SlideShare una empresa de Scribd logo

Seguridad en Servidores Dedicados

Nominalia
Nominalia

Nuestros administrador de sistemas y experto en seguridad nos habla de las buenas prácticas en la gestión de servidores, los ataques más comunes en Internet y las posibles soluciones a estas amenazas. Abordamos soluciones prácticas de diferente nivel (empezando por las más sencillas) para la protección de servidores evitando que usuarios malintencionados tengan acceso a este. ¡Aprende a proteger tu servidor! Más info: http://www.nominalia.com/server/serverded.html

Tecnología
1 de 25
Descargar para leer sin conexión
Seguridad en servidores 23/05/2013 Por Pablo Trigo (http://goo.gl/TZEEh)
Índice seguridad servidores • Gestión remota de servidores (Buenas prácticas) • Sistemas de defensa de servidores • Ataques más comunes en internet y contramedidas 2 Importancia de la seguridad de los servidores en la actualidad
• Importancia de las contraseñas (www.passwordmeter.com) • zapatero 9% • Zapatero 27% • Z@p@t3r0 91% • Z@p@t3r0! 100% • @Z@p3t!0r 100% (@Z - @p – 3t - !0r) • Gestión de contraseñas (http://keepass.info) • Creación de contraseñas complejas • Cifrado robusto • Comodidad y portabilidad Gestión remota servidores Contraseñas 3
Gestión remota servidores Equipo Cliente • Anti shoulder surfing • Tiempo limitado en portapapeles • Disponible en todas las plataformas 4
Gestión remota servidores Equipo Cliente •NO UTILIZAR EL USUARIO ADMINISTRADOR PARA USO COMÚN 5
Gestión remota servidores Equipo Cliente • Usuario con permisos limitados • Sudo (Entornos Linux/Mac) • Runas (Entornos Windows) • Actualización del sistema operativo • Antivirus • Anti-malware 6
Sistemas de defensa de servidores • IDS / IPS • Firewalls • Hardening • Soluciones comerciales y opensource 7
Sistemas de defensa de servidores Equipo Servidor • IDS (Intrusion detection system) • IPS (Intrusion prevention system) 8
Sistemas de defensa de servidores Ejemplo práctico servidores en Nominalia 9
Sistemas de defensa de servidores Firewalls • Iptables / netfilter 10
Sistemas de defensa de servidores Hardening • Protocolo SSH (Básico) • Cambio del puerto standard • Usar solo versión 2 • No permitir el usuario root en el login inicial • Aumentar el cifrado a 2048 bits • Usar intercambio de claves y denegar el acceso por password • ssh-keygen • ssh-copy-id • Tiempo limitado para iniciar sesión • Limitar acceso a usuarios • Usar sftp para la transferencia de archivos 11
Sistemas de defensa de servidores Hardening • Protocolo SSH (Avanzado) • Knockd • Cambiar puertos por defecto 12
Defensa de los servidores Hardening • Soluciones opensource • ConfigServer Firewall (http://configserver.com/cp/csf.html) • Integración con Webmin • IDS/IPS • Anti-DDOS • Fácil gestión de Iptables • Puntuación de la seguridad del servidor 13
Defensa de los servidores Hardening Ejemplo puntuación servidor CSF 14
Ataques más comunes en Internet • Escaneo de vulnerabilidades • Ataques comunes y contramedidas • Explotar register_globals en php • Remote code execution • Sql injection • DDOS 15
Ataques más comunes en Internet • Evaluar la seguridad del servidor 16
Ataques más comunes en Internet 17 • Ataque explotando register_globals en php: Es una propiedad de php orientada a facilitar el desarrollo de programas pasando variables por formularios, cookies o sesiones, dejándolas disponibles en el ámbito global del programa. Pagina: http://www.tiendaejemplo.com/carrito.php?promo_codigo=superbarato10 If(promo_codigo == ‘superbarato10’){ $descuento = 0.05; } If(isset($descuento)){ $total -= $precio * $descuento }
Ataques más comunes en Internet 18 • Ataque explotando register_globals en php (2): ATAQUE (Conseguimos un descuento del 90%) Pagina: http://www.tiendaejemplo.com/carrito.php?promo_codigo=meloinvento&descuento=0.9 // si inicializamos aquí descuento a 0 parcheamos el problema $descuento=0; If(promo_codigo == ‘superbarato10’){ $descuento = 0.05; } If(isset($descuento) && descuento > 0){ $total -= $precio * $descuento }
Ataques más comunes en Internet 19 • Remote code execution (eval) ATAQUE (Conseguimos ejecutar un comando) Pagina: http://www.tiendaejemplo.com/carrito.php?cp=system(ifconfig) <?php $codigo_postal=$_GET[‘cp']; eval($codigo_postal); ?>
Ataques más comunes en Internet 20 • SQL INJECTION consulta = "SELECT * FROM usuarios WHERE email = '" + email +"' AND pass = '" + pass + "';"; SELECT * FROM usuarios WHERE email = ‘pablo@ejem plo.com' AND pass = ‘zapatero'; SELECT * FROM usuarios WHERE email = ‘pablo@ejem plo.com' AND pass = '' OR '1' = '1'; Email: pablo@ejemplo.com Password: ' OR '1' = '1
Ataques más comunes en Internet Hardening 21 • SQL INJECTION(2) • Solución: COMPROBAR Y FILTRAR ENTRADAS • FUNCION: mysql_real_escape_string() SELECT * FROM usuarios WHERE email = ‘pablo@ejem plo.com' AND pass = ‘x’;DROP TABLE usuarios; --’; Email: pablo@ejemplo.com Password: x'; DROP TABLE usuarios; --
Ataques más comunes en Internet 22 • Ataque DDOS(Distributed Denial of Service) • Contramedida básica para ataques DDOS en el puerto 80 • iptables -I INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent –set • iptables -I INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --update --seconds 45 --hitcount 10 -j DROP • Escaner de ip’s conectadas a nuestro servidor • netstat -ntu | tail -n +3 | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort –n • Baneo de ip’s • iptables -A INPUT -s <ip atacante> -j DROP
Conclusiones • Mantener el equipo cliente actualizado y usarlo con un usuario sin privilegios. • Establecer medidas de seguridad preventivas y configurar alertas para la protección de nuestro servidor. • Realizar auditorias de seguridad periodicas para mantener un estándar de seguridad. 23 DADA brand architecture
DADA brand architecture
DOMAINS & ADVERTISING ¡Muchas gracias por tu atención! Encontrarás este material y mucho más en www.escueladeinternet.com ¡Síguenos también en las redes sociales! https://www.facebook.com/nominalia https://twitter.com/_nominalia_ https://plus.google.com/+nominalia http://www.youtube.com/user/NominaliaDada

