Vous êtes sur la page 1sur 14

RECOMENDACIONESBSICASDESEGURIDAD

Hostalia Internet S.L.U. 2001-2008. HOSTALIA

Introduccin
AligualqueseproducenavancesenlatecnologaaplicadaalosserviciosInternet,lastcnicasdeataqueorientadasa obteneraccesoalossistemasdeinformacindeformanoautorizadaevolucionanyseadaptanalascaractersticasde estemediotancambiante.Debidoalcarcterinternacionaldelaredyalapopularizacindelmedio,enlagranmayora deloscasoselatacantedesconoceaquienpertenecenlosservidores,cualessufuncinoquetipodeinformacin albergan.EstoprovocaquelosservidoresconectadosaInternetrecibanmultituddeintentosdeaccesonoautorizado provenientesdetodaslaspartesdelmundo,conelobjetivodeutilizarlosrecursosdelamquinayrealizar actividadesilcitassinpreocuparlequieneselpropietariodedichoservidorolainformacinquestealbergue, provocandomalfuncionamientoy/oprdidadedatosenlosservidoresyocasionandoqueelservidorfigurecomoorigen delasactividadesilcitasrealizadas.

EnInternetseproducenadiariomultituddeintrusionesensitiosweb,provocandoenmuchoscasoselcambiodelas pginasweb(odefacement)yquedandoelresultadovisibleparatodoslosinternautashastaqueserestituyenlosdatos originales,inclusoexistenpginasdeInternetqueconservanelhistricodewebshackeadosyelrankingdeloshackers msactivos,comoporejemploenelsitiowebhttp://www.zoneh.org:

Ilustracin 1: Ranking de hackers en www.zone-h.org

Hostalia Internet S.L.U. 2001-2008. HOSTALIA

Enlamayoradeestosataqueslavctimanoesescogidaporsuidentidadoloscontenidosdesuweb,sinopor quesehadetectadoquesuwebposeepginas,formulariosocdigovulnerable,empleandoenmuchoscasoslos buscadoresdeInternetparadetectarquewebssonvulnerables(GoogleHacking).Elmsclaroexponentedeestetipo dehackingaleatoriosonlasdenominadasbotnets,redesdemquinaszombiesquehanproliferadoenInternetsobre todoenlosltimosdosaos.Unamquinapasaaperteneceraesasredesdezombiesprincipalmentededosformas: portenerunavulnerabilidadqueesdetectadayaprovechadadeformaremota,oporlaejecucindeuntroyanopor partedeunodesususuarios,formandoredesdezombiessoncontroladasnormalmenteporotroservidormasterboota travsdecanalesIRC(InternetRelayChat)yquesonempleadaseinclusoalquiladascondiferentesobjetivos: realizarataquesDDoS,enviarSPAM(envomasivodecorreo),phising(intentosdeobtenercredencialespor correo),yrealizarbarridosdeformaautomticaparadetectarnuevosservidoresvulnerablesalosqueaadirala botnet.

hacker

Botnet: Servidores infectados controlados de forma remota (zombies)

Bsqueda automtica de servidores vulnetables

Envo de SPAM, SCAM, phising

Ataques, DoS, crack contraseas

Ilustracin 2: Redes de botnets realizan ataques y buscan nuevos servidores vulnerales


Debidoaestosbarridosmasivosyautomticoseltiempoenqueunamquinavulnerableconectadaalaredpasaaser comprometidahadisminuidodeformaconsiderableenlosltimosmeses,ysehacenecesarioajustaralmximolas medidasdeseguridadascomoreducirelnmerodeserviciosvisiblesalaredaaquellosimprescindiblesparala funcionalidaddeseada.Obviamente,unatacantesecentrarmsenlosservidoresqueapriorileofrecenms vasdeentradaydescartaraquellosqueparecequehansidoconfiguradosdeformaexpresaparaofrecerlo justo.

