SlideShare una empresa de Scribd logo
1 de 14
Gestión de seguridad
en tus proyectos Joomla!
Seguridad. Principios de diseño (Saltzer y Schroeder1)

 Mínimo privilegio                                                           Cada sujeto ha de tener el mínimo de
                                                                             privilegios para realizar sus funciones
 Separación de privilegios                                                   Procurar que tengan que satisfacerse
                                                                             varias condiciones para realizar una
                                                                             función
 Mínimo mecanismo común                                                      Minimizar los recursos compartidos

 Simplicidad de mecanismo                                                    Evitar complicaciones innecesarias

 Mediación completa                                                          Hacer la comprobación de acceso
                                                                             siempre
 Valores predeterminados seguros La opción por omisión debería ser
                                 denegar el acceso al recurso
 Diseño público                                                              La eficacia del sistema de seguridad no
                                                                             debe basarse en el secreto del diseño
 Aceptabilidad por los usuarios                                              El sistema de seguridad debe ser fácil
                                                                             de cumplir y poco molesto

 1. Jerry H. Saltzer, Mike D. Schroeder (1975). "The protection of information in computer systems"   http://web.mit.edu/Saltzer/www/publications/protection
Gestión de seguridad en tus proyectos Joomla!

 I. Checklist para la configuración del servidor, preparación del alojamiento y
    cómo conseguir un alojamiento Joomla Friendly

II Buenas prácticas en la configuración de tu instalación antes de la entrada
   en producción
     1. Permisos; Grupos, usuarios y privilegios de ejecución.
     2. Securización de directorios
     3. Copias de seguridad; desde tu alojamiento y desde componentes Joomla
         adhoc
     4. Filtro para script kiddies. Activando el .htaccess

III Buenas prácticas en el seguimiento de instalaciones y parques de
    instalaciones Joomla
       1. Seguimiento de vulnerabilidades y actualizaciones de seguridad.
       2. Seguimiento, rastreo y neutralización de actividad hostil
              A) Identificación desde el NOC y desde Joomla (Componentes de
              seguridad)
              B) Neutralización de actividad hostil y limpieza de una instalación
              comprometida
I. Checklist para la configuración del servidor, preparación del
   alojamiento y cómo conseguir un alojamiento Joomla Friendly

CSF Firewall + LFD Login Failure Daemon

MySQL 5

Apache mod_security → Personaliza tus reglas
  .htaccess → Personaliza tus reglas

PHP 5, con Suhosin Patch
  magic_quotes_gpc ON
  disable_functions
      show_source, system, shell_exec, passthru, exec,
      phpinfo, popen, proc_open
  safe_mode OFF
  register_globals OFF
  allow_url_fopen OFF
II Buenas prácticas en la configuración de tu instalación antes de
   la entrada en producción

 Si bien la instalación Base de Joomla! Es segura cuando ha
 sido instalada correctamente, las extensiones de terceros
 pueden ser completamente heterogéneas en cuanto a su
 edad, calidad o su trazabilidad.

 No confíes ciegamente en todas las extensiones de terceros.
 Lee las opiniones de otras personas que ya han utilizado la
 extensión, asegúrate también de que es una extensión que
 se ha ido actualizando periódicamente, y que descargas la
 versión más reciente.
 Si tienes conocimientos avanzados, revisa el código y
 asegúrate de que cumple con los requisitos de seguridad.

 Copias de seguridad MUY frecuentes, de ficheros, y BBDD
Permisos; Grupos, usuarios y privilegios de ejecución.

                                           Atendiendo c un
                                                        a
                                           criterio de mínima
Permisos en carpetas y directorios         disponibilidad, es
r = Read permiso de lectura                importante ajustar al
w = Write permiso de escritura             máximo detalle
x = Executepermiso de ejecución            posible el nivel de
                                           permisos
Propietario     Grupo        Otros
rwx             rwx          rwx
421             421          421

 4+2+1 4+2+1 4+2+1
 =7    =7    =7

find . -type f -exec chmod 644 {} ;
find . -type d -exec chmod 755 {} ;
chmod 707 images
chmod 707 images/stories
chown apache:apache cache
Filtro para script kiddies. Activando el .htaccess


Limitar la ejecución de procesos o permisos dentro del
directorio público es una primera y básica medida de
seguridad que puede suponer un medio muy efectivo ante
meros lammers y script kiddies entre otros.

Joomla incorpora por defecto un fichero .htaccess listo
para renombrar y que nó sólo permite reescribir las URL.


1. Renombrar el fichero .htaccess
2. Personaliza tus reglas .htaccess
    http://docs.joomla.org/Htaccess_examples_(security)
    http://perishablepress.com/press/tag/htaccess
Securización de directorios y ficheros críticos


Protege los directorios que por su naturaleza o
circunstancialmente requieran disponer de permisos 777
(images, docman, ...)

Añade un fichero .htaccess específico dentro del directorio
restringiendo la posibilidad de ejecutar ficheros dentro de él:
   AddHandler cgi-script .php .pl .py .jsp .asp .htm .shtml .sh .cgi
   Options -ExecCGI


   <Files .htaccess>
   order allow,deny
   deny from all
   </Files>

   <Files configuration.php>
   order allow,deny
   deny from all
   </Files>
III Buenas prácticas en el seguimiento de instalaciones y parques
    de instalaciones Joomla.

Control de actualizaciones y versiones de componentes
instalados.
Existen algunas herramientas que pueden suponer una importante
ayuda para controlar y actualizar en bloque:

    Joomla Mass Updater
    Joomla Upgrade Notifier
    Joomla Diagnostics
    Joomla system tool
    OWASP Joomla Vulnerability Scanner Project

Seguimiento de registros de incidencia y reportes de seguridad

Copias de seguridad regulares
Seguimiento de vulnerabilidades y actualizaciones de seguridad

Lugares de referencia para el seguimiento de vulnerabidades
y actualizaciones de Joomla

http://developer.joomla.org/security.html
http://feeds.joomla.org/JoomlaSecurityNews

Las extensiones y complementos de terceros suponen el
porcentaje más importante de las quiebras de seguridad en
Joomla. Es importante tener muy presente éste feed:

http://feeds.joomla.org/JoomlaSecurityVulnerableExtensions

Pero también las actualizaciones de los propios
componentes y sistema operativo.
Seguimiento, rastreo y neutralización de actividad hostil

A. Identificación desde el NOC y desde Joomla
   (Componentes de seguridad)

B. Neutralización de actividad hostil y limpieza de una
   instalación comprometida
Identificación desde el NOC

Reportes de actividad sospechosa
 Time:      Thu Feb 11 15:47:12 2010 +0100
 IP:        77.92.139.74 (TR/Turkey/datacenter-74-139-92-77.sadecehosting.net)
 Hits:      11
 Blocked:   Temporary Block

 Sample of block hits:
 Feb 11 15:45:24 orix-1 kernel: Firewall: *TCP_IN Blocked*
 IN=eth0 OUT= MAC=00:1c:c0:d4:45:94:00:24:c3:84:04:00:08:00 SRC=77.92.139.74 DST=94.23.154.250 LEN=52
 TOS=0x00 PREC=0x00 TTL=56 ID=26905 DF PROTO=TCP SPT=3082 DPT=81 WINDOW=65535 RES=0x00 SYN URGP=0
 Time:    Thu Feb 11 13:37:56 2010 +0100
 IP:      94.198.53.66 (RU/Russian Federation/-)
 Hits:    11
 Blocked: Temporary Block

 Feb 11 15:45:24 orix-1 kernel: Firewall: *TCP_IN Blocked*
 IN=eth0 OUT= MAC=00:1c:c0:d4:45:94:00:24:c3:84:04:00:08:00
 SRC=77.92.139.74 DST=94.23.154.250 LEN=52
 TOS=0x00 PREC=0x00 TTL=56 ID=26905 DF PROTO=TCP SPT=3082 DPT=81 WINDOW=65535 RES=0x00 SYN URGP=0



Sistematización y análisis de los reportes en tiempo real
24x7x365 desde el NOC ( por ejemplo mediante SPLUNK)
Neutralización de actividad hostil
y limpieza de una instalación comprometida

Comprueba si hay ficheros que han sido modificados en el
ataque, y dedica tiempo a buscar cual ha sido el punto por el
que han entrado (versión obsoleta de Joomla!, extensiones
que habías instalado), y corrige el punto débil para que no
vuelva a ocurrir.

Controla los archivos logs del servidor

Cambia la contraseña de FTP y MySQL

Guarda el fichero de configuración, imágenes y archivos
particulares

Borra todo el directorio y vuelve a construir el sito partiendo
de una instalación nueva o copias de seguridad limpias.
Daniel Rodríguez Merino
            d.rodriguez@occentus.net




¡Gracias!

Más contenido relacionado

La actualidad más candente

La actualidad más candente (14)

Alejandro arreola
Alejandro arreolaAlejandro arreola
Alejandro arreola
 
Manual Nesus And Nmap
Manual Nesus And NmapManual Nesus And Nmap
Manual Nesus And Nmap
 
Ud6 Seguridad del software
Ud6 Seguridad del softwareUd6 Seguridad del software
Ud6 Seguridad del software
 
Riesgos de Seguridad
Riesgos de SeguridadRiesgos de Seguridad
Riesgos de Seguridad
 
Seguridad en linux
Seguridad en linuxSeguridad en linux
Seguridad en linux
 
Seguridad linux 2011
Seguridad linux 2011Seguridad linux 2011
Seguridad linux 2011
 
Business solutions
Business solutionsBusiness solutions
Business solutions
 
Informe proyecto nessus
Informe proyecto nessusInforme proyecto nessus
Informe proyecto nessus
 
Unidad 7
Unidad 7Unidad 7
Unidad 7
 
M5 s1
M5 s1M5 s1
M5 s1
 
DFSO SEGUNDO PARCIAL 3D
DFSO SEGUNDO PARCIAL 3DDFSO SEGUNDO PARCIAL 3D
DFSO SEGUNDO PARCIAL 3D
 
SEGURIDAD EN LINUX vs SEGURIDAD EN WINDOWS
SEGURIDAD EN LINUX vs SEGURIDAD EN WINDOWSSEGURIDAD EN LINUX vs SEGURIDAD EN WINDOWS
SEGURIDAD EN LINUX vs SEGURIDAD EN WINDOWS
 
Ataques y debilidades comunes
Ataques y debilidades comunesAtaques y debilidades comunes
Ataques y debilidades comunes
 
Seguridad y proteccion en Sistemas Operativos
Seguridad y proteccion en Sistemas OperativosSeguridad y proteccion en Sistemas Operativos
Seguridad y proteccion en Sistemas Operativos
 

Destacado

x-publisher database publishing/web2print platform
x-publisher database publishing/web2print platformx-publisher database publishing/web2print platform
x-publisher database publishing/web2print platformLaurens Boex
 
Groeien in een digitale wereld: van nice to have tot game changer
Groeien in een digitale wereld: van nice to have tot game changerGroeien in een digitale wereld: van nice to have tot game changer
Groeien in een digitale wereld: van nice to have tot game changerIntracto digital agency
 
E Book - Novo Clientar CRM
E Book - Novo Clientar CRME Book - Novo Clientar CRM
E Book - Novo Clientar CRMPaulo Araújo
 
Vier Coachingsstijlen
Vier CoachingsstijlenVier Coachingsstijlen
Vier Coachingsstijlenbertblonk
 
Opleiding online communicatie door Antenno, 26/08/2014
Opleiding online communicatie door Antenno, 26/08/2014Opleiding online communicatie door Antenno, 26/08/2014
Opleiding online communicatie door Antenno, 26/08/2014agentschapondernemen
 
GAUC 2011 - Herken en herstel de 8 meest voorkomende Google Analytics impleme...
GAUC 2011 - Herken en herstel de 8 meest voorkomende Google Analytics impleme...GAUC 2011 - Herken en herstel de 8 meest voorkomende Google Analytics impleme...
GAUC 2011 - Herken en herstel de 8 meest voorkomende Google Analytics impleme...Michel Samuelsz
 
A la rencontre des phoques gris en kayak
A la rencontre des phoques gris en kayakA la rencontre des phoques gris en kayak
A la rencontre des phoques gris en kayakNAUTISMEFINISTERE
 
Comment adapter sa stratégie d'acquisition d'audience aux nouveaux challenges...
Comment adapter sa stratégie d'acquisition d'audience aux nouveaux challenges...Comment adapter sa stratégie d'acquisition d'audience aux nouveaux challenges...
Comment adapter sa stratégie d'acquisition d'audience aux nouveaux challenges...Peak Ace
 
Klanten werven via internet voor ZZP-ers @RaboGN #kennisvloer
 Klanten werven via internet voor ZZP-ers @RaboGN #kennisvloer Klanten werven via internet voor ZZP-ers @RaboGN #kennisvloer
Klanten werven via internet voor ZZP-ers @RaboGN #kennisvloerErno Hannink
 
Sortie nature en Kayak autour du Cap Coz
Sortie nature en Kayak autour du Cap CozSortie nature en Kayak autour du Cap Coz
Sortie nature en Kayak autour du Cap CozNAUTISMEFINISTERE
 
Flair Shopping Day (FR)
Flair Shopping Day (FR)Flair Shopping Day (FR)
Flair Shopping Day (FR)Sanoma Belgium
 
Zoekmachine optimalisatie en advertising (SEO & SEA)
Zoekmachine optimalisatie en advertising (SEO & SEA)Zoekmachine optimalisatie en advertising (SEO & SEA)
Zoekmachine optimalisatie en advertising (SEO & SEA)Peter Voets
 
Trital presentatie valbeveiliging.
Trital presentatie valbeveiliging.Trital presentatie valbeveiliging.
Trital presentatie valbeveiliging.Kees de Vliegh
 

Destacado (20)

x-publisher database publishing/web2print platform
x-publisher database publishing/web2print platformx-publisher database publishing/web2print platform
x-publisher database publishing/web2print platform
 
GlobEvents brands 2013
GlobEvents brands 2013GlobEvents brands 2013
GlobEvents brands 2013
 
Zadel
ZadelZadel
Zadel
 
Groeien in een digitale wereld: van nice to have tot game changer
Groeien in een digitale wereld: van nice to have tot game changerGroeien in een digitale wereld: van nice to have tot game changer
Groeien in een digitale wereld: van nice to have tot game changer
 
Vertaalbureau textwerk
Vertaalbureau textwerkVertaalbureau textwerk
Vertaalbureau textwerk
 
Presentación LETRA J
Presentación LETRA JPresentación LETRA J
Presentación LETRA J
 
E Book - Novo Clientar CRM
E Book - Novo Clientar CRME Book - Novo Clientar CRM
E Book - Novo Clientar CRM
 
Vier Coachingsstijlen
Vier CoachingsstijlenVier Coachingsstijlen
Vier Coachingsstijlen
 
Opleiding online communicatie door Antenno, 26/08/2014
Opleiding online communicatie door Antenno, 26/08/2014Opleiding online communicatie door Antenno, 26/08/2014
Opleiding online communicatie door Antenno, 26/08/2014
 
GAUC 2011 - Herken en herstel de 8 meest voorkomende Google Analytics impleme...
GAUC 2011 - Herken en herstel de 8 meest voorkomende Google Analytics impleme...GAUC 2011 - Herken en herstel de 8 meest voorkomende Google Analytics impleme...
GAUC 2011 - Herken en herstel de 8 meest voorkomende Google Analytics impleme...
 
A la rencontre des phoques gris en kayak
A la rencontre des phoques gris en kayakA la rencontre des phoques gris en kayak
A la rencontre des phoques gris en kayak
 
Comment adapter sa stratégie d'acquisition d'audience aux nouveaux challenges...
Comment adapter sa stratégie d'acquisition d'audience aux nouveaux challenges...Comment adapter sa stratégie d'acquisition d'audience aux nouveaux challenges...
Comment adapter sa stratégie d'acquisition d'audience aux nouveaux challenges...
 
Klanten werven via internet voor ZZP-ers @RaboGN #kennisvloer
 Klanten werven via internet voor ZZP-ers @RaboGN #kennisvloer Klanten werven via internet voor ZZP-ers @RaboGN #kennisvloer
Klanten werven via internet voor ZZP-ers @RaboGN #kennisvloer
 
Sortie nature en Kayak autour du Cap Coz
Sortie nature en Kayak autour du Cap CozSortie nature en Kayak autour du Cap Coz
Sortie nature en Kayak autour du Cap Coz
 
Flair Shopping Day (FR)
Flair Shopping Day (FR)Flair Shopping Day (FR)
Flair Shopping Day (FR)
 
O 2
O 2O 2
O 2
 
Maak een Prezi
Maak een PreziMaak een Prezi
Maak een Prezi
 
Zoekmachine optimalisatie en advertising (SEO & SEA)
Zoekmachine optimalisatie en advertising (SEO & SEA)Zoekmachine optimalisatie en advertising (SEO & SEA)
Zoekmachine optimalisatie en advertising (SEO & SEA)
 
Trital presentatie valbeveiliging.
Trital presentatie valbeveiliging.Trital presentatie valbeveiliging.
Trital presentatie valbeveiliging.
 
Hoe Werkt Twiter Zakelijk?
Hoe Werkt Twiter Zakelijk? Hoe Werkt Twiter Zakelijk?
Hoe Werkt Twiter Zakelijk?
 

Similar a Gestión de seguridad en tus proyectos Joomla!

Proteccion y Seguridad en los Sistemas Operativos
Proteccion y Seguridad en los Sistemas OperativosProteccion y Seguridad en los Sistemas Operativos
Proteccion y Seguridad en los Sistemas OperativosEduardo Gomez
 
Seguridad en servidores
Seguridad en servidoresSeguridad en servidores
Seguridad en servidoresTaty Millan
 
43 aseguramiento de su red
43  aseguramiento de su red43  aseguramiento de su red
43 aseguramiento de su redAprende Viendo
 
Riesgo y Vulnerabilidades en el Desarrollo
Riesgo y Vulnerabilidades en el DesarrolloRiesgo y Vulnerabilidades en el Desarrollo
Riesgo y Vulnerabilidades en el DesarrolloConferencias FIST
 
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)Jhonny D. Maracay
 
Seguridad base de datos
Seguridad base de datosSeguridad base de datos
Seguridad base de datosJuandTs
 
Seguridad Base Datos
Seguridad Base DatosSeguridad Base Datos
Seguridad Base DatosJuandTs
 
Ethical hacking 02
Ethical hacking 02Ethical hacking 02
Ethical hacking 02Tensor
 
Daniel González & Helena Jalain - DevSecOps y la caída de Babilonia: cómo olv...
Daniel González & Helena Jalain - DevSecOps y la caída de Babilonia: cómo olv...Daniel González & Helena Jalain - DevSecOps y la caída de Babilonia: cómo olv...
Daniel González & Helena Jalain - DevSecOps y la caída de Babilonia: cómo olv...RootedCON
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De Datosguestb40a1b0
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De DatosWilliam Suárez
 
Seguridad en redes informáticas
Seguridad en redes informáticasSeguridad en redes informáticas
Seguridad en redes informáticaschanel-bullicolor
 
Cuestiones de repaso capitulo 19
Cuestiones de repaso capitulo 19Cuestiones de repaso capitulo 19
Cuestiones de repaso capitulo 19Fabricio Sanchez
 
Firewall Disertacion
Firewall DisertacionFirewall Disertacion
Firewall Disertacionguest96dedf4
 
Seguridad Computacional y Administración de Sistemas
Seguridad Computacional y Administración de SistemasSeguridad Computacional y Administración de Sistemas
Seguridad Computacional y Administración de SistemasArturo Hoffstadt
 
Desymfony 2011 - Tutorial #5: Backend
Desymfony 2011 - Tutorial #5: BackendDesymfony 2011 - Tutorial #5: Backend
Desymfony 2011 - Tutorial #5: BackendJavier Eguiluz
 