Recomendados

Seguridad en servidores
Seguridad en servidoresSeguridad en servidores
Seguridad en servidoresTaty Millan
 
Ataque a servidores
Ataque a servidoresAtaque a servidores
Ataque a servidoresJose Ruiz
 
Modulo III: Seguridad en Servidores
Modulo III: Seguridad en ServidoresModulo III: Seguridad en Servidores
Modulo III: Seguridad en ServidoresJuan Manuel García
 
5.1.3 seguridad de los servidores
5.1.3 seguridad de los servidores5.1.3 seguridad de los servidores
5.1.3 seguridad de los servidoreschavarl
 
Hardening de Servidores Linux Oscar Gonzalez
Hardening de Servidores Linux Oscar GonzalezHardening de Servidores Linux Oscar Gonzalez
Hardening de Servidores Linux Oscar GonzalezOscar Gonzalez
 
Hardening windows
Hardening windowsHardening windows
Hardening windowsJose Manuel Acosta
 
Unidad 3 - Seguridad Lógica
Unidad 3 - Seguridad LógicaUnidad 3 - Seguridad Lógica
Unidad 3 - Seguridad Lógicavverdu
 
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)Jhonny D. Maracay
 

Recomendados

Seguridad en servidores
Seguridad en servidoresSeguridad en servidores
Seguridad en servidoresTaty Millan
 
Ataque a servidores
Ataque a servidoresAtaque a servidores
Ataque a servidoresJose Ruiz
 
Modulo III: Seguridad en Servidores
Modulo III: Seguridad en ServidoresModulo III: Seguridad en Servidores
Modulo III: Seguridad en ServidoresJuan Manuel García
 
5.1.3 seguridad de los servidores
5.1.3 seguridad de los servidores5.1.3 seguridad de los servidores
5.1.3 seguridad de los servidoreschavarl
 
Hardening de Servidores Linux Oscar Gonzalez
Hardening de Servidores Linux Oscar GonzalezHardening de Servidores Linux Oscar Gonzalez
Hardening de Servidores Linux Oscar GonzalezOscar Gonzalez
 
Hardening windows
Hardening windowsHardening windows
Hardening windowsJose Manuel Acosta
 
Unidad 3 - Seguridad Lógica
Unidad 3 - Seguridad LógicaUnidad 3 - Seguridad Lógica
Unidad 3 - Seguridad Lógicavverdu
 
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)Jhonny D. Maracay
 
Seguridad redes u_libre_sesion_1
Seguridad redes u_libre_sesion_1Seguridad redes u_libre_sesion_1
Seguridad redes u_libre_sesion_1Jhon Jairo Hernandez
 
Modulo VI: Detección de intrusos
Modulo VI: Detección de intrusosModulo VI: Detección de intrusos
Modulo VI: Detección de intrusosJuan Manuel García
 
Investigacion seguridad 2
Investigacion seguridad 2Investigacion seguridad 2
Investigacion seguridad 2Francisko Raffal
 
Mecanismos de autenticación-identificación. Vulneración y cracking de contras...
Mecanismos de autenticación-identificación. Vulneración y cracking de contras...Mecanismos de autenticación-identificación. Vulneración y cracking de contras...
Mecanismos de autenticación-identificación. Vulneración y cracking de contras...Alejandro Ramos
 
Seguridad En Sistemas Operativos
Seguridad En Sistemas OperativosSeguridad En Sistemas Operativos
Seguridad En Sistemas OperativosSebastián Bortnik
 
Seguridad En Sistemas Operativos (segunda parte)
Seguridad En Sistemas Operativos (segunda parte)Seguridad En Sistemas Operativos (segunda parte)
Seguridad En Sistemas Operativos (segunda parte)Sebastián Bortnik
 
