Saltar al contenido

Restringir algoritmos criptográficos en Windows con IIS Crypto

Controlar algoritmos criptográficos con IIS Crypto

IIS Crypto es una herramienta gratuita que permite a los administradores habilitar o deshabilitar protocolos inseguros, suites de cifrado, hashes y mecanismos de intecambio de claves en Windows Server 2008, 2012, 2016 y 2019.

Las medidas de seguridad de sitios web y aplicaciones son cada vez más exigentes por un motivo: los delicuentes aprenden a vulnerar los mecanismos antiguos a medida que se encuentran vulnerabilidades en ellos.

Por eso, los responsables de seguridad y aplicaciones (principalmente servidores web, auqnue no en exclusiva) deben ir restringiendo mecanismos que han quedado obsoletos, con el tiempo, para evitar ataques de tipo downgrade de mecanismos de cifrado, entre otras cosas.

Se pueden desactivar protocolos inseguros de forma manual (lo que requiere modificación de claves de registro y un riesgo asociado a la manualidad) o de forma desatendida con la siguiente herramienta, en sistemas Windows Server.

Además, nos permite reordenar las suites de cifrado que ofrece IIS (Internet Information Services), modificando ajustes avanzados con un simple click y definiendo plantillas para usarlas de forma global.

Bloquear o permitir algoritmos de cifrado débiles en Windows Server

A grandes rasgos, estas son algunas cosas por las que decantarnos por IISCrypto.

  • Permite aplicar ajustes seguros con 1 clic.
  • Realiza copias de seguridad previas a los cambios.
  • Provee de buenas prácticas en consonancia con PCI 3.2 y FIPS 140-2.
  • Permite creación de plantillas que podemos lanzar en varias máquinas a la vez.
  • Permite habilitar TLS 1.1 / TLS 1.2 o Forward Secrecy.
  • Incluye un escáner de sitios web para probar los cambios.
  • Provee de una versión de linea de comandos.

Ah, y por supuesto, nos permite reordenar suites de cifrado y deshabilitar protocolos de cifrado obsoletos como SSL 3.0, MD5 o 3DES, además de frenar ataques tipo FREAK, DROWN, POODLE o BEAST. Todos ellos se sustentan en el uso de protocolos inseguros u obsoletos.

Uso de IIScrypto

Para empezar, descargaremos la herramienta desde la web de Nartac Software. En mi ejemplo utilizaré la versión GUI, pero está disponible la IIS Crypto CLI de sólo 246 KB de peso y mejor enfocada a automatizar tareas.

Para utilizar esta herramienta necesitaremos privilegios de administrador. SI usamos la versión CLI, deberemos iniciar el CMD como administrador.

Al iniciar, veremos esta pantalla. Recomiendo inmediatamente hacer un backup del registro con la opción en Avanzado.

IIS Crypto backup

Podemos modificar estos comportamientos.

  1. Schannel: ajustes de sistema a nivel global, que podemos escoger individualmente pulsando sobre ellos.
  2. Cipher suites: suites de cifrado que pdoemos habilitar / deshabilitar / reordenar de forma individual
  3. Avanzado: permite escoger la longitud de claves DHE, entre otros.
  • IISCrypto schannel
  • IISCrypto algoritmos de cifrado
  • IISCrypto avanzado

Si cargamos una plantilla, tras aplicarla podemos ver los cambios reflejados en el resto de pestañas.

Podemos guardar estos ajustes para cargarlos en otros servidores IIS de forma rápida si es preciso.

IISCrypto plantillas
Existe una plantilla con valores predefinidos

Los cambios normalmente requerirán de un reinicio, para lo que podemos marcar la casilla.

Finalmente se nos da un acceso directo a la herramienta de auditoría de certificados de Qualys SSL Labs, donde podemos ver los cambios reflejados. Esto no funcionará si no tenemos salida a internet.

Conclusiones

Como hemos visto, esta herramienta gratuita es fácil de administrar el cifrado e intercambio de claves de nuestros servidores web IIS. Eso sí, es conveniente saber qué tocar antes de hacer cambios en producción.

Especial mención merece TLS 1.0. Es necesario plantearse si realmente se puede eliminar o no en nuestro entorno. IISCrypto no lo deshabilita por defecto dado que es requerido por versiones antiguas de Internet Explorer o Android, además de que ciertas apps personalizadas podrían requerirlo.

Alejandro Ver todo

Trabajo como consultor de ciberseguridad y me gusta lo que hago. Aficionado a la informática / tecnología en general, me gusta compartir con la gente lo poco que sé. También soy aficionado al deporte y los videojuegos.

2 comentarios sobre “Restringir algoritmos criptográficos en Windows con IIS Crypto Deja un comentario

Responder a AlejandroCancelar Respuesta

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

A %d blogueros les gusta esto: