El camino de un ITPro » 21/02/2014

Daily Archives: 21/02/2014

IIS Seguridad Tools

Que hacer si nuestra conexión SSL no es segura. Herramienta IIS Crypto.

Published by:

Hace poco vimos un post sobre cómo testear la seguridad de nuestras conexiones SSL de nuestros publicadores con SSLScan, pues  hoy toca ver ¿qué hacemos para solucionar estos problemas?

Me quedé pensando, vale tenemos un problema pero lo que en estos momentos me importa es ¿cómo lo soluciono?

Como casi todo, tenemos dos formas de hacerlo, una manual, picando datos, y otra mas automatizada. Las vemos.

Manual

Esta forma sería la utilizada para corregir/crear una a una las entradas sel registro. En este KB de Microsoft (KB245030) viene muy bien explicado. Qué entradas del registro tenemos que añadir, SSL 2.0, SSL 3.0, TLS 1.0, etc.,

Lo vemos con un ejemplo. Vamos a deshabilitar SSL 2.0:

  • Iremos a la siguiente entrada del registro HKLMSYSTEMCurrentControlSetControlSecurityProvidersschannelProtocolsSSL 2.0Server
  • Si no existe, la crearemos. Botón derecho del ratón, New (Nueva) y haremos click en Key (Clave) a la que, obviamente llamaremos Server.
  • Entramos dentro de esta clave y crearemos una nueva Key (Clave), del tipo DWORD (32-bit) Value. cuyo nombre será Enabled y el valor hexadecimal 0x00000000 (0).
  • Reiniciaremos nuestro equipo y ya estaría deshabilitado SSL 2.0, aunque siempre viene bien volver a comprobarlo.

Automática

Lo que todos queremos, una herramienta que nos solucione nuestro problema y no nos cree otros adicionales, en este caso vamos a utilizar IIS Crypto, pero hay muchas mas:

¿Que nos aporta IIS Crypto?

  • Con un simple click protege nuestro site usando las mejores prácticas.
  • Deshabilitar SSL 2.0 facilmente.
  • Habilitar TLS 1.1 y 1.2
  • Deshabilitar otros protocolos y cifrados débiles.
  • Reordenar las suites de cifrado.
  • Plantillas para el cumplimiento de las regulaciones guvernamentales y de industria FIPS 140-2 y PCI.

Lo importante, la podemos descargar desde aqui.

¿Sobre qué plataformas podemos utilizarlo? Todas:

  • Windows Server 2003
  • Windows Server 2008
  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2

Os pongo otro ejemplo de funcionamiento. Tenemos un servidor IIS que una vez le hemos pasado una herramienta para verificada la conexión SSL nos da el siguiente resultado:

iisCrypto00001

Vaya, tenemos SSLv2 128  y 168 bits habilitado y según las normas de nuestra empresa solo se puede aceptar SSLv3.

Verificaremos el registro y, ciertamente no están creadas todas las entradas necesarias para deshabilitar SSLv2, TLS, etc:

iisCrypto00002

¿Qué es lo primero que tenemos que hacer? pues una copia de seguridad del registro, por si acaso pasa algo que siempre viene bien. Ya sabeis, dentro del Registro, en File, Export e indicamos una ruta accesible para guardar nuestra copia «global» o «parcial» del registro.

iisCrypto00000a

Pues nada, ejecutamos nuestra aplicación IIS Cyrpto y seleccionamos, por ejemplo, que nuestros IIS solo puedan utilizar SSLv3 y el cifrado superior a 128 Bits, ya sea MD5 o SHA:

iisCrypto00003

Pulsaremos el botón de «Apply» (aplicar) y nos aparecerán los siguientes mensajes indicandonos que los parámetros han sido cambiados:

iisCrypto00004

Asi como el mensaje de que tenemos que reiniciar nuestro servidor:

iisCrypto00005

Espero que os sea util.

Bibliografía:

SSLShopper.