Proteccionyseguridadgrupo7
Proteccionyseguridadgrupo7Proteccionyseguridadgrupo7
Proteccionyseguridadgrupo7Santiago
 
Firewall Disertacion
Firewall DisertacionFirewall Disertacion
Firewall Disertacionsquall01
 

Similar a Gestión de seguridad en tus proyectos Joomla! (20)

Proteccion y Seguridad en los Sistemas Operativos
Proteccion y Seguridad en los Sistemas OperativosProteccion y Seguridad en los Sistemas Operativos
Proteccion y Seguridad en los Sistemas Operativos
 
Seguridad en servidores
Seguridad en servidoresSeguridad en servidores
Seguridad en servidores
 
43 aseguramiento de su red
43  aseguramiento de su red43  aseguramiento de su red
43 aseguramiento de su red
 
Riesgo y Vulnerabilidades en el Desarrollo
Riesgo y Vulnerabilidades en el DesarrolloRiesgo y Vulnerabilidades en el Desarrollo
Riesgo y Vulnerabilidades en el Desarrollo
 
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)
 
Seguridad base de datos
Seguridad base de datosSeguridad base de datos
Seguridad base de datos
 
Seguridad Base Datos
Seguridad Base DatosSeguridad Base Datos
Seguridad Base Datos
 
Ethical hacking 02
Ethical hacking 02Ethical hacking 02
Ethical hacking 02
 
Daniel González & Helena Jalain - DevSecOps y la caída de Babilonia: cómo olv...
Daniel González & Helena Jalain - DevSecOps y la caída de Babilonia: cómo olv...Daniel González & Helena Jalain - DevSecOps y la caída de Babilonia: cómo olv...
Daniel González & Helena Jalain - DevSecOps y la caída de Babilonia: cómo olv...
 
Controles de auditoria
Controles de auditoriaControles de auditoria
Controles de auditoria
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De Datos
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De Datos
 
Seguridad en redes informáticas
Seguridad en redes informáticasSeguridad en redes informáticas
Seguridad en redes informáticas
 
Cuestiones de repaso capitulo 19
Cuestiones de repaso capitulo 19Cuestiones de repaso capitulo 19
Cuestiones de repaso capitulo 19
 
Firewall Disertacion
Firewall DisertacionFirewall Disertacion
Firewall Disertacion
 
Seguridad Computacional y Administración de Sistemas
Seguridad Computacional y Administración de SistemasSeguridad Computacional y Administración de Sistemas
Seguridad Computacional y Administración de Sistemas
 
Seguridad y proteccion
Seguridad y proteccionSeguridad y proteccion
Seguridad y proteccion
 
Desymfony 2011 - Tutorial #5: Backend
Desymfony 2011 - Tutorial #5: BackendDesymfony 2011 - Tutorial #5: Backend
Desymfony 2011 - Tutorial #5: Backend
 
Proteccionyseguridadgrupo7
Proteccionyseguridadgrupo7Proteccionyseguridadgrupo7
Proteccionyseguridadgrupo7
 
Firewall Disertacion
Firewall DisertacionFirewall Disertacion
Firewall Disertacion
 

Último

Actividad 14_ Diseño de Algoritmos Paralelos.pdf
Actividad 14_ Diseño de Algoritmos Paralelos.pdfActividad 14_ Diseño de Algoritmos Paralelos.pdf
Actividad 14_ Diseño de Algoritmos Paralelos.pdfalejandrogomezescoto
 
PRESENTACION DEL TEMA LOS MEJORES SIMULADORES DE CIRCUITOS ELCTRONICOS
PRESENTACION DEL TEMA LOS MEJORES SIMULADORES DE CIRCUITOS ELCTRONICOSPRESENTACION DEL TEMA LOS MEJORES SIMULADORES DE CIRCUITOS ELCTRONICOS
PRESENTACION DEL TEMA LOS MEJORES SIMULADORES DE CIRCUITOS ELCTRONICOSLincangoKevin
 
Matriz de integración de tecnologías- Paola Carvajal.docx
Matriz de integración de tecnologías- Paola Carvajal.docxMatriz de integración de tecnologías- Paola Carvajal.docx
Matriz de integración de tecnologías- Paola Carvajal.docxPaolaCarolinaCarvaja
 
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdf
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdfPresentación - Diseño de Algoritmos Paralelos - Grupo 2.pdf
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdfymiranda2
 
La tablet trabajo en grupo del grado 9-2
La tablet trabajo en grupo del grado 9-2La tablet trabajo en grupo del grado 9-2
La tablet trabajo en grupo del grado 9-2montoyagabriela340
 
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdf
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdfTENDENCIAS DE IA Explorando el futuro de la tecnologia.pdf
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdfJoseAlejandroPerezBa
 
VIDEOS DE APOYO.docx E
VIDEOS DE APOYO.docx                                  EVIDEOS DE APOYO.docx                                  E
VIDEOS DE APOYO.docx Emialexsolar
 
De Código a Ejecución: El Papel Fundamental del MSIL en .NET
De Código a Ejecución: El Papel Fundamental del MSIL en .NETDe Código a Ejecución: El Papel Fundamental del MSIL en .NET
De Código a Ejecución: El Papel Fundamental del MSIL en .NETGermán Küber
 
Tecnológia 2024.docx.Tecnológia 2024.docx.
Tecnológia 2024.docx.Tecnológia 2024.docx.Tecnológia 2024.docx.Tecnológia 2024.docx.
Tecnológia 2024.docx.Tecnológia 2024.docx.marianarodriguezc797
 
Los mejores simuladores de circuitos electrónicos.pdf
Los mejores simuladores de circuitos electrónicos.pdfLos mejores simuladores de circuitos electrónicos.pdf
Los mejores simuladores de circuitos electrónicos.pdfodalistar77
 
Carta de Premio y Excel angeline 11-2pdf
Carta de Premio y Excel angeline 11-2pdfCarta de Premio y Excel angeline 11-2pdf
Carta de Premio y Excel angeline 11-2pdfangelinebocanegra1
 
Análisis de artefactos tecnologicos .pdf
Análisis de artefactos tecnologicos .pdfAnálisis de artefactos tecnologicos .pdf
Análisis de artefactos tecnologicos .pdfcastrodanna185
 
Actividad 1-PRESENTACIÓN ANIMADA.pptxPreservación y conservación de los docum...
Actividad 1-PRESENTACIÓN ANIMADA.pptxPreservación y conservación de los docum...Actividad 1-PRESENTACIÓN ANIMADA.pptxPreservación y conservación de los docum...
Actividad 1-PRESENTACIÓN ANIMADA.pptxPreservación y conservación de los docum...OLGAMILENAMONTAEZNIO
 
El diseño de Algoritmos Paralelos.pdf - analisis de algortimos
El diseño de Algoritmos Paralelos.pdf - analisis de algortimosEl diseño de Algoritmos Paralelos.pdf - analisis de algortimos
El diseño de Algoritmos Paralelos.pdf - analisis de algortimosLCristinaForchue
 
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdf
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdfInmersión global en ciberseguridad e IA en la conferencia RSA.pdf
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdfOBr.global
 
Inteligencia artificial dentro de la contabilidad
Inteligencia artificial dentro de la contabilidadInteligencia artificial dentro de la contabilidad
Inteligencia artificial dentro de la contabilidaddanik1023m
 
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...RaymondCode
 
La Electricidad y La Electrónica.pdf....
La Electricidad y La Electrónica.pdf....La Electricidad y La Electrónica.pdf....
La Electricidad y La Electrónica.pdf....Aaron Betancourt
 

Último (20)

Actividad 14_ Diseño de Algoritmos Paralelos.pdf
Actividad 14_ Diseño de Algoritmos Paralelos.pdfActividad 14_ Diseño de Algoritmos Paralelos.pdf
Actividad 14_ Diseño de Algoritmos Paralelos.pdf
 
PRESENTACION DEL TEMA LOS MEJORES SIMULADORES DE CIRCUITOS ELCTRONICOS
PRESENTACION DEL TEMA LOS MEJORES SIMULADORES DE CIRCUITOS ELCTRONICOSPRESENTACION DEL TEMA LOS MEJORES SIMULADORES DE CIRCUITOS ELCTRONICOS
PRESENTACION DEL TEMA LOS MEJORES SIMULADORES DE CIRCUITOS ELCTRONICOS
 
BEDEC Proyecto y obra , novedades 2024 - Xavier Folch
BEDEC Proyecto y obra , novedades 2024 - Xavier FolchBEDEC Proyecto y obra , novedades 2024 - Xavier Folch
BEDEC Proyecto y obra , novedades 2024 - Xavier Folch
 
Matriz de integración de tecnologías- Paola Carvajal.docx
Matriz de integración de tecnologías- Paola Carvajal.docxMatriz de integración de tecnologías- Paola Carvajal.docx
Matriz de integración de tecnologías- Paola Carvajal.docx
 
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdf
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdfPresentación - Diseño de Algoritmos Paralelos - Grupo 2.pdf
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdf
 
La tablet trabajo en grupo del grado 9-2
La tablet trabajo en grupo del grado 9-2La tablet trabajo en grupo del grado 9-2
La tablet trabajo en grupo del grado 9-2
 
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdf
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdfTENDENCIAS DE IA Explorando el futuro de la tecnologia.pdf
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdf
 
BEDEC Sostenibilidad, novedades 2024 - Laura Silva
BEDEC Sostenibilidad, novedades 2024 - Laura SilvaBEDEC Sostenibilidad, novedades 2024 - Laura Silva
BEDEC Sostenibilidad, novedades 2024 - Laura Silva
 
VIDEOS DE APOYO.docx E
VIDEOS DE APOYO.docx                                  EVIDEOS DE APOYO.docx                                  E
VIDEOS DE APOYO.docx E
 
De Código a Ejecución: El Papel Fundamental del MSIL en .NET
De Código a Ejecución: El Papel Fundamental del MSIL en .NETDe Código a Ejecución: El Papel Fundamental del MSIL en .NET
De Código a Ejecución: El Papel Fundamental del MSIL en .NET
 
Tecnológia 2024.docx.Tecnológia 2024.docx.
Tecnológia 2024.docx.Tecnológia 2024.docx.Tecnológia 2024.docx.Tecnológia 2024.docx.
Tecnológia 2024.docx.Tecnológia 2024.docx.
 
Los mejores simuladores de circuitos electrónicos.pdf
Los mejores simuladores de circuitos electrónicos.pdfLos mejores simuladores de circuitos electrónicos.pdf
Los mejores simuladores de circuitos electrónicos.pdf
 
Carta de Premio y Excel angeline 11-2pdf
Carta de Premio y Excel angeline 11-2pdfCarta de Premio y Excel angeline 11-2pdf
Carta de Premio y Excel angeline 11-2pdf
 
Análisis de artefactos tecnologicos .pdf
Análisis de artefactos tecnologicos .pdfAnálisis de artefactos tecnologicos .pdf
Análisis de artefactos tecnologicos .pdf
 
Actividad 1-PRESENTACIÓN ANIMADA.pptxPreservación y conservación de los docum...
Actividad 1-PRESENTACIÓN ANIMADA.pptxPreservación y conservación de los docum...Actividad 1-PRESENTACIÓN ANIMADA.pptxPreservación y conservación de los docum...
Actividad 1-PRESENTACIÓN ANIMADA.pptxPreservación y conservación de los docum...
 
El diseño de Algoritmos Paralelos.pdf - analisis de algortimos
El diseño de Algoritmos Paralelos.pdf - analisis de algortimosEl diseño de Algoritmos Paralelos.pdf - analisis de algortimos
El diseño de Algoritmos Paralelos.pdf - analisis de algortimos
 
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdf
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdfInmersión global en ciberseguridad e IA en la conferencia RSA.pdf
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdf
 
Inteligencia artificial dentro de la contabilidad
Inteligencia artificial dentro de la contabilidadInteligencia artificial dentro de la contabilidad
Inteligencia artificial dentro de la contabilidad
 
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...
 
La Electricidad y La Electrónica.pdf....
La Electricidad y La Electrónica.pdf....La Electricidad y La Electrónica.pdf....
La Electricidad y La Electrónica.pdf....
 

Gestión de seguridad en tus proyectos Joomla!

