Hardening de Apache DESARROLLO Los pasos para realizar el Hardening de Apache son los siguientes: Funcionalidad Suposiciones de Seguridad

Descargar la versin de Apache adecuada. Preparando el Software Mdulos de Apache Chrooting el servidor Cambiar los permisos de los archivos y directorios Eliminar archivos y directorios no necesarios. HTTP Logging. Monitoreo de trafico al servidor Prevencin contra ataques. La descripcin de cada uno de los puntos es: Funcionalidad Se debe especificar qu funcionalidad tendr el servidor, que tecnologas utilizara: PHP, JSP, CGI, ASP, Perl, etc. Suposiciones de Seguridad Se deben considerar elementos que son seguros por default, como son: El sistema operativo se debe asegurar tanto cuanto sea posible, contra ataques del local y del telnet; El servidor no debe ofrecer ningn otro servicios de red excepto el HTTP: (80/TCP); El acceso alejado al servidor se debe controlar por un cortafuego, que debe bloquear todas las conexiones de salida, y permite conexiones de entrada solamente al puerto 80/TCP del web server; El servidor Apache debe ser el nico servicio disponible en el sistema; Se deben instalar los mdulos absolutamente necesarios de Apache deben ser permitidos; El servidor debe divulgar la menos cantidad de informacin sobre s mismo (seguridad por oscuridad); El servidor de Apache debe funcionar debajo de un UID/GID nico, no usado por cualquier otro proceso del sistema;

 Los procesos de Apache deben tener acceso limitado a los archivos de sistema (el chrooting). Ningunos programas de la cscara pueden estar presentes en el Apache chrooted el ambiente (/bin/sh, /bin/csh etc.). El sistema operativo Antes de instalar Apache debemos elegir un sistema operativo, sobre el cual el servidor funcionar. El primer paso es asegurar el sistema operativo. Usuarios: Es necesario crear un nuevo grupo de usuarios y usuarios que sean necesarios. Descargar la versin de Apache adecuada. El paso siguiente es descargar la versin ms ltima del web server de Apache. Algunas de las opciones de Apache se pueden permitir solamente durante tiempo de compilacin, as es importante descargar el cdigo de fuente en vez de la versin binaria. Preparando el Software Despus de descargar el software, debemos desempaquetarlo. Entonces debemos decidir qu mdulos deben seguir permitidos. Mdulos de Apache La opcin de mdulos es uno de los pasos ms importantes de asegurar Apache. Debemos ir por la regla: menos es el mejor. Satisfacer las asunciones de la funcionalidad y de la seguridad, los mdulos siguientes deben seguir permitidos: Nombre del mdulo y Descripcin httpd_core Las caractersticas de Apache de la base, requeridas en cada instalacin de Apache. mod_access

Proporciona el control de acceso basado en el hostname del cliente, el IP address, u otras caractersticas de la peticin del cliente. Porque este mdulo es necesario utilizar orden, permitir y negar los directorios, l debe seguir permitido. mod_auth Requerido para poner la autentificacin del usuario en ejecucin usando los archivos de texto (autentificacin bsica del HTTP), que fue especificada en asunciones de la funcionalidad. mod_dir Requerido para buscar y para servir archivos del ndice del directorio: index.html, default.htm, etc. mod_log_config Requerido para poner la registracin en ejecucin de las peticiones hechas al servidor. mod_mime Requerido para fijar el juego de caracteres, la codificacin del contenido, el tratante, la contenido-lengua, y los tipos del MIME de documentos. El resto de los mdulos de Apache deben ser eliminados. Podemos darnos vuelta con seguridad apagada, principalmente porque no los necesitamos. Inhabilitando los mdulos innecesarios, podemos evitar robos potenciales cuando las nuevas vulnerabilidades de la seguridad se encuentran en uno de ellos. Modulos a deshabilitar info. status autoindex imap include userdir auth Modulos a habilitar ssl auth_ldap

Es tambin valor para observar que dos de los mdulos de Apache pueden ser ms peligrosos que otros: mod_autoindex y mod_info. El primer mdulo provee la indexacin de direcciones automtica del directorio, y es permitido por el defecto. Es muy fcil utilizar este mdulo para comprobar si Apache funciona en un servidor (e.g. http://server_name/icons/) y conseguir el contenido de los directorios del web server, cuando no se encuentra ningunos archivos del ndice en ellos. El segundo mdulo, mod_info, debe nunca ser accesible del Internet, principalmente porque revela la configuracin del servidor de Apache.

Chrooting el servidor Es decir limitar el acceso de los procesos de Apache a los filesystems. La tcnica chrooting significa crear una nueva estructura del directorio de raz, moviendo todos los demonios a este directorio, y correr al demonio apropiado en ese nuevo ambiente. Evitar dar la versin del Servidor en encabezados de http. Listen 80 (remove) Borrar la directiva Listen , solo disponible en ssl.conf, es decir, el servidor solo estar disponible en https. User webserv Todos los proceso hijo corrern con privilegios de usuario no root. Group webserv Todos los proceso hijo corrern con privilegios de grupo no root ServerAdmin -webmaster@xianco.com Use un alias de mail UserDir disabled root Deshabilitar comando para acceso archivos Order Deny, Allow deny from all Denegar acceso a archivos de sistema.
4

Cambiar los permisos de los archivos y directorios Se debe verificar el control de acceso al directorio de principal de Apache, tal como se ha visto en los incisos principales; si estamos en sistemas Unix los permisos deben ser 0775. En los siguientes archivos: Htdocs Cgi-bin Logs-dir Bin-dir Eliminar archivos y directorios no necesarios. Todos aquellos directorios y archivos no validos deben ser eliminados. HTTP Logging. Los servidores del Web normalmente permiten registrar el trfico en el mismo a travs de bitcoras, sin embargo no tienen la capacidad de analizar el cuerpo de las peticiones de servicio, por lo que se explota la vulnerabilidad en POST para realizar ataques. A la fecha ya existe software adicional que permite un registro completo de peticiones y respuestas con una granularidad mayor que la que permite el mismo servidor. Monitoreo de trfico al servidor Adems es de contar con elementos de registro proporcionar, se puede supervisar el trfico en la red hacia el servidor, para evitar ataques Prevencin contra ataques. El firewall debe contar con las reglas necesarias a fin de minimizar las vulnerabilidades, en base a peticiones usuarios, direcciones IP, sesiones, aceptando en general solo peticiones validas.