Refuerzos de seguridad obligatorias parte 1

<< Clic para mostrar Tabla de Contenidos >>

Navegación:  Automation Server > Automation Server - configuración y administración > Configuración del proyecto inicial > Prácticas recomendadas en el ambiente de producción > Refuerzo de seguridad >

Refuerzos de seguridad obligatorias parte 1

Introducción

Esta sección presenta unas recomendaciones de seguridad para el Portal de trabajo de Bizagi, en cuanto a los aspectos relevantes de la configuración misma de Bizagi (hardening a nivel de aplicación).

Recuerde que usted debe velar por un acceso y configuración segura en sus instalaciones y en cuanto a los equipos, dispositivos y componentes de la solución que no son propios de Bizagi (la arquitectura del sistema), como por ejemplo: la red y almacenamiento, los firewalls, balanceadores de carga u otros dispositivos, otros servidores como controladores de dominio o de base de datos, etc.

 

note_pin

Las recomendaciones presentadas a continuación aplican cuando Bizagi se ejecuta sobre una plataforma de .NET, de manera independiente a la versión del servidor Web IIS sobre el cuál se ejecute.

En esta sección se ilustra a manera de ejemplo la configuración específicamente sobre un servidor Web IIS versión 7.5, donde dichas configuraciones se realizan de acuerdo a las capacidades propias del IIS.

 

Las siguientes recomendaciones son obligatorias para entornos de prueba o producción.

 

Esta sección contiene las siguientes recomendaciones para habilitar conexiones y protocolos seguros en su entorno y base de datos:

 

Configurar el protocolo HTTPS

Habilite una versión segura de TLS

Configurar un paquete de cifrado SSL / TLS seguro

Configurar TLS para la base de datos

 

Para obtener más información sobre el alcance de estas recomendaciones u otras recomendaciones, consulte Recomendaciones de configuración de seguridad.

 

note_pin

Para los pasos descritos a continuación, debe asegurarse de tener habilitado el componente del IIS llamado World Wide Services -> Security -> Basic Authentication, y también IP and Domain restrictions al realizar la instalación del IIS. Revise la instalación del IIS.

 

Uso del protocolo HTTPS

Se recomienda enfáticamente configurar el Portal de trabajo bajo el protocolo HTTPS sobre TLS, dado que este protocolo cifra la comunicación.

 

Para hacerlo, asegúrese de contar con un certificado válido para su servidor, y que se registre su dominio.

Una vez que cuente con el certificado de su servidor, regístrelo para el uso del Portal de Bizagi utilizando la opción de certificados del servidor (Server certificates) que presenta el IIS:

 

SecurityS_SOAP06

 

Al registrarlo, asegúrese de especificar los bindings en el sitio web.

 

SecurityS_SOAP07

 

Nótese que para estos bindings, deberá especificar el uso explícito de HTTPS, con su puerto asignado, y seleccionar el certificado.

Dé clic en Ok para guardar la configuración.

 

note_pin

Al utilizar HTTPS, considere editar el archivo web.config para especificar <add key="PROTOCOL" value="HTTPS"/>.

Esto aplica al utilizar enlaces al detalle de casos desde las notificaciones de procesos como se describe en Notificaciones usando enlaces al caso.

 

Habilitando una versión de TLS segura

El Portal de Trabajo de Bizagi soporta los siguientes protocolos:

 

TLS 1.2

 

note_pin

Recomendamos usar el protocolo TLS 1.2 y desactivar los otros protocolos.

 

Para activar el protocolo TLS 1.2 en su servidor IIS, usted debe seguir  los siguientes pasos:

1. Hacer una copia de seguridad de sus registros

Abra el Editor de Registros, para eso escriba regedit en la opción de búsqueda de Windows. Desde la pestaña de Archivos, seleccione Exportar, y guarde el archivo reg de todas las ramas.

 

2. Agregue la llave TLS 1.2

En el Editor de Registros, navegue hasta la siguiente locación:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

 

Incluya la llave TLS 1.2 dentro de la carpeta Protocols. Esto se ve como un nuevo directorio dentro de la carpeta Protocols.

 

3. Cree dos llaves dentro de la carpeta TLS

Haga clic derecho en la carpeta TLS 1.2 y cree las llaves Client y Server.

 

4. Cree los valores

Haga clic derecho en el panel derecho y cree dos valores DWORD  dentro de las carpetas Client y Server:

 

DisabledByDefault [Value = 0]
Enabled         [Value = 1]

 

SecurityS_TLS

 

5. Deshabilite las versiones anteriores de TLS y SSL

Dentro de la misma locación:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

 

Ubique los valores DWORD para TLS 1.0, 1.1 Y SSL 3.0 y configure el valor del atributo Enable en 0.

 

Forzar la versión de TLS

Si está usando HTTPS con el protocolo TLS y necesita utilizar una versión específica (por ejemplo, la versión 1.1 o 1.2), debe incluir la siguiente llave en la sección <appsettings> del archivo web.config del Portal de Trabajo (generalmente ubicado en C:\Bizagi\Projects\[Nombre_Proyecto]\WebApplication):

 

<add key="TLSSupport" value="Tls1.2" />

 

note_pin

Tenga en cuenta que el valor de la llave distingue entre mayúsculas y minúsculas. Por lo tanto, debe agregarlo como se especificó anteriormente para configurar correctamente la versión del protocolo TLS (en este caso, la versión 1.2).