Firewall
FirewallFirewall
FirewallMarcelo
 
Hardening en-nix-asegurar-un-ftp-server
Hardening en-nix-asegurar-un-ftp-serverHardening en-nix-asegurar-un-ftp-server
Hardening en-nix-asegurar-un-ftp-serverJosé Moreno
 
Actividad No. 6.6: Detección de intrusos con Snort
Actividad No. 6.6: Detección de intrusos con SnortActividad No. 6.6: Detección de intrusos con Snort
Actividad No. 6.6: Detección de intrusos con SnortFrancisco Medina
 
Ejercicio seguridad en redes
Ejercicio seguridad en redesEjercicio seguridad en redes
Ejercicio seguridad en redesvverdu
 
Symantec endpoint protection
Symantec endpoint protectionSymantec endpoint protection
Symantec endpoint protectionjaviersdq
 
Unidad 6 Seguridad en redes corporativas
Unidad 6 Seguridad en redes corporativasUnidad 6 Seguridad en redes corporativas
Unidad 6 Seguridad en redes corporativasvverdu
 
Seguridad en bases de datos
Seguridad en bases de datosSeguridad en bases de datos
Seguridad en bases de datosJuan Quiroga
 
Seguridad en las redes
Seguridad en las redesSeguridad en las redes
Seguridad en las redesjeromin
 
Cybersecurity
CybersecurityCybersecurity
CybersecurityAgustin Valdez
 
Seguridad de redes informaticas
Seguridad de redes informaticasSeguridad de redes informaticas
Seguridad de redes informaticasJosé Efraín Alava Cruzatty
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De Datosguestb40a1b0
 
Implementing network security_es
Implementing network security_esImplementing network security_es
Implementing network security_esJazminmrodenas
 
Seguridad
SeguridadSeguridad
SeguridadEricValdislavs Mendoza
 
Ud5 Amenazas al software
Ud5 Amenazas al softwareUd5 Amenazas al software
Ud5 Amenazas al softwarecarmenrico14
 
WINDOWS 2019 HARDENING (Aseguramiento)
WINDOWS 2019 HARDENING (Aseguramiento)WINDOWS 2019 HARDENING (Aseguramiento)
WINDOWS 2019 HARDENING (Aseguramiento)Cristian Garcia G.
 
WEBINAR : WINDOWS 2019 HARDENING (Aseguramiento)
WEBINAR : WINDOWS 2019 HARDENING (Aseguramiento)WEBINAR : WINDOWS 2019 HARDENING (Aseguramiento)
WEBINAR : WINDOWS 2019 HARDENING (Aseguramiento)Cristian Garcia G.
 

Más contenido relacionado

La actualidad más candente

Modulo VI: Detección de intrusos
Modulo VI: Detección de intrusosModulo VI: Detección de intrusos
Modulo VI: Detección de intrusosJuan Manuel García
 
Mecanismos de autenticación-identificación. Vulneración y cracking de contras...
Mecanismos de autenticación-identificación. Vulneración y cracking de contras...Mecanismos de autenticación-identificación. Vulneración y cracking de contras...
Mecanismos de autenticación-identificación. Vulneración y cracking de contras...Alejandro Ramos
 
Seguridad En Sistemas Operativos
Seguridad En Sistemas OperativosSeguridad En Sistemas Operativos
Seguridad En Sistemas OperativosSebastián Bortnik
 
Seguridad En Sistemas Operativos (segunda parte)
Seguridad En Sistemas Operativos (segunda parte)Seguridad En Sistemas Operativos (segunda parte)
Seguridad En Sistemas Operativos (segunda parte)Sebastián Bortnik
 
Firewall
FirewallFirewall
FirewallMarcelo
 
Hardening en-nix-asegurar-un-ftp-server
Hardening en-nix-asegurar-un-ftp-serverHardening en-nix-asegurar-un-ftp-server
Hardening en-nix-asegurar-un-ftp-serverJosé Moreno
 
Actividad No. 6.6: Detección de intrusos con Snort
Actividad No. 6.6: Detección de intrusos con SnortActividad No. 6.6: Detección de intrusos con Snort
Actividad No. 6.6: Detección de intrusos con SnortFrancisco Medina
 
Ejercicio seguridad en redes
Ejercicio seguridad en redesEjercicio seguridad en redes
Ejercicio seguridad en redesvverdu
 
Symantec endpoint protection
Symantec endpoint protectionSymantec endpoint protection
Symantec endpoint protectionjaviersdq
 
Unidad 6 Seguridad en redes corporativas
Unidad 6 Seguridad en redes corporativasUnidad 6 Seguridad en redes corporativas
Unidad 6 Seguridad en redes corporativasvverdu
 
Seguridad en bases de datos
Seguridad en bases de datosSeguridad en bases de datos
Seguridad en bases de datosJuan Quiroga
 
Seguridad en las redes
Seguridad en las redesSeguridad en las redes
Seguridad en las redesjeromin
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De Datosguestb40a1b0
 
Implementing network security_es
Implementing network security_esImplementing network security_es
Implementing network security_esJazminmrodenas
 
Ud5 Amenazas al software
Ud5 Amenazas al softwareUd5 Amenazas al software
Ud5 Amenazas al softwarecarmenrico14
 

La actualidad más candente (20)

Seguridad redes u_libre_sesion_1
Seguridad redes u_libre_sesion_1Seguridad redes u_libre_sesion_1
Seguridad redes u_libre_sesion_1
 
Modulo VI: Detección de intrusos
Modulo VI: Detección de intrusosModulo VI: Detección de intrusos
Modulo VI: Detección de intrusos
 
Investigacion seguridad 2
Investigacion seguridad 2Investigacion seguridad 2
Investigacion seguridad 2
 
Mecanismos de autenticación-identificación. Vulneración y cracking de contras...
Mecanismos de autenticación-identificación. Vulneración y cracking de contras...Mecanismos de autenticación-identificación. Vulneración y cracking de contras...
Mecanismos de autenticación-identificación. Vulneración y cracking de contras...
 
