Bueno, eso dependerá de los servicios que estés prestando o de servicios que tengas activos y no prestes. Por ejemplo, tener el servicio de servidor IIS si no lo usas. Depende también de la topología o arquitectura de red que uses y otras cosillas como:
- sistema operativo
- tipo de acceso a internet
- si tienes NAT o no lo tienes
- etc,
Antes que nada, y teniendo en cuenta que de seguridad no tienes demasiada idea, deberías de instalar algo que detectase los ataques. Empiesza por un firewalll sencillito que no tenga mucho que configurar como Zone Alarm, no es el mejor ni mucho menos, pero te servirá para entender algunas cosas. con este cortafuegos tendrás la oportunidad de averiguar que ataques y hacia que puertos van destinados, así como la IP de origen ( aunque en muchos casos no vale de nada ) y otros datos.
Una vez que sepas de donde provienen y hacia que puertos o servicios van destinados los ataques, es el momento de preparar la proteccióne implementar una política de seguridad y si tu sistema o red sigue sufriendo ataques, puedes instalar también un sistema de detección de intrusos ( IDS ) o NIDs.
Desactiva todos los servicios que no pienses usar. Cuidado con los recursos compartidos en la interface que coencte a internet, actualizaciónes de seguiridad de programas, servidores y sistemas operativos, establece auditorias de seguridad, usa contraseñas fuertes, establece permisos y politica de usuarios, configura ( en caso de windows ) el registro para prevenir de ataque a la red tipo DDOS, etc, renombrar utilidades del sistema para que nosea usadas por posibles atacantes o troyanizados, no usar el host de conexión a internet como root o administrador, uso de sistema de ficheros NTFS en caso de windows, copias de seguridad, uso de cifrado y firmaa digita en las comunicaciones, uso de firewall y políticas contra virus, configuración adecuada de clientes de correo y navegadores, y muchos etcéteras más.
De todas maneras antes de nada sería interesante saber cual es el sistema operativo que usas para gestionar la conexión a internet, servicios que ofreces, si tienes proxy, etc
A parte de lo cometado hasta ahora, si por ejemplo ofreces IIS lo mejor es estar al tanto de las vulnarebilidades sobre seguridad que desgraciadamente son norma en este servidor y parchear lo antes posible., para ello existen una series de herreamientas:
IIS Lockdown Tool.
Configura el servidor para ser inmune a muchos ataques, deshabilita servicios innecesarios y restringe el acceso a los comandos realizados por sistema
HFNetCHK
comprobación de parches y actualizaciones de seguridad instalados en servidores.
URLscan tool
Filtro ISAPI para correr en el servidor, bloquea URLs que “lucen como” ataques. Puede ser configurado para soportar configuraciones de servidores
Microsoft personal Security Advisor
Comprueba el estatus de los patch de estaciones individuales.
mas cosas.....
Configura para activar los Logs del IIS. y configura los permisos (ACLs):
ACLs apropiado para el IIS Log File
(%systemroot%\system32\LogFiles)
-Administradores (Control total)
-Sistema (Control total)
-Todos (RWC)
Normalmente, el acceso a un servidor web se hace de forma anónima o más bien bajo la apariencia de un usuario que se crea para ello en el momento de la instalación de IIS:IUSR_nombreservidor. Los usuariosque se conecten a una sede web pública con acceso anónimo tendrán acceso a aquellos archivos para los que la cuenta especificada tenga permisos NTFS.
Para limitar el acceso a ciertas zonas sensibles servidor que contengan información importante se ha de utilizar las características de seguridad de Windows 2000 y el sistema de ficheros NTFS. Por regla general los permisos a archivos individuales y directorios deben ser establecidos con NTFS que por cierto no son los mismo que los permisos Web propios de IIs.
Para restringir el acceso al sitio web o a partes del mismo hay que modificar las propiedades predeterminadas en la pestaña "Seguridad de directorios" y configurar los métodos de autentificación de que dispone IIS.
IIS 5 incorpora un nuevo tipo de autentificación, a aprte de los normales ( además de la autentificación Windows y la autentificación básica ): Digest, que utiliza algoritmos de hashing para encriptar la contraseñas y que funciona a través de proxies y que sólo requiere que el navegador sea compatible HTTP 1.1.
Kerberos y Active Directory pueden ser usados con IIS además de los protocolos SSL y TLS (Transport Layer Security).
Desctivar tosdos los ejemplos de aplicaciones web que vienen con IIs. normalmente están en:
c:\inetpub\iissamples
c:\winnt\help\iishelp
ACLs.
Un ACL es una lista de cuentas de usuarios, grupos de usuarios y sus privilegios asociados con un recurso en particular, como un directorio o un archivo. Como configurar correctamente las ACLs:
CGI (.exe, .dll, .cmd, .pl)
Todos (X)
Administradores (Control total)
Sistema (Control total)
Archivos de comandos (.asp)
Todos (X)
Administradores (Control total)
Sistema (Control total)
Archivos de inclusión (.inc, .shtm, .shtml)
Todos (X)
Administradores (Control total)
Sistema (Control total)
Contenido estático (.txt, .gif, .jpg, .html)
Todos (R)
Administradores (Control total)
Sistema (Control total)
System (Full Control)
Normalmente si tenemos un router ADSL haciendo NAT y no ofrecemos servicio alguno, no es necesario, un principio un cortafuegos, IIS en el servidor web debe estar tras un firewall en una DMZ.
Quitar asignaciones de secuencias de comandos que no se vayan a usar: .idc, .htr, etc.
Uso de plantillas de seguridad que vienen con Windoqw2000: Una de ellas "Secureinternetwebserver.inf" sirve precisamente para la configuración segura de servidores web en internet.
Esto que te comento es de forma muy superficial. A medida que lo necesites podemos profundizar en el tema todo lo que quieras.
Última edición por Alfon; 29/04/2003 a las 05:31 |