UrlScan y SMS
UrlScan y SMS
Por: Ricardo Gomez Rey
En varios documentos de seguridad de Windows nos recomiendan instalar una herramienta llamada URLScan cuando estamos corriendo sitios sobre IIS. Pero para que es exactamente esta herramienta y como afecta al buen funcionamiento de nuestro SMS? Estos así como los errores más comunes los estaremos viendo en esta entrega del Blog de SMS.
UrlSca es una herramienta de seguridad que restringe ciertos tipos de requisiciones de http que el Internet Information Services (IIS) procesa. Bloqueando requerimientos específicos de HTTP, esta herramienta de seguridad ayuda a prevenir llamados potencialmente peligrosos que se hagan al servidor. Esta útil herramienta está disponible desde IIS 4.0
Actualmente la versión de esta herramienta es 2.5 y hay que tener en cuenta que si queremos que SMS funcione en conjunto con UrlScan debe estar instalada la última versión. Para más información pueden consultar la página:
https://www.microsoft.com/technet/security/tools/urlscan.mspx
Aunque UrlScan también permite configurarlo sobre IIS 6.0, es mejor que no se configure sobre esta versión de IIS, principalmente la razón es que IIS 6.0 trae ya incluidos funcionalidad que iguala o mejora la mayoría de las características de UrlScan 2.5, si el servidor solamente tiene SMS y está corriendo IIS 6.0 se puede dejar sin esta herramienta ya que las funcionalidades o la seguridad que requerimos está cubierta por las características que trae IIS 6.0.
Ahora bien, pero que hacemos si estamos corriendo SMS 2003 sobre Windows 2000 sp3 y queremos que nuestro servidor este seguro? Podemos instalar UrlScan?
Claro que si podemos, lo primero que debemos hacer es bajar el Toolkit 2 para SMS, de la página:
https://www.microsoft.com/smserver/downloads/2003/tools/toolkit.asp
Una vez que lo bajemos y los instalemos en el servidor, si lo instalamos en el folder por defecto, se creara una carpeta que se llama %programfiles%\SMS Toolkit 2\Urlscan 2.5, en este folder encontraran un archivo que se llama urlscan.ini. este es el archivo mas importante de la configuración ya que este permitirá el buen funcionamiento de SMS, IIS y los clientes que acecen el servidor de sms.
Una vez se halla instalado UrlScan en el servidor, este creará una carpeta que se llama: %systemroot%\system32\inetsrv\Urlscan. Vaya hasta esa carpeta y remplace el archivo .ini que se encuentra ahí por el que vimos en el párrafo anterior y su sms funcionará correctamente y su servidor de IIS estará asegurado.
Ahora bien, eso es cuando los mismos administradores de SMS también administran IIS, y al parte de seguridad, pero que pasa con aquellas empresas donde la administración está dividida? Y mas específicamente la parte de seguridad?
Muchas veces llegamos al trabajo y encontramos que SMS no funciona o que muchas de las funciones de este se encuentran rotas, y nosotros como administradores de SMS no hemos hecho ningún cambio.
Cuáles son los síntomas que debemos buscar en nuestro SMS para ir creado la hipótesis que puede ser el UrlScan? Los eventos o errores más comunes que se encuentra instalada y mal configurada esta herramienta son:
1. Los clientes no pueden comunicarse con los Management Point o Proxys Management Points, si vemos el log ccmexec.log en el cliente veremos errores 404 tratando de comunicarse con el SMS
2. En el log de IIS del SMS encontramos entradas como:
DateTime SourceIP - DestinationIP PortNumber GET /<Rejected-By-URLScan> ~/ccm_system/request 404 ccmhttp
3. Los clientes en la consola de SMS se muestran como que no están instalados, pero ustedes están completamente seguros que si.
4. No se pueden instalar nuevos clientes
5. Los clientes no obtienen nuevos advertisements.
6. No se pueden instalar nuevos DP’s
Lo que tenemos que hacer si alguno de estos síntomas se presentan es verificar si UrlScan está instalado o ha sido instalado con anterioridad. Para esto lo que podemos hacer es:
1. Revisar si la carpeta %systemroot%\system32\inetsrv\Urlscan existe, si existe revisar que el urlscan.ini que se está utilizando permite los verbos para SMS, para esto pueden abrir el archivo en notepad y revisar si CCM_POST y SMS_POST están dentro del archivo si no están es una muestra clara que no se está utilizando el urlscan correcto.
2. También pueden verificar si está corriendo o no a través del IIS manager, van a las propiedades del contenedor del web site, propiedades, ISAPI Filters y verifican si URLSCAN esta listado, una vez se haya verificado esto deberán verificar lo mismo del paso uno.
Una vez se corrija al versión del urlscan.ini que se está corriendo SMS volverá a correr normalmente y volverá su funcionalidad.
Bueno mis queridos lectores si tiene cualquier duda adicional o sugerencia con todo gusto estaré leyendo sus comentarios, al igual si hay algún tema en especial que quieran tratar.