Seguridad En Sistemas Operativos
Seguridad En Sistemas OperativosSeguridad En Sistemas Operativos
Seguridad En Sistemas Operativos
 
Seguridad En Sistemas Operativos (segunda parte)
Seguridad En Sistemas Operativos (segunda parte)Seguridad En Sistemas Operativos (segunda parte)
Seguridad En Sistemas Operativos (segunda parte)
 
Firewall
FirewallFirewall
Firewall
 
Hardening en-nix-asegurar-un-ftp-server
Hardening en-nix-asegurar-un-ftp-serverHardening en-nix-asegurar-un-ftp-server
Hardening en-nix-asegurar-un-ftp-server
 
Actividad No. 6.6: Detección de intrusos con Snort
Actividad No. 6.6: Detección de intrusos con SnortActividad No. 6.6: Detección de intrusos con Snort
Actividad No. 6.6: Detección de intrusos con Snort
 
Ejercicio seguridad en redes
Ejercicio seguridad en redesEjercicio seguridad en redes
Ejercicio seguridad en redes
 
Symantec endpoint protection
Symantec endpoint protectionSymantec endpoint protection
Symantec endpoint protection
 
Unidad 6 Seguridad en redes corporativas
Unidad 6 Seguridad en redes corporativasUnidad 6 Seguridad en redes corporativas
Unidad 6 Seguridad en redes corporativas
 
Seguridad en bases de datos
Seguridad en bases de datosSeguridad en bases de datos
Seguridad en bases de datos
 
Seguridad en las redes
Seguridad en las redesSeguridad en las redes
Seguridad en las redes
 
Cybersecurity
CybersecurityCybersecurity
Cybersecurity
 
Seguridad de redes informaticas
Seguridad de redes informaticasSeguridad de redes informaticas
Seguridad de redes informaticas
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De Datos
 
Implementing network security_es
Implementing network security_esImplementing network security_es
Implementing network security_es
 
Seguridad
SeguridadSeguridad
Seguridad
 
Ud5 Amenazas al software
Ud5 Amenazas al softwareUd5 Amenazas al software
Ud5 Amenazas al software
 

Similar a Seguridad en Servidores Dedicados

WINDOWS 2019 HARDENING (Aseguramiento)
WINDOWS 2019 HARDENING (Aseguramiento)WINDOWS 2019 HARDENING (Aseguramiento)
WINDOWS 2019 HARDENING (Aseguramiento)Cristian Garcia G.
 
WEBINAR : WINDOWS 2019 HARDENING (Aseguramiento)
WEBINAR : WINDOWS 2019 HARDENING (Aseguramiento)WEBINAR : WINDOWS 2019 HARDENING (Aseguramiento)
WEBINAR : WINDOWS 2019 HARDENING (Aseguramiento)Cristian Garcia G.
 
Hack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstackHack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstackMarc Pàmpols
 
Pentest - El Arte de la Guerra
Pentest - El Arte de la GuerraPentest - El Arte de la Guerra
Pentest - El Arte de la GuerraLuis Cortes Zavala
 
Rooted con 2015 - Rojos y Azules: dos equipos con dos sabores
Rooted con 2015 - Rojos y Azules: dos equipos con dos saboresRooted con 2015 - Rojos y Azules: dos equipos con dos sabores
Rooted con 2015 - Rojos y Azules: dos equipos con dos saboresAlejandro Ramos
 
Rooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molinaRooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molinaRootedCON
 
Scripting para Pentesters v1.0
Scripting para Pentesters v1.0Scripting para Pentesters v1.0
Scripting para Pentesters v1.0wcuestas
 
Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010
Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010
Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 20104v4t4r
 
Consejos de seguridad con Alfresco
Consejos de seguridad con AlfrescoConsejos de seguridad con Alfresco
Consejos de seguridad con AlfrescoToni de la Fuente
 
José Luis Verdeguer - VoIP2DAY 2016 | Analizando la seguridad de los producto...
José Luis Verdeguer - VoIP2DAY 2016 | Analizando la seguridad de los producto...José Luis Verdeguer - VoIP2DAY 2016 | Analizando la seguridad de los producto...
José Luis Verdeguer - VoIP2DAY 2016 | Analizando la seguridad de los producto...VOIP2DAY
 
Servidores web de altas prestaciones. Tema 6
Servidores web de altas prestaciones. Tema 6Servidores web de altas prestaciones. Tema 6
Servidores web de altas prestaciones. Tema 6pacvslideshare
 
Ssh, registro de acceso remoto y backup
Ssh, registro de acceso remoto y backupSsh, registro de acceso remoto y backup
Ssh, registro de acceso remoto y backupmatateshion
 
Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]
Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]
Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]RootedCON
 
Extendiendo la seguridad en Elastix con Snort IDS/IPS
Extendiendo la seguridad en Elastix con Snort IDS/IPSExtendiendo la seguridad en Elastix con Snort IDS/IPS
Extendiendo la seguridad en Elastix con Snort IDS/IPSPaloSanto Solutions
 
Extendiendo la Seguridad de Elastix con Snort
Extendiendo la Seguridad de Elastix con SnortExtendiendo la Seguridad de Elastix con Snort
Extendiendo la Seguridad de Elastix con SnortJuan Oliva
 
Ponencia sql avanzado y automatizado
Ponencia sql avanzado y automatizadoPonencia sql avanzado y automatizado
Ponencia sql avanzado y automatizadon3xasec
 
Seguridad en Asterisk: Un acercamiento detallado
Seguridad en Asterisk: Un acercamiento detalladoSeguridad en Asterisk: Un acercamiento detallado
Seguridad en Asterisk: Un acercamiento detalladoPaloSanto Solutions
 

Similar a Seguridad en Servidores Dedicados (20)

WINDOWS 2019 HARDENING (Aseguramiento)
WINDOWS 2019 HARDENING (Aseguramiento)WINDOWS 2019 HARDENING (Aseguramiento)
WINDOWS 2019 HARDENING (Aseguramiento)
 
WEBINAR : WINDOWS 2019 HARDENING (Aseguramiento)
WEBINAR : WINDOWS 2019 HARDENING (Aseguramiento)WEBINAR : WINDOWS 2019 HARDENING (Aseguramiento)
WEBINAR : WINDOWS 2019 HARDENING (Aseguramiento)
 
Hack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstackHack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstack
 
Pentest - El Arte de la Guerra
Pentest - El Arte de la GuerraPentest - El Arte de la Guerra
Pentest - El Arte de la Guerra
 
Rooted con 2015 - Rojos y Azules: dos equipos con dos sabores
Rooted con 2015 - Rojos y Azules: dos equipos con dos saboresRooted con 2015 - Rojos y Azules: dos equipos con dos sabores
Rooted con 2015 - Rojos y Azules: dos equipos con dos sabores
 
Rooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molinaRooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molina
 
Scripting para Pentesters v1.0
Scripting para Pentesters v1.0Scripting para Pentesters v1.0
Scripting para Pentesters v1.0
 
Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010
Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010
Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010
 
Seguridad
SeguridadSeguridad
Seguridad
 
Seguridad4
Seguridad4Seguridad4
Seguridad4
 
Consejos de seguridad con Alfresco
Consejos de seguridad con AlfrescoConsejos de seguridad con Alfresco
Consejos de seguridad con Alfresco
 
José Luis Verdeguer - VoIP2DAY 2016 | Analizando la seguridad de los producto...
José Luis Verdeguer - VoIP2DAY 2016 | Analizando la seguridad de los producto...José Luis Verdeguer - VoIP2DAY 2016 | Analizando la seguridad de los producto...
José Luis Verdeguer - VoIP2DAY 2016 | Analizando la seguridad de los producto...
 
Servidores web de altas prestaciones. Tema 6
Servidores web de altas prestaciones. Tema 6Servidores web de altas prestaciones. Tema 6
Servidores web de altas prestaciones. Tema 6
 
Ssh, registro de acceso remoto y backup
Ssh, registro de acceso remoto y backupSsh, registro de acceso remoto y backup
Ssh, registro de acceso remoto y backup
 
Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]
Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]
Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]
 
Sistemas operativos
Sistemas operativosSistemas operativos
Sistemas operativos
 
Extendiendo la seguridad en Elastix con Snort IDS/IPS
Extendiendo la seguridad en Elastix con Snort IDS/IPSExtendiendo la seguridad en Elastix con Snort IDS/IPS
Extendiendo la seguridad en Elastix con Snort IDS/IPS
 
Extendiendo la Seguridad de Elastix con Snort
Extendiendo la Seguridad de Elastix con SnortExtendiendo la Seguridad de Elastix con Snort
Extendiendo la Seguridad de Elastix con Snort
 
Ponencia sql avanzado y automatizado
Ponencia sql avanzado y automatizadoPonencia sql avanzado y automatizado
Ponencia sql avanzado y automatizado
 
Seguridad en Asterisk: Un acercamiento detallado
Seguridad en Asterisk: Un acercamiento detalladoSeguridad en Asterisk: Un acercamiento detallado
Seguridad en Asterisk: Un acercamiento detallado
 

Más de Nominalia

Nominalia: 25 años de historia
Nominalia: 25 años de historiaNominalia: 25 años de historia
Nominalia: 25 años de historiaNominalia
 
Aprende a crear tu propia web con simply site (opciones avanzadas)
Aprende a crear tu propia web con simply site (opciones avanzadas)Aprende a crear tu propia web con simply site (opciones avanzadas)
Aprende a crear tu propia web con simply site (opciones avanzadas)Nominalia
 
Recursos para proteger tu marca en internet
Recursos para proteger tu marca en internetRecursos para proteger tu marca en internet
Recursos para proteger tu marca en internetNominalia
 