Hostalia Internet S.L.U. 2001-2008. HOSTALIA

Hostaliaproporcionaunasmedidasdeseguridadqueconsideraadecuadasparalamayoradeloscasosylos propsitosgeneralesparalosqueseempleancadaunodesusservicios,desdeelalojamientocompartidohastael housingocolocation.Noobstantetengaencuentaqueessuresponsabilidadrealizarunaadecuadagestindela utilizacindelservicioydesusaplicacionesodatos,detalformaqueeviteaccesosnoautorizadosasu informacinoquetercerossaquenprovechoorealicenactividadesilegalesdesdelosrecursosqueHostaliale haasignado.

Elobjetivodeestedocumentoesayudarleenlapersonalizacindeesasmedidas,paraevitarquetengaproblemascon parcelasenlasqueHostalianotieneelcontrolyparaayudarleaconseguirlaconfiguracindeseguridadidneadelos serviciosquetienecontratadosconnosotros.Nosetratadeunaguadeseguridadcompleta,sinodeunaseriede recomendacionesbsicasquesegnnuestraexperienciasonlasqueevitaranlamayoradelasincidencias tcnicasdeseguridadquesereportanaHostalia.

Losdatosalojadosolosrecursosasociadosaunservicioestnprotegidospordiferentescapasdeseguridadlgica,y entodasellashayquerealizarlosajustesoportunosparaevitarunaccesosnoautorizados.Enelsiguienteesquema simplificaremosestascapasdeseguridadlgica:

Seguridad a nivel de red (Firewalls, ACLs, etc) Seguridad a nivel de sistema operativo y servicios Seguridad en la autenticacin (usuario, contrasea, etc.) (no aplicable para servicios pblicos web,etc.) Seguridad a nivel de aplicacin (desarrollos, CGI.s, etc)

Ajustes Ajustes Responsabilidad responsabilidad de de Hostalia en Servicio acens en servicios de dehosting Hosting Compartido compartido

Ajustes Ajustes Responsabilidad responsabilidad del del Cliente en Servicio cliente en servicios de dehosting Hosting Compartido compartido

Datos alojados

Recursos asignados Ajustes responsabilidad del Ajustes Responsabilidad cliente en servidores del Cliente en Servidores privados, dedicados, Dedicados y Housing colocation/ housing, acensNET

Ilustracin 3: Simplificacin de las capas de seguridad lgica a tener en cuenta


Enelrestodeldocumentoseharmencinaaspectostcnicosrelacionadosconlamejoradelaseguridadenlos serviciosquetengacontratadosconHostalia.Siustedeslapersonaencargadadeestosaspectosensu corporacinlerecomendamossulectura,sinoesaslerecomendamosqueselashagallegaralpersonal tcnicoyverifiqueconellossiesposiblemejorarlaseguridaddesuinformacinsiguiendoestaspautas.

Enlasiguientetablaseindicanlasprincipalescausasdeincidenciasenmateriadeseguridadlgicadetectadaspor Hostalia: Hostalia Internet S.L.U. 2001-2008. HOSTALIA

Tabla1:Principalescausasdelasincidenciasdeseguridad

Principalescausasdeincidenciasdeseguridad
Serviciosdegestinnobloqueadosenfirewall Gestinincorrectadecontraseas Desarrollosdepginaswebinseguros Aplicacionesnoparcheadas

Windows
FTPannimocon permisosdeescritura Serviciotelnetactivado

Unix
CuentascorreooFTPconshellvlido Accesodirectocomorootconcontrasea (telnet,ssh,webmin)

Hostalia Internet S.L.U. 2001-2008. HOSTALIA

Seguridadaniveldered:Bloqueodeserviciosenfirewall
Aplicableaclientesde:Servidoresdedicadosyhousing/colocation
ElfirewallocortafuegospermiteestableceruncontroldeaccesobasndoseprincipalmenteenladireccinIPorigende laspeticionesdirigidasasuservidor.Deestaformasepuederestringirlavisibilidaddelosserviciosdeunamquina conectadaaInternetmostrandonicamenteaquellosserviciospblicamenteaccesiblesybloqueandolosaccesosalos serviciosprivadosodegestin.EnInternet,debidoalcarctermundialdelaredyalosproblemasocasionadosporlas redesdemquinasinfectadasdescritasanterioremente,losservidorescontinuamenterecibenintentosdeaccesono autorizadosdeformaremota,enfuncindelaconfiguracindelfirewallsepuedenrechazarlamayora,particularmente aquellosqueprovienenderedesnoconfiables.

