Que hacer si nuestra conexión SSL no es segura. Herramienta IIS Crypto.


Hace poco vimos un post sobre cómo testear la seguridad de nuestras conexiones SSL de nuestros publicadores con SSLScan, pues  hoy toca ver ¿qué hacemos para solucionar estos problemas?

Me quedé pensando, vale tenemos un problema pero lo que en estos momentos me importa es ¿cómo lo soluciono?

Como casi todo, tenemos dos formas de hacerlo, una manual, picando datos, y otra mas automatizada. Las vemos.

Manual

Esta forma sería la utilizada para corregir/crear una a una las entradas sel registro. En este KB de Microsoft (KB245030) viene muy bien explicado. Qué entradas del registro tenemos que añadir, SSL 2.0, SSL 3.0, TLS 1.0, etc.,

Lo vemos con un ejemplo. Vamos a deshabilitar SSL 2.0:

  • Iremos a la siguiente entrada del registro HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\schannel\Protocols\SSL 2.0\Server
  • Si no existe, la crearemos. Botón derecho del ratón, New (Nueva) y haremos click en Key (Clave) a la que, obviamente llamaremos Server.
  • Entramos dentro de esta clave y crearemos una nueva Key (Clave), del tipo DWORD (32-bit) Value. cuyo nombre será Enabled y el valor hexadecimal 0x00000000 (0).
  • Reiniciaremos nuestro equipo y ya estaría deshabilitado SSL 2.0, aunque siempre viene bien volver a comprobarlo.

Automática

Lo que todos queremos, una herramienta que nos solucione nuestro problema y no nos cree otros adicionales, en este caso vamos a utilizar IIS Crypto, pero hay muchas mas:

¿Que nos aporta IIS Crypto?

  • Con un simple click protege nuestro site usando las mejores prácticas.
  • Deshabilitar SSL 2.0 facilmente.
  • Habilitar TLS 1.1 y 1.2
  • Deshabilitar otros protocolos y cifrados débiles.
  • Reordenar las suites de cifrado.
  • Plantillas para el cumplimiento de las regulaciones guvernamentales y de industria FIPS 140-2 y PCI.

Lo importante, la podemos descargar desde aqui.

¿Sobre qué plataformas podemos utilizarlo? Todas:

  • Windows Server 2003
  • Windows Server 2008
  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2

Os pongo otro ejemplo de funcionamiento. Tenemos un servidor IIS que una vez le hemos pasado una herramienta para verificada la conexión SSL nos da el siguiente resultado:

iisCrypto00001

Vaya, tenemos SSLv2 128  y 168 bits habilitado y según las normas de nuestra empresa solo se puede aceptar SSLv3.

Verificaremos el registro y, ciertamente no están creadas todas las entradas necesarias para deshabilitar SSLv2, TLS, etc:

iisCrypto00002

¿Qué es lo primero que tenemos que hacer? pues una copia de seguridad del registro, por si acaso pasa algo que siempre viene bien. Ya sabeis, dentro del Registro, en File, Export e indicamos una ruta accesible para guardar nuestra copia “global” o “parcial” del registro.

iisCrypto00000a

Pues nada, ejecutamos nuestra aplicación IIS Cyrpto y seleccionamos, por ejemplo, que nuestros IIS solo puedan utilizar SSLv3 y el cifrado superior a 128 Bits, ya sea MD5 o SHA:

iisCrypto00003

Pulsaremos el botón de “Apply” (aplicar) y nos aparecerán los siguientes mensajes indicandonos que los parámetros han sido cambiados:

iisCrypto00004

Asi como el mensaje de que tenemos que reiniciar nuestro servidor:

iisCrypto00005

Espero que os sea util.

Bibliografía:

SSLShopper.

Anuncios

Publicado el 21/02/2014 en IIS, Seguridad, Tools y etiquetado en . Guarda el enlace permanente. Deja un comentario.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

masrobeznoquenunca

Comparto lo que hago y lo que veo.

El camino de un ITPro

El camino de un ITPro

adumont

Just another WordPress.com weblog

Marco Antonio's space

Una mirada dentro de mis ratos libres...

Marcelo Ruiz

Network and SocialMedia

A Digital Frontier...

Blog personal de Robert Garrandés Simancas ("Versión Beta")

enero11

Literatura para romper el tiempo.

A %d blogueros les gusta esto: