PDF de programación - Hardening de un Sistema Operativo de Red

SSO5501
SSO5501
Hardening de un
Hardening de un
Hardening de un
Hardening de un
Sistema Operativo
Sistema Operativo
d
d
d
de Red
de Red
d

LOGO

Modulo 2

Carlos Villanueva

Introduccion

www duoc cl
www.duoc.cl

Hardering del ingles “Endurecimiento”
Hardering del ingles “Endurecimiento”
Hardering, del ingles Endurecimiento ,
Hardering, del ingles Endurecimiento ,

se refiere al proceso de segurizar
se refiere al proceso de segurizar

un Sistema o Aplicación
un Sistema o Aplicación

Company Logo

Objetivos Generales

www duoc cl
www.duoc.cl

Hardening Específicos.
H d i


E

ífi

Web Server.
il S
E-mail Server
Servicios

E

Company Logo

Hardening Específico (Web Server)

www duoc cl
www.duoc.cl

Web Server

Los web servers (servidores web) se han
Los web servers (servidores web) se han
transformado en uno de los elementos
indispensables para la interacción entre usuarios
e información.
E i
(HTTPS
Es importante utilizar protocolos seguros (HTTPS,
t
SSL, etc.)
Los software's de servidores webserver más
utilizados en la actualidad son:
Apache, Internet Information Server.

tili

t

t

l

Company Logo

Hardening Específico (Web Server)

www duoc cl
www.duoc.cl

Control de
Control de

Acceso

Restricción del acceso en ciertas áreas de los
web servers.
web servers
Puede controlarse modificando los permisos
de los usuarios en el servidor o bien por la
creación de listas de control de acceso.

Estructura

de
de

Directorio
y Datos

Asegurar que cada lugar se acceda
solamente en las condiciones esperadas,
Deshabilitarse los listados en el server.
No utilizar opciones y nombres por defecto en
archivos y directorios.

Company Logo

Hardening Específico (Web Server)

www duoc cl
www.duoc.cl

Logging

Herramienta fundamental en la que se basa el
análisis y posterior interpretación de la
información obtenida.
El consorcio W3C posee formato Standard
para logs de servidores web
para logs de servidores web
Herramientas de Análisis de Log

Respaldos

•Es necesario hacer copias de respaldo en los
•Es necesario hacer copias de respaldo en los
servidores web.
•El backup es útil tanto para restaurar por completo
un equipo a un estado operativo como para
restaurar un pequeño número de archivos.
•Estrategia Utilizada
•Local, remoto, replicado, respaldo de archivos
abiertos
abiertos

Company Logo

Hardening Específico (Web Server)

www duoc cl
www.duoc.cl

I t
id d
Integridad

•La integridad de una página puede ser dañada por fallas
de software o bien por ataques de intrusos que toman el
de software o bien por ataques de intrusos que toman el
control sobre algún sector y modifican su contenido (web
defacing).
•Se recomienda entonces utilizar software de chequeo de
i
integridad para los archivos estáticos.

id d

táti

t

l

hi

Detección de
Web Server
Clandestinos

p

•Se basan en la imitación de un sitio para
conseguir que los usuarios coloquen sus datos,
especialmente en instituciones bancarias.
•Un sitio fraudulento suele adoptar un nombre y
dirección muy similar al original
dirección muy similar al original.
•Otros servidores contienen material ilegal, como
ser software, música, películas y demás.
•Certificados digitales

Company Logo

Hardening Específico (Web Server)

www duoc cl
www.duoc.cl

Vulnerabi-lidades

de Scripting

Los lenguajes de scripting son aquellos que están diseñados
para ser ejecutados por medio de un
para ser ejecutados por medio de un
intérprete, a diferencia de los compilados.
Existe un tipo de ataque basado en la explotación de
vulnerabilidades del sistema de validación de HTML incrustado
que se denomina XSS por Cross Site Scripting

CGIs

Common Gateway Interface es una tecnología que permite a
un cliente con un explorador web, solicitar datos de un
programa ejecutado del lado del servidor web.
Cuando un usuario invoca un CGI se le está permitiendo
Cuando un usuario invoca un CGI se le está permitiendo
ejecutar remotamente un programa en el servidor.

Company Logo

Hardening Específico (Web Server)

www duoc cl
www.duoc.cl

Java

JavaScript

Java es un lenguaje orientado a objetos desarrollado
por Sun Microsystems a principios de los 90.
por Sun Microsystems a principios de los 90.
Para trabajar con el lenguaje, el fabricante
proporciona un compilador y una máquina virtual.

il

JavaScript es un lenguaje interpretado (no requiere
b
compilación) que se utiliza principalmente en páginas web.
No permite acceder a elementos externos a la página
web

ió )

á i

tili

i

i

l

t

Company Logo

Hardening Específico (Web Server)

www duoc cl
www.duoc.cl

ActiveX
ActiveX

Programación
Segura de Scripts

t

d

ft

ll

ActiveX es una tecnología de Microsoft que se utiliza para
desarrollar componentes de software orientados a objetos
d
reutilizables.
Considerando la seguridad de esta tecnología, debemos tener
en cuenta su alta interactividad con el sistema operativo, lo cual
puede convertirlo en un eslabón débil de la cadena de
seguridad.