Usuario servicios pblicos permitidos

Ataques de servidores infectados, hackers, etc.

firewall
Administrador remoto autorizado

servidor

Ilustracin 4: Filtrado de acceso mediante el firewall


Enelcasodelosserviciosdealojamientodistintosalalojamientocompartido(servidoresprivados,servidoresdedicados yhousingcolocation)larecomendacinprincipalconsisteenbloquearlosprotocolosconsideradosde administracin(RemoteDesktopoTerminalService,telnet,ssh,webmin,userminysiesposibleftp)detal formaquesolosepuedaaccederdesdelasdireccionesIPquenormalmenteempleenparalagestin,deesta formaconseguiremosqueelrestodeInternetsolovealosserviciosqueconsideramospblicos(habitualmenteWeb).

Hostalia Internet S.L.U. 2001-2008. HOSTALIA

Paradeterminarlasredesdesdelasquepermitirestosaccesosdeadministracintengaencuentaque:

SiestosaccesosdeadministracinserealizandesdeunnicopuestodeusuarioconIPfija(p.e.ADSLcon direccinIPfija),puededeterminarsudireccinIPenlasiguientedireccin,teniendoencuentaquesipasapor unproxyesaserladireccinIPaautorizarenlosaccesosaherramientasdegestinbasadasenweb: www.hostalia.com/ip SilosaccesosdeadministracinserealizandesdeunaredcorporativadeberproporcionarelrangoIP completodesdeelquequierequesepuedanalcanzarlosprotocolosdeadministracin. SiseaccedeaesosprotocolosdeadministracindesdepuestosquenotienenunadireccinIPfijaelnivelde seguridadsereduceconsiderablemente,puestoqueseranvisiblesatodaslasmquinasdeInternetyse dependeraenexclusivadelarobustezdelascontraseastalycomosehaindicadoenanterioresapartados. Esunasituacinnodeseableyesmuyaconsejablequeintentedelimitarlospuestosoredesdesdelos quedeseaqueseanvisiblesestosprotocolosdegestinquedanaccesoafuncionesavanzadasdesu servidor.Enestassituacionesesalmenosrecomendableindicarunrangoasociadoalproveedor,paraevitar losintentosdeaccesonopermitidosqueseproducenconstantementedesderedesremotas.

EnelcasodeservidoresconsistemaoperativoWindowsesnecesarioelbloqueodeNetBiosyprotocolos asociadosdeMicrosoft,puestoquesonserviciosquenodeberanservisiblesdesdeInternet,yenelcasoderedes deconfianzanicamentesisevanautilizarfuncionesexclusivasdeservidoresMicrosoft,talescomoelaccesoa carpetascompartidasporprotocoloCIFS.

Apartedelosprotocolosdeadministracinhayotrosserviciossusceptiblesdeseratacadosycuyapolticadebloqueo convienerevisar.Principalmenteestamoshablandodelaccesoabasesdedatos(mysqlenunix,MSSQLenentornos Microsoft),delosquesiesnecesariosuaccesoexternohayquelimitarloaredesdeconfianza.Porotrolado,hayque revisarsisevaaprestarserviciodeDNSy/ocorreo(SMTP,POP3,IMAP,webmail)ybloquearloenelfirewallsiel accesonodebeserpblico.

Enelcasodelosservidoresprivadosenelpropioservicioseincluyelaproteccincortafuegos(Firewall)que posibilitalasolicituddecambiodereglasdesdeelmismopaneldecontrol.Enelcasodeservidoresdedicadosy housingcolocationconservicioFirewallconreglaspersonalizablessepuedensolicitarestoscambiosporel canaldecomunicacinhabitualconHostalia.

Hostalia Internet S.L.U. 2001-2008. HOSTALIA

Tabla2:Serviciostpicospresentesenlosservidoresyvisibilidadrecomendada

Servicios
Web(httpyhttps) RemoteDesktop (TerminalService) SSH(SecureShell) Telnet Webmin,usermin FTP

Carctertpico
Accesopblico Accesode administracinygestin

Visibilidadrecomendada
Bloquearenfirewallsinoseutiliza Permitirenfirewallacceso EXCLUSIVAMENTEdesderedesde confianza

Accesode administracinygestin Publicacinde contenidos Accesobloqueado

Sisoloseutilizadesderedesfijas:Permitir solodesdeestasredesenelfirewall

MicrosoftNetBios, MicrosoftRPC, MicrosoftSMB

Bloqueartotalmenteenfirewall nicamenteabriraredesconfiablessise emplearnserviciosMicrosoftcomo carpetascompartidas Bloquearenfirewallsinoseutiliza Encasocontrariobloquearenfirewallaccesos desderedesnoconfiables Bloquearenfirewallsinoseutiliza Sisoloseutilizadesderedesfijas:Bloquearel restoenelfirewall Sielaccesodebeseruniversal:gestionar correctamentecontraseas

Basededatos (MSSQLyMysql)

Accesorestringido

Correo(SMTP,POP3, IMAP,webmail)

Accesorestringido

Hostalia Internet S.L.U. 2001-2008. HOSTALIA

Seguridadenlaautenticacin:Gestindeusuariosycontraseas
Aplicableaclientesde:TodalagamadeserviciosHostalia
LaprincipalrecomendacinaplicableatodoslosserviciosquepuedatenercontratadosenHostalia,ylacausadela mayoradelasintrusionesnoautorizadasenservidores,siguesiendolaeleccindeunacontraseadbil. DesdelacontraseadelpaneldecontrolhastalasempleadasenlasposiblesaplicacionesoCGIsqueustedalbergue enservidoresdeHostalia,debencumplirunasreglasbsicasquelahagandifcilmenteadivinable,tantoporpersonas comomuyenespecialporprocesosautomticosqueutilizancombinacionesbasadasenpalabrasdeldiccionarioy/o conmutacionesdenmerosyletras.

Servidorm aliciosoenv a com binacionesdeusuarioy cont rase abas ndoseen diccionariosycom binacionesde let rasyn m eros
aaaaa abaco abrego abrigo absida abside absit acana acaro acates acere acida acido acigos acimo acoro acrata . .

Servidorconcont rolde accesobasadoen usuario/ cont rase a

Usuario:admin,Contrasea:abcdefg Usuario:admin,Contrasea:absida Usuario:admin,Contrasea:absida1 Usuario:admin,Contrasea:absida13 Usuario:admin,Contrasea:absida56 Accesopermitidocon: Usuario:admin,Contrasea:absida56

Ilustracin 5: Ataques de diccionario y fuerza bruta para averiguar contrasea


Lasrecomendacionesenlaeleccindeunabuenacontraseasonlassiguientes:

