Nuestra mezcla de blog y knowledge base
lunes, 29 de diciembre de 2008
sábado, 27 de diciembre de 2008
10 Pasos para securizar un servidor FTP
A partir de Windows 2000 y como un servicio de IIS 5.0 ya disponemos de un servidor FTP integrado con Active Directory.
Vamos a intentar securizarlo un poco.
1. Crear una cuenta personalizada: Creamos una cuenta en AD cuya única función sea el acceso remoto a este servicio, con una contraseña lo suficientemente robusta.
2. Desactivar el acceso Anonimo: Accedemos a las propiedades del servidor FTP y desactivamos la cuenta predeterminada (la de usuario anonimo). En ese momento el control de acceso se basa en las ACL (Access Control List) definidas en el directorio raiz de la carpeta FTP basada en permisos NTFS.
3. Loggear: Activar la opción de Log , de esta manera podremos tener un control de quien accede a nuestro servidor y desde donde, realizar un control periodico de estos archivos para detectar cualquier anomalia. Se recomienda activar todas las opciones para tener mas información.
4. Restringir mediante ACL : Personalizar acceso a esa carpeta (Por defecto c:\inetpub/ftproot) a los usuarios necesarios, únicamente los permisos de Leer, Escribir y Mostrar el contenido de la carpeta.
5. Servidor de destino : Considerar la opción de que los usuarios solo puedan Grabar ficheros en el servidor pero no listarlos. Sitio FTP - Propiedades del Directorio raiz - Desactivar la opcion de Lectura.
6. Activar las cuotas : Activar las cuotas sobre el disco de ubicación del directorio raiz, de esta manera evitaremos que nuestra carpeta crezca en caso de que consiga ser hackeada. Habra que dimensionar esta cuota en funcion de la utilidad del servidor ftp (compartir ficheros/acceso para actualización de una web, etc).
7. Activar los tiempos de Login : Limitar los tiempos de acceso a la carpeta a nuestro horario comercial normal. Con activar un 8:00 am a 20:00 pm, suele ser suficiente.
8. Restringir el acceso mediante IP: Si el sitio FTP va a ser mantenido por alguien externo a nuestra organización limitar el acceso al mismo desde su IP fija externa.
9. Auditar los Inicios de sesión : Panel de control - Herramientas Administrativas - Configuración de seguridad Local - Directivas Locales - Directivas de Auditoria - Auditar Sucesos de inicio de sesion (Correcto y Erroneo). De esta manera prodremos controlar los accesos mediante el visor de sucesos de windows sin tener que ir a los logs del FTP.
Vamos a intentar securizarlo un poco.
1. Crear una cuenta personalizada: Creamos una cuenta en AD cuya única función sea el acceso remoto a este servicio, con una contraseña lo suficientemente robusta.
2. Desactivar el acceso Anonimo: Accedemos a las propiedades del servidor FTP y desactivamos la cuenta predeterminada (la de usuario anonimo). En ese momento el control de acceso se basa en las ACL (Access Control List) definidas en el directorio raiz de la carpeta FTP basada en permisos NTFS.
3. Loggear: Activar la opción de Log , de esta manera podremos tener un control de quien accede a nuestro servidor y desde donde, realizar un control periodico de estos archivos para detectar cualquier anomalia. Se recomienda activar todas las opciones para tener mas información.
4. Restringir mediante ACL : Personalizar acceso a esa carpeta (Por defecto c:\inetpub/ftproot) a los usuarios necesarios, únicamente los permisos de Leer, Escribir y Mostrar el contenido de la carpeta.
5. Servidor de destino : Considerar la opción de que los usuarios solo puedan Grabar ficheros en el servidor pero no listarlos. Sitio FTP - Propiedades del Directorio raiz - Desactivar la opcion de Lectura.
6. Activar las cuotas : Activar las cuotas sobre el disco de ubicación del directorio raiz, de esta manera evitaremos que nuestra carpeta crezca en caso de que consiga ser hackeada. Habra que dimensionar esta cuota en funcion de la utilidad del servidor ftp (compartir ficheros/acceso para actualización de una web, etc).
7. Activar los tiempos de Login : Limitar los tiempos de acceso a la carpeta a nuestro horario comercial normal. Con activar un 8:00 am a 20:00 pm, suele ser suficiente.
8. Restringir el acceso mediante IP: Si el sitio FTP va a ser mantenido por alguien externo a nuestra organización limitar el acceso al mismo desde su IP fija externa.
