SlideShare una empresa de Scribd logo

Seguridad en servidores

Descargar como PPTX, PDF
Taty Millan
Taty Millan

Un servidor web procesa aplicaciones del lado del servidor realizando conexiones con el cliente y generando respuestas. Existen muchas amenazas como ataques de denegación de servicio, inyección SQL, mala configuración, y códigos con vulnerabilidades. Es importante implementar medidas de seguridad como cortafuegos, actualizaciones, y monitoreo para proteger el servidor.

Tecnología
1 de 18
 Un servidor web o servidor HTTP es un programa informático que procesa una aplicación del lado del servidor realizando conexiones bidireccionales y/o unidireccionales y síncronas o asíncronas con el cliente generando o cediendo una respuesta en cualquier lenguaje o Aplicación del lado del cliente.
 Hoy día, hay un enorme número de amenazas a las que hace frente a un servidor web, muchas de ellas dependen del uso, el sistema operativo y el ambiente que se haya configurado en el sistema mismo.
Algunos de los riesgos podrian ser:  Negación del servicio: un ataque DOS es un ataque en el cual un sistema ataca otro con la intención de consumir todos los recursos del sistema (tales como ancho de banda o ciclos del procesador), no dejando nada libre para peticiones legítimas.  Negación del servicio distribuido: en un ataque de DDoS, en vez de un sistema ataque a otro, un atacante utiliza sistemas múltiples para apuntar un servidor (su servidor), y sistemas múltiples significa (en algunos casos) no centenares o millares, sino hasta cientos de millares. Estos pueden ser: Ataques FTP, Ataque de exploración de puertos, Ataque "Smurf“, Ataque por inundación SYN (Synflood), Ataque de fragmentación, Ataque SNMP, Ataque de inundación por ping (Pingflood).
 Desconfiguración de la página web : cuando un servidor está incorrectamente configurado, y un atacante utiliza esta debilidad para modificar páginas bajo cualquier cantidad de razones.  Inyección SQL: un atacante utiliza debilidades en el diseño de la base de datos o de la página web para extraer información o más aún, para manipular información dentro de la base de datos.  Codificación pobre : en el mejor de los casos, una codificación pobre puede ser no más que una molestia, donde las funcionalidades de una aplicación no trabajen según lo anunciado; pero en el peor de los casos, las aplicaciones pobremente codificadas pueden tener "agujeros" de seguridad importantes.
 Códigos empaquetado (Shrink-wrapped code): el problema proviene de la conveniencia de obtener componentes precompilados o desarrollados de antemano, que se pueden utilizar como bloques para construir aplicaciones propias. Su desventaja es que los componentes utilizados pueden no haber pasado un proceso de revisión de su código, y su uso puede crear problemas potenciales de inseguridad.
 Deshabilita los usuarios de invitado (guest): a estos usuarios se les debe asignar una contraseña compleja y se puede restringir el número de logons que puede realizar por día como medida extra de seguridad.  Limita el número de cuentas en tu servidor: elimina cualquier usuario innecesario, audita tus usuarios regularmente.
 Limita los accesos de la cuenta de administración: el administrador no debe utilizar la cuenta de mayores privilegios para sus actividades diarias que no necesitan accesos especiales.  Renombra la cuenta de administración: el nombre del usuario no debe indicar sus privilegios.  Crea una cuenta “tonta” de administrador: crear una cuenta llamada administrador y no se le otorgan privilegios y una contraseña compleja de al menos 10 caracteres.
 Cuidado con los privilegios por omisión para los grupos de usuarios: existen carpetas compartidas para los usuarios del sistema operativo y algunas personas que no conocen los riesgos colocan datos en ellas.  Coloca las particiones con NTFS: Los sistemas FAT y FAT32 no soportan buenos niveles de seguridad.  Configura políticas de seguridad en su servidor y su red: seleccionar el nivel de seguridad que su organización requiere y se pueden editar aspectos como: perfil de usuarios, permisología de carpetas, tipos de autenticación, etc.
 Apaga servicios innecesarios en el servidor: algunos servicios vienen configurados y listos para utilizarse, aquellos que no están siendo utilizados constituyen una vulnerabilidad para su equipo.  Cierra el acceso a puertos que no se están utilizando: Configurar sus puertos vía la consola de seguridad TCP/IP ubicada en el panel de control sus accesos de red.  Habilita la auditoría en su servidor: como mínimo considere habilitar las siguientes opciones: Eventos de login de usuario, gestión de cuentas de usuario, acceso a objetos, cambios en políticas, uso de privilegios y eventos del sistema.
 Coloca protección a sus archivos de registros de eventos: es importante dar permisos tanto de lectura como escritura solo a los usuarios de sistema y administradores.  Desactiva la opción del último usuario para desplegarse en la pantalla de inicio o bloqueo del sistema: este parámetro de configuración puede modificarse en las plantillas de su CD de instalación o en las políticas de seguridad.  Verifica los parches de seguridad que libera Microsoft mensualmente
 Deshabilita la opción de creación del archivo dump: aunque esta opción es muy útil para conocer los por menores de un error en el servidor como las causas de los famosos pantallazos azules. También sirve para proveer al atacante de información sensible como contraseñas de las aplicaciones.  Deshabilita las carpetas compartidas que no son necesarias.
 Mala configuración  Banderas de Información: Las banderas de información pueden revelar información a aquellos que saben que la información está ahí y decirles cómo buscarla.  Permisos  Mensajes de error: cualquier mensaje de error que su servidor genera puede revelar información sobre como están configuradas sus aplicaciones, qué bibliotecas utiliza, sus conexiones a la base de datos y otras muchas cosas.
 Servicios  Protocolos: cualquier protocolo que no necesite debe inhabilitado o francamente removido.  Cuentas de usuario  Muestras y archivos de prueba: estos archivos debe ser eliminados de los servidores y aplicaciones web en producción, ya que pueden ser manipulados y permitir accesos no autorizados.  Puertos
 Sistemas de la Intrusión-detección (anfitrión y red-basado): Estos sistemas son los dispositivos del hardware o del software que pueden ayudarle a supervisar el acceso a través la red a y desde su servidor así como actividad en el servidor sí mismo.  Software de Antivirus
 Cortafuegos: Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios. Los cortafuegos pueden ser implementados en hardware o software, o una combinación de ambos.
 Honeypot: servidor señuelo.
 http://es.wikipedia.org/wiki/Servidor_web  http://www.masadelante.com/faqs/servidor  http://www.uc3m.es/portal/page/portal/informatica/Nos Dedicamos/Seguridad/guia_instalacion_servidores.pdf  http://searchservervirtualization.techtarget.com/news/123 2096/VMware-Server-on-Windows-vs-VMware-Server-on- Linux  http://www.iworld.com.mx/iw_Opinions_read.asp?IWID=9 0  http://www.sip.gob.mx/seguridad/206-seguridad-de-un- servidor-web  http://www.sip.gob.mx/seguridad/206-seguridad-de-un- servidor-web  http://en.wikipedia.org/wiki/Firewall_(computing)