Nuncaestablezcaunacontraseanulaoqueseaigualalnombredelusuario(p.e.usuario:prueba, contrasea:prueba),aunquesetratedeunaccesotemporaltengaencuentaquecontinuamenteserealizan intentosdeaccesoatodamquinaconectadaaInternet. Noescojaunapalabraquefigureenalgndiccionariodecualquieridioma,enesosbarridosrealizados contralosservidoresseempleandiccionariosparaprobarlacoincidenciadelacontraseaconcadaunadelas palabras. Noescojaunnombrepropiooelnombredeunalocalidad,suelenserincluidosenlosdiccionarioscomo posiblescontraseas. Noutilicesecuenciasdeteclado,fraseshechasopalabrasqueaunquenofiguranendiccionario pertenecenalargotasociadoaciertombito((p.e.qwerty,12345,noseque,foobar,devnull,homerun). Nocompongaunacontrasearealizandooperacionesdesustitucinocambiodeordenenlasletrasde unapalabradelascategorasanteriores(p.e.sustituirlaletraiporelnmero1,laletraoporelnmero 0,invertirelnombredelasletras,aadirunsimplenmeroaunapalabra,etc.),comopuedeimaginarlas mquinasqueestnrealizandopruebasparadarconlacontraseacorrectarealizanestasoperacionesen cuantohanprobadocontodaslaspalabras,realizandotodaslaspermutacionesycombinacionesposibles. Combineminsculas,maysculas,nmerosysmbolosenlacontrasea,estoevitalosataquesde

Hostalia Internet S.L.U. 2001-2008. HOSTALIA

diccionarioydificultalosataquesdefuerzabruta,lossmbolosdebenserimprimiblesparaevitarquese envencomandosdecontrolquepuedansernoaceptadosporlaaplicacindelogin.

Establezcacontraseasdealmenos810caracteresdelongitud,cuantomslongitudtengala contraseamayorserladificultadenaveriguarla.

Existenherramientasonlineparachequearlarobustezdeunacontrasea,desdelapgina http://www.securitystats.com/tools/password.phpsepuededeterminarelniveldeseguridaddeunacontraseayse efectanrecomendacionesparamejorarla,aunqueobviamenteinclusodesdelamismapginaserecomiendano introducircontraseasqueestemosempleandoensistemasenproduccin.

Convienequelosidentificadoresdeusuarioylascontraseascorrespondientesseasignendeformaindividual,no siendocompartidasentrevariaspersonas.Estaprcticarecomendadaesunrequerimentoparaelcumplimientode algunasnormaseinclusoanivellegalsiseestnmanejandoficherosdedatosdecarcterpersonaldenivelmedioo superior,deformaquesepuedagarantizarlaidentificacininequvocaypersonalizadadecadausuario.Esimportante quelascredencialesindividualesnoseanproporcionadasatercerosengeneral,yenparticulardesconfesile solicitanporcorreoelectrnicoinformacinsobresuidentificadorycontrasea.

Comoltimarecomendacinbsicahayquerecalcarlanecesidaddequeseanulenlosaccesoscuandoyano seannecesariosysecambienlascontraseasactivasdeformaperidica,detalformaqueevitamosproblemas conpersonalquelasconozcaaunqueenlaactualidadnodeba(antiguosempleadosycolaboradores,etc.)y dificultamoslalabordelosrobotsquebuscancombinacionesdeusuario/passwordtpicas.Siustedmanejaficheroscon datosdecarcterpersonaltendrquemodificarlascontraseasconlaperiodicidadestipuladaeneldocumentode seguridadasociadoalficherodeclaradoantelaAgenciadeProteccindeDatos.

Tabla3:Resumenderecomendacionesengestindeusuariosycontraseas

Gestindeusuariosycontraseas
Establecercontraseasrobustas Nonulasoigualalnombredeusuario Nousarpalabrasquefigurenencualquierdiccionario Nousarnombrespropiosociudades Nousarsecuenciasdetecladooargot Nousarcombinacionesopermutacionesdepalabras Combinarmaysculas,minsculas,nmerosy smbolos Longitudmayora810caracteres Asignaridentificadoresycontraseasdeformaindividual Noproporcionardatosdeaccesoaterceros(especialmentesilosolicitanporemail) Anularaccesosdecuentasnoempleadas Cambiarcontraseasdeformaperidica
Hostalia Internet S.L.U. 2001-2008. HOSTALIA

Seguridadaniveldeaplicacin:cdigowebysoftware
Aplicableaclientesde:TodalagamadeserviciosHostalia
Elsegundopuntoimportante,tambinaplicableindependientementedelproductocontratadoenHostalia,esel mantenimientodelcdigowebyelsoftwareinstaladoporsucuenta,yaseandesarrollospropios,deterceros desarrolladosparasucasoconcreto,aplicacionescomerciales,ocdigoopensource.

Unerrormuycomnesinstalaraplicacionesweb,yaseancomercialesobasadasencdigoabierto,ynorealizarun seguimientodelasactualizacionesdeseguridad,nimuchomenoslainstalacindelosparchesquesevanpublicando eneltiempo.Lagranmayoradeproblemasdeestetiposeestnproduciendopornohaberparcheado convenientementeforosbasadosenphpbb,yportaleswebbasadosenphpnukeypostnuke.Elltimoao tambinsehanproducidomuchasincidenciasdeseguridadpornoparchearadecuadamentelaaplicacingeneracin deestadsticasawstats,enelcasodequenopuedapermitirserealizarelseguimientoeinstalacindeactualizaciones deestaaplicacinlerecomendamosempleelaaplicacindeestadsticasquesueleestarincluidaenelserviciode Hostalia.

Siustedempleaestetipodeherramientasesconvenientequesesuscribaalalistadecorreodeanuncios correspondiente,dondesesuelenenviarlasnotificacionesdelaexistenciadenuevasversionesysisolucionanalgn problemadeseguridad.Esconvenientequesevisitenlaspginasrelativasaseguridaddecadaherramienta,por ejemplo,paraforosbasadosenphpbb:http://www.phpbb.com/security/,oquedeformaperidicaserevisesiexiste algunanuevaversinysisolucionaalgnproblemadeseguridad.

Siustedtienecdigopropio,odesarrolladoamedidaparasucaso,hayquetenerencuentaquesedebenseguiruna seriederecomendacionesdeseguridadalahoradeprogramar.Lamayoradelosproblemassedebenaquenose chequeaadecuadamenteelformatodelosparmetrosdeentradadelaaplicacinoCGI,loquedalugara diferentestcnicasdeataque(CrossSiteScripting,SQLInjection,etc.).Hayqueverificarqueeldatodeentradase ajustatotalmentealformatoytipoesperado,siendolasrecomendacionesgeneralesenestepuntolassiguientes:

Establecerlosfiltrosnecesariosparaversicadaunodelosparmetrostieneelformatoylongitudesperada (p.e.sielparmetrotienequeestarcompuestoporletras,pornmeros,porambosenunordenconcreto,versi superaellmiteestablecidoparaelvaloresperado,etc.). Eliminarcaracteresincorrectosy/oescaparlos,prestandoespecialatencinaeliminarsinosonnecesarios:

Espacios,comillas,doblescomillas,puntoycoma,barras,etc.Eliminarestoscaracterespuedenevitar

ataquesdeSQLInjectionsielparmetrosevaaemplearpararealizarunaconsultaSQL. o Saltosdelnea,unerrormuycomnconsisteennoeliminarlossaltosdelneaqueincluyeunodelos parmetrospasadosalafuncindeenvodecorreo(p.e.direccinemail,asunto) Considerarelcontextoyloquevamosahaceracontinuacinconesosdatosparaevitarusoindebido(p.e.No permitirinsertarHTMLenuncampodetexto,nopermitirlacargadecontenidosdepginasremotas). Sisevanaabrirficherosenfuncindealgunodelosparmetrosdeentradaconvienerestringirelnivelde directoriosalosquesevaaaccederychequearelparmetrodeentradaparaeliminarloscaracteresque permitanaccederaotrosdirectoriosoficheros.

EstasverificacionessedebenrealizarenlaaplicacinoCGIquerecibelosdatos,nosiendosuficienterealizar comprobacionesmedianteJavascript,puestoqueunusuariomalintencionadopuedeenviardichosdatosdirectamentea laaplicacinoCGIsinpasarporlapginaquerealizaloschequeosmedianteJavascript.

Hostalia Internet S.L.U. 2001-2008. HOSTALIA

Tambinesimportantechequearcualquiercdigodeerrorretornadoporlasfuncionesenlasqueseempleen,de talformaquesemuestreunapginadeerrorenlugardecontinuarconlaejecucindeaccionesespecificadaenel cdigo.Porejemplo,sinosechequeaelerroralahoradeconectarseaunabasededatosnosepodrdetenerla ejecucindelCGIylosefectospuedensernegativos.

SilaaplicacinweboCGIseconectaaunabasededatosesimportanteemplearunusuarioconelmnimo privilegioposible,desololecturasisetratadeunapginaqueconsulteinformacinparamostrarla.Enelcasodeque seanecesarioemplearunusuariodelectura/escrituraenpginasconcretas(p.e.pararealizarinsercindedatos)es convenientenoemplearelusuariosuperadministradoroSA.

Enelcasodequelaaplicacinweb,ounaseccinconcreta,requieraautenticacinoidentificacinmedianteusuarioy contraseahayquecuidarqueentodaslaspginasafectadasserealizalacomprobacindeidentidad,puesto queunerrormuycomnesrealizaresavalidacinsimplementeenlapginadeentrada.

Yasetratedeunaaplicacinpropietaria,detercerosuopensourceesnecesarioquelaspginascorrespondientesa lasoperacionesdeadministracinestnprotegidasysolicitenautenticacindeusuarioparapermitirsuacceso (p.e.gestindecontenidos,gestindeforos,gestindeaplicaciones,etc.).

Unerrorcomnenlagestindeloscontenidosdelawebconsisteendejarficherosconinformacinsensible bajoeldirectorioraizdelaweb(docroot),estandoportantodisponiblesparasudescargapblicaporweb(p.e. ficherosaccess,ficheroszipotarconbackups,exportacionesdebasesdedatos,etc.),confiandoenquecomonoestn enlazadosenelrestodelaspginasynoseconocelaURLdeaccesoespocoposiblequealguienlosdescargue.Lo queprocedeenestoscasosesalmacenardichosficherosporencimadeldocrootoenundirectorioquerequiera autenticacinoidentificacindeaccesocomolosespecificadosenelprrafoanterior.

Noesrecomendablemantenerverionesanterioresdelaspginasenlosdirectoriosvisiblesporelweb,perosi temporalmentehayquerealizarunacopiadelaversinanteriorconvienequealficheronoselecambiela extensin,paraevitarquetercerosnoautorizadospuedanvisualizarelcdigocorrespondiente(p.e.esincorrecto: pagina.asp.old,pagina.php.old;escorrecto:pagina.old.asp,pagina,old.php).

Esnecesarioqueeldesarrolladorconozcalosposiblesriesgosderivadosdeunaincorrectaprogramacinysepacomo evitarlos,comoreferenciasenlawebcitaremos:

ParatecnologaUnixPHP:http://phpsec.org/projects/guide/yhttp://www.devshed.com/c/a/PHP/PHPSecurity Mistakes/ ParatecnologaMicrosoftASP:http://msdn2.microsoft.com/enus/library/ms998372.aspx

Hostalia Internet S.L.U. 2001-2008. HOSTALIA

Tabla4:Resumenderecomendacionesdeseguridaddelsoftwareycdigoweb

Cdigoweb,softwareyaplicaciones
Softwaredeterceros Suscribirseaanunciosdenuevasversiones Parchearsiaparecenbugsofallosdeseguridad Filtrarychequearcorrectamenteparmetrosdeentrada (nosolomediantejavascript,enlapropiaaplicacin) Softwarepropio Comprobarcdigosdeerrordelasfunciones Emplearusuariosconelmnimoprivilegio Comprobacindeidentidadentodaslaspginasrestringidas Comprobarcdigosdeerrordelasfunciones Activarautenticacindeusuarioenpginasdeadministracinygestin Nodejarficherosconinformacinsensibleaccesiblesbajodocroot Renombrarversionesanterioresdelaspginasconlaextensincorrespondiente

Hostalia Internet S.L.U. 2001-2008. HOSTALIA

OtroserroresfrecuentesenfuncindelSistemaOperativo
Aplicableaclientesde:Servidoresdedicadosyhousing/colocation
Loscontenidosdeesteapartadotampocosonaplicablesalagamadeserviciodealojamientocompartido,puestoque Hostaliayaseencargadeadoptarlasmedidasnecesariasparacorregirestoserrores.Esconvenientesulecturasi ustedtienecontratadosservidoresprivados,servidoresdedicados,oposeesuspropiosservidoresyestnalojadosen Hostaliaenrgimendehousingcolocation.

