Asegurar el entorno de red

La red debe estar adecuadamente protegida antes de instalar IIS. Esto incluye:

  • Bloquear el acceso a la red de Windows 2003 recién instalados, hasta que estén correctamente configurados y actualizados. Un Windows 2003 recién instalado ya facilita esto, permitiendo sólo conectarse a Windows Update (actualizaciones) hasta que lo autoricemos.
  • Deshabilitar peticiones ICMP: Deshabilitando el Internet Control Message Protocol impedimos algunos posibles ataques, como por ejemplo que se hagan pings al servidor y con ellos un ping flood ( http://en.wikipedia.org/wiki/Ping_flood). Esto puede hacerse a través del firewall integrado de Windows a partir de Inicio – Panel de Control – Conexiones de Red.
Asegurar entorno de red (1)

  • Una vez seleccionada la tarjeta de red que queramos configurar, pulsamos el botón derecho y mediante la opción “Propiedades” vamos a la pestaña “Opciones Avanzadas”. Una vez allí, en el grupo “Firewall de Windows” pulsamos en “Configuración”. Ahora debemos asegurarnos de que el firewall está realmente activo y pulsamos en la pestaña “Opciones avanzadas”.

Asegurar entorno de red (2)

Firewall de Windows activado

  • Hecho esto accedemos a una pantalla donde podremos ver las tarjetas de red instaladas en el sistema. Una vez allí, bien a través del botón “Configuración” del grupo “Configuración de conexiones de red” o bien a través del botón “Configuración” del grupo “ICMP” llegaremos a la pantalla que controla las peticiones ICMP que el servidor permite. Para una mayor seguridad, debemos desactivar todas las posibles (o directamente todas, si podemos prescindir de este tipo de servicio en nuestro servidor). Si en lugar de usar el firewall de Windows tuviésemos un firewall de terceros, entonces debemos seguir las instrucciones concretas del fabricante del producto para realizar esta tarea.

Asegurar entorno de red (3)

Opciones avanzadas del firewall: Acceso a configuración ICMP

Asegurar entorno de red (4)

Configuración ICMP del firewall de Windows

  • Deshabilitar NetBIOS sobre TCP/IP: Equivale a no usar el protocolo NetBIOS (que en si es un protocolo antiguo, no seguro y no escalable). Esto no sería aconsejable si tenemos Windows 98 o NT en nuestra red (lo que a su vez tampoco es aconsejable, al no estar ya soportados por Microsoft). Para deshabilitar NetBIOS debemos ir a la pantalla de “Conexiones de Red” anterior y seleccionar la tarjeta de red cuya configuración queramos cambiar, para a continuación pulsar el botón derecho y “Propiedades”.

Asegurar entorno de red (5)

Configuración TCP/IP de una tarjeta de red

  • Tras esto seleccionaremos el protocolo TCP/IP y, pulsando en “Propiedades” una vez seleccionado, accederemos a la pantalla de configuración de IP. Dentro de la misma debemos pulsar en “Opciones Avanzadas” e ir a la pestaña “WINS” de la pantalla que nos aparece. En ella podemos encontrar las opciones relativas a NetBIOS y que posibilitan su deshabilitación.

Asegurar entorno de red (6)

Propiedades de TCP/IP de una tarjeta de red

Asegurar entorno de red (7)

  • Instalar correctamente un Router: Los router tienen ACLs (Access Control Lists) para bloquear todo el tráfico no deseado a redes internas u operaciones similares. Antes de hacer ninguna instalación de un servidor, las ACLs deben estar correctamente creadas y configuradas para establecerla configuración de red deseada con dichos routers. No obstante, esto es algo particular de cada empresa/institución y de sus necesidades concretas. Los routers son equipos hardware y normalmente su configuración (creación de ACLs) depende de cada fabricante. La configuración de un router es algo que excede los objetivos de este curso, aunque se proporcionan los siguientes enlaces como referencia:
  • Instalar correctamente un firewall: Un servidor web que no tenga un firewall hoy en día es totalmente desaconsejable (salvo casos muy especiales, en los que la protección de acceso por red se haga por otros medios). El bloqueo de tráfico que realiza un firewall puede ser mucho más complejo y completo que el de las ACL de un router. Por ejemplo, pueden filtrar sólo determinados protocolos, un número concreto de puertos, etc. Windows 2003 viene con un firewall integrado (ICF, Internet Connection Firewall), mostrado anteriormente. Éste debe configurarse para que deje pasar los protocolos adecuados y abra los puertos necesarios (ver la tabla siguiente), según la función del servidor, para que IIS y el resto de sus servicios funcionen correctamente. Con respecto a IIS, normalmente no suele haber problemas debido a que al instalarse ya se hacen los cambios de configuración necesarios.
ICF no es recomendable para servidores de sitios Web grandes. Para estos casos se recomienda usar ISA (Internet Security and Acceleration, http://www.microsoft.com/spain/isaserver/default.mspx) u otro producto de terceros más sofisticado, en cuyo caso el ICF debería desactivarse. Existen también otros productos de terceros, aunque debe tenerse en cuenta que soluciones gratuitas (Ej.: Comodo Firewall, ZoneAlarm) que están disponibles para Windows en equipos de cliente (como XP) pueden no funcionar en Windows servidores debido a restricciones en su licencia al respecto.

