Una de las mayores preocupaciones que escuchamos de los desarrolladores cuando hablamos del potencial de los servicios Web XML es el miedo de las vulnerabilidades que podría permitir a usuarios malintencionados para atacar a sus servicios. The bad news is that attacks can result in such atrocities as limiting the availability of your service, private data being compromised, or in the worse case, losing control of your machines to these malicious users. La mala noticia es que los ataques pueden dar lugar a atrocidades tales como la limitación de la disponibilidad de su servicio, los datos privados se vea comprometida o, en el peor de los casos, perder el control de sus máquinas a los usuarios malintencionados. The good news is that there are real protections available to you that can limit the risks involved from these attacks. La buena noticia es que hay protecciones reales a su disposición que pueden limitar los riesgos de estos ataques. We are going to take a look at what kind of attacks are out there, and what you can do to protect yourself in the areas of deployment, design and development. Vamos a echar un vistazo a qué tipo de ataques están ahí fuera, y lo que puedes hacer para protegerte en las zonas de despliegue, el diseño y desarrollo. This first column on the subject will focus on deployment issues you should consider; in our next column, we will look at design and development issues that you need to be aware of when developing your XML Web Services. Esta primera columna sobre el tema se centrará en los problemas de implementación debe tener en cuenta, en nuestra próxima columna, vamos a ver el diseño y desarrollo de las cuestiones que tiene que tener en cuenta al desarrollar sus servicios Web XML.
Types of Attacks Tipos de ataques
The first step to figuring out what the risks are, and what we can do to avoid them, is to understand the types of attacks that might target our services. El primer paso para averiguar cuáles son los riesgos, y lo que podemos hacer para evitarlos, es comprender los tipos de ataques que puedan orientar nuestros servicios. Once we know the sorts of issues we are vulnerable to, we can mitigate those risks by taking appropriate actions. Una vez que sabemos el tipo de cuestiones que están expuestos, podemos mitigar esos riesgos mediante la adopción de medidas apropiadas.
Attacks fall under three general categories: Los ataques se dividen en tres categorías generales:
Spoofing Spoofing
Taking advantage of bugs Tomando ventaja de los errores
Denial of Service Denegación de servicio
Spoofing Spoofing
One of the most common attacks against a system that requires authentication is for a hacker to figure out a user's authentication credentials, log on as that user, and access that user's information. Uno de los ataques más comunes contra el sistema que requiere autenticación para un hacker para averiguar las credenciales de autenticación de un usuario, inicie sesión como ese usuario, y acceso a la información del usuario. This is bad enough, but it can pose even more of a risk if the compromised credentials belong to a system administrator or some other higher privileged user. Esto es bastante malo, pero puede presentar más de un riesgo si las credenciales comprometidas pertenecen a un administrador del sistema o algún otro usuario con privilegios altos. In such a case, the attack might not only compromise a single user's data, but could potentially compromise the data of all users. En tal caso, el ataque no sólo podría comprometer los datos de un único usuario, pero podría comprometer los datos de todos los usuarios.
There are various approaches a hacker might use to determine a user's password. Existen diversos enfoques que un hacker podría utilizar para determinar la contraseña de un usuario. For example: trying words that might be meaningful to the user, such as the user's name, their pet's name, or their birthday. Por ejemplo: las palabras tratando de que podría ser significativa para el usuario, como el nombre del usuario, el nombre de su mascota, o de su cumpleaños. A more persistent hacker may even try every word in the dictionary (a dictionary attack). Un pirata informático más persistentes incluso puede tratar cada palabra en el diccionario de ataque (un diccionario). Other ways of getting at credential information include: sniffing the network packets and reading the information from the data being sent; by DNS spoofing, inserting a malicious machine as an intermediary between a client and the server; posing as a system administrator and requesting the user give their credentials for trouble-shooting purposes; or by recording a logon handshake with a server and replaying the sequence in order to attempt to get authenticated. Otras formas de llegar a la información de credenciales son: oler los paquetes de red y la lectura de la información de los datos que se envían, por falsificación de DNS, la inserción de una máquina maliciosos como intermediario entre el cliente y el servidor, haciéndose pasar por un administrador del sistema y solicita al usuario dar a sus credenciales para la solución de problemas propósitos, o mediante el registro de un apretón de manos de inicio de sesión con un servidor y reproducir la secuencia con el fin de intentar conseguir autenticado.
