Negar Acceso a Consola Administrativa

Necesidad

Negar acceso a consola administrativa IIS 7.5.

Contexto

A continuación se describe las circunstancias bajo las cuales la siguiente solución tiene sentido:

  1. Se tiene una consola administrativa expuesta la cual se debe restringir por dirección o rango de direcciones IP.

  2. Se tiene implementado como servidor de aplicaciones Internet Information Services (IIS) 7.5.

Solución

Internet Information Services o (IIS) proporcionan un conjunto de servicios enfocados en un servidor web, con el fin de obtener una plataforma segura, fácil de administrar, modular y extensible donde hospedar sitios web, servicios y aplicaciones de manera confiable [1]. Aquí te presentamos una guía de configuración segura en IIS 7.5 enfocándonos en la configuración de la consola administrativa.

La consola administrativa permite realizar muchas configuraciones relacionadas con el servidor. Estas configuraciones no pueden ser visualizadas ni modificadas por usuarios externos, debido a que representaría una fuente potencial de vulnerabilidades para el sistema por parte de usuarios maliciosos. Su acceso, por lo tanto, debe ser restringido únicamente a los administradores del servidor y usuarios autorizados. En este artículo nos centraremos en describir el procedimiento necesario para negar el acceso a la consola de administración. Esto debe realizarse para todos los usuarios excepto los autorizados a modificar la configuración del servidor. Para ello debemos seguir los siguientes pasos:

  1. Abrir el Administrador de Internet Information Services (IIS). Inicio > Buscar programas y archivos: inetmgr.

  2. Dentro de los sitios buscar el sitio o carpeta a la cual se le aplicará la configuración y dar clic en ella.

  3. Buscar y dar clic en el icono: Restricciones de direcciones IP y dominios.

  4. Primero se debe negar el acceso por defecto, en el menú derecho Acciones. Luego abrir Modificar configuración de característica y configurar de la siguiente manera.

  5. Para dar acceso a una dirección IP específica, por ejemplo: 192.168.0.17, dentro del mismo menú. Abrir Agregar entrada de permiso y configurar de la siguiente manera:

Adición de dirección IP
Figure 1. Adición dirección IP.
Visualización nueva regla
Figure 2. Visualización de la nueva regla.

  1. Para dar acceso a un rango de direcciones IP dentro del mismo menú, abrir Agregar entrada de permiso y configurar de la siguiente manera, donde 192.168.0.0 es la dirección de red y 255.255.255.0 la mascara de red:

Adición de IP y máscara de subred
Figure 3. Adición de IP y máscara de subred
Actualización nueva regla
Figure 4. Actualización de la nueva regla.

  1. Para la regla aplicada en el paso 5, si el equipo con dirección IP 192.168.0.17 ingresa a la consola administrativa, se garantiza el acceso:

Consola de administración
Figure 5. Visualización de la consola de administración en el navegador

  1. Por el contrarío, si ingresa cualquier otro equipo diferente al 192.168.0.17, el acceso será negado:

Denegación de acceso
Figure 6. Resultados de la configuración visualizados en el navegador

De esta forma la consola de administración permanece protegida para usuarios externos permitiendo el acceso únicamente a los equipos autorizados.

Referencias

  1. Introducción al servidor web (IIS).

  2. REQ.033 Restringir acceso administrativo.

  3. IPSecurity.

OWASP logo

Corporate member of The OWASP Foundation

Clutch Review

Copyright © 2021 Fluid Attacks, We hack your software. All rights reserved.

Service status - Terms of Use - Privacy Policy - Cookie Policy