Recomendaciones Seguridad Servidor Web Apache.

Apache es uno de los servidores Web más utilizados y una parte vital cuando alojamos un website o un servicio Web. Este cuenta con varias herramientas que nos pueden ayudar a reforzar la resistencia de nuestro website a posibles ataques. En esta publicación vamos a ver algunas recomendaciones para reforzar la seguridad de nuestro servidor apache.
Todas las modificaciones se harán en el archivo de configuración de Apache
/etc/httpd/conf/httpd.conf 
1. Deshabilite la Firma o Banner de Apache
La Firma de Apache es el nombre de la aplicación junto con su versión que se muestran al momento de hacer un requerimiento Web. Esta información no es necesaria y puede ser utilizada por un atacante para violar la seguridad del servidor, Se preguntarán ustedes en que afecta esto, un breve ejemplo, supongamos que apache versión 1.4 tiene una brecha de seguridad que es fácil de comprometer y que fue solucionada en la versión 1.6, si usted no ha actualizado y el atacante conoce esta información ya inmediatamente sabrá por donde atacar.

Para deshabilitar esto accedemos al archivo de configuración de Apache,
Modificamos los siguientes valores,
ServerSignature off
ServerTokens ProductOnly

2. Deshabilite el HTTP TRACE
HTTP TRACE Es usado para devolver toda la información recibida. Puede ser modificado para que devuelva cookies HTTP, como resultado robando la sesión HTTP. Puede ser utilizado para ataques de Cross Site Scripting o XSS, así que lo más recomendable es deshabilitarlo por cuestiones de Seguridad.
Modificamos lo siguiente en el archivo de configuración de Apache,
TraceEnable off
3. Confirme que Apache corre bajo el usuario y grupo apache.
Es de vital importancia que nos aseguremos que apache corra bajo el usuario y grupo apache. Unos de los errores más grandes que he visto es que lo dejan correr como Root y esto lleva a una seria brecha de seguridad. Para confirmarlo accedemos al archivo de configuración de Apache, verificamos o modificamos las siguientes directivas.
User  apache
Group apache
4. Deshabilite Módulos que no esté utilizando
Apache cuenta con varios módulos. Si queremos ver cuáles módulos nuestro servidor está corriendo podemos ejecutar el siguiente comando como root.
# grep –n LoadModule /etc/httpd/conf/httpd/conf
Aquí veremos un Listado con todos los módulos que Apache Carga. Analice la Lista y confirme cuales utiliza su servidor, los que no, Simplemente comente la línea en el archivo de configuración.
5. Limite el tamaño de las Solicitudes
Los Ataques de Denial of Service siempre son posibles cuando permitimos solicitudes de gran tamaño en nuestros servidor Apache. Apache cuenta con una Directiva para limitar esto,
LimitRequestBody
Por defecto esta ilimitada. Modifique este valor según sea la necesidad de su sitio web.
6. No permita que Apache acceda a Directorios fuera de su Raíz.
Permitirle a Apache que tenga acceso a Directorios fuera de su Raíz es dejar una gran brecha de seguridad, al menos que usted realmente necesita que Apache acceda. Para deshabilitar esto solo tiene que modificar la entrada Directory de document root para que se vea como sigue.
<Directory />
Order Deny, Allow
Deny from all
Options None
AllowOverride None
</Directory>
7. Implemente Mod_Security
Uno de los Módulos más importante de Apache sin duda es Mod_Security. Este es un Firewall de aplicaciones web que  puede manejar varias tareas incluyendo filtrado simple, filtrado de expresiones regulares, validación de la codificación de una URL, entre otras. Mod_security es un tema amplio conjunto con su instalación, Así que le voy a dedicar una publicación solo a este módulo abundando un poco más sobre el tema y su instalación.
8. Actualice
Mantenga Apache siempre actualizado, y si su sitio Web usa PHP, manténgalo actualizado de igual forma para así garantizar que cuenta con los últimos parches de seguridad.
Aquí les deje algunas algunas de las recomendaciones de seguridad más importantes para reforzar la seguridad de nuestro servidor Apache, Mas adelante estaré publicando sobre mas recomendaciones y más importante sobre Mod_Security para que refuercen la seguridad de sus servidores.

Comentarios

Publicar un comentario

Entradas más populares de este blog

Instalando ModSecurity en Linux CentOS y Apache

Imagen
En la actualidad la mayor parte de los ataques son dirigidos hacia las aplicaciones web, es por esta razón que las organizaciones necesitan todo lo que les puede ayudar para hacer que sus sistemas y aplicaciones sean más seguras. Los Firewalls de aplicaciones Web se implementan para agregar otra capa de seguridad a nuestras aplicaciones que aumentan la seguridad, detienen y previenen los ataques antes de que estos lleguen a la aplicación. En un  Post  anterior hablaba de lo que era ModSecurity, que es un Firewall de aplicaciones web que nos ayuda a proteger nuestras aplicaciones web de diversos ataques. Hoy vamos a ver como lo instalamos en un Sistema con Linux CentOS y Apache. La instalación es bien sencilla y trae reglas preconfiguradas que nos ayudarán aumentar la seguridad de nuestras aplicaciones web. Seguimos los siguientes pasos como root.
Leer más

IPFire, un Firewall Open Source

Imagen
La Seguridad es un punto vital en una organización y más cuando se manejan datos delicados. No podemos darnos el lujo de que un usuario malintencionado entre a nuestra a red, pero hay un punto que a veces no le permite a la organización contar con la última generación de Firewall y appliance de seguridad, y ese factor es, Dinero. Es ahí donde podemos contar con una serie de soluciones totalmente abiertas que nos dan las mismas funcionalidades y lo mejor de todo es que podemos adaptarlas a nuestras necesidades. Hoy quiero presentarles una solución de Firewall de código abierto y que ha mostrado ser capaz de proteger hasta los ambientes más críticos, IPFire. IPFire fue diseñado  con la más alta flexibilidad y modularidad en mente. Es fácil implementar muchas de sus variaciones, tales como, Firewall, Servidor proxy o una puerta de enlace VPN. El diseño modular asegura que IPFire corra para lo cual fue configurado y nada más. Todo es fácil de manejar mediante su manejador de paquetes
Leer más

Mejores Prácticas de Seguridad para OpenSSH

Imagen
OpenSSH es una implementación del protocolo SSH, es recomendado para login remoto, hacer backups, transferencia de archivos vía scp o sftp y mucho más. SSH es perfecto para mantener la confidencialidad y la integridad de los datos intercambiados dentro de una red o sistema. Ahora bien, es necesario seguir algunos lineamientos para mejorar la seguridad de un servidor OpenSSH. Aquí les voy a enumerar las más importantes.
Leer más