Descripción:
El servidor web remoto contiene páginas web que están protegidas por la autenticación  básica en texto sin cifrar.
Un atacante que espía el tráfico podría obtener inicios de sesión y contraseñas de usuarios. HTTPS es un canal de comunicaciones seguro es utilizado para cambiar paquetes entre equipo cliente y servidor. utiliza SSL. Este articulo explica como configurar el servicio SSL/HTTPS en servicios de Internet con ISS

CVE:  N/A
Factor de Riesgo: Bajo
Valor CVSS Base: 2,6

Solución: Se debe obtener un certificado el cual permite cifrar y descifrar la información que se transmite a través de la red,  IIS facilita una herramienta para obtener el certificado y simplificar el proceso cuando se solicita el certificado ya sea manualmente como en “APACHE” o en IIS, puede configurar y administrar certificados mediante la ficha Seguridad de directorios de las propiedades de carpeta o sitio Web, se puede hacer migración de certificados de Apache a IIS pero lo recomendable es solicitar un nuevo certificado.

El siguiente procedimiento se utiliza cuando ya se cuenta con un certificado asignado en su sitio web:

  • Iniciar sesión en el servidor Web como administrador.
  • Hacer clic en Inicio, seleccionar configuración y a continuación, hacer clic en Panel de control.
  • Hacer doble clic en Herramientas administrativas y dar clic en Administrador de servicios Internet.
  • Seleccionar el sitio Web de la lista de sitios servidos diferentes en el panel izquierdo.
  • En el sitio Web, carpeta o archivo para el que desea configurar la comunicación SSL, a continuación hacer clic en Propiedades.
  • Hacer clic en la ficha Seguridad de directorios.
  • Hacer clic en Editar.
  • Hacer clic en requerir canal seguro (SSL) si desea que el sitio Web, carpeta o archivo requiera comunicaciones SSL.
  • Hacer clic en requerir cifrado para configurar compatibilidad con cifrado de 128 bits (en lugar de 40 bits).
  • Para permitir que los usuarios se conecten sin proporcionar sus propios certificados, haga clic en Omitir certificados de cliente.Como alternativa, para permitir que un usuario proporcione su propio certificado, utilice Aceptar certificados de cliente.
  • Para configurar la asignación de cliente, hacer clic en hábilitar asignación de certificado de cliente y hacer clic en editar para asignar certificados de cliente a los usuarios. Si configura esta funcionalidad, puede asignar certificados de cliente a usuarios individuales en Active Directory.
    Puede utilizar esta funcionalidad para identificar a un usuario según el certificado que se faciliten cuando tienen acceso a los sitios Web automáticamente. Puede asignar usuarios a certificados uno a uno (un certificado identifica un usuario) o puede asignar muchos certificados a un usuario (una lista de certificados se compara con un usuario específico de acuerdo con reglas específicas. La primera coincidencia válida se convierte en la asignación).
  • Hacer clic en Aceptar.

Asegúrese de que la autenticación HTTP se transmite a través de HTTPS.

Referencias:
https://support.microsoft.com/es-es/help/324069/how-to-set-up-an-https-service-in-iis

 

No Comment

You can post first response comment.

Leave A Comment

Please enter your name. Please enter an valid email address. Please enter message.

You may also like