Seguridad en Servidores Web Apache HTTP

por Eduardo Petazze

Introduccin Los servidores Web constituyen una puerta de acceso a la informacin de una organizacin Operando bajo el protocolo HTTP, los de utilizacin ms e tendida son los servidores HTTP !pac"e# $ulnerabilidades en su configuracin y%o operacin aumentan sustancialmente los riesgos, facilitando la concrecin e itosa de diversas amenazas a la &ue se e ponen los sistemas informticos# 'l presente documento, rese(a las recomendaciones del Center for Internet Security (CIS) para la configuracin de los )ervidores Web, !pac"e HTTP, versin *#+ corriendo bajo Linu 'l documento completo, de diciembre *,-*, en ingl.s, puede descargarse en el siguiente enlace/ "CIS Apache HTTP Server 2.4 ench!ar" v#.$.$" 0P12, 34 pginas5 Actualizacin Dic. 3, !"3# $%IS Apache HTTP Server .& 'ench(ar) v".".!* 0P12, 34 pginas5 " Plani+icacin e Instalacin 'sta seccin contiene recomendaciones para la planificacin y la instalacin de un )ervidor !pac"e HTTP#
1. 2. 3.

Pre-Installation Planning Checklist Do Not Install a Multi-use System Installing Apache

,ini(izar los ,dulos de Apache a Instalar 's fundamental establecer una instalacin m6nima y compacta de !pac"e, basado en los re&uerimientos documentados del negocio# 'sta seccin cubre los mdulos espec6ficos &ue deben ser revisados y desactivados, si no se re&uieren para fines comerciales# )in embargo, es muy importante &ue la revisin y anlisis de los mdulos &ue se re&uieren para fines comerciales no se limite a los mdulos enumerados en esta seccin#
1. 2. 3. (. ). +. ,. ..

na!le only necessary Authentication an" Authori#ation Mo"ules na!le the $og Con%ig Mo"ule Disa!le &e!DA' Mo"ules Disa!le Status Mo"ule Disa!le Autoin"e* Mo"ule Disa!le Pro*y Mo"ules Disa!le -ser Directories Mo"ules Disa!le In%o Mo"ule

3 Directorios, Per(isos - la Propiedad 'sta seccin proporciona recomendaciones para la configuracin de las identidades 0usuarios y grupos5, los permisos sobre los recursos del sistema de fic"eros y la propiedad de los recursos del servidor.
1. 2. 3. (. ). +. ,. .. 5.

/un the Apache &e! Ser0er as a non-root user 1i0e the Apache -ser Account an In0ali" Shell $ock the Apache -ser Account Set 23nership on Apache Directories an" 4iles /estrict &rite Access on Apache Directories an" 4iles Secure Core Dump Directory Secure the $ock 4ile Secure the Pi" 4ile Secure the Score6oar" 4ile

"

& %ontrol de Acceso Las recomendaciones de esta seccin se refieren a los mecanismos de configuracin del control de acceso &ue estn disponibles en el servidor !pac"e HTTP#
1. 2. 3. (.

Deny Access to 2S /oot Directory Allo3 Appropriate Access to &e! Content /estrict 20erri"e %or the 2S /oot Directory /estrict 20erri"e %or All Directories

. ,ini(izar %aracter/sticas, %ontenidos - 0pciones Las recomendaciones de esta seccin se proponen reducir la efectiva superficie de ata&ue sobre un servidor HTTP !pac"e#
1. 2. 3. (. ). +. ,. .. 5. 1:. 11. 12. 13. 1(.

/estrict 2ptions %or the 2S /oot Directory /estrict 2ptions %or the &e! /oot Directory Minimi#e 2ptions %or 2ther Directories /emo0e De%ault 78M$ Content /emo0e De%ault C1I Content printen0 /emo0e De%ault C1I Content test-cgi $imit 788P /e9uest Metho"s Disa!le 788P 8/AC Metho" /estrict 788P Protocol 'ersions /estrict Access to .ht; %iles /estrict 4ile *tensions Deny IP A""ress 6ase" /e9uests /estrict $isten Directi0e /estrict 6ro3ser 4rame 2ptions

1 0peracin 2 3egistro, Segui(iento - ,anteni(iento Los procedimientos operativos de registro, seguimiento y mantenimiento son vitales para la proteccin de los servidores 7eb, as6 como el resto de la infraestructura# Con%igure the rror $og <;= Con%igure the Access $og <;= sta!lish $og Monitoring $og Storage an" /otation Monitor 'ulnera!ility $ists Apply Applica!le Patches 456 ver nota al +inal de este docu(ento 7 SS89T8S
1. 2. 3. (. ). +.

Las recomendaciones de esta seccin se refieren a la configuracin de los aspectos relacionados con ))L % TL) para el servidor !pac"e HTTP#
1. 2. 3. (. ). +.

Install mo">ssl an"?or mo">nss Install a 'ali" 8ruste" Certi%icate Protect the Ser0er@s Pri0ate Aey /estrict &eak SS$ Ciphers Disa!le SS$ Insecure /enegotiation nsure SS$ Compression is not na!le"

: 3evelacin de In+or(acin Las recomendaciones de esta seccin pretende limitar la divulgacin de informacin potencialmente sensible#
1. 2. 3.

Set Ser0er8oken to @Pro"@ Set Ser0erSignature to @2%%@ In%ormation $eakage 0ia De%ault Apache Content

; ,itigacin de ata<ues por Denegacin de Servicios 4DoS6 Los ata&ues de 1enegacin de )ervicio 01o)5 intentan degradar la capacidad de un servicio para procesar y responder a las solicitudes de servicio, tratando de agotar los servicios en red, 8P9, disco, y % o la memoria relacionados con los recursos# Las recomendaciones de configuracin en esta seccin puede aumentar la resistencia de un servidor a los ata&ues de denegacin de servicio#
1. 2. 3. (. ). +.

Set 8ime2ut to 1: or less Set the AeepAli0e "irecti0e to 2n Set Ma*AeepAli0e/e9uests to 1:: or greater Set AeepAli0e8imeout $o3 to Mitigate Denial o% Ser0ice Set 8imeout $imits %or /e9uest 7ea"ers Set 8imeout $imits %or the /e9uest 6o"y

"! =stablecer l/(ites a las peticiones de servicio Las recomendaciones de esta seccin reducen el tama(o m imo permitido de los parmetros de la peticin# !l limitar el tama(o de las peticiones, podr6a aumentar el riesgo de un impacto negativo en la s aplicaciones y%o en la funcionalidad del sitio# )e recomienda &ue los estados de configuracin descritos en esta seccin se comprueben en servidores de prueba antes de &ue se desplieguen en los servidores de produccin#
1. 2. 3. (.

Set the $imit/e9uest$ine "irecti0e to )12 or less Set the $imit/e9uest4iel"s "irecti0e to 1:: or less Set the $imit/e9uest4iel"si#e "irecti0e to 1:2( or less Set the $imit/e9uest6o"y "irecti0e to 1:2(:: or less

>otasB <;= %on+igure a S-slog ?acilit- +or =rror 8ogging La directiva 'rrorLog debe ser configurada para enviar los registros a un syslog de modo &ue los registros pueden ser procesados y monitoreados junto con los registros del sistema# Para ello, debe agregarse una directiva 'rrorLog, en el servidor Web y en cada m&uina virtual, si no se encuentra configurada# 8ual&uier instalacin syslog apropiado puede ser usado en lugar de local-#
ErrorLog "syslog:local1"

ActualizadoB Diciem!re 3C 2:13