Cómo: Bloquear abajo una aplicación Web ASP.NET o servicio Web

Seleccione idioma Seleccione idioma
Id. de artículo: 815145 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Resumen

En este artículo paso a paso se describe cómo bloquear una aplicación Web ASP.NET o servicio Web. Las aplicaciones Web con frecuencia son el objetivo de ataques malintencionados.

Hay muchos pasos que puede tomar para reducir el riesgo asociado con el que aloja una aplicación Web. En un nivel alto, ASP.NET las aplicaciones se benefician de las mismas medidas de seguridad como Web convencional aplicaciones. Sin embargo, las extensiones de nombre de archivo de ASP.NET y el uso de seguridad requieren una consideración especial. En este artículo describe varios mecanismos claves para protección de aplicaciones Web ASP.NET.

Para obtener más información acerca de la seguridad, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/security

El filtrado de paquetes

ASP.NET se requiere ninguna consideración especial al configurar el equipamiento de red o programas de firewall de filtrado de paquetes basado en puertos. Information Server (IIS) define los números de puerto TCP que utiliza ASP.NET para las comunicaciones. De forma predeterminada, ASP.NET utiliza el puerto TCP 80 para HTTP estándar y utiliza TCP puerto 443 para HTTP con el cifrado SSL.

Firewalls de nivel de aplicación

Servidores de seguridad nivel de aplicación, como Microsoft Internet Security and Acceleration Server, pueden analizar los detalles de entrada Web de solicitudes, incluido el comando HTTP que se emite y el archivo que se solicita. Dependiendo de la aplicación pueden solicitar tipos de archivo diferente. Un cliente de ASP.NET legítimamente puede solicitar los archivos que tengan cualquiera de las siguientes extensiones de nombre de archivo, según la funcionalidad de aplicación:
  • .ashx
  • .aspx
  • .asmx
  • .rem
  • .SOAP
Archivos que se incluyen en una aplicación ASP.NET pueden utilizar las siguientes extensiones de nombre de archivo. Sin embargo, un servidor de seguridad nunca debe reenviar dichos archivos a los usuarios finales. Según el entorno de desarrollo, los desarrolladores pueden emitir Web las solicitudes de estas extensiones:
  • asax
  • .ascx
  • .asmx
  • .axd
  • .config
  • cs
  • .csproj
  • .dll
  • .licx
  • .pdb
  • .rem
  • .resources
  • .resx
  • .SOAP
  • .vb
  • .vbproj
  • .vsdisco
  • .webinfo
  • .xsd
  • .xsx
Debe configurar el firewall para restringir los tipos de HTTP comandos que pueden enviarse a una aplicación ASP.NET. En concreto, debe permitir sólo comandos GET, HEAD y POST de los exploradores del usuario final. Los desarrolladores que tenga que obtener acceso a otros comandos HTTP también.

Seguridad NTFS

Eficaz puede reducir el riesgo de información privada se vea comprometido. Para ello, restringir permisos de archivo NTFS. De forma predeterminada, las aplicaciones ASP.NET se ejecutan en el contexto de la cuenta de usuario ASPNET. Para obtener más seguridad, puede configurar los permisos adecuados para cuenta de usuario ASPNET.

Para obtener información adicional sobre cómo configurar permisos de archivo NTFS, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
815153Cómo: Configurar permisos de archivo NTFS para la seguridad de las aplicaciones ASP.NET

Configurar URLScan

URLScan es un filtro de ISAPI de Microsoft está diseñado para proporcionar que más detallada de filtrado de solicitudes Web entrantes en los servidores IIS 5.0. URLScan proporciona muchas funciones de un servidor de seguridad nivel de aplicación y puede filtrar solicitudes según el nombre de archivo, ruta de acceso y solicitud de tipo. Para obtener más información acerca de la herramienta de seguridad de URLScan, visite el siguiente sitio Web de Microsoft:
http://technet.microsoft.com/en-us/security/cc242650.aspx
Para obtener información adicional acerca de URLScan, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
815155Cómo: Configurar URLScan para proteger las aplicaciones Web ASP.NET

Configurar la seguridad de SQL Server

Muchas aplicaciones ASP.NET comunican con un SQL Server de Microsoft base de datos. Es habitual que los ataques malintencionados contra una base de datos para utilizar una aplicación ASP.NET y, a continuación, realizar la ventaja de los permisos que el Administrador de la base de datos ha concedido a la aplicación. Para ofrecer el mayor nivel de protección contra estos ataques, configurar los permisos de base de datos para limitar los permisos que conceda a ASP.NET. Conceda sólo los permisos mínimos que la aplicación debe tener a función.

Por ejemplo, limitar ASP.NET leer permisos para sólo las vistas, tablas, filas y columnas que la aplicación debe tener acceso a. Donde la aplicación no actualiza una tabla directamente, no conceda a ASP.NET el permiso para enviar las actualizaciones. Para obtener más seguridad, configure permisos adecuados para la cuenta de usuario ASPNET.

Para obtener información adicional acerca de cómo configurar SQL Server, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
815154Cómo: Configurar la seguridad de SQL Server para las aplicaciones .NET

Referencias

Para obtener más información al respecto, visite el siguiente sitio Web de Microsoft:
http://technet.microsoft.com/en-us/library/dd450372.aspx
Para obtener información adicional, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
818014Cómo: Proteger las aplicaciones integradas en .NET Framework


Propiedades

Id. de artículo: 815145 - Última revisión: jueves, 11 de enero de 2007 - Versión: 4.5
La información de este artículo se refiere a:
  • Microsoft ASP.NET 1.0
  • Microsoft ASP.NET 1.1
Palabras clave: 
kbmt kbwebservices kbwebserver kbwebforms kbconfig kbdeployment kbhowtomaster KB815145 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 815145

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com