  • 1. Gestión de seguridad en tus proyectos Joomla!
  • 2. Seguridad. Principios de diseño (Saltzer y Schroeder1) Mínimo privilegio Cada sujeto ha de tener el mínimo de privilegios para realizar sus funciones Separación de privilegios Procurar que tengan que satisfacerse varias condiciones para realizar una función Mínimo mecanismo común Minimizar los recursos compartidos Simplicidad de mecanismo Evitar complicaciones innecesarias Mediación completa Hacer la comprobación de acceso siempre Valores predeterminados seguros La opción por omisión debería ser denegar el acceso al recurso Diseño público La eficacia del sistema de seguridad no debe basarse en el secreto del diseño Aceptabilidad por los usuarios El sistema de seguridad debe ser fácil de cumplir y poco molesto 1. Jerry H. Saltzer, Mike D. Schroeder (1975). "The protection of information in computer systems" http://web.mit.edu/Saltzer/www/publications/protection
  • 3. Gestión de seguridad en tus proyectos Joomla! I. Checklist para la configuración del servidor, preparación del alojamiento y cómo conseguir un alojamiento Joomla Friendly II Buenas prácticas en la configuración de tu instalación antes de la entrada en producción 1. Permisos; Grupos, usuarios y privilegios de ejecución. 2. Securización de directorios 3. Copias de seguridad; desde tu alojamiento y desde componentes Joomla adhoc 4. Filtro para script kiddies. Activando el .htaccess III Buenas prácticas en el seguimiento de instalaciones y parques de instalaciones Joomla 1. Seguimiento de vulnerabilidades y actualizaciones de seguridad. 2. Seguimiento, rastreo y neutralización de actividad hostil A) Identificación desde el NOC y desde Joomla (Componentes de seguridad) B) Neutralización de actividad hostil y limpieza de una instalación comprometida
  • 4. I. Checklist para la configuración del servidor, preparación del alojamiento y cómo conseguir un alojamiento Joomla Friendly CSF Firewall + LFD Login Failure Daemon MySQL 5 Apache mod_security → Personaliza tus reglas .htaccess → Personaliza tus reglas PHP 5, con Suhosin Patch magic_quotes_gpc ON disable_functions show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open safe_mode OFF register_globals OFF allow_url_fopen OFF
  • 5. II Buenas prácticas en la configuración de tu instalación antes de la entrada en producción Si bien la instalación Base de Joomla! Es segura cuando ha sido instalada correctamente, las extensiones de terceros pueden ser completamente heterogéneas en cuanto a su edad, calidad o su trazabilidad. No confíes ciegamente en todas las extensiones de terceros. Lee las opiniones de otras personas que ya han utilizado la extensión, asegúrate también de que es una extensión que se ha ido actualizando periódicamente, y que descargas la versión más reciente. Si tienes conocimientos avanzados, revisa el código y asegúrate de que cumple con los requisitos de seguridad. Copias de seguridad MUY frecuentes, de ficheros, y BBDD
  • 6. Permisos; Grupos, usuarios y privilegios de ejecución. Atendiendo c un a criterio de mínima Permisos en carpetas y directorios disponibilidad, es r = Read permiso de lectura importante ajustar al w = Write permiso de escritura máximo detalle x = Executepermiso de ejecución posible el nivel de permisos Propietario Grupo Otros rwx rwx rwx 421 421 421 4+2+1 4+2+1 4+2+1 =7 =7 =7 find . -type f -exec chmod 644 {} ; find . -type d -exec chmod 755 {} ; chmod 707 images chmod 707 images/stories chown apache:apache cache
  • 7. Filtro para script kiddies. Activando el .htaccess Limitar la ejecución de procesos o permisos dentro del directorio público es una primera y básica medida de seguridad que puede suponer un medio muy efectivo ante meros lammers y script kiddies entre otros. Joomla incorpora por defecto un fichero .htaccess listo para renombrar y que nó sólo permite reescribir las URL. 1. Renombrar el fichero .htaccess 2. Personaliza tus reglas .htaccess http://docs.joomla.org/Htaccess_examples_(security) http://perishablepress.com/press/tag/htaccess
  • 8. Securización de directorios y ficheros críticos Protege los directorios que por su naturaleza o circunstancialmente requieran disponer de permisos 777 (images, docman, ...) Añade un fichero .htaccess específico dentro del directorio restringiendo la posibilidad de ejecutar ficheros dentro de él: AddHandler cgi-script .php .pl .py .jsp .asp .htm .shtml .sh .cgi Options -ExecCGI <Files .htaccess> order allow,deny deny from all </Files> <Files configuration.php> order allow,deny deny from all </Files>
  • 9. III Buenas prácticas en el seguimiento de instalaciones y parques de instalaciones Joomla. Control de actualizaciones y versiones de componentes instalados. Existen algunas herramientas que pueden suponer una importante ayuda para controlar y actualizar en bloque: Joomla Mass Updater Joomla Upgrade Notifier Joomla Diagnostics Joomla system tool OWASP Joomla Vulnerability Scanner Project Seguimiento de registros de incidencia y reportes de seguridad Copias de seguridad regulares
  • 10. Seguimiento de vulnerabilidades y actualizaciones de seguridad Lugares de referencia para el seguimiento de vulnerabidades y actualizaciones de Joomla http://developer.joomla.org/security.html http://feeds.joomla.org/JoomlaSecurityNews Las extensiones y complementos de terceros suponen el porcentaje más importante de las quiebras de seguridad en Joomla. Es importante tener muy presente éste feed: http://feeds.joomla.org/JoomlaSecurityVulnerableExtensions Pero también las actualizaciones de los propios componentes y sistema operativo.
  • 11. Seguimiento, rastreo y neutralización de actividad hostil A. Identificación desde el NOC y desde Joomla (Componentes de seguridad) B. Neutralización de actividad hostil y limpieza de una instalación comprometida
  • 12. Identificación desde el NOC Reportes de actividad sospechosa Time: Thu Feb 11 15:47:12 2010 +0100 IP: 77.92.139.74 (TR/Turkey/datacenter-74-139-92-77.sadecehosting.net) Hits: 11 Blocked: Temporary Block Sample of block hits: Feb 11 15:45:24 orix-1 kernel: Firewall: *TCP_IN Blocked* IN=eth0 OUT= MAC=00:1c:c0:d4:45:94:00:24:c3:84:04:00:08:00 SRC=77.92.139.74 DST=94.23.154.250 LEN=52 TOS=0x00 PREC=0x00 TTL=56 ID=26905 DF PROTO=TCP SPT=3082 DPT=81 WINDOW=65535 RES=0x00 SYN URGP=0 Time: Thu Feb 11 13:37:56 2010 +0100 IP: 94.198.53.66 (RU/Russian Federation/-) Hits: 11 Blocked: Temporary Block Feb 11 15:45:24 orix-1 kernel: Firewall: *TCP_IN Blocked* IN=eth0 OUT= MAC=00:1c:c0:d4:45:94:00:24:c3:84:04:00:08:00 SRC=77.92.139.74 DST=94.23.154.250 LEN=52 TOS=0x00 PREC=0x00 TTL=56 ID=26905 DF PROTO=TCP SPT=3082 DPT=81 WINDOW=65535 RES=0x00 SYN URGP=0 Sistematización y análisis de los reportes en tiempo real 24x7x365 desde el NOC ( por ejemplo mediante SPLUNK)
  • 13. Neutralización de actividad hostil y limpieza de una instalación comprometida Comprueba si hay ficheros que han sido modificados en el ataque, y dedica tiempo a buscar cual ha sido el punto por el que han entrado (versión obsoleta de Joomla!, extensiones que habías instalado), y corrige el punto débil para que no vuelva a ocurrir. Controla los archivos logs del servidor Cambia la contraseña de FTP y MySQL Guarda el fichero de configuración, imágenes y archivos particulares Borra todo el directorio y vuelve a construir el sito partiendo de una instalación nueva o copias de seguridad limpias.
  • 14. Daniel Rodríguez Merino d.rodriguez@occentus.net ¡Gracias!