Much of the risk of spoofing can be mitigated by taking such measures as enforcing strong passwords, and by using secure authentication mechanisms. Gran parte de los riesgos de suplantación pueden ser mitigados mediante la adopción de medidas tales como la aplicación de contraseñas seguras, y mediante el uso de mecanismos de autenticación segura.
Taking Advantage of Bugs Aprovechamiento de errores
One of the key factors determining the vulnerability of a system to attack is the quality of the code running on that system. Uno de los factores clave que determinan la vulnerabilidad de un sistema de ataque es la calidad del código que se ejecuta en ese sistema. Bugs on the system can do more than simply cause a particular thread to throw an exception. Bugs en el sistema puede hacer más que simplemente hacer un hilo especial para lanzar una excepción. Hackers can potentially use these vulnerabilities to execute their own code on the system, to access resources with elevated privileges, or to simply take advantage of resource leaks (based on the bug) that can potentially cause your system to slow down or become unavailable. Los hackers pueden potencialmente utilizar estas vulnerabilidades para ejecutar su propio código en el sistema, para acceder a recursos con privilegios elevados, o simplemente para aprovechar las pérdidas de recursos (basado en el error) que pueden provocar que el sistema más lento o no esté disponible. One of the most famous of this sort of attack is the Code Red Worm virus, which took advantage of a bug in the Index Server ISAPI extension to execute code of its choosing on an infected system, and then went looking for other vulnerable machines. Uno de los más famosos de este tipo de ataque es el virus gusano Code Red, que se aprovechó de un error en la extensión ISAPI de Index Server para ejecutar código de su elección en un sistema infectado, y luego fue a buscar a otras máquinas vulnerables.
Another common attack is to take advantage of bugs where assumptions are made on the validity of input data. Otro ataque común es aprovecharse de los errores cuando se hacen suposiciones sobre la validez de los datos de entrada. For instance, consider an XML Web Service that expects a user name to be entered as a parameter. Por ejemplo, considere un servicio Web XML que espera un nombre de usuario para introducir como parámetro. If you assume that the user name just contains an ASCII string, and so place it directly into your SQL query, you may expose your service to serious vulnerability. Si suponemos que el nombre de usuario sólo contiene una cadena ASCII, por lo ponga directamente en la consulta SQL, puede exponer a su servicio a la vulnerabilidad grave. For instance, say you have a SQL query in your code that is built like this: Por ejemplo, supongamos que tiene una consulta SQL en el código que se construye de esta manera:
Copy Code Copiar código
sqlQuery = “SELECT * FROM Users WHERE (Username='” & UsernameInput & “') sqlQuery = "SELECT * FROM usuarios WHERE (username = '" & UsernameInput & "')
If the UsernameInput parameter happens to contain something like Si el parámetro UsernameInput pasa a contener algo así como
Copy Code Copiar código
Bob') or not (Username='0 Bob ') o no (username = '0
then your service may return all records, and not just the one for a specific user. entonces su servicio puede devolver todos los registros, y no sólo el uno para un usuario específico.
Denial of Service Denegación de servicio
Denial of service attacks are not aimed at breaking into a site, or at changing its data; rather, they are designed to bring a site to its knees, so that it cannot service legitimate requests. Ataques de denegación de servicio no están destinados a irrumpir en un sitio, o al cambiar sus datos, sino que tienen por objeto dar un sitio a sus rodillas, por lo que no puede atender las peticiones legítimas. The Code Red Worm virus not only infected machines and then looked for more machines to infect, it also caused the infected machines to send a large number of packets to the official White House Web site. El virus de gusano Code Red, no sólo las máquinas infectadas y luego buscó más máquinas para infectar, también provocó que las máquinas infectadas para enviar una gran cantidad de paquetes en el sitio oficial de la Casa Blanca Web. Because thousands of machines were infected, the number of requests sent to the White House Web site was extremely high. Debido a que estaban infectados por miles de máquinas, el número de solicitudes enviadas al sitio de la Casa Blanca era muy alta. By sending requests from a large number of machines, the Code Red Worm virus became what is considered a "distributed denial of service attack," which is extremely difficult to limit, since there are so many machines involved. Mediante el envío de solicitudes de un gran número de máquinas, el virus gusano Código Rojo se convirtió en lo que se considera un "ataque de denegación de servicio", que es extremadamente difícil limitar, ya que hay tantas máquinas implicadas.
Denial of service requests may come in many forms, because there are so many levels at which bogus requests can be sent to attack your system. Denegación de solicitudes de servicio puede venir en muchas formas, porque hay muchos niveles en la que se pide falsos pueden ser enviados para atacar a su sistema. For instance your site may allow users to PING your IP address, which causes an ICMP message to be sent to your server and then returned. Por ejemplo, su sitio puede permitir a los usuarios hacer ping a su dirección IP, lo que hace que un mensaje ICMP para ser enviados a su servidor y luego regresó. This is an effective means of troubleshooting connectivity problems. Este es un medio eficaz de solución de problemas de problemas de conectividad. Nevertheless, if hundreds of machines send thousands of packets each to your server at the same time, you will probably find that your machine is so busy handling the PING requests that it can't get the CPU time to handle other, normal requests. Sin embargo, si las máquinas de enviar cientos de miles de paquetes cada uno a su servidor, al mismo tiempo, usted probablemente encontrará que su equipo está tan ocupado atendiendo las peticiones PING que no puede obtener el tiempo de CPU para manejar otras, las solicitudes normales.
A slightly higher level is a SYN attack, where a low-level network program is written to send what appears to be the first packet (a SYN packet) in a TCP connection handshake. Un nivel ligeramente superior es un ataque SYN, donde un programa de bajo nivel de la red está escrito para enviar lo que parece ser el primer paquete (un paquete SYN) en un apretón de manos conexión TCP. This tends to be more damaging then a PING request, because unlike PING requests, which can be ignored if you want, as long as you have an application listening on a TCP port (like your Web server) you are vulnerable to expending resources whenever you get what appears to be valid connection requests. Esto tiende a ser más perjudicial a continuación una solicitud PING, porque a diferencia de las peticiones de Ping, lo que puede pasar por alto si lo desea, siempre y cuando tiene una aplicación que escucha en un puerto TCP (como su servidor Web), son vulnerables a gastar recursos cada vez que conseguir lo que parece ser las solicitudes de conexión válida.
On the high end of the spectrum, denial of service attacks can take the form of sending to your XML Web Service multiple, basically valid SOAP requests that cause database lookups to occur. En la parte alta del espectro, los ataques de denegación de servicio pueden tomar la forma de enviar a sus múltiples servicios Web XML, SOAP, básicamente válidas las solicitudes que las búsquedas de bases de datos causa que se produzca. Database lookups may take a long period of time. Búsquedas de bases de datos puede tomar un largo período de tiempo. thus, if thousands of such requests are sent to your server every second, it can cause both the Web server that receives the request, and the database server on the backend, to become excessively busy. Así, si miles de esas solicitudes se envían al servidor cada segundo, puede causar tanto en el servidor Web que recibe la solicitud, y el servidor de base de datos en el backend, para llegar a ser excesivamente ocupado. Again, this may cause your service to be unable to handle other requests in a timely manner. De nuevo, esto puede causar que su servicio sea incapaz de manejar otras solicitudes de manera oportuna.
If you have code with bugs on your machine, then denial of service attacks may be even easier. Si tiene un código con errores en su máquina, a continuación, ataques de denegación de servicio puede ser incluso más fácil. For example, if your production Web Service made the mistake of displaying a message box in the case of a particular type of error, a hacker could use this flaw to send a relatively small number of requests to your machine that cause the message box to be displayed. Por ejemplo, si su producción de servicios Web cometió el error de mostrar un cuadro de mensaje en el caso de un tipo particular de error, un hacker podría utilizar esta vulnerabilidad para enviar un número relativamente pequeño de las solicitudes de su equipo que hacen que el cuadro de mensaje que se muestra. This can lock up all of the threads handling requests, thereby effectively making your service inaccessible to others. Esto puede bloquear todos los hilos de tramitación de las solicitudes, con lo que efectivamente hacer su servicio inaccesible para los demás.
Deployment Issues Los problemas de implementación
Now that we have seen the different sorts of attacks, what can be done about these nasty assaults? Ahora que hemos visto los diferentes tipos de ataques, lo que puede hacerse acerca de estos ataques desagradables? The good news is, there is a lot you can do to protect yourself, and most protections are very straightforward. La buena noticia es que hay mucho que puede hacer para protegerse, y la mayoría de las protecciones son muy sencillas. Let's begin by looking at the sorts of protections you can enable simply by controlling how your Web servers and your back-end servers are configured. Comencemos por ver el tipo de protección puede activar simplemente controlando cómo los servidores web y servidores back-end se configuran.
