Cómo: Proteger una aplicación Web ASP.NET o servicio Web

Resumen

En este artículo paso a paso se describe cómo bloquear una aplicación Web de ASP.NET o un servicio Web. Aplicaciones Web con frecuencia son el blanco de ataques malintencionados.

Hay varios pasos que puede tomar para reducir el riesgo asociado a una aplicación Web de hospedaje. En un nivel alto, aplicaciones de ASP.NET se benefician de las medidas de seguridad de aplicaciones Web convencionales. Sin embargo, las extensiones de nombre de archivo ASP.NET y el uso de seguridad requieren una consideración especial. Este artículo describe varios mecanismos clave para la protección de aplicaciones Web de ASP.NET.

Para obtener más información acerca de la seguridad, visite el siguiente sitio Web de Microsoft:Volver al principio

El filtrado de paquetes

ASP.NET no requiere ninguna consideración especial al configurar el equipo de red o programas de firewall de filtrado de paquetes basado en puertos. Servicios de Internet Information Server (IIS) define los números de puerto TCP que utiliza ASP.NET para las comunicaciones. De forma predeterminada, ASP.NET utiliza el puerto TCP 80 para HTTP estándar y utiliza el puerto TCP 443 para HTTP con SSL.

Volver al principio

Servidores de seguridad de la capa de aplicaciones

Cortafuegos de capa de aplicación, como Microsoft Internet Security and Acceleration Server, pueden analizar los detalles de las solicitudes Web entrantes, incluido el comando HTTP que se emite y el archivo solicitado. Dependiendo de la aplicación, se podrán solicitar diferentes tipos de archivos. Un cliente ASP.NET legítimamente podría solicitar archivos que tengan cualquiera de las siguientes extensiones de nombre de archivo, dependiendo de la funcionalidad de la aplicación:
  • .ashx
  • .aspx
  • .asmx
  • .rem
  • .soap
Archivos que se incluyen en una aplicación ASP.NET pueden utilizar las siguientes extensiones de nombre de archivo. Sin embargo, un servidor de seguridad nunca debe reenviar estos archivos a los usuarios finales. Según el entorno de desarrollo, los desarrolladores podrán expedir las solicitudes Web de estas extensiones:
  • .asax
  • .ascx
  • .asmx
  • .axd
  • .config
  • .cs
  • .csproj
  • .dll
  • .licx
  • .pdb
  • .rem
  • .resources
  • .resx
  • .soap
  • .vb
  • .vbproj
  • .vsdisco
  • .webinfo
  • .xsd
  • .xsx
Debe configurar el firewall para restringir los tipos de comandos HTTP que pueden enviarse a una aplicación ASP.NET. En concreto, debe permitir sólo comandos GET, HEAD y POST de los exploradores del usuario final. Los desarrolladores pueden tener que acceder a otros comandos HTTP, también.

Volver al principio

Seguridad NTFS

Eficaz puede reducir el riesgo de comprometer la información privada. Para ello, restrinja los permisos de archivo NTFS. De forma predeterminada, las aplicaciones ASP.NET se ejecutan en el contexto de la cuenta de usuario ASPNET. Para más seguridad, puede configurar los permisos adecuados para la cuenta de usuario ASPNET.

Para obtener información adicional acerca de cómo configurar permisos de archivos NTFS, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

815153 HOW TO: archivos de NTFS de configurar permisos de seguridad de aplicaciones ASP.NET

Volver al principio

Configurar URLScan

URLScan es un filtro de ISAPI de Microsoft está diseñado para proporcionar que más detallada de filtrado de solicitudes Web entrantes en los servidores de IIS 5.0. URLScan proporciona muchas funciones de un servidor de seguridad de capa de aplicación y puede filtrar solicitudes basadas en el nombre de archivo, ruta de acceso y solicitud de tipo. Para obtener más información acerca de la herramienta de seguridad URLScan, visite el siguiente sitio Web de Microsoft:Para obtener información adicional acerca de URLScan, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

815155 HOW TO: Configure URLScan para proteger aplicaciones Web de ASP.NET

Volver al principio

Configurar la seguridad de SQL Server

Muchas aplicaciones ASP.NET comunican con una base de datos de Microsoft SQL Server. Es común que los ataques malintencionados contra una base de datos para utilizar una aplicación de ASP.NET y beneficiarse de los permisos que el Administrador de la base de datos ha concedido a la aplicación. Para ofrecer el mayor nivel de protección contra estos ataques, configurar los permisos de base de datos para limitar los permisos que se conceden a ASP.NET. Conceder los permisos mínimos que debe tener la aplicación a la función.

Por ejemplo, limitar a ASP.NET leer permisos para sólo esas vistas, tablas, filas y columnas que la aplicación debe tener acceso a. Cuando la aplicación no actualiza directamente una tabla, no conceda a ASP.NET el permiso para enviar las actualizaciones. Para más seguridad, configure los permisos apropiados para la cuenta de usuario ASPNET.

Para obtener información adicional acerca de cómo configurar SQL Server, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

815154 HOW TO: seguridad de configurar SQL Server para aplicaciones .NET

Volver al principio

Referencias

Para obtener más información, visite el siguiente sitio Web de Microsoft:Para obtener información adicional, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

818014 HOW TO: proteger las aplicaciones que se basan en el.NET Framework

Nº de error: 4226 (Mantenimiento de contenido)

Volver al principio
Propiedades

Id. de artículo: 815145 - Última revisión: 17 ene. 2017 - Revisión: 1

Comentarios