Seguridad en servidores web Apache

Transcript

1. Seguridad sobre servidores Apache . Javier S. Lirola (@jslirola) Junio

   2016 Universidad de Granada

2. Consejos para evitar acumular trabajo Aquí van unos consejos a

   tener en cuenta si somos responsables de un servidor web Apache, es interesante: • Mantener actualizado el servidor. • Establecer permisos de acceso adecuados. • Desactivar módulos innecesarios. • Desactivar listado de directorios. • Usar certificado SSL si es posible. • Chequear los logs frecuentemente. 1

3. Partiendo de una nueva instalación .

4. Ficheros de configuración La ubicación depende del S.O. /etc/apache/apache2.conf (Debian/Ubuntu)

   /etc/httpd/conf/httpd.conf (RHEL/CentOS/Fedora) C:\apache\conf\httpd.conf (Windows) Figura 1: Directorio de Apache en Debian. 2

5. Directivas ServerSignature y ServerTokens ServerSignature Off # Oculta los datos

   en la web ServerTokens Prod # Oculta info de las cabeceras de una petición Figura 2: Información del servidor visible públicamente. 3

6. Directiva TraceEnable TraceEnable off Desactivando esta directiva conseguimos evitar ataques

   XST. Figura 3: Ejemplo de peticiones con y sin TraceEnable. 4

7. Directivas contra ataques DoS Configuración para ’lidiar’ (no evitar) contra

   este tipo de ataques: • RequestReadTimeout. • TimeOut. • KeepAliveTimeout. • LimitRequestBody, LimitRequestFileds, Limit... • AcceptFilter. • MaxRequestWorkers. 5

8. Directiva User, Group User www-data ( ó apache ) Group

   www-data ( ó apache ) Evitar ejecutar el proceso con un usuario con permisos ’root’. 6

9. Directiva Directory Limitar el acceso a directorios mediante IP o

   subredes. <Directory /ohmyweb> Options None AllowOverride None Order deny,allow Deny from all Allow from 192.1.6.9 Allow from 10.20.0.0/24 </Directory> 7

10. Desde el lado de los ’malos’ .

11. Conceptos sobre seguridad informática • Bug • 0day • CVE

    • Exploit • Denial of Service (DoS) • Proof of Concept (PoC) 8

12. En busca de bugs ... Figura 4: 904 vulnerabilidades relacionadas

    con Apache. 9

13. Ejemplo de vulnerabilidad Figura 5: Denegación de servicio (DoS) sobre

    Apache 2.4.x 10

14. Reaccionar ante un ataque web .

15. Si nunca te has enfrentado a esa situación... Figura 6:

    Fuente: http://www.keepcalmstudio.com 11

16. Software de código abierto para analizar logs Figura 7: Comparativa

    - Software de código abierto para analizar logs 12

17. Awstats Puedes revisar el log de acceso (access.log) manualmente o

    con interfaz: Figura 8: Vista previa de Awstats - Visitas por IP 13

18. Cansado de revisar logs ¿y ahora? Depende en parte del

    tipo de ataque recibido en el servidor: • DoS/DDoS: Restablecer el servicio lo antes posible y contratar servicio anti-ddos como CloudFlare. • Defacement: Usa tu backup más reciente para restablecer la web y busca el origen del ataque. • BruteForce: Usa tu backup más reciente, sustituye las claves de acceso y establece un nº máximo de logins fallidos. • Otros: En la mayoría de los casos se recomienda usar un backup sin ficheros comprometidos (supuestamente) y determinar el origen del ataque. 14

19. Referencias bibliográficas .

20. Algunos de los sitios visitados • https://en.wikipedia.org • https://cve.mitre.org •

    https://nvd.nist.gov/home.cfm • http://www.awstats.org • http://stackoverflow.com • https://httpd.apache.org/docs/2.4/misc/security_tips.html 15

21. FIN... ¿Preguntas? .