There are a number of important safeguards you should take to insure that your Web servers are invulnerable to attack, including such obvious measures as making sure you have the latest security update. Hay una serie de garantías importantes que usted debe tomar para asegurar que sus servidores web son invulnerables a los ataques, incluidas las medidas obvias como asegurarse de que usted tiene la última actualización de seguridad. What follows is a list of the most important steps you can take to protect yourself. Lo que sigue es una lista de los pasos más importantes que puede tomar para protegerse. Many of these items are not specific to hosting Web services, but apply to any Web servers hosting content. Muchos de estos artículos no son específicos de servicios de alojamiento web, sino que se aplican a los servidores de alojamiento web de contenido.
Install the Security Update Instale la actualización de seguridad
First, make sure that you have the latest update, so that you are not vulnerable to the Code Red Worm virus. En primer lugar, asegúrese de que tiene la última actualización, de modo que no son vulnerables al virus Code Red Worm. The instructions for installing the update, including links for downloading the patch, can be found at Installing the patch that stops the Code Red worm . Las instrucciones para instalar la actualización, incluidos los enlaces para descargar el parche, se puede encontrar en la Instalación de la revisión que se detiene el gusano Código Rojo.
The fix for the Code Red Worm virus and other fixes will eventually be in the next service pack for Microsoft® Windows® 2000 and are already addressed in Microsoft® Windows® XP. La solución para el virus de gusano Code Red y otras correcciones finalmente estará en el próximo Service Pack para Microsoft ® Windows ® 2000 y ya se abordan en Microsoft ® Windows ® XP.
Of course the bigger issue is how do you stay on top of other potential vulnerabilities, and protect yourself from future problems that might arise. Por supuesto, el mayor problema es ¿cómo permanecer en la cima de otras posibles vulnerabilidades, y protegerse de futuros problemas que puedan surgir. For information on Microsoft product security issues, you can subscribe to the Microsoft Security Notification List. Para obtener información sobre cuestiones de seguridad de productos de Microsoft, puede suscribirse a la lista de notificación de seguridad de Microsoft. Subscribers are notified by e-mail of any new problems that come up. Los suscriptores son notificados por e-mail de nuevos problemas que surgen. For directions on how to sign-up, check out the Product Security Notification page. Para obtener instrucciones sobre cómo inscribirse, visite la página de Productos de Seguridad de notificación.
Limit Who Can Access Your Web Servers Limitar quién puede acceder a sus servidores web
If you are concerned about attacks, particularly if you have information on your XML Web Service that is private, then you should restrict access to your site to legitimate users only. Si usted está preocupado acerca de los ataques, especialmente si usted tiene información sobre su servicio Web XML que es privado, entonces usted debe restringir el acceso a su sitio web para los usuarios legítimos. This can be achieved in a number of ways, but here are a few that can keep attackers from accessing your XML Web Service. Esto puede lograrse de varias maneras, pero aquí hay algunas que pueden mantener a los atacantes tengan acceso a su servicio Web XML.
Authenticate users by using HTTP authentication; then limit the resources they have access to. Autenticar a los usuarios mediante la autenticación HTTP, luego limitar los recursos que tienen acceso. Authentication is configured by: right-click on the Web site, virtual directory, or individual file in the Internet Services Manager; select the Properties option from the pop-up menu; go to the Directory Security tab and click the Edit button under Anonymous Access and Authentication Control. La autenticación se configura: haga clic derecho en el sitio Web, directorio virtual o archivo individual en el Administrador de servicios Internet, seleccione la opción Propiedades en el menú emergente, ir a la pestaña Seguridad de directorios y haga clic en el botón Modificar bajo acceso anónimo y control de autenticación.