t d

bj

p

i

t

,

Para conseguir scripts seguros se debe tener muy en cuenta el
correcto armado de los algoritmos, a fin de que no se produzca el
consumo excesivo de recursos o el descontrol interno de la
ló i
lógica de programación.
Se deben comprobar todo tipo de accesos de los scripts, y la
forma predeterminada de funcionamiento debe ser la de no
permitir nada. También se debe minimizar el acceso a recursos.
p

ió

d

Company Logo

Hardening Específico (Web
Server)

www duoc cl
www.duoc.cl

Code Signing

El Code Signing, o firma de código, es el proceso de
firmar digitalmente archivos ejecutables y scripts
firmar digitalmente archivos ejecutables y scripts
para confirmar la autoría del software y garantizar
que el código no ha sido alterado ni está corrupto
desde que fue firmado.

Protegiendo el
Web Browser

Un navegador o explorador web es la aplicación que nos
permite visualizar documentos de hipertexto desde servidores
permite visualizar documentos de hipertexto desde servidores
web.
Los principales navegadores que se utilizan son el Internet
Explorer de Microsoft y el Mozilla Firefox, los cuales trabajan de
formas diferentes. Los navegadores se pueden
complementar con plugins que agregan funcionalidades, pero
se debe tener en cuenta que los mismos no provoquen una
reducción en el nivel de seguridad.
reducción en el nivel de seguridad.

Company Logo

Hardening Específico (E-mail
Server)

www duoc cl
www.duoc.cl

E-mail
Server

li

i

t ñ

Como normas generales, no debería haber
aplicaciones extrañas o desconocidas
instaladas en el servidor de correo electrónico.
Los permisos y accesos al mismo deben ser
estrictamente controlados para bloquear la
instalación o ejecución de programas no
autorizados.

id

d

p

q

Company Logo

Hardening Específico (E-mail
Server)

www duoc cl
www.duoc.cl

La arquitectura de los servidores de correo electrónico

Arquitectura es del tipo cliente/servidor.

La mayoría de los protocolos no encriptan la
información de autenticación, si no que esta viaja en
texto plano a través de Internet
texto plano a través de Internet.

SMTP

El SMTP (Simple Mail Transfer Protocol) es un
protocolo de red, basado en texto plano que se
utiliza para el intercambio de correo electrónico
entre distintos equipos.

di ti

t

t

i

Company Logo

Hardening Específico (E-mail
Server)

www duoc cl
www.duoc.cl

Pop3

IMAP

El POP3 (Post Office Protocol versión 3) es un protocolo que
El POP3 (Post Office Protocol versión 3) es un protocolo que
se utiliza para obtener mensajes de correo electrónico
alojados en un servidor.
Para añadirle seguridad a la conexión por protocolo POP3,
una buena práctica es utilizar la encriptación Secure Socket
S k t
Layer (SSL)

ió S

á ti

i

t

b

tili

l

El IMAP (Internet Message Access Protocol) es un protocolo
de red para acceder a mensajes de correo electrónico que se
encuentren almacenados en un servidor.
Mediante este protocolo se puede tener acceso al correo
Mediante este protocolo se puede tener acceso al correo
desde cualquier equipo con conexión a Internet, ya que los
mensajes permanecen en el servidor. Los usuarios una vez
que acceden a su correo pueden borrarlos.

Company Logo

Hardening Específico (E-mail
Server)

www duoc cl
www.duoc.cl

MIME
MIME

i

)

El formato MIME (Multipurpose Internet Mail
Extensions) son una serie de especificaciones
E t
dirigidas al intercambio de todo tipo de archivos a
través de Internet y que este sea transparente
para el usuario.
p

i d

ifi

i

S-MIME

El formato S/MIME (Secure / Multipurpose Internet
Mail Extensions) es un estándar criptográfico de
clave pública y firmado de correo electrónico
encapsulado en MIME.

Company Logo

Hardening Específico (E-mail
Server)

www duoc cl
www.duoc.cl

PGP

PGP (Pretty Good Privacy) es una aplicación desarrollada
por Phil Zimmermann, cuyo objetivo es proteger la
información que se distribuye a través de Internet. Para ello
hace uso del sistema de criptografía de clave pública, como
también firma digital para autenticar documentos.
también firma digital para autenticar documentos.

SMTP Relay

id

d

O

R l

SMTP
El SMTP Relay u Open Relay, es un servidor de correo SMTP
El SMTP R l
que permite el reenvío de correos electrónicos por parte de
terceros.
Si un servidor de correo electrónico tiene habilitado el
Open Relay, está expuesto a potenciales problemas, como ser,
sufrir ataques por DoS o bien que un spammer utilice el
servidor para reenviar su SPAM.

Company Logo

Hardening Específico (E-mail
Server)

www duoc cl
www.duoc.cl

Código
Malicioso

En el caso de la prevención de ejecución de
Código Malicioso en el servidor de correo
electrónico, es necesario asegurarse el correcto
funcionamiento del antivirus y todas aquellas
aplicaciones que complementen la detección y
aplicaciones que complementen la detección y
contención de este tipo de software dañino.

Company Logo