EnlosservidoresconsistemaoperativoMicrosoftWindowsunodeloserroresmscomunesconsisteen activarelservicioFTPannimoconpermisosdeescritura,loqueocasionaquepersonalnoautorizadopueda descargarcontenidosilcitosenelservidorsinrealizarningntipodeautenticacin.Sitienequeprestarelserviciode FTPannimoreviselospermisosdelacarpetaRaizdelservidorFTPparaevitarqueusuariossinautenticarpuedan grabardatosensuservidor.SitodoelaccesoasuservidorFTPesmediantecombinacindeusuarioycontrasea desactivelaopcinquepermiteconexionesannimas(AllowAnonymousConnections)enlaspropiedadesdel servidor.SinoesnecesarioofrecerelservicioFTPdeformapblicaintentedeterminarlasredesdesdelascualesse podraccederparaestablecerlasreglasdecortafuegosnecesariastalycomoindicbamosenelprrafoanterior.

EnlosservidoresWindowstambinesconvenientecomprobarqueelserviciotelnetestdesactivado,cuidando dequesuStartupTypeseadiferenteaAutomaticdesdelaconsoladegestindeserviciosdeMicrosoftWindows (Start>Run>services.mmc).Deestaformaseevitanintentosdeaccesoatravsdeesteprotocolo.

EnlosservidoresconsistemaoperativoUnixunerrormuyfrecuenteconsisteencrearcuentasdecorreo asociadasacuentasdeusuariodelsistemaoperativoconunintrpretedecomandos(shell)vlido,loque posibilitaellogindelusuarionosoloporcorreosinotambinportelnetyssh.Siustedtieneungrupodeusuariosque solodeberanaccederporcorreoasegresedequetienenasignadounintrpretedecomandosquenoseavlidopara accesotelnet,sshoFTP(p.e./bin/noshell).LoanteriorestambinaplicablealaccesoFTP,siustedcuentacon colaboradoresquesolodeberanaccederporFTPasegresedeasignarlesunshellnovlido(p.e./bin/false).Encaso contrarioparaaccederasuservidornoseraunrequisitoconocerlacontraseadelusuarioroot,sinoquebastaracon averiguarlacontraseadeunodeestosusuariosocolaboradoresqueenprincipiosolodeberanaccederporcorreoo FTP,llevndonosdenuevoaplantearnoslaimportanciadelacorrectagestinyeleccindeclavesconlaque inicibamoslasrecomendacionestcnicasdeesteartculoylanecesidaddequelasnormasnoseannicamente cumplidasporlosadministradoresdelsistemasinoportodoslosusuariosquetienenaccesoalmismo.

Porltimo,tambinenlosservidoresunix,convienedesactivartelnetyutilizarnicamentesshparalaslaboresde administracin.Sobretodosinosehandelimitadoenelfirewalllasredesdeconfianzaalasquelesestarpermitidala gestinporssh,convienequeseevitequeelusuariorootpuedaintentarhacerlogindirectosimplementecon unacombinacindeusuarioycontrasea.Estorequieretenerunmtodoalternativodegestin(webmin,usermin)o unusuariosinprivilegiosdesdeelcualsepuedaejecutarsuysedebercomprobarquelalneadeconfiguracin PermitRootLogindelficherosshd_config(normalmenteen/etc/ssh/sshd_config)tienelaopcinwithoutpassword.

Hostalia Internet S.L.U. 2001-2008. HOSTALIA