Recomendados

Unidad 4 - Software antimalware
Unidad 4 - Software antimalwareUnidad 4 - Software antimalware
Unidad 4 - Software antimalwarevverdu
 
Base de datos distribuidas
Base de datos distribuidasBase de datos distribuidas
Base de datos distribuidasJuan Carlos Ortega
 
Tipos de pruebas de software
Tipos de pruebas de softwareTipos de pruebas de software
Tipos de pruebas de softwareGuillermo Lemus
 
Protección y Seguridad de los sistemas operativos
Protección y Seguridad de los sistemas operativosProtección y Seguridad de los sistemas operativos
Protección y Seguridad de los sistemas operativosAquiles Guzman
 
Presentacion Ftp
Presentacion FtpPresentacion Ftp
Presentacion Ftpalexmerono
 
Importancia del mantenimiento preventivo del hardware y software
Importancia del mantenimiento preventivo del hardware y softwareImportancia del mantenimiento preventivo del hardware y software
Importancia del mantenimiento preventivo del hardware y softwareNayeli Thu Real Mami
 
Herramientas de detección de vulnerabilidades-NESSUS
Herramientas de detección de vulnerabilidades-NESSUSHerramientas de detección de vulnerabilidades-NESSUS
Herramientas de detección de vulnerabilidades-NESSUSseguridadelinux
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redesJaime Abraham Rivera
 

Recomendados

Unidad 4 - Software antimalware
Unidad 4 - Software antimalwareUnidad 4 - Software antimalware
Unidad 4 - Software antimalwarevverdu
 
Base de datos distribuidas
Base de datos distribuidasBase de datos distribuidas
Base de datos distribuidasJuan Carlos Ortega
 
Tipos de pruebas de software
Tipos de pruebas de softwareTipos de pruebas de software
Tipos de pruebas de softwareGuillermo Lemus
 
Protección y Seguridad de los sistemas operativos
Protección y Seguridad de los sistemas operativosProtección y Seguridad de los sistemas operativos
Protección y Seguridad de los sistemas operativosAquiles Guzman
 
Presentacion Ftp
Presentacion FtpPresentacion Ftp
Presentacion Ftpalexmerono
 
Importancia del mantenimiento preventivo del hardware y software
Importancia del mantenimiento preventivo del hardware y softwareImportancia del mantenimiento preventivo del hardware y software
Importancia del mantenimiento preventivo del hardware y softwareNayeli Thu Real Mami
 
