RECOMENDACIONES BASICAS PARA LA IMPLEMENTACIN DE SERVIDORES WEB SEGUROS Orestes Oliva De Varona Asesor y Especialista en Seguridad informtica Estas

recomendaciones, pretenden ser una modesta gua de ayuda a la hora de disear sistemas de seguridad para servidores web, es una buena prctica disear la seguridad por niveles o capas, cada nivel sper pone a al anterior, lo cual refuerza la seguridad y dificulta la realizacin de ataques, por las mismas razones la seguridad de servidores Web debe estar diseada por niveles, Otro principio muy importante es que los esquemas de seguridad deben incluir al menos 4 tipos de medidas de seguridad. 1.) 2.) 3.) 4.) Preventivas Reactivas Deteccin Recuperacin

1.) Medidas Preventivas: Su objetivo es prevenir o dificultar la intrusin eje mplo: Firewalls 2.) Medidas Reactivas: Reaccionan ante la amenaza tomando contra medidas ejemplo: Firewall de aplicaciones, Mod_security, Sistemas de deteccin de ataques de fuerza bruta, etc. 3.) Medidas de Deteccin: Ayudan a detectar si una intrusin a ocurrido o est en proceso ejemplo , HIDS como Tripwire, chkrootkit. 4.) Medidas de Recuperacin: Ayudan a recuperar la operatividad luego de una intrusin ejemplo: backups e imgenes de disco. Al implementar un esquema de seguridad se debe planear en lneas defensivas, cada lnea refuerza la anterior, de modo que el fallo o la vulnerabilidad de una lnea no comprometa la instalacin, piense como el enemigo, monitoree sus logs e investigue cualquier indicio sospechoso. Un e jemplo tpico de un esquema defensivo sera algo como: 1ra Lnea Componente: Software Objetivo: Mantener nuestro software al da y con sus respectivos parches de seguridad aplicados

2da Lnea Componente: Firewall Objetivo: Reglamentar el trfico de entrada/salida Ejemplos: APF, Firewalls de hardware, etc. Un firewall clsico evita que accesos a determinados servicios de nuestro servidor pero no protege a los servicios que obligatoriamente debemos dejar abiertos en un servidor web como son: http, mail, ssh, etc. 3ra Lnea Componente: Sistema de deteccin de ataques de fuerza bruta. Objetivo: Proteger nuestros puntos de entrada al servidor, ssh, ftp, etc. que un firewall clsico no proteger a. Ejemplos: BFD Los hackers saben muy bien que muchos usuarios son descuidados con sus passwords, tambin saben que muchsima gente usa su mismo login como password, adems existen numerosas herramientas que facilitan el ataque a servicios como ftp y ssh, estos ataques tratan de ingresas miles de combinaciones de usuarios y passwords para tratar de dar con alguna que funcione. 4ta Lnea Componente: Firewall de aplicacin. Objetivo: Proteger nuestras aplicaciones web de uso malicioso Ejemplo: mod_security Muchas aplicaciones web son inseguras, una no adecuada validacin de variables y formularios puede ser la puerta de entrada para hacker, los firewalls de aplicaciones protegen nuestras aplicaciones de uso malicioso. 5ta Lnea Componente: HIDS activos. Objetivo: Examinar los paquetes entrantes en busca de ataques conocidos Ejemplo: SNORT Estos sistemas verifican el trfico entrante y lo comparan con patrones de ataque conocidos y en base a eso pueden tomar acciones. 6ta lnea Componente: HIDS pasivos Objetivo: Detectar intrusiones recientes o en proceso Ejemplo: Tripwire La idea bsica detrs de estos sistemas es saber con exactitud si una intrusin ha ocurrido y saber que partes del sistema fueron modificados, de esta manera podemos planear la recuperacin y parcheo del sistema. 7ma lnea Copias de Seguridad: backups e imgenes de disco. Despus de una intrusin esto es lo nico que le quedar asegrese de que realizar peridicamente copias de respaldo y mensualmente haga pruebas de restauracin.

Consejos generales de seguridad: 1) Sea paranoico, desconfi de todo. 2) Prote ja su computadora personal tanto como su servidor, de nada vale proteger su server si un hacker puede robarle su contrasea fcilmente de su computadora. 3) Revise los logs diariamente 4) Investigue cualquier anomala. 5) Mantngase informado acerca de las ltimas amenazas de seguridad. 6) Parta de la pre misa de que NO existe un servidor impenetrable solo difcil de comprometer. 7) Seguridad no es instalar paquetes de seguridad en su servidor, es un chequear la seguridad del mismos sistemticame nte