 

Considere revisar si los navegadores de los usuarios finales tienen habilitado este protocolo. Los siguientes servidores tiene el protocolo TLS 1.1 activado por defecto:

 

Navegador

Versión donde TLS 1.1 está activo por defecto

Internet Explorer

11

Microsoft Edge

Todas las versiones

Google Chrome

22

Mozilla

27

Para revisar si TLS está activo en su navegador, siga los estos pasos:

 

Microsoft Internet Explorer

1. Abra Internet Explorer

2. Desde la barra de menú, haga clic en Herramientas > Opciones de Internet > Pestaña de Avanzados

3. Navegue hasta la categoría de Seguridad. Manualmente revise la caja para usar TLS 1.1 o TLS 1.2.

 

Google Chrome

1. Las conexiones siempre están negociadas en el grado más alto.

2. Si usted usa una versión de Google Chrome en versión 22 o mayor, TLS 1.1 es automáticamente soportado. TLS 1.1 y 1.2 son soportadas automáticamente desde la versión 29.

 

Mozilla Firefox

1. Abra Firefox

2. En la barra de direcciones URL, ingrese about:config y presione enter.

3. En el campo de búsqueda ingrese tls. Busque y haga doble clic en security.tls.version.max

4. Defina el valor entero en 4 y fuerce un protocolo máximo de TLS 1.3.

 

Configurando un conjunto de cifrado seguro SSL/TLS

El SSL/TLS es un protocolo que define los algoritmos de criptografía de uso para garantizar integridad, confidencialidad y autenticación para la capa de transporte OSI/TCP. A menudo estos algoritmos son llamados Conjuntos de cifrado SSL/TLS. Para prevenir que los sistemas sufran de técnicas de hackeo criptográfico, es necesario mantener el conjunto de cifrado seguro y actualizado. Al restringir el conjunto de cifrado SSL/TLS, podría mejorar la comunicación de las comunicaciones SSL/TLS.

 

Para hacer esto, corra el comando de ejecutar y escriba gpedit.msc para abrir el Editor de Directivas de Grupo Local.

 

SecurityS_Cipher_1

 

Diríjase a Computer Configuration > Administrative Templates > Network > SSL Configuration Settings.

 

SecurityS_Cipher_2

 

Haga doble clic en SSL Cipher Suite Order y seleccione la opción de habilitado.

 

SecurityS_Cipher_3

 

Configure el conjunto de cifrado SSL ordenando los algoritmos del más seguro al menos seguro y sepárelos por comas. Haga clic en ok para terminar la configuración.

 

SecurityS_Cipher_4

 

Cuando se inicia la comunicación SSL/TLS, el servidor ofrecerá los algoritmos de cifrado especificados en el conjunto. El cliente y el servidor escogerán  el algoritmo que ambos soporten buscando en la lista desde el primer algoritmo hasta el último.

 

note_pin

Le recomendamos usar la siguiente lista para el conjunto de cifrado SSL:

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

 

Configurar TLS para la base de datos

Para aumentar la seguridad, se recomienda utilizar el protocolo de seguridad más reciente. No recomendamos usar SSL como su protocolo de transporte seguro, en su lugar use TLS versión 1.2.

 

Revise si su versión de SQL ya es compatible con TLS 1.2 en el siguiente artículo:

https://support.microsoft.com/en-us/topic/kb3135244-tls-1-2-support-for-microsoft-sql-server-e4472ef8-90a9-13c1-e4d8-44aad198cdbe

 

Pasos de configuración

Abra el Administrador de configuración de SQL Server. Expanda Configuración de red de SQL Server. Haga clic con el botón derecho en Protocolos para su instancia de servidor y seleccione Propiedades.

 

Security_01

 

Abra la pestaña Certificado y seleccione un certificado de la lista desplegable. Haga clic en Aplicar cuando haya terminado.

 

Security_02

 

note_pin

Los certificados deben crearse para la autenticación del servidor e instalarse a través de MMC en la carpeta personal.

 

Security_04

 

Abra la pestaña de Flags, y active el forzado de encriptación.

 

Security_03

 

Revise el usuario que se haya registrado en las opciones de inicio de sesión de la instancia de SQL.

 

Security_05

 

Asegúrese de que este usuario tenga permiso de lectura en el certificado. Para hacer eso, abra la MMC, vaya a su computadora local y certificados personales. Haga clic con el botón derecho en el certificado utilizado anteriormente, seleccione Todas las tareas y luego Administrar claves privadas.

Security_06

 

Agregue al usuario con permisos de lectura.

 

Security_07

 

Si necesita acceder a la base de datos utilizando SQL Management Studio. Tienes que seguir estos pasos:

 

1.Copie el certificado original o el archivo de certificado exportado al equipo cliente.

2.En la computadora del cliente, use el complemento Certificados para instalar el certificado raíz o el archivo de certificado exportado.

3.Con el Administrador de configuración de SQL Server, haga clic en el botón de opciones.

 

Security_10

 

4. En la pestaña de Conexión, habilite la opción de Encriptar Conexión.

 

Security_08

 

5. En la pestaña de Parámetros Adicionales de Conexión agregue: TrustServerCertificate=True

 

Security_09

 

6. Haga clic en conectar.

 

Siguientes Pasos

Siga más recomendaciones obligatorias de seguridad:

 

Autenticación y Autorización

Cifrar información mediante HTTPS

Filtrar solicitudes no autorizadas