Servidores Administrados: aspectos fundamentales a considerar
Servidores Administrados: aspectos fundamentales a considerarServidores Administrados: aspectos fundamentales a considerar
Servidores Administrados: aspectos fundamentales a considerarNominalia
 
Aspectos prácticos de la protección de datos para pymes y emprendedores
Aspectos prácticos de la protección de datos para pymes y emprendedoresAspectos prácticos de la protección de datos para pymes y emprendedores
Aspectos prácticos de la protección de datos para pymes y emprendedoresNominalia
 
Estrategias de Marketing Digital para tu Sitio Web
Estrategias de Marketing Digital para tu Sitio WebEstrategias de Marketing Digital para tu Sitio Web
Estrategias de Marketing Digital para tu Sitio WebNominalia
 
Por qué elegir un servidor dedicado para mi negocio
Por qué elegir un servidor dedicado para mi negocioPor qué elegir un servidor dedicado para mi negocio
Por qué elegir un servidor dedicado para mi negocioNominalia
 
WordPress: cómo aumentar la velocidad y la seguridad de una web
WordPress: cómo aumentar la velocidad y la seguridad de una webWordPress: cómo aumentar la velocidad y la seguridad de una web
WordPress: cómo aumentar la velocidad y la seguridad de una webNominalia
 
Curso WordPress: potencia tu Web con Herramientas Avanzadas
Curso WordPress: potencia tu Web con Herramientas AvanzadasCurso WordPress: potencia tu Web con Herramientas Avanzadas
Curso WordPress: potencia tu Web con Herramientas AvanzadasNominalia
 
Primeros pasos en WordPress: cómo concretar tu idea en tu web
Primeros pasos en WordPress: cómo concretar tu idea en tu webPrimeros pasos en WordPress: cómo concretar tu idea en tu web
Primeros pasos en WordPress: cómo concretar tu idea en tu webNominalia
 
Opiniones de clientes en tu tienda online: ¿la nueva "Fiebre del Oro"?
Opiniones de clientes en tu tienda online: ¿la nueva "Fiebre del Oro"?Opiniones de clientes en tu tienda online: ¿la nueva "Fiebre del Oro"?
Opiniones de clientes en tu tienda online: ¿la nueva "Fiebre del Oro"?Nominalia
 
Impacto de las opiniones en las ventas de un e commerce
Impacto de las opiniones en las ventas de un e commerceImpacto de las opiniones en las ventas de un e commerce
Impacto de las opiniones en las ventas de un e commerceNominalia
 
Requisitos legales para montar una tienda online
Requisitos legales para montar una tienda onlineRequisitos legales para montar una tienda online
Requisitos legales para montar una tienda onlineNominalia
 
Llegan los Nuevos Dominios .eus y .gal para Euskadi y Galicia
Llegan los Nuevos Dominios .eus y .gal para Euskadi y GaliciaLlegan los Nuevos Dominios .eus y .gal para Euskadi y Galicia
Llegan los Nuevos Dominios .eus y .gal para Euskadi y GaliciaNominalia
 
Nuevo WebMail de Nominalia: novedades
Nuevo WebMail de Nominalia: novedadesNuevo WebMail de Nominalia: novedades
Nuevo WebMail de Nominalia: novedadesNominalia
 
Cómo aplicar el Marketing Móvil en tu negocio
Cómo aplicar el Marketing Móvil en tu negocio Cómo aplicar el Marketing Móvil en tu negocio
Cómo aplicar el Marketing Móvil en tu negocio Nominalia
 
Taller 1: ¡Aprende con buenas prácticas de diseño!
Taller 1: ¡Aprende con buenas prácticas de diseño!Taller 1: ¡Aprende con buenas prácticas de diseño!
Taller 1: ¡Aprende con buenas prácticas de diseño!Nominalia
 
Más de 1.000 nuevas extensiones de dominio revolucionan Internet
Más de 1.000 nuevas extensiones de dominio revolucionan InternetMás de 1.000 nuevas extensiones de dominio revolucionan Internet
Más de 1.000 nuevas extensiones de dominio revolucionan InternetNominalia
 
Conceptos Básicos del Marketing Online
Conceptos Básicos del Marketing OnlineConceptos Básicos del Marketing Online
Conceptos Básicos del Marketing OnlineNominalia
 
Servidores Virtuales: flexibilidad y conveniencia
Servidores Virtuales: flexibilidad y convenienciaServidores Virtuales: flexibilidad y conveniencia
Servidores Virtuales: flexibilidad y convenienciaNominalia
 

Más de Nominalia (20)

Nominalia: 25 años de historia
Nominalia: 25 años de historiaNominalia: 25 años de historia
Nominalia: 25 años de historia
 
Aprende a crear tu propia web con simply site (opciones avanzadas)
Aprende a crear tu propia web con simply site (opciones avanzadas)Aprende a crear tu propia web con simply site (opciones avanzadas)
Aprende a crear tu propia web con simply site (opciones avanzadas)
 
Recursos para proteger tu marca en internet
Recursos para proteger tu marca en internetRecursos para proteger tu marca en internet
Recursos para proteger tu marca en internet
 
Servidores Administrados: aspectos fundamentales a considerar
Servidores Administrados: aspectos fundamentales a considerarServidores Administrados: aspectos fundamentales a considerar
Servidores Administrados: aspectos fundamentales a considerar
 