Herramientas de detección de vulnerabilidades-NESSUS
Herramientas de detección de vulnerabilidades-NESSUSHerramientas de detección de vulnerabilidades-NESSUS
Herramientas de detección de vulnerabilidades-NESSUSseguridadelinux
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redesJaime Abraham Rivera
 
Maquinas virtuales
Maquinas virtualesMaquinas virtuales
Maquinas virtualesisma2013
 
Sistemas operativos
Sistemas operativosSistemas operativos
Sistemas operativosRubén López
 
Tecnicas de estimacion de software
Tecnicas de estimacion de softwareTecnicas de estimacion de software
Tecnicas de estimacion de softwareAdes27
 
Bases de datos orientadas a objetos
Bases de datos orientadas a objetosBases de datos orientadas a objetos
Bases de datos orientadas a objetosLuis Andres Angarita Machado
 
SISTEMAS OPERATIVOS MULTIMEDIA
SISTEMAS OPERATIVOS MULTIMEDIASISTEMAS OPERATIVOS MULTIMEDIA
SISTEMAS OPERATIVOS MULTIMEDIAMari Ng
 
Lenguaje ensamblador
Lenguaje ensambladorLenguaje ensamblador
Lenguaje ensambladorEfrain Ruiz Fernandez
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redesshujeymc
 
Configuracion y administracion del espacio en disco
Configuracion y administracion del espacio en disco Configuracion y administracion del espacio en disco
Configuracion y administracion del espacio en discoYael_21
 
Arquitectura Multiprocesadores
Arquitectura Multiprocesadores Arquitectura Multiprocesadores
Arquitectura Multiprocesadores JUANR1022
 
Gestion de red
Gestion de redGestion de red
Gestion de redMarvin Solis
 
Presentacion ftp
Presentacion ftpPresentacion ftp
Presentacion ftpJairo Mora
 
Seguridad en Base de Datos
Seguridad en Base de DatosSeguridad en Base de Datos
Seguridad en Base de Datosmyriam sarango
 
SEGURIDAD EN REDES
SEGURIDAD EN REDESSEGURIDAD EN REDES
SEGURIDAD EN REDESindependiente
 
Acceso Directo a la Memoria - DMA
Acceso Directo a la Memoria - DMAAcceso Directo a la Memoria - DMA
Acceso Directo a la Memoria - DMAErika Rodríguez
 
Xampp
XamppXampp
XamppCinthia Vera
 
Administracion de usuarios y grupos
Administracion de usuarios y gruposAdministracion de usuarios y grupos
Administracion de usuarios y gruposJACKELIN SORALUZ
 
Estructura y funcionamiento del procesador
Estructura y funcionamiento del procesadorEstructura y funcionamiento del procesador
Estructura y funcionamiento del procesadorJose Diaz Silva
 
Arquitectura Web
Arquitectura WebArquitectura Web
Arquitectura WebAdolfo Sanz De Diego
 
Los Sistemas operativos
Los Sistemas operativosLos Sistemas operativos
Los Sistemas operativosJuan Seguí Moreno
 
Cortafuegos
CortafuegosCortafuegos
Cortafuegosjmtorresc
 
Recomendaciones adm windows
Recomendaciones adm windowsRecomendaciones adm windows
Recomendaciones adm windowsHenry Candelario
 
Seguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securitySeguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securityseguridadelinux
 

Más contenido relacionado

La actualidad más candente

Maquinas virtuales
Maquinas virtualesMaquinas virtuales
Maquinas virtualesisma2013
 
Tecnicas de estimacion de software
Tecnicas de estimacion de softwareTecnicas de estimacion de software
Tecnicas de estimacion de softwareAdes27
 
SISTEMAS OPERATIVOS MULTIMEDIA
SISTEMAS OPERATIVOS MULTIMEDIASISTEMAS OPERATIVOS MULTIMEDIA
SISTEMAS OPERATIVOS MULTIMEDIAMari Ng
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redesshujeymc
 
Configuracion y administracion del espacio en disco
Configuracion y administracion del espacio en disco Configuracion y administracion del espacio en disco
Configuracion y administracion del espacio en discoYael_21
 
Arquitectura Multiprocesadores
Arquitectura Multiprocesadores Arquitectura Multiprocesadores
Arquitectura Multiprocesadores JUANR1022
 
Presentacion ftp
Presentacion ftpPresentacion ftp
Presentacion ftpJairo Mora
 
Seguridad en Base de Datos
Seguridad en Base de DatosSeguridad en Base de Datos
Seguridad en Base de Datosmyriