www.segu-info.com.ar
Ultima Actualización - 27/09/2005
Home| Acerca de...| Sindicar RSSSindicar RSS

Actualidad

Blogger
Noticias
Eventos

Secciones

Seguridad Física
Seguridad Lógica
Delitos Informáticos
Amenazas Humanas
Políticas de Seguridad
Ataques
Protección
Firewalls
Criptografía
Claves Seguras
Herramientas Seguridad Online
Explorer vs. Firefox
Actualizaciones Microsoft
Puertos
Bibliografía
Sitios Recomendados
Videos

Malwares

Hoax
Spyware-Adware
Phishing
Troyano
Spam
Rootkit

Virus-Antivirus

Virus
Scaneo On-Line
Actualizaciones
Herramientas
Reportes On-Line
Empresas
Biblioteca

Hosting by
X-Network

Boletín 17 - 11/09/2005

Enviarle esta página a un amigo

1. Artículo propio del día: Servidor Seguro para Intranet en 10 pasos
2. Lo que he estado leyendo
3. Nueva versión y nueva vulnerabilidad en FireFox
4. JA de la semana x 2



1. Artículo propio del día: Servidor Seguro para Intranet en 10 pasos


El autor del presente artículo es el ASS Eduardo Francisconi.


Nota de Cristian:
Generalmente me gusta exponer un tema en teoría para luego mostrar casos prácticos del mismo, y finalmente ver las distintas formas de explotarlo.
En este caso he decidido hacer a la inversa: primero mostrar una implementación práctica y luego enfocar la teoría. Aún así, los curiosos pueden encontrar un poco de teoría de criptografía de clave pública y privada (la utilizada en certificados digitales) en boletines anteriores.



El siguiente tutorial describe los pasos necesarios para innstalar un Servidor Seguro en IIS sobre Windows, para un Website interno (Intranet) en una organización.


Nota 1: Si bien el presente artículo está desarrollado sobre IIS 6.0 en Windows Server 2003, el mismo puede realizarse igualmente en IIS 5.0 sobre Window Server 2000.

Nota 2: Se asume que tiene un IIS instalado en su servidor y corriendo un Website.


Entonces, los 10 pasos necesarios son:

  1. Loguearse con privilegios administrativos en el servidor Windows donde deseamos tener uestro sitio seguro.
  2. Verificar que el Servicio de "Certificate Server de Microsoft" esté instalado.
    Esto se puede verificar abriendo en "Herramientas Administrativas" la consola de "Entidad emisora de certificados". Si no está instalado se nos informará al intentar ingresar. En caso de estar instalado ir al paso 4 directamente.
  3. En el caso de no estar instalado, ir a "Agregar o quitar programas" e instalar el componente de Windows llamado "Servicios de Certificate Server" (bol17_01.jpg). En el próximo paso seleccionar "Entidad emisora raíz independiente" (bol17_02.jpg) ya que instalaremos un certificado raíz de primer nivel (similar a uno de Verisign por ejemplo en el caso de Internet). En la pantalla siguiente colocar el nombre de la entidad (bol17_03.jpg). El nombre que coloquemos aquí será el que figurará como emisor del certificado, es representativo y no tiene ningún requisito en especial. En las dos pantallas siguientes pueden seleccionarse los algoritmos criptográficos que estarán disponibles para los certificados y su fortaleza. Estos pasos también pueden obviarse (dejando las opciones por defecto) y presionar "Siguiente" hasta finalizar la instalación.
  4. Ya tenemos funcionando la entidad emisora de certificados en nuestro equipo por lo que ahora ya podemos administrar las peticiones y entregas de certificados. Para ello, abrimos el IIS, en las Propiedades del Website elegimos la solapa de "Seguridad de directorios", y en la sección de "Comunicaciones Seguras" presionamos el botón de "Certificado de Servidor" (bol17_04.jpg). Luego elegimos "Crear un certificado nuevo" (bol17_05.jpg) y se nos pide el nombre del certificado y la longitud de la clave de cifrado. Debemos recordar que el tamaño de esta clave es directamente proporcional a su seguridad e inversamente proporcional a la velocidad de encripción/desencripción. Es aquí donde debemos evaluar el costo de la seguridad versus el costo de la información que protegemos. El asistente nos pedirá nombre de nuestra Organización y de la Unidad organizativa que podremos llenar con los datos que consideremos adecuados.
  5. Luego se nos solicita el nombre del sitio Web. Aquí es requisito fundamental colocar el nombre de nuestro servidor web o la dirección IP del mismo (bol17_06.jpg). Con este nombre luego se formará la URL de nuestro sitio seguro.
    Por ejemplo si el servidor se llama "server" la URL será "https://server". Luego completamos los datos de la región que son necesarios para solicitar un certificado a una entidad certificadora internacional. En nuestro caso sólo serán datos que mostrará el explorador al momento de pedir los datos del certificado. Para finalizar se nos solicita el nombre de un archivo de texto que contendrá todos los datos para realizar la petición. Éste será el archivo que enviaremos a nuetra entidad emisora, que en nuestro caso somos nosotros mismos.
  6. Ahora comenzaremos con el trámite de solicitud del certificado. Al momento de instalar en nuestro equipo la entidad emisora de certificados se nos creó una aplicación web llamada "CertSrv". Así que ingresamos a la dirección http://server/CertSrv con nuestro explorador favorito y seleccionamos la tarea"Solicitar un certificado", luego seleccionamos "Solicitud avanzada de certificado" y luego "Enviar una solicitud de certificados usando un archivo cifrado de base64 CMC o PKCS #10 o una solicitud de renovación usando un archivo cifrado de base64 PKCS #7". Esto nos permitirá enviar nuestro archivo de texto a la entidad emisora que, como ya dijimos, en nuestro caso somos nosotros mismos.
  7. En la página web que estamos viendo (bol17_07.jpg) podemos elegir nuestro archivo generado previamente, o bien podemos abrirlo con el Block de notas y pegar su contenido en el cuadro de texto. Ahora ya tenemos nuestro solicitud de certificado ingresada y deberemos aprobarla.
  8. En la consola de "Entidad emisora de certificados" en la sección de"Peticiones pendientes" veremos nuestra petición (bol17_08.jpg). Presionamos botón derecho sobre el certificado, "Todas la tareas" y "Emitir" y ya tenemos nuestro certificado emitido. En la sección de "Certificados emitidos" presionamos botón derecho sobre el certificado, "Todas las tareas" y "Exportar datos binarios". Seleccionamos "Certificado Binario" y "Guardar datos binarios en un archivo" (bol17_09.jpg). Esto nos permitirá tener disponible el certificado para importarlo desde IIS.
  9. Volvemos al IIS y en las Propiedades del Website elegimos la solapa de"Seguridad de directorios", presionamos "Certificado de servidor". Luego elegimos "Procesar la petición pendiente e instalar el certificado" y seleccionamos nuestro certificado (el archivo binario recién guardado) e ingresamos el puerto por el cual vamos a crear nuestro canal seguro, pudiendo dejar el puerto 443 que es el que se muestra por defecto.
  10. Felicidades ahora con solo tipear "https://server" en nuestro navegador y deberiamos acceder a nuestro sitio seguro y ver la información de nuestro certificado (bol17_10.jpg). Esta información también está disponible al hacer click en el candado que aparece en la parte inferior del explorador en todo sitio seguro.