Aspectos prácticos de la protección de datos para pymes y emprendedores
Aspectos prácticos de la protección de datos para pymes y emprendedoresAspectos prácticos de la protección de datos para pymes y emprendedores
Aspectos prácticos de la protección de datos para pymes y emprendedores
 
Estrategias de Marketing Digital para tu Sitio Web
Estrategias de Marketing Digital para tu Sitio WebEstrategias de Marketing Digital para tu Sitio Web
Estrategias de Marketing Digital para tu Sitio Web
 
Por qué elegir un servidor dedicado para mi negocio
Por qué elegir un servidor dedicado para mi negocioPor qué elegir un servidor dedicado para mi negocio
Por qué elegir un servidor dedicado para mi negocio
 
WordPress: cómo aumentar la velocidad y la seguridad de una web
WordPress: cómo aumentar la velocidad y la seguridad de una webWordPress: cómo aumentar la velocidad y la seguridad de una web
WordPress: cómo aumentar la velocidad y la seguridad de una web
 
Curso WordPress: potencia tu Web con Herramientas Avanzadas
Curso WordPress: potencia tu Web con Herramientas AvanzadasCurso WordPress: potencia tu Web con Herramientas Avanzadas
Curso WordPress: potencia tu Web con Herramientas Avanzadas
 
Primeros pasos en WordPress: cómo concretar tu idea en tu web
Primeros pasos en WordPress: cómo concretar tu idea en tu webPrimeros pasos en WordPress: cómo concretar tu idea en tu web
Primeros pasos en WordPress: cómo concretar tu idea en tu web
 
Opiniones de clientes en tu tienda online: ¿la nueva "Fiebre del Oro"?
Opiniones de clientes en tu tienda online: ¿la nueva "Fiebre del Oro"?Opiniones de clientes en tu tienda online: ¿la nueva "Fiebre del Oro"?
Opiniones de clientes en tu tienda online: ¿la nueva "Fiebre del Oro"?
 
Impacto de las opiniones en las ventas de un e commerce
Impacto de las opiniones en las ventas de un e commerceImpacto de las opiniones en las ventas de un e commerce
Impacto de las opiniones en las ventas de un e commerce
 
Requisitos legales para montar una tienda online
Requisitos legales para montar una tienda onlineRequisitos legales para montar una tienda online
Requisitos legales para montar una tienda online
 
Llegan los Nuevos Dominios .eus y .gal para Euskadi y Galicia
Llegan los Nuevos Dominios .eus y .gal para Euskadi y GaliciaLlegan los Nuevos Dominios .eus y .gal para Euskadi y Galicia
Llegan los Nuevos Dominios .eus y .gal para Euskadi y Galicia
 
Nuevo WebMail de Nominalia: novedades
Nuevo WebMail de Nominalia: novedadesNuevo WebMail de Nominalia: novedades
Nuevo WebMail de Nominalia: novedades
 
Cómo aplicar el Marketing Móvil en tu negocio
Cómo aplicar el Marketing Móvil en tu negocio Cómo aplicar el Marketing Móvil en tu negocio
Cómo aplicar el Marketing Móvil en tu negocio
 
Taller 1: ¡Aprende con buenas prácticas de diseño!
Taller 1: ¡Aprende con buenas prácticas de diseño!Taller 1: ¡Aprende con buenas prácticas de diseño!
Taller 1: ¡Aprende con buenas prácticas de diseño!
 
Más de 1.000 nuevas extensiones de dominio revolucionan Internet
Más de 1.000 nuevas extensiones de dominio revolucionan InternetMás de 1.000 nuevas extensiones de dominio revolucionan Internet
Más de 1.000 nuevas extensiones de dominio revolucionan Internet
 
Conceptos Básicos del Marketing Online
Conceptos Básicos del Marketing OnlineConceptos Básicos del Marketing Online
Conceptos Básicos del Marketing Online
 
Servidores Virtuales: flexibilidad y conveniencia
Servidores Virtuales: flexibilidad y convenienciaServidores Virtuales: flexibilidad y conveniencia
Servidores Virtuales: flexibilidad y conveniencia
 

Último

EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
Herramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxHerramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxRogerPrieto3
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 

Último (15)

EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Herramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxHerramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptx
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 

