Restringir algoritmos criptográficos en Windows con IIS Crypto

IIS Crypto es una herramienta gratuita que permite a los administradores habilitar o deshabilitar protocolos inseguros, suites de cifrado, hashes y mecanismos de intecambio de claves en Windows Server 2008, 2012, 2016 y 2019.

Las medidas de seguridad de sitios web y aplicaciones son cada vez más exigentes por un motivo: los delicuentes aprenden a vulnerar los mecanismos antiguos a medida que se encuentran vulnerabilidades en ellos.

Por eso, los responsables de seguridad y aplicaciones (principalmente servidores web, auqnue no en exclusiva) deben ir restringiendo mecanismos que han quedado obsoletos, con el tiempo, para evitar ataques de tipo downgrade de mecanismos de cifrado, entre otras cosas.

Se pueden desactivar protocolos inseguros de forma manual (lo que requiere modificación de claves de registro y un riesgo asociado a la manualidad) o de forma desatendida con la siguiente herramienta, en sistemas Windows Server.

Además, nos permite reordenar las suites de cifrado que ofrece IIS (Internet Information Services), modificando ajustes avanzados con un simple click y definiendo plantillas para usarlas de forma global.

Bloquear o permitir algoritmos de cifrado débiles en Windows Server

A grandes rasgos, estas son algunas cosas por las que decantarnos por IISCrypto.

• Permite aplicar ajustes seguros con 1 clic.
• Realiza copias de seguridad previas a los cambios.
• Provee de buenas prácticas en consonancia con PCI 3.2 y FIPS 140-2.
• Permite creación de plantillas que podemos lanzar en varias máquinas a la vez.
• Permite habilitar TLS 1.1 / TLS 1.2 o Forward Secrecy.
• Incluye un escáner de sitios web para probar los cambios.
• Provee de una versión de linea de comandos.

Ah, y por supuesto, nos permite reordenar suites de cifrado y deshabilitar protocolos de cifrado obsoletos como SSL 3.0, MD5 o 3DES, además de frenar ataques tipo FREAK, DROWN, POODLE o BEAST. Todos ellos se sustentan en el uso de protocolos inseguros u obsoletos.

Uso de IIScrypto

Para empezar, descargaremos la herramienta desde la web de Nartac Software. En mi ejemplo utilizaré la versión GUI, pero está disponible la IIS Crypto CLI de sólo 246 KB de peso y mejor enfocada a automatizar tareas.

Para utilizar esta herramienta necesitaremos privilegios de administrador. SI usamos la versión CLI, deberemos iniciar el CMD como administrador.

Al iniciar, veremos esta pantalla. Recomiendo inmediatamente hacer un backup del registro con la opción en Avanzado.

Podemos modificar estos comportamientos.

1. Schannel: ajustes de sistema a nivel global, que podemos escoger individualmente pulsando sobre ellos.
2. Cipher suites: suites de cifrado que pdoemos habilitar / deshabilitar / reordenar de forma individual
3. Avanzado: permite escoger la longitud de claves DHE, entre otros.

Si cargamos una plantilla, tras aplicarla podemos ver los cambios reflejados en el resto de pestañas.

Podemos guardar estos ajustes para cargarlos en otros servidores IIS de forma rápida si es preciso.

Los cambios normalmente requerirán de un reinicio, para lo que podemos marcar la casilla.

Finalmente se nos da un acceso directo a la herramienta de auditoría de certificados de Qualys SSL Labs, donde podemos ver los cambios reflejados. Esto no funcionará si no tenemos salida a internet.

Conclusiones

Como hemos visto, esta herramienta gratuita es fácil de administrar el cifrado e intercambio de claves de nuestros servidores web IIS. Eso sí, es conveniente saber qué tocar antes de hacer cambios en producción.

Especial mención merece TLS 1.0. Es necesario plantearse si realmente se puede eliminar o no en nuestro entorno. IISCrypto no lo deshabilita por defecto dado que es requerido por versiones antiguas de Internet Explorer o Android, además de que ciertas apps personalizadas podrían requerirlo.