¿Necesita proteger (y agregar SSL?) el puerto RPC 443 en el servidor Win2003

3

Así que recibí un correo electrónico de mi administrador del sistema que quiere que asegure un servidor que poseo que parece tener una vulnerabilidad en el puerto 443 (que es RPC de Windows a través de HTTPS). Lo deshabilito, lo sé, causa algunos problemas con la interfaz de usuario de Windows, así que no quiero meterme con eso. Dicen que no tiene SSL habilitado, por lo que es inseguro.

Me sugirieron que establezca un certificado SSL para el servicio. No sé por dónde empezar a hacer esto y no pude encontrar ningún artículo sobre este tema.

¿Alguna idea sobre lo que puedo hacer aquí?

EDITAR: Lo siento, es un servidor Win2003 R2. Y creo que 443, es el servicio IIS HTTPS, no sé cómo solucionarlo, por lo que el SSL funciona, al parecer, los usuarios anteriores instalaron un certificado y expiraron, ahora no sé qué hacer.

EDIT2: Los administradores anteriores instalaron un certificado que expiró puntualmente hace 7 días, meses atrás. No creo que mi sitio necesite un certificado, ya que es una dirección IP para un sitio de prueba, y nunca he oído que alguien gaste dinero para proteger una dirección IP con SSL a menos que esté involucrado dinero / información personal. Mi pregunta es, ¿es necesario? Y mi otra pregunta es, ¿por qué los administradores del sistema marcarían esto como una "vulnerabilidad del servidor que debe solucionarse", cuando es simplemente una vulnerabilidad de acceso al sitio web que no tiene relación con el acceso al servidor de la máquina?     

pregunta Dexter 21.07.2011 - 20:22
fuente

3 respuestas

4

Sí, para configurar su servidor con SSL, necesitará un certificado digital. Si el departamento de TI solo dice "configurar SSL" y no le da instrucciones para la generación de certificados, es probable que en este momento solo necesite un certificado autofirmado.

Debería haber un montón de artículos sobre esto: la necesidad de configurar un certificado y SSL en el servidor es una tarea bastante común. No soy lo suficiente de un geek de Windows 2003 para decirte lo que está bien de lo que está mal, pero este al menos parecía razonable:

enlace

Estoy de acuerdo en que el tema de MS es doloroso al analizar esto.

En general, las cosas que deberás hacer son: - crear un par de claves - generar un certificado autofirmado

(por lo general, estos dos pueden hacerse con una herramienta proporcionada por el servidor o que se descarga de forma gratuita, como Open SSL)

  • configure el puerto con SSL / TLS, apúntelo al certificado y par de claves recién creados, y configure lo que aceptará del cliente en términos de credenciales. Si TI no te está molestando y esto está dentro de tu red y, por lo tanto, está algo protegido, puedes dejar esta configuración en un modo de "aceptar todo".

Microsoft es extremadamente ... especial (también conocido como molesto) sobre todas las cosas de PKI. Nunca implementan los estándares como lo hacen otras compañías. Como resultado, si puede continuar con las herramientas centradas en Microsoft, le hará la vida mucho más fácil.

También vale la pena comprobarlo: pregunte a su departamento de TI si tiene una CA de Microsoft local por todas partes. Puede ser más fácil que su servidor se registre con el dominio local y obtenga un certificado firmado legítimamente. Creo que los servidores IIS tienen configuraciones que les permiten hacer esto automáticamente.

    
respondido por el bethlakshmi 21.07.2011 - 20:47
fuente
1

Vaya a la dirección web que apunta a ese servidor. Debería estar en https ya que es 443. Su navegador web debería decir: no está seguro en un gran mensaje de advertencia cuando visita la dirección. Debe haber una opción "Ver certificado". Ver qué compañía emitió el certificado. Mira esa compañía. Llámelos y diga que quiere renovarlo y ellos lo guiarán a través de lo que deben hacer. Buena suerte.

:: Edit ::

No utilice un certificado autofirmado si este es un sitio orientado hacia el exterior. Todos los que lo visiten recibirán un mensaje aterrador si lo haces.

    
respondido por el k to the z 21.07.2011 - 20:48
fuente
1

Para responder a su segunda pregunta: el servicio no se vuelve mucho más seguro al agregar un certificado. Pero depende de cómo se use.

  • Con un certificado desactualizado, un navegador siempre dará advertencias al usuario, capacitándolo para que haga clic en "ignorar" en un cuadro de diálogo que generalmente nunca deberían ignorar.

  • Un certificado autofirmado válido que puede confirmar una vez y luego usar como de costumbre. Así que el peligro de MITM solo existe en la primera conexión. Por el contrario, un certificado no válido generalmente siempre producirá un error y el usuario no lo verificará más, lo que facilita el montaje de los ataques MITM.

  • Si otras máquinas se conectan a su servicio pero no a los usuarios, puede incluir en la lista blanca la huella digital del certificado en su configuración y (probablemente) tendrá el mismo nivel de seguridad que con un certificado firmado / creado correctamente. Probablemente incluso más alto porque hay muchas CA que podrían fallar pero solo un certificado con esa misma huella digital. Pero no sabe cómo está programada la validación, tal vez las verificaciones no se realicen correctamente una vez que se note la fecha incorrecta.

Por lo tanto, realmente debería usar un certificado autofirmado válido. Es muy fácil encontrar tutoriales para eso y puedes darle un período de validez de uno o dos años.

    
respondido por el pepe 22.07.2011 - 21:32
fuente

Lea otras preguntas en las etiquetas