Seguridad en Servidores Dedicados

  • 2. Índice seguridad servidores • Gestión remota de servidores (Buenas prácticas) • Sistemas de defensa de servidores • Ataques más comunes en internet y contramedidas 2 Importancia de la seguridad de los servidores en la actualidad
  • 3. • Importancia de las contraseñas (www.passwordmeter.com) • zapatero 9% • Zapatero 27% • Z@p@t3r0 91% • Z@p@t3r0! 100% • @Z@p3t!0r 100% (@Z - @p – 3t - !0r) • Gestión de contraseñas (http://keepass.info) • Creación de contraseñas complejas • Cifrado robusto • Comodidad y portabilidad Gestión remota servidores Contraseñas 3
  • 4. Gestión remota servidores Equipo Cliente • Anti shoulder surfing • Tiempo limitado en portapapeles • Disponible en todas las plataformas 4
  • 5. Gestión remota servidores Equipo Cliente •NO UTILIZAR EL USUARIO ADMINISTRADOR PARA USO COMÚN 5
  • 6. Gestión remota servidores Equipo Cliente • Usuario con permisos limitados • Sudo (Entornos Linux/Mac) • Runas (Entornos Windows) • Actualización del sistema operativo • Antivirus • Anti-malware 6
  • 7. Sistemas de defensa de servidores • IDS / IPS • Firewalls • Hardening • Soluciones comerciales y opensource 7
  • 8. Sistemas de defensa de servidores Equipo Servidor • IDS (Intrusion detection system) • IPS (Intrusion prevention system) 8
  • 9. Sistemas de defensa de servidores Ejemplo práctico servidores en Nominalia 9
  • 10. Sistemas de defensa de servidores Firewalls • Iptables / netfilter 10
  • 11. Sistemas de defensa de servidores Hardening • Protocolo SSH (Básico) • Cambio del puerto standard • Usar solo versión 2 • No permitir el usuario root en el login inicial • Aumentar el cifrado a 2048 bits • Usar intercambio de claves y denegar el acceso por password • ssh-keygen • ssh-copy-id • Tiempo limitado para iniciar sesión • Limitar acceso a usuarios • Usar sftp para la transferencia de archivos 11
  • 12. Sistemas de defensa de servidores Hardening • Protocolo SSH (Avanzado) • Knockd • Cambiar puertos por defecto 12
  • 13. Defensa de los servidores Hardening • Soluciones opensource • ConfigServer Firewall (http://configserver.com/cp/csf.html) • Integración con Webmin • IDS/IPS • Anti-DDOS • Fácil gestión de Iptables • Puntuación de la seguridad del servidor 13
  • 14. Defensa de los servidores Hardening Ejemplo puntuación servidor CSF 14
  • 15. Ataques más comunes en Internet • Escaneo de vulnerabilidades • Ataques comunes y contramedidas • Explotar register_globals en php • Remote code execution • Sql injection • DDOS 15
  • 16. Ataques más comunes en Internet • Evaluar la seguridad del servidor 16
  • 17. Ataques más comunes en Internet 17 • Ataque explotando register_globals en php: Es una propiedad de php orientada a facilitar el desarrollo de programas pasando variables por formularios, cookies o sesiones, dejándolas disponibles en el ámbito global del programa. Pagina: http://www.tiendaejemplo.com/carrito.php?promo_codigo=superbarato10 If(promo_codigo == ‘superbarato10’){ $descuento = 0.05; } If(isset($descuento)){ $total -= $precio * $descuento }
  • 18. Ataques más comunes en Internet 18 • Ataque explotando register_globals en php (2): ATAQUE (Conseguimos un descuento del 90%) Pagina: http://www.tiendaejemplo.com/carrito.php?promo_codigo=meloinvento&descuento=0.9 // si inicializamos aquí descuento a 0 parcheamos el problema $descuento=0; If(promo_codigo == ‘superbarato10’){ $descuento = 0.05; } If(isset($descuento) && descuento > 0){ $total -= $precio * $descuento }
  • 19. Ataques más comunes en Internet 19 • Remote code execution (eval) ATAQUE (Conseguimos ejecutar un comando) Pagina: http://www.tiendaejemplo.com/carrito.php?cp=system(ifconfig) <?php $codigo_postal=$_GET[‘cp']; eval($codigo_postal); ?>
  • 20. Ataques más comunes en Internet 20 • SQL INJECTION consulta = "SELECT * FROM usuarios WHERE email = '" + email +"' AND pass = '" + pass + "';"; SELECT * FROM usuarios WHERE email = ‘pablo@ejem plo.com' AND pass = ‘zapatero'; SELECT * FROM usuarios WHERE email = ‘pablo@ejem plo.com' AND pass = '' OR '1' = '1'; Email: pablo@ejemplo.com Password: ' OR '1' = '1
  • 21. Ataques más comunes en Internet Hardening 21 • SQL INJECTION(2) • Solución: COMPROBAR Y FILTRAR ENTRADAS • FUNCION: mysql_real_escape_string() SELECT * FROM usuarios WHERE email = ‘pablo@ejem plo.com' AND pass = ‘x’;DROP TABLE usuarios; --’; Email: pablo@ejemplo.com Password: x'; DROP TABLE usuarios; --
  • 22. Ataques más comunes en Internet 22 • Ataque DDOS(Distributed Denial of Service) • Contramedida básica para ataques DDOS en el puerto 80 • iptables -I INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent –set • iptables -I INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --update --seconds 45 --hitcount 10 -j DROP • Escaner de ip’s conectadas a nuestro servidor • netstat -ntu | tail -n +3 | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort –n • Baneo de ip’s • iptables -A INPUT -s <ip atacante> -j DROP
  • 23. Conclusiones • Mantener el equipo cliente actualizado y usarlo con un usuario sin privilegios. • Establecer medidas de seguridad preventivas y configurar alertas para la protección de nuestro servidor. • Realizar auditorias de seguridad periodicas para mantener un estándar de seguridad. 23 DADA brand architecture
  • 25. DOMAINS & ADVERTISING ¡Muchas gracias por tu atención! Encontrarás este material y mucho más en www.escueladeinternet.com ¡Síguenos también en las redes sociales! https://www.facebook.com/nominalia https://twitter.com/_nominalia_ https://plus.google.com/+nominalia http://www.youtube.com/user/NominaliaDada