es un sistema de archivos que se basan en web.
es como un dropbox.
Marcamos todas hasta la parte de aplicaciones.
management service si
no hay forma de actualizar IIS.
Tarea: configuraremos un webdav
para mañana. Miércoles
pone en el servidor web da acceso a una carpteta o espacio, el acceso es através de un protocolo ewb.
levantamos el servicio IIS, y le daremos publicascion con webdav y será por HTTP.
Application Pool
nos da los servicios que podemos aplicar.
Cuando se ejecutaba IIS, habia errores,
habia 2 cuentas con privilegios, si se lograba vulnerar IIS, se podía tener acceso a todo.
microsoft hizo lo siguiente.
Cuando se levantaba IIS, se levantaban todos los módulos.
provocando vectores de ataque.
haciendo algo muy parecido a Apache.
Application Pools -> son espacios en memoria, que son instancias de IIS.
Applications pools tendrá permisos.
solo se podrá ver lo que tiene acceso con Opciones avanzadas de Defautl application Pool.
con eso podemos limitar los accesos del usuario, como si fuera una jaula, para que se puedan ejecutar con solo los permisos del usuario.
se puede hacer la autenticación desde active directory.
Anonymous Authentication -> no requiere nada
ASP.NET -> es para aplicaciones hechas en asp.
Basic Authentication ->
Digest Authentication ->
Nota si el cliente pide el sitio web, y utilizamos kerberos, no se interactua con el usuario, ya que solamente pide el ticket de servicio.
la authenticación básica funciona basicamente igual -> pero no es recomendable a menos de que tengamos un canal cifrado.
lo primero que mandaremos será el usuario y la contraseña.
si el candl está cifrado no hay problema, pero si no no hay problema.
Los documentos que se trataran de llamar desde el inicio será
default html
default.asp
index.htm
index.html
la información solamente se verá desde el servicdor web.
está hecho asi para poder depurar los errores localmente, nota: se puede hacer para que se vea desde cualquier lado.
+16.53.23.png)
habilitaremos la opción :
Enable, para poder ver la carpeta.
reiniciamos el servicio y ya
;P
nota, no hay que habilitar las peticiones de error.
podemos agregar nuestras propias páginas de error.
con IP Address and Domain Restrictions
podemos agregar reglas, las reglas se leeran desde arriba hacia abajo.
cuando hacemos aplicaciones .NET, instala un servidor IIS pequeño para poder desarrollar las aplicaciones.
Loggin, nos indica quien se conecto, etc..
+17.02.22.png)
+17.03.53.png)
+17.04.05.png)
con formato w3c B|
nos servirá para auditar, para análisis forense etc.
+17.04.56.png)
Podemos habilitar extensiones específicas para el servidor.
+17.06.39.png)
podemos filtrar solicitudes
+17.07.43.png)
si estan pidiendo una extensión con cierto archivo, podemos crear las reglas ..
se aplica para alguna extensión, para ciertas cadenas, Ej: malware, algo como camerunes(malware), podemos crear el arreglo específico.
Puede hacerse por acciones HTTP (post, request)..
Lo mejor para hacer filtrado es mejor hacer un web application firewall.
(investigar).
SSL Settings
+17.10.33.png)
podemos decirle al IIS, que no sea por windows por linux, si no un certificado, podemos aceptar certificados, que no acepten, que lo ignore o que requiera un certificado, eln lugar de estar poniendo contraseña, jalamos el certificado.
Cuando modificamos la configuración, generamos los sitios para el servidor.
Podemos aplicarle configuraciones al servidor
podemos mandar los certificados al CA para que nos certifique, crearemos un certificado de dominio.
+17.14.46.png)
el nombre del dominio debera estar aqui
+17.15.20.png)
hará los procesos de CA, y lo instalará
le tendremos que dar la solicitud a la CA para que lo firme
+17.17.48.png)
usamos los certificados para autenticar a los usuarios
+17.25.19.png)
con webDAV.
+17.29.43.png)
Provar con un cliente que tenga acceso al webDAV, una vez hecho eso , con el sitio en IIS, aplicar SSL
para que podamos conectarnos con el cliente via http,
buscar Map network dilur en el cliente
la opcion nos dice que nos podemos conectar a webDAV.
y pondremos la direccion del sitio.
https:....
que el cliente se valide por certificado.
agregar el usuario a un grupo de AD, que tiene configurado el acceso al IIS.
si no tiene el certificado no se podrá conectar.
GPO
nota: nunca habilitar ésta opción.
abrir la política del dominio.
la politica de allow log que esta dentro de policies , windows settings, security settings, en local policies en user rule..
no agregarla ya que un cliente no pueda agregarlo.
lo mejor es no probarlo en el mismo, si no en otro.
nota: deshabilitar el firewall, para que tengamos menos variables.
la tarea, necesita un tiempo,
No hay comentarios:
Publicar un comentario