En próximos boletines seguiremos con este tema para enfocarnos en la Teoría de funcionamiento de Certificados Digitales.



2. Lo que he estado leyendo


Recomiendo la lectura de los interesantes artículos publicados en http://www.segu-info.com.ar/terceros/terceros.htm de autores varios.


Sobre ellos destaco el último artículo del Profesor Arnoldo Moreno Perez por el completo informe sobre la actualidad de los antivirus.


A quién le interese el software libre no puede dejar de leer el libro del padre de GNU: Richard Stallam. El libro se titula "Software libre para una sociedad libre". Por supuesto se puede descargar de la sección de libros.



3. Nueva versión y nueva vulnerabilidad en FireFox


Por un lado la buena noticia nos anuncia que la nueva versión de FireFox 1.5 ya está disponible y por otro nos enteramos que todas las versiones disponibles están expuestas a una vulnerabilidad crítica de overflow.


FireFox 1.5 Beta 1 (Deer Park):

http://www.mozilla.org/projects/firefox/


Anuncios original de vulnerabilidad:

http://security-protocols.com/advisory/sp-x17-advisory.txt

http://secunia.com/advisories/16764/


Parche temporal muy facil de aplicar:

https://addons.mozilla.org/messages/307259.html



4. JA de la semana x 2

  1. Steve Ballmer acusado de asesinato
    http://www.microsiervos.com/archivo/ordenadores/steve-ballmer-google.html
    http://www.ntk.net/ballmer/mirrors.html (EXCELENTE!)

  2. El nuevo sistema operativo de google... ¿broma?
    http://google.dirson.com/noticias.new/1147/
    http://grooan.com/futurefeeds/index.php?p=15

Lista y Boletín

Suscríbete a segu-info

Boletín (un mail semanal)
Foro Discusión (mails diarios)


Alojado en egrupos.net
Netiquette o uso del mail

 

Blog en tu Mail (mails diarios)

Documentos

Boletín Semanal
Artículos Propios
Artículos Varios
Tesis
Obtener Libros
Leer Libros
Políticas de Seguridad
Nuevos Proyectos
Seguridad Organizacional

Sitios Amigos

Alojamiento Web
Rompecadenas
Shell Security
Diario Hacker
Portal Hacker
ForoSpyware
Virus Attack!
InfoSpyware
Informática
Kernelnet
CyruxNet
XousLAB
Adelaflor
Diginota
Cavaju
Hakin9
Nomak
Odiss

 


Web segu-info


CFB Soft 2000-2006 | Aviso Legal y Política de Privacidad

Todos los contenidos de este sitio se encuentran bajo Licencia Creative Commons a menos que se indique lo contrario