Necessità di proteggere (e aggiungere SSL?) Porta RPC 443 su server Win2003

3

Quindi ho ricevuto un'email dal mio amministratore di sistema che mi chiede di proteggere un server che possiedo che sembra avere una vulnerabilità nella porta 443 (che è Windows RPC su HTTPS). Disabilitarlo So che causa alcuni problemi con l'interfaccia utente di Windows, quindi non voglio scherzare. Stanno dicendo che non è abilitato SSL quindi non è sicuro.

Hanno suggerito di stabilire un certificato SSL per il servizio. Non so da dove iniziare a fare questo e non sono riuscito a trovare articoli su questo argomento.

Qualche idea su cosa posso fare qui?

EDIT: Mi dispiace è un server Win2003 R2. E credo 443, è il servizio IIS HTTPS, non so come risolvere il problema in modo che lo SSL funzioni, a quanto pare, gli utenti precedenti hanno installato un certificato ed è scaduto - ora non so cosa fare.

EDIT2: gli amministratori precedenti hanno installato un certificato che è scaduto rapidamente in 7 giorni, mesi fa. Non credo che il mio sito abbia bisogno di un certificato, perché si tratta di un indirizzo IP per un sito di test, e non ho mai sentito nessuno spendere soldi per proteggere un indirizzo IP con SSL a meno che non siano coinvolti soldi / informazioni personali. La mia domanda è, è necessario? E la mia altra domanda è: perché gli amministratori di sistema dovrebbero dichiararlo come una "vulnerabilità del server che deve essere corretta" - quando si tratta semplicemente di una vulnerabilità di accesso al sito Web che non ha alcuna relazione con l'accesso al server-macchina.

    
posta Dexter 21.07.2011 - 20:22
fonte

3 risposte

4

Sì, per configurare il tuo server con SSL, avrai bisogno di un certificato digitale. Se il reparto IT sta semplicemente dicendo "configura SSL" e non ti fornisce istruzioni per la generazione del certificato, è probabile che al momento sia disponibile un certificato autofirmato.

Ci dovrebbe essere un sacco di articoli su questo - la necessità di impostare un certificato e SSL sul server è un compito abbastanza comune. Non sono abbastanza un fanatico di Windows 2003 per dirti cosa va bene dal male, ma questo almeno sembrava ragionevole:

link

Sono d'accordo sul fatto che la roba della MS sia dolorosa da scavare su questo!

In generale, le cose che devi fare è: - crea una coppia di chiavi - genera un certificato autofirmato

(solitamente questi due possono essere fatti con uno strumento fornito dal server o scaricato gratuitamente - come Open SSL)

  • configurare la porta con SSL / TLS, puntarla sulla coppia di chiavi e sul certificato appena creati e configurare cosa accetterà dal client in termini di credenziali. Se l'IT non ti infastidisce e questo è all'interno della tua rete e quindi in qualche modo protetto, potresti essere in grado di lasciare queste impostazioni in una modalità di tipo "accetta tutto".

Microsoft è estremamente ... speciale (alias fastidioso) su tutte le cose PKI. Non implementano mai completamente gli standard come fanno le altre aziende. Di conseguenza, se puoi, mantieni gli strumenti incentrati su Microsoft, renderà la tua vita molto più semplice.

Vale anche la pena di fare un controllo - chiedi all'IT se hai una CA Microsoft locale in giro. Potrebbe essere più semplice avere il tuo server registrato con il dominio locale e ottenere da solo un certificato firmato legittimamente. Credo che i server IIS abbiano configurazioni che consentono loro di farlo automaticamente.

    
risposta data 21.07.2011 - 20:47
fonte
1

Vai all'indirizzo web che punta a quel server. Dovrebbe essere https dal momento che è 443. Il tuo browser web dovrebbe dire hey questo non è sicuro in un grande messaggio di avviso quando si visita l'indirizzo. Ci dovrebbe essere un'opzione "Visualizza certificato". Scopri quale azienda ha rilasciato il certificato. Guarda quella compagnia. Chiamali e dì che vuoi rinnovarlo e ti guideranno attraverso il da farsi. Buona fortuna.

:: :: Modifica

Non utilizzare un certificato autofirmato se questo è un sito rivolto verso l'esterno. Chiunque visiti riceverà un messaggio pauroso se lo fai.

    
risposta data 21.07.2011 - 20:48
fonte
1

Per rispondere alla tua seconda domanda: il servizio non diventa molto più sicuro aggiungendo un certificato. Ma dipende da come viene utilizzato.

  • Con un certificato obsoleto, un browser darà sempre avvertimenti all'utente, addestrandoli a fare clic su "ignora" in una finestra di dialogo che in genere non dovrebbero mai ignorare.

  • Un certificato valido e autofirmato che puoi confermare una volta e poi usare come al solito. Quindi il pericolo del MITM esiste solo alla prima connessione. Al contrario, un cert non valido di solito genera sempre un errore e non viene più verificato dall'utente, facilitando il montaggio degli attacchi MITM.

  • Se altre macchine si connettono al tuo servizio ma non agli utenti, puoi inserire nella whitelist l'impronta digitale del certificato nella loro configurazione e avrà (probabilmente) lo stesso livello di sicurezza di un certificato correttamente creato / firmato. Probabilmente ancora più elevato perché ci sono molte CA che potrebbero fallire ma solo un certificato con la stessa impronta digitale. Ma non sai come è stata programmata la validazione, forse i controlli non vengono eseguiti correttamente una volta che si nota la data sbagliata.

Quindi dovresti davvero usare un certificato autofirmato valido. È molto facile trovare tutorial per questo e puoi dargli un periodo di validità di uno o due anni.

    
risposta data 22.07.2011 - 21:32
fonte

Leggi altre domande sui tag