Español | English
rss facebook linkedin Twitter

SHAREPOINT: Casa con muchas puertas mala es de guardar

SharePoint es una plataforma de trabajo colaborativo muy compleja donde la gestión de la seguridad suele hacerse complicada y laboriosa. Cualquiera que haya administrado un entorno SharePoint puede contar lo que cuesta afinar los permisos de acceso adecuados para cada documento, cada lista o cada página.

Pero el gran problema no es solo el esfuerzo de mantener una gestión de privilegios adecuada. Cuando exponemos nuestra plataforma en Internet esta gestión debe ser más estricta.

Y es que SharePoint tiene la fea costumbre de revelar más información de la que nos gustaría. En entornos corporativos esta información puede no ser crítica, pero cuando abrimos el servicio a Internet es mejor no mostrar ciertos datos. Como por ejemplo: nombres de usuarios, nombres de ficheros sensibles, fechas de cambio de algunos documentos, etc.

Para ocultar esta información es necesaria una labor de personalización de ciertos componentes. Pero no debemos olvidar que SharePoint permite varias formas de acceder a la misma información y que debemos personalizar cada una de ellas para cerrar todas las posibles vías de filtraciones.

Por ejemplo, un administrador que quiera que los usuarios no puedan obtener un listado de los documentos publicados en una carpeta determinada, debe proteger las siguientes vías de acceso:

1) Web-UI: El interfaz de acceso Web es el que todos estamos acostumbrados a utilizar a la hora de acceder a un entorno SharePoint. Este interfaz nos permite acceder al listado de todo el contenido de un sitio mediante una URL como la siguiente:

http://sharepoint.microsoft.com/blogs/_layouts/viewlsts.aspx

Y si queremos acceder al listado de la carpeta de documentos solo tenemos que hacer:

http://sharepoint.microsoft.com/blogs/Documents/Forms/AllItems.aspx

2) Web-Services: SharePoint también tiene una amplia lista de Web-Services para realizar tareas de administración. El siguiente puede servirnos para obtener un listado de la carpeta de documentos: Lists.asmx

Utilizando la herramienta curl haríamos:

$ curl -i -s http://sharepoint.microsoft.com/blogs/_vti_bin/Lists.asmx -H 'Content-type: text/xml' -d '<soap:Envelope xmlns:soap="http://www.w3.org/2003/05/soap-envelope" xmlns:soap1="http://schemas.microsoft.com/sharepoint/soap/"><soap:Header/><soap:Body><soap1:GetListItems><soap1:listName>Documents</soap1:listName></soap1:GetListItems></soap:Body></soap:Envelope>'

3) Extensiones FrontPage: SharePoint activa estas extensiones que se utilizan para labores de publicación. Aunque la configuración de seguridad por defecto limita estrictamente el acceso a estas funciones, a veces podemos encontrarlas desprotegidas y aprovecharnos de ellas de la siguiente forma con curl:

$ curl -i -s http://sharepoint.microsoft.com/blogs/_vti_bin/_vti_aut/author.dll -H 'X-Vermeer-Content-Type: application/x-www-form-urlencoded' -d 'method=list+documents:0.0.0.0000&initialUrl=Documents'

4) SharePoint Services: Anteriormente conocidos como Office Web Server (OWS) Services. De ahí el nombre del filtro ISAPI utilizado para realizar las peticiones: owssvr.dll. Se utiliza para funciones de creación y edición de contenidos. Podemos también utilizarlo para obtener un listado de la carpeta de documentos, con una URL como la siguiente:

http://sharepoint.microsoft.com/blogs/_vti_bin/owssvr.dll?dialogview=FileOpen&location=Documents

5) Webdav: Por último, SharePoint permite también el acceso mediante Webdav a sus carpetas. Normalmente este acceso está limitado a los usuarios autenticados, pero un descuido del administrador a veces puede dejarlas accesibles. Para comprobarlo podemos intentar lo siguiente con curl:

$ curl -i -s http://sharepoint.microsoft.com/blogs/Documents/ -X PROPFIND

Creo que no me dejo ninguna, ¿Os parecen pocas?

La principal idea que intento transmitir es que a la hora de proteger un servidor SharePoint no solo tenemos que vigilar las formas de acceso obvias, sino que debemos también tener en cuenta todas las posibilidades que ofrece esta plataforma. Ya que como reza el viejo dicho "Casa con muchas puertas mala es de guardar".


Ramón Pinuaga
Dpto. Auditoria S21SEC

1 comentario:

Unknown dijo...

Buen artículo. Creo que también habria que incluir aquí la información accesible mediante el buscador: el usuario puede no tener acceso a sitios pero sí que podrá obtener información de ellos a través de consultas al buscador, me equivoco?


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login