Bienvenidos a la 4ta parte de el proyecto de seguridad con una infraestructura de windows server 2012 así mismo adjudicaremo servicios en un linux realizando las mejores practicas de seguridad de los servicios mas populares en las compañias. Miremos atrás que tenemos?
en la 1ra, 2da y 3ra parte del proyecto realizamos lo siguiente;
- objetivo del proyecto
- definición de arquitectura y descripción gráfica de la misma
- términos y definición de conseptos claves
- leyes de la seguridad informática, ataques informáticos y tipos de hackers
- Servidor Windows Server 2012 64 bits con active directory
- configuraciones de grupo, roles y usuarios en el active directory
- se firmo un cliente con windows 7 el cual fue integrado al dominio.
en esta 4ta parte encontraremos como realizar la implementación y conflagración de los servicios de IIS y FTP en windows server 2012 enterprise de 64 bits asi mismo aplicaremos las mejores practicas de seguridad en el Servidor (SRV) al colocar un certificado de autenticación y confianza creado localmente para nuestro dominio.
Conflagración de rol IIS, FTP con CA de seguridad local.
requerimientos de ambiente;
Equipo con OS Windows 2012 Enterprise Edition 64 bit
40GB de HDD
2GB de RAM
Proceso
En el panel de administración de servidor sobre
Configuración de este servidor local seleccionamos agregar roles y
características.
Seleccionamos los roles los cuales requerimos para realizar
las configuraciones de Certificados por la web y gestión de web server sobre
IIS
Seleccionamos
Entidad de certificación e Inscripción de web de entidad de certificación esto
para que podamos realizar un certificado para nuestro sitio web el cual estará
gestionado por el servicio de IIS por puerto 80 el cual en autenticación no es
seguro pero tendremos la buena practica de realizar la dirección de ello sobre
un puerto seguro mediante https y para mayor seguridad de ello realizaremos un
certificado para contar con una entidad certificadora.
Damos la posibilidad al sistema de reiniciar si este lo
requiere tras la promoción e instalación de los roles previo
Con esto se termina la instalación de los roles de IIS, FTP
entidad certificadora. Ahora pasaremos a
realizar la configuración de cada uno de ellos.
Configuración de IIS de entidad certificadora local.
Ahora que ya tenemos los roles instalados hay que realizar
la configuración de cada uno de ellos, recordemos de las configuraciones por
default en los sistemas no son seguros por lo que realizaremos las siguientes
actividades en los roles que ya instalamos.
-
Configuración de IIS para un sitio unid.si.mx el
cual se gestionara mediante un certificado por HTTPS
-
Creación y autorización mediante una PKI local
-
Servicio de FTP Explicito mediante puerto 990
-
Servicio de FTP mediante certificado seguro
Se selecciona el usuario con las cuales se firmaran las
credenciales para la instalación del rol, para este se usaron las credenciales
de administrador.
En la imagen 47 se especifica el tipo de CA o entidad
certificadora que vamos a configurar, hay entidades CA que están firmadas a un
DC y un AD para realizar mas sensilla la tarea administrada de certificados y
accesos, en un ambiente empresarial esto es muy útil pero para este ejemplo
realizaremos la proactica de forma CA independiente ya que por cuestiones de
licenciamiento no realizaremos la CA firmada a un DC y un AD.
Como no tenemos clave privada vamos a crear una nueva
RSA de 2048 SHA1 es un buen nivel de seguridad para la clave
Administrador de Internet Information Services (IIS)
Ahora ya tenemos nuestro rol de IIS con entidad certificadora configurado en nuestro sistema, pero tenemos que asignarle a esa entidad certificadora o CA que servicios van a usar ese certificado y sobre que puerto y protocolos, continuando con nuestra CFG vamos ahora al FTP explicito e implicito
Vamos a continuar realizando la CA del certificado ftp
Vamos a crear una solicitud de certificado
Llenamos el formulario con la información que se solicita y
continuamos con el asistente
El asistente te pide en la imagen 65 dar la ubicación de la
solicitud de certificado la cual para esta practica el directorio raíz es
C:/certificados unid-iis-01
Ahora vamos a la web /localhost/certsrv/ para poder realizar
la petición de certificado, mientras vamos al certificado el cual descargamos a
c:/certificado unid-iis-01, Para copiar el contenido y realizar la petición de
certificado en el siguiente paso.
Vamos a nuestro navegador y solicitamos un certificado
Seleccionamos solicitar certificado
Seleccionamos la opción Solicitud avanzada de certificado
Enviar una solicitud de certificado con un archivo
codificado en base 64
Copiamos y pegamos en IE
Ya que tengamos el certificado emitido, regresamos al sitio
web de certsr
Seleccionamos la opción ver el estado de una solicitud de
certificado pendientey continuamos con el asistente.
Nuestro certificado ya casi esta listo
Ahora
descargamos el certificamos y le cambiamos el nombre por el cual usaremos para
este ejemplo el hostname del servidor, Nota importante no colocar diversos
nombre o varios certificados, ya que de no tener bien ubicados que certificado
autentica que servicios podría ser nuestra peor pesadilla que ya se tendría que
realizar toda la creación del certificado de nuevo por servicios.
Ahora ya tendremos nuestro certificado listo para ser
declarado a un servicio y/o puerto.
seleccionar nuestro certificado para que se use por el
servicio que requerimos.
Ahora como se muestra en la imagen numero 81 podemos definir
mensajes tanto de bienvenida, de acceso y de salida de nuestro recurso FTP para
ello llenamos el siguiente formulario.
Cuidado con las Configuraciones o implementaciones con caracteristicas por default.
Las implementaciones por default siempre son problematicas y a la larga traen problemas por ello todos los administradores de sistemas o de plataformas tienen que adecuar las configuraciones o CFGs de sus aplicativos a sus politicas de seguridad, sus requerimientos o soluciones de servicios de negocios aplicados a las infraestructuras por ello hay que estudiar sus propios ambientes para realizar una mejora con estos servicios con los cuales en este capitulo exponemos.
Validación de Servicios https (protocolo seguro)
Solicitud de Certificado por HTTPS desde navegador web
Como se muestra en la imagen 83 cuando solicitamos el acceso
desde un protocolo seguro HTTPS nos muestra aceptar o instalar el certificado
seguro de navegación
Realizando la petición por https desde un sistema mac os
también nos solicita aceptar o instalar el certificado seguro de la entidad
certificadora para poder mostrarnos le sitio web que en este ejercicio es un
clon de la pagina de unid.
FTP Seguro, Validación de Servicios en Ubuntu Linux 13.10
x64
Validación de servicio de ftp desde un equipos Mac Os Maverik
Como se muestra en la imagen 88 se valida el servicio activo
de FTP desde equipo OS X el cual no tiene problemas para la ejecución de ftp.
Con ello tenemos instalado la CA en nuestro windows server 2012 así mismo ya tenemos nuestro IIS y FTP funcionando, nuestro certificado esta listo y funcionando, las validaciones requeridas desde distintos sistemas operativos, asi mismo nuestro DNS resuelve nuestro nombre de dominio local. felicidades ya ha aprendido a realizar la implementacion de estos servicios tan comerciales, ahora en nuestra siugiente 5ta parte implementaremos servicios de RDP para nuestros entornos windows!
No hay comentarios.:
Publicar un comentario