Como tener mi servidor web un poco mas seguro?

Hola a todos,

al principio tenia un servidor casero, despues vi que mi pc podia funcionar como servidor en internet con dominios de no-ip, ahora me preucupa un poco la seguridad,
bueno hasta donde he investigado, tengo que tener:
un firewall,
un antivirus,
y no se que mas,
espero sus aportes, no importa a que nivel, a nivel hardware, software, servidor,
mi sistema es SO winXP, apache 2.0.57, php 5 mysql 5,
el objetivo es lograr que mi propio servidor web tenga un grado razonable de seguridad,
gracias de antemano por sus aportes,
saludos.

Mira esta búsqueda, arroja buenos resultados.
Como consejo personal, mod_evasive y mod_security son módulos que siempre son buenos tener.

Saludos,

Lucas1500:
Mi experiencia ha sido que cuando pones un sitio
web en Internet, tendras un sin fin de cosas
como estas:
1.- Scanean tus puertos
2.- Tratan de entrar por el puerto 3306 de Mysql
3.- Tratan de medir tu capacidad de ancho de banda, sometiendo tu web a conexiones continuas
4.- Tratan de entrar practicamente por todos lados y en todo momento.
5.- etc, etc, etc.
A mi personalmente me ha ayudado mucho
el Sygate firewall y con reglas he logrado frenar
infinidad de intentos desagradables.
Utiliza un buen firewall y siempre revisa los logs
Saludos
Y espero te ayude
Franco

hola, webtech, franco,
Muchas gracias por sus respuestas,

ya puse un firewall y trate de instalar el mod_security pero no se si estará correctamente instalado, y eso de las reglas es un poco dificil de entender, ahora como se que esta trabajando correctamente el mod_security? hice un phpinfo y sale en el load modules, ahora me gustaria saber como trabaja, existe una pagina web que pruebe las vulnerabilidades de una pagina, del servidor apache, seria bueno, que te diga tus puntos debiles y que te diga como puedes corrigirlos o algo parecido, existe?

gracias por la ayuda,
saludos.

Mod_Security genera un archivo de logs llamado "audit_log", en Linux es así al menos, no se bien en windows, pero debe llamarse de igual forma, se ubica en la carpeta de logs de Apache. Si has visto el módulo cargado desde phpinfo, es porque seguramente está funcional, pero no será efectivo hasta que le coloques las reglas adecuadas.

Puedes escanear tu servidor con Nessus, es un scanner de vulnerabilidades, pero no a nivel de páginas tanto, sino a nivel de servidores.

Saludos,

Hola Webtech, gracias por las respuesta,

en el httpd.conf puse lo sgte:

No si esta bien, si es muy basico, o le falta ó para empezar esta bien, por otra parte lo que dices "audit_log" suena muy interesante pero en mi win no hay nada parecido, quizas le falte una configuracion, o tengo que crear esa carpeta?
Por otra parte no podido con es mod_dosevasive parece que solo hay para apache 2.2 porque cuando lo meto el .dll al modules/ al restart al apache me sale cannot load module etc no se puede encontrar el modulo especificado

Estoy para defender mi proyecto final de la universidad, y mi proyecto es una aplicacion web, en la ultima defensa me dijeron que el proyecto esta bien, pero que complementara informacion con respecto a:
datos del servidor,
seguridad para el servidor
hosting, etc.

Por eso estoy investigando, me gustaria saber sobre seguridad a nivel de hardware, SO, Servidor, aplicacion web
yo por ejemplo pienso a nivel:
hardware=un proxi
SO=firewall, antivirus, actualizaciones win, ¿..?, ¿..?
Servidor Apache= mod_security , mod_evasive, ¿..? , ¿..?
aplicacion_web= safe_mode on; register globals off;. ¿..? , ¿..?

y no se que mas, en la defensa final no creó que resalte mucho el tema de seguridad pero es mejor estar preparado,
apreciaria mucho su ayuda,
saludos.

Los logs en tu mod_security los has configurado con otro nombre, "SecAuditLog logs/mod_security2.log", ahí tienes la ubicación y el nombre

Es cierto, una configuración muy básica, prácticamente no te protege de nada, te sugiero ver este enlace para ver más reglas y ejemplos de una mejor configuración. Hay muchos ejemplos, pero recuerda es una configuración con muchas reglas para Linux.

Sobre mod_evasive, funciona tanto en apache 1.3.x como en apache 2.x.x, nunca lo he instalado bajo windows así que la verdad, no tengo ni idea.

Hardware: pues, hay muchos firewalls de hardware que son buenos, pero dudo que puedas pagarlos si es para un proyecto de tu colegio.
SO: Linux o BSD, definitivamente elegiste mal esto al usar Windows si buscabas seguridad.
Servidor Apache: esos dos están bien para comenzar
Aplicación web: register_globals en off, safe mode en on, deshabilitar funciones de php, phpsuexec, suexec, la extension suhoshin, open_basedir activado, etc.

En ese sitio que te di el enlace antes, hay muchos artículos de seguridad, pero casi todos son para Linux.

Saludos!

Hola Webtech, muchas gracias por la respuesta,

Esto creo que es lo ultimo, no pude hacer funcionar el mod_security2.log lo que hice fue crear o mejor dicho copiar el error.log de apache renombrarlo a mod_security2.log y borrar todo lo que tenia y dejarle en blanco, pero hasta ahora sigue en blanco, es decir quisiera que se escribiera algo en el .log para eso creo que tengo que probarlo, vi una pagina donde se mostraba como probar el mod_security en la url se ponia algo como www.dominio.com?%27 y creo que era un bug de phpbb, bueno no he podido ubicar esa pagina,
el objetivo es que en el mod_security2.log escriba los log

gracias por la ayuda,
saludos.

Hola Lucas,

El objetivo de mod_security es protegerte de los ataques, y dejar los logs de los posibles ataques en ese archivo, si no tienes logs, es porque o bien, no has definido las reglas correctas y mod_security no esta cumpliendo sus funciones, o que definitivamente nadie te ha atacado :)

Saludos,

Hola Webtech,

disculpa, creo que no me explique bien en el ultimo post, lo que queria decir es que yo quiero probar el mod_secutirity, es decir yo quiero atacar a mi propia web y ver si el mod_security funciona, pero no se como hacerlo, no se como atacar a mi propia web y ver si el mod_security esta funcionando, si escribe en el log.

gracias por la ayuda,
saludos.