9. Auditar los Inicios de sesión : Panel de control - Herramientas Administrativas - Configuración de seguridad Local - Directivas Locales - Directivas de Auditoria - Auditar Sucesos de inicio de sesion (Correcto y Erroneo). De esta manera prodremos controlar los accesos mediante el visor de sucesos de windows sin tener que ir a los logs del FTP.
10. Utilizar password Robustos : Activar la opcion de complejidad de password mediante las directivas de seguridad en local.
11. Activar el bloqueo de cuentas : Las utilidades de Crackeo de contraseñas pueden lanzar ataques mediante diccionarios. Para evitar este tipo de ataques deberemos bloquear la cuenta despues de un numero de intentos, durante un tiempo y resetarla al tiempo.
jueves, 18 de diciembre de 2008
Wsus no se actualiza correctamente
Un servidor con la siguiente configuracion:
- Microsoft Windows 2003 SP2
- WSUS 3.0 SP1
- MSDE
Tenemos el siguiente error en el visor :
No se puede descargar el archivo de contenido. Causa: El servidor no admite el protocolo HTTP necesario. El Servicio de transferencia inteligente en segundo plano (BITS) requiere que el servidor admita el encabezado de protocolo de intervalo., archivo de origen: /msdownload/update/software/defu/2008/04/mpas-d_bfdfb959ec7471c72649eafbbeff6b2119f1f0ff.exe, archivo de destino: d:\WSUS\WsusContent\FF\BFDFB959EC7471C72649EAFBBEFF6B2119F1F0FF
Tenemos que cambiar el metodo de acceso del BITS.
c:\archivos de progra\Update Services\Setup\ExecuteSQL.exe -S %nombre%\MICROSOFT##SSEE -d "SUSDB" -Q "update tbConfigurationC set BitsDownloadPriorityForeground=1"
Sustituir %nombre% por el nombre de maquina.
Reiniciar el servicio de "Update Services" .
Como : Desactivar usuario de las listas de Exchange
Es posible que uno de los usuario de Microsoft Exchange 2003 no quiera aparecer en la lista de destinatarios, cuando se pulsa el boton "para" del sistema de correo, para lo cual se deben de editar las propiedades del usuario en cuestión y realizar el "check" en la opción de "Opciones avanzadas de Exchange"
miércoles, 17 de diciembre de 2008
Youtube
Life in the Data Center - Capitulo I
http://www.youtube.com/watch?v=oOo4qqtnTOQ
Life in the Data Center - Capitulo II
http://www.youtube.com/watch?v=4_63uJXQTwo
Life in the Data Center - Capitulo III
http://www.youtube.com/watch?v=lNP1CxT4BWw
Google First Production Server @Computer History Museum
viernes, 12 de diciembre de 2008
Blogs de Sistemas IV
Buscando buscando vamos cada vez mas encontrando si internet es muuuu grande.
http://www.securitybydefault.com/
http://www.securityartwork.es/
http://blog.segu-info.com.ar/
http://www.heroescertificados.com/
http://blog.infosecman.com/
http://www.securitybydefault.com/
http://www.securityartwork.es/
http://blog.segu-info.com.ar/
http://www.heroescertificados.com/
http://blog.infosecman.com/
Windows Sysinternal
.jpg)
The Sysinternals web site was created in 1996 by Mark Russinovich and Bryce Cogswell to host their advanced system utilities and technical information. Microsoft acquired Sysinternals in July, 2006. Whether you’re an IT Pro or a developer, you’ll find Sysinternals utilities to help you manage, troubleshoot and diagnose your Windows systems and applications. If you have a question about a tool or how to use them, please visit the Sysinternals Forum for answers and help from other users and our moderators.
jueves, 4 de diciembre de 2008
Personalizar Explorador de Windows
Si necesitamos que al hacer doble click sobre el explorador de windows, este vaya a una capeta en concreto, es posible modificar las propiedades del mismo.
%SystemRoot%\explorer.exe /n,/e,/select,c:\test\
/n : nueva ventana
/e: vista predeterminada
/select,c:\test : en la ubicacion de "c:\test"
Articulo Microsoft en : http://support.microsoft.com/kb/314853/es
%SystemRoot%\explorer.exe /n,/e,/select,c:\test\
/n : nueva ventana
/e: vista predeterminada
/select,c:\test : en la ubicacion de "c:\test"
Articulo Microsoft en : http://support.microsoft.com/kb/314853/es
Suscribirse a:
Entradas (Atom)