheCache

ConConCacheCache

Cache

Network Stack

HTTP.SYS

W3WP.EXE (IIS6.0)

ASP.NET/CLR

User Application

UserKernel

Database

PeticiónPetición RespuestaRespuesta

<%@ OutputCache Duration="10" VaryByParam="none" %>

Internet Information Services 6.0 Seguridad

IIS no se instala por defecto en una instalación limpia

En una actualización se instala solo si teníamos instalado URLScan

Las URL’s están ahora limitadas a 16KB y presentan mayores restricciones

Que no existan caracteres especiales, etc.

RestriccionesSolo se ejecutan peticiones para extensiones permitidas

Solo se sirven ficheros con extensiones conocidasDefinidas en MIMEMAP

Herramientas de línea de comandos limitadas al grupo de administradores

Internet Information Services 6.0 Rendimiento

Web GardenApplication pool con más de un Worker Process

Afinidad de procesadorVincular los procesos de un Application pool a uno o más procesadores

Se hace caché de las respuestas en HTTP.sys (kernel)

Se liberan los procesos después de un tiempo de inactividad

Se relanzarán cuando sea necesario (peticiones)

Esto no implica que la aplicación no esté activa!!

Internet Information Services 6.0 Administración y gestión

Metabase en formato XML - ¡Menos reinicios!

Importación y exportación de la configuración

Elección entre varios interfaces de gestión

Nueva consola de administración vía Web

Internet Information Services 6.0 Mejoras en la metabase

La metabase almacena la configuración de IIS

XML MetabaseLa metabase ahora se almacena en XML

Existe un histórico de la metabase

Modo EditWhileRunningPermite hacer cambios a metabase.xml mientras IIS está funcionando

Es más seguro usar ADSI o el UI para hacer cambios

\systemroot\system32\inetsrv\Metabase.xml

MBSchema.xml

Seguridad en SQL Server 2000

Servicio SQLPor seguridad crearemos en Windows 2000 un usuario para lanzar el servidor SQL, “sqluser” ,si no creamos este usuario, el servicio será lanzado por el usuario LocalSystem.

Una vulnerabilidad que ejecute comandos en el sistema, sería ejecutado con privilegios de administración. De esta forma con el usuario sqluser (no es parte del grupo de administradores) los riegos que corre el sistema son mucho menores

Seguridad en SQL Server 2000

Seguridad en SQL Server 2000

Autentificación:

Windows Siempre que sea posible.

SQL ServerVulnerable a la fuerza Bruta

Contraseñas

Tamaño, caracteres, ...

Seguridad en SQL Server 2000

Seguridad en SQL Server 2000

Seguridad en SQL Server 2000

Seguridad a Nivel de RedFiltrar puertos

1433 TCP/UDP

1434 TCP/UDP

Seguridad en SQL Server 2000

Seguridad en SQL Server 2000

Eliminar las Bases de Datos de ejemplos

Para mayor seguridad en el sistema eliminaremos todos las bases de datos de ejemplo que dispone SQL Server

Northwind

Pub

Seguridad en SQL Server 2000

Seguridad en SQL Server 2000

Habilitar registro de logsMediante el Administrador corporativo.Mediante el Analizador de consultas u osql.exe

Master..xp_instance_regwrite N’HKEY_LOCAL_MACHINE’,N’SOFTWARE\Microsoft\MSSQLServer\MSSQLServer’,N’AuditLevel’,REG_WORD,3

Deshabilitar SQL AgentEn caso de no ser necesario

Seguridad en SQL Server 2000

Seguridad en SQL Server 2000

Seguridad en SQL Server 2000

Cifrar los datos que sean posibles dentro de la Base de DatosNo ejecutar SQLServer en el contexto de una cuenta privilegiadaEliminar los procedimientos almacenados que no se utilicen como xp_cmdshell (Permisos)Quitar los permisos débiles de los procedimientos almacenados y dejar sólo saUtilizar alertas para detectar posibles incidencias o ataques

Seguridad en SQL Server 2000

Seguridad en SQL Server 2000

Asignar los permisos adecuados a las tablas, vistas y campos de las mismas para cada usuario.

Trabajo costoso, pero que tiene recompensa

Realizar un buen diseño de la BD

Público

Privado

Seguridad en SQL Server 2000

Seguridad en la Aplicación

Realizar un parseo adecuado de caracteres:Mediante expresiones regularesValidación de caracteres

PermitidosConsultas con “sa”

Las imprescindiblesCrear una cuenta de usuario con permisos mínimos.

invitadodb

y ahora…

Fiesta!!!

Recursos de la comunidad

IIS Community Portalhttp://www.microsoft.com/windowsserver2003/community/centers/iis/

Portal de IIShttp://www.microsoft.com/iis

Grupos de noticias de IISmicrosoft.public.inetserver.iismicrosoft.public.inetserver.iis.ftpmicrosoft.public.inetserver.iis.security

Grupos de noticiashttp://www.microsoft.com/communities/newsgroups/default.mspx

Recursos de la comunidadhttp://www.microsoft.com/communities/default.mspx

Most Valuable Professional (MVP)http://www.mvp.support.microsoft.com/

Grupos de usuarioshttp://www.microsoft.com/communities/usergroups/default.mspx

Lecturas recomendadas

TÍTULOTÍTULO IDIOMAIDIOMA

Microsoft® Windows® Security Microsoft® Windows® Security Resource KitResource Kit

ISBN: 0-7356-1868-2ISBN: 0-7356-1868-2

InglésInglés

Internet Information Services Internet Information Services (IIS) 6.0 Resource Kit(IIS) 6.0 Resource Kit

ISBN: ISBN: 0-7356-1420-20-7356-1420-2

InglésInglés

Al salir de aquí…

Cubrir el formulario de evaluaciónhttp://www.microsoft.com/spain/technet/unimer

Descargar esta presentaciónhttp://www.microsoft.com/spain/technet/justit

Ver otras sesiones sobre seguridadhttp://www.microsoft.com/technet/tcevents/webcasts/default.mspx

Descargar la guía de seguridadWindows 2000

http://www.microsoft.com/technet/security/prodtech/win2000/

Windows Server 2003http://www.microsoft.com/technet/security/prodtech/win2003/

Tomarnos unas cañas juntos!!!

examinanos!examinanos!

http://www.microsoft.com/spain/technet/unimer

Preguntas?Preguntas?Comentarios?Comentarios?

ivan@udc.esivan@udc.es

© 2004 Microsoft Corporation. Todos los derechos reservados.© 2004 Microsoft Corporation. Todos los derechos reservados.Esta presentación es sólo con propósitos formativos. MICROSOFT NO GARANTIZA, Esta presentación es sólo con propósitos formativos. MICROSOFT NO GARANTIZA,

EXPLÍCITA O IMPLÍCITAMENTE, LOS CONTENIDOS DE ESTA PRESENTACIÓN.EXPLÍCITA O IMPLÍCITAMENTE, LOS CONTENIDOS DE ESTA PRESENTACIÓN.

© 2004 Microsoft Corporation. Todos los derechos reservados.© 2004 Microsoft Corporation. Todos los derechos reservados.Esta presentación es sólo con propósitos formativos. MICROSOFT NO GARANTIZA, Esta presentación es sólo con propósitos formativos. MICROSOFT NO GARANTIZA,

EXPLÍCITA O IMPLÍCITAMENTE, LOS CONTENIDOS DE ESTA PRESENTACIÓN.EXPLÍCITA O IMPLÍCITAMENTE, LOS CONTENIDOS DE ESTA PRESENTACIÓN.