[HACK] "Seguridad en aplicaciones sobre tecnologías Microsoft"

Roman Medina roman at rs-labs.com
Tue Apr 8 15:14:09 CEST 2003 

On 07 Apr 2003 23:54:07 +0200, you wrote:

>> http://www.microsoft.com/spain/technet/comunidad/eventos/mapas/agenda-technet32.asp
> 
>Pues es una pena, pero parece que ya no hay plazas (normal a estas

 Vaya... pues te aseguro que cuando envié el msg a la lista sí
quedaban plazas en casi todas las sesiones (excepto la de hoy por la
mañana). O se ha animado gente al ver el msg, o todo el mundo ha
esperado hasta el último momento para apuntarse.

>alturas), pero nos podías hacer un resumen de lo que cuentan y mandarlo
>a la lista, que a mas de uno nos vendrá muy bien.

 Bueno, pues acabo de venir del seminario. En general, ha estado bien
(todo bien estructurado y los ponentes tb se han sabido explicar
correctamente), aunque el contenido técnico ha sido relativamente
básico.

 Se ha dividido en 2 partes: la primera la ha dado David Sanchez (el
encargado del concurso Hack21 de este año) y constaba de una muy breve
introducción de lo que fue el escenario del concurso (topología,
máquinas, etc) y luego se ha extendido más hablando sobre securización
de: 1) Windows 2000 (server / advance server, ppalmente) 2) IIS 5 3)
SQL Server 2000. La verdad es que nada nuevo, pero sirve para repasar
conceptos y da una rápida panorámica de las opciones de seguridad de
Windows y los pasos a seguir a la hora de securizar un sistema así. Ha
sido algo así como una "security checklist" ilustrada :-)

 La segunda parte ha ido sobre PKI en Windows 2000 y tenía una
orientación algo más práctica. Juan Carlos Rodriguez, también de
S21Sec (David tb lo es, se me olvidó decirlo) ha ilustrado lo sencillo
que es crear una PKI sobre Windows, gestionar certificados tanto de
cliente como servidor y configurar tanto IIS como IE (es decir, tanto
la parte de servidor como cliente), en distintos escenarios, que
básicamente se reducen a 2: uso de SSL "corriente y moliente" (es
decir, sin certificado en el cliente) y cómo añadir y forzar la
autentificación de cliente (esto último, que tampoco es nada del otro
mundo, ya podríamos decir que se sale de lo corriente desde el punto
de vista "del público en general".

 A mí me ha gustado más la primera parte, a pesar de ser supuestamente
la "menos práctica", más que nada porque abarcaba más y más variados
conceptos técnicos.

 Espero que os sirva la crónica ;-)

 Saludos,
 --Roman

--
PGP Fingerprint:
09BB EFCD 21ED 4E79 25FB  29E1 E47F 8A7D EAD5 6742
[Key ID: 0xEAD56742. Available at KeyServ]

More information about the hacking mailing list