Protocolo que se necesita usar

Puerto a abrir

HTTP

80

HTTPS

443

FTP (Control Channel)

21

FTP (Data Channel)

20

SMTP

25

POP3

110

NNTP

119

Secure NNTP

563

Protocolos más habituales en un servidor web y puertos asociados

Un servidor web típico sin ninguna función adicional sólo va a aceptar peticiones http y https, que vendrán por los puertos 80 y 443. En este caso, debemos pues configurar el firewall para que no acepte peticiones por ningún otro puerto, prohibiendo servicios que no queremos dar como FTP, Escritorio Remoto o Telnet. El lugar donde Windows permite configurar el ICF se ha visto en una imagen anterior. Una vez abierta dicha pantalla de configuración y activo el firewall, podemos especificar qué servicios queremos “dejar pasar”, pinchando en la pestaña “Excepciones” y marcando o desmarcando aquellos protocolos o servicios que queramos permitir o prohibir. En la imagen de ejemplo que mostraremos a continuación hemos desactivado el escritorio remoto y la compartición de archivos e impresoras.

En el caso de que queramos dar o prohibir el acceso a un programa o sobre un puerto concreto, podemos hacer uso de los botones respectivos que Windows posee para ello, tal y como vemos en las imágenes siguientes. Cambiar el puerto de un programa o servicio se permite mediante la opción “Modificar”. Al hacerlo veremos que el servicio identificado por Windows como “Web” sólo contempla el puerto 80. También podemos añadir nuestros propios servicios y puertos en caso necesario. Si quisiésemos permitir conexiones al servidor vía https tendríamos que añadir “a mano” el puerto con la opción anterior. En las pruebas que haremos con https en el futuro vamos a emplear una conexión de área local sin firewall activado (debido a que suponemos que en dicha LAN todas las máquinas son de confianza), por lo que no tendremos que abrir ningún puerto. Las siguientes imágenes ilustran las operaciones que acabamos de mencionar:

Asegurar entorno de red (8)

Servicios controlables con el ICF de Windows 2003

Asegurar entorno de red (9)

Añadiendo un programa al ICF

Asegurar entorno de red (10)

Añadiendo un puerto al ICF

Asegurar entorno de red (11)

Modificando una entrada del ICF

Asegurar entorno de red (12)

Añadiendo el puerto 443 (https ) en el ICF

Asegurar entorno de red (13)

ICF conconfiguración final

  • También debemos contemplar la instalación de un sistema de detección de intrusos (IDS):
  • Es un dispositivo (hardware) o software que detecta patrones de ataques en el tráfico de red. Analiza el tráfico para determinar si alguna petición debe ser considerada síntoma de un ataque.
  • Es por tanto una herramienta para interceptar y responder a amenazas contra la seguridad de nuestros servidores Web.
  • Suelen estar integrados con firewalls y permiten monitorizar redes internas y externas activamente, asegurando un tráfico de red adecuado.
  • Un IDS software muy usado (y gratuito) es Snort (http://www.snort.org/), aunque su manejo excede los objetivos de este documento. No obstante, en este enlace hay un buen tutorial introductorio: http://www.maestrosdelweb.com/editorial/snort/. Debe tenerse también en cuenta que algunos firewalls ya incorporan una funcionalidad de IDS y no es necesario instalar un producto separado para cumplir con esta función.
Última modificación: sábado, 31 de julio de 2010, 13:16