Restrict the IP addresses that can access your Web server. Restringir las direcciones IP que puede acceder a su servidor Web. If you have a small list of legitimate users who can use your site, you may want to only allow their particular IP addresses to have access. Si usted tiene una pequeña lista de los usuarios legítimos que pueden usar su sitio web, usted puede querer sólo permiten que sus direcciones IP concretas que tengan acceso. You can also limit access to certain ranges of IP addresses, or deny access to an IP address or a range of IP addresses. También puede limitar el acceso a ciertos rangos de direcciones IP, o negar el acceso a una dirección IP o un rango de direcciones IP. You can even limit access based on domain names, but that requires potentially lengthy domain name lookups on the IP addresses that connect to your machine. Usted puede incluso limitar el acceso basado en nombres de dominio, pero que requiere de consultas de nombre de dominio potencialmente largo de las direcciones IP que se conectan a su máquina. IP address restrictions are modified by: go to the Directory Security tab mentioned in step 1, and clicking on the Edit button under IP address and domain name restrictions. Restricciones de direcciones IP son modificados por: Ir a la ficha Seguridad de directorios mencionados en el paso 1, y haciendo clic en el botón Modificar bajo la dirección IP y las restricciones de nombre de dominio. Figure 1 shows the IP address and domain name restrictions dialog with access limited to three specific IP addresses. La figura 1 muestra la dirección IP y las restricciones de nombres de dominio de diálogo con acceso limitado a tres direcciones IP específicas.
Figure 1. Figura 1. Setting IP address restrictions for your Web site Establecer restricciones de direcciones IP de su sitio Web
Require Secure Sockets Layer (SSL) connections with client certificates. Requerir Secure Sockets Layer (SSL) con certificados de cliente. This is probably the most secure way to authenticate users who access your site. Esta es probablemente la forma más segura de autenticar a los usuarios que acceden a su sitio. SSL restrictions are also made from the Directory Security tab under Secure Communications. Restricciones SSL también se hacen en la ficha Seguridad de directorios en Comunicaciones seguras.
Configure Your Router to Only Allow the Access You Require Configurar el router para que sólo permita el acceso que requiere
Your router is your firewall; it can block the vast majority of illegitimate requests that can be sent to your machine. El router es el firewall, puede bloquear la gran mayoría de las solicitudes ilegítima de que puede ser enviado a su máquina. Most popular routers can restrict access to specific TCP ports, so you may want to only allow incoming requests on port 80, the default HTTP port. La mayoría de routers populares puede restringir el acceso a determinados puertos TCP, por lo que puede permitir únicamente las solicitudes entrantes en el puerto 80, el puerto HTTP predeterminado. This restricts anyone on the outside of your firewall from trying to connect to any other services on your machine. Esto limita cualquier usuario de fuera de su firewall de tratar de conectarse a cualquier otro servicio en su máquina. Be careful about opening up ports for other services. Tenga cuidado al abrir los puertos para otros servicios. It may be convenient to open up a port to allow you to connect to your Web servers with Terminal Services Client so you can do remote administration, but then anyone can try to connect to your machine with a terminal server connection. Puede ser conveniente para abrir un puerto que le permite conectarse a los servidores Web con Servicios de Terminal Server para que pueda hacer la administración remota, pero nadie puede tratar de conectarse a su máquina con una conexión de Terminal Server. Even if a hacker does not know a valid user name and password, the hacker can still use up a lot of resources on your machine by establishing multiple sessions simultaneously that only display the logon screen. Incluso si un hacker no sabe un nombre de usuario y contraseña, el hacker puede todavía utilizar una gran cantidad de recursos en el equipo mediante el establecimiento de varias sesiones al mismo tiempo que sólo muestra la pantalla de inicio de sesión.
Routers are also key tools in filtering out illegitimate packets that can use up resources on your machine. Los routers son también herramientas clave para filtrar los paquetes ilegítimo que puede agotar los recursos de su máquina. Obviously malformed packets should simply be thrown away—most routers will do this automatically—but many routers today also have the ability to detect things like TCP SYN packets that say they are sent from an IP address other than the one they came from. Obviamente, los paquetes malformados, simplemente se debe tirar-la mayoría de los routers lo hará automáticamente, pero muchos routers de hoy también tiene la capacidad para detectar cosas como los paquetes TCP SYN que dicen que son enviados desde una dirección IP distinta de la que proceden. By enabling this kind of protection, you can avoid those SYN attacks mentioned earlier in relation to denial of service attacks. Al permitir este tipo de protección, puede evitar los ataques SYN mencionado anteriormente en relación con los ataques de denegación de servicio.
Also keep in mind that firewall restrictions only impact traffic at the firewall. También tenga en cuenta que las restricciones de firewall sólo el tráfico de impacto en el firewall. This may seem to state the obvious, but consider the situation where you purchase a T1 line from an Internet Service Provider (ISP), and you place a securely configured router on your end of the T1 line. Esto puede parecer a lo obvio, pero consideran que la situación en la que usted compra una línea T1 de un proveedor de servicios Internet (ISP), y se coloca un enrutador configurado de forma segura en el final de la línea T1. If your ISP fails to enable the detection of invalid SYN requests on their routers, then their routers are vulnerable to SYN attacks, and can potentially deny service to the other side of your T1 line, effectively cutting off access to your site. Si su ISP no permiten la detección de peticiones SYN válida en sus routers, entonces sus routers son vulnerables a ataques SYN, y pueden denegar el servicio al otro lado de la línea T1, aislando efectivamente el acceso a su sitio.
In complex environments where there may be numerous routers on either side of a specific connection, each router is a potentially vulnerable target for attack that can affect your ability to provide legitimate users with access to your site. En entornos complejos donde puede haber numerosos enrutadores en cada lado de una conexión específica, cada router es un objetivo potencialmente vulnerable para un ataque que puede afectar su capacidad para proporcionar a los usuarios legítimos el acceso a su sitio. To get a list of routers that your packets will go through to reach your server, use the TRACERT.EXE utility. Para obtener una lista de routers que los paquetes que pasan por llegar a su servidor, utilice la utilidad TRACERT.EXE.
Configure TCP/IP Filtering to Limit Ports that Connections Are Accepted On Configurar el filtrado TCP / IP para limitar los puertos que las conexiones se aceptan en el
If you don't have a router for your firewall, or if you are unable to administer your router for any reason, you can effectively make your own machine your firewall by limiting the sorts of incoming connections it will receive. Si no tienes un router para su firewall, o si usted es incapaz de administrar el router por cualquier razón, usted puede hacer efectiva su propia máquina cortafuegos, al limitar el tipo de conexiones entrantes que recibirá. In Windows 2000, click the Start button, select Settings , select Network and Dial-Up Connections , right-click the network card that is connected to the Internet, and select Properties . En Windows 2000, haga clic en el botón Inicio, seleccione Configuración, seleccione Red y Conexiones de acceso telefónico, haga clic en la tarjeta de red que está conectada a la Internet, y seleccione Propiedades. Select Internet Protocol (TCP/IP) and click the Properties button; click the Advanced button and go to the Options tab. Seleccione Protocolo Internet (TCP / IP) y haga clic en el botón Propiedades, haga clic en el botón Opciones avanzadas y vaya hasta la ficha Opciones. Select TCP/IP filtering and click the Properties button. Seleccione filtrado TCP / IP y haga clic en el botón Propiedades. You will see a dialog box like that shown in Figure 2. Usted verá un cuadro de diálogo como el que se muestra en la Figura 2. Here you can restrict the ports that you will receive connections on. Aquí puede restringir los puertos que va a recibir conexiones en. In the example shown in Figure 2, access is restricted such that only ports 80 and 443 for HTTP and HTTPS connections are allowed. En el ejemplo mostrado en la Figura 2, se restringe el acceso de tal manera que se permiten solamente los puertos 80 y 443 para las conexiones HTTP y HTTPS.
Figure 2. Figura 2. Configuring TCP/IP filtering Configuración de filtrado TCP / IP
Remove Unneeded Services and Software Eliminar servicios innecesarios y Software
The more software running on your machine, the more likely you will be vulnerable to attack, particularly if you have services running as some sort of high privileged user. Cuanto más software que se ejecuta en su máquina, más probable será vulnerable a los ataques, especialmente si usted tiene servicios que se ejecutan como una especie de usuario con privilegios elevados. If your machine is dedicated to running your Web Service and your Web Service alone, then start disabling some of the other services on your machine. Si su máquina se dedica a administrar su servicio web y su servicio Web solo, a continuación, empezar a desactivar algunos de los otros servicios en su máquina. This includes the FTP service, the SMTP service, as well as Windows services such as Terminal Services Client. Esto incluye el servicio FTP, el servicio SMTP, así como los servicios de Windows como los Servicios de Terminal Server.
The amount of software running or accessible through Internet Information Server should also be limited. La cantidad de software que se ejecuta o accesibles a través de Internet Information Server también debe ser limitado. Make sure that the only virtual sites and directories you have configured are ones you need. Asegúrese de que los únicos sitios y directorios virtuales que ha configurado son los que necesita. The Administration Web Site is probably the first thing that needs to be removed. La Administración del Sitio Web es probablemente la primera cosa que necesita ser eliminado. The IISSamples virtual directory should be removed as well. El IISSamples directorio virtual debe ser eliminado también. Again, if you have a machine dedicated to running your Web Service, you should remove any other virtual directories. De nuevo, si usted tiene una máquina dedicada a la ejecución de su servicio Web, debe eliminar cualquier resto de directorios virtuales.
Even on the virtual directories you do have installed, you have to be careful about what sort of software is available for requests to access. Incluso en los directorios virtuales que tiene instalado, hay que tener cuidado sobre qué tipo de software está disponible para las solicitudes de acceso. In Internet Services Manager, if you right-click a site or virtual directory, select Properties from the menu, choose the Virtual Directory tab, and click the Configuration button, you will see the App Mappings tab, which lists all extensions associated with different ISAPI extensions or CGI applications. En el Administrador de servicios Internet, si hace clic en un sitio o directorio virtual, seleccione Propiedades desde el menú, seleccione la ficha Directorio virtual y haga clic en el botón Configuración, verá la ficha Asignaciones para la aplicación, que enumera todas las extensiones ISAPI asociada con diferentes extensiones o aplicaciones CGI. If you are not using these extensions, remove them from the list. Si usted no está utilizando estas extensiones, quitarlos de la lista. The index server extension for .IDQ files had a bug in it that was responsible for the Code Red Worm virus. La extensión de servidor de índice para los archivos. IDQ había un error en el que se responsabiliza de los virus gusano Código Rojo. If you make this change at the virtual site level, you won't have to worry about making it for each virtual directory that is created. Si realiza este cambio en el nivel de sitio virtual, usted no tendrá que preocuparse por lo que es para cada directorio virtual que se crea.
Use the Microsoft Internet Information Server Security Checklist Use la lista de Microsoft Internet Information Server Security
Microsoft created a security checklist for Internet Information Server 4.0 that mentions all that I have mentioned here, as well as much more. Microsoft ha creado una lista de comprobación de seguridad para Internet Information Server 4.0 que menciona todo lo que he mencionado aquí, así como mucho más. Use this checklist to make sure you have at least considered all your options for security. Use esta lista para asegurarse de que tiene al menos considerar todas las opciones de seguridad. Though you are probably not running Internet Information Server 4.0 (5.0 is the version that comes with Windows 2000), most of the steps still apply, and will continue to apply to future versions of Internet Information Server. Aunque usted probablemente no se ejecuta Internet Information Server 4.0 (5.0 es la versión que viene con Windows 2000), la mayoría de los pasos que se siguen aplicando, y se seguirá aplicando a las futuras versiones de Internet Information Server. The checklist can be found at Microsoft Internet Information Server 4.0 Security Checklist . La lista de verificación se pueden encontrar en Microsoft Internet Information Server 4.0 Security Checklist.
Conclusion Conclusión
There are numerous measures—specifically with regard to how your machines and your network are configured—that you should take to protect your Web servers against attack. Hay numerosas medidas, específicamente con respecto a cómo sus máquinas y su red están configurados, que usted debe tomar para proteger sus servidores Web contra ataques. In our next column, we will continue looking at ways to protect your XML Web Services from attack by looking at issues developers and architects need to be aware of when creating their XML Web Services. En nuestra próxima columna, seguiremos buscando formas de proteger sus servicios Web XML de los ataques de mirar los problemas a los desarrolladores y arquitectos tienen que ser conscientes de que la creación de sus servicios Web XML.
At Your Service A su servicio
Matt Powell is a member of the MSDN Architectural Samples team, where he helped develop the groundbreaking SOAP Toolkit 1.0. Matt Powell es un miembro del equipo de las muestras de arquitectura de MSDN, donde ayudó a desarrollar el kit de herramientas innovadoras SOAP 1.0. Matt's other achievements include co-authoring Running Microsoft Internet Information Server from Microsoft Press, writing numerous magazine articles, and having a beautiful family to come home to every day. Matt otros logros incluyen la co-autoría con Microsoft Internet Information Server de Microsoft Press, escrito numerosos artículos en periódicos, y tener una hermosa familia para venir a casa cada día.
Suscribirse a:
Enviar comentarios (Atom)
No hay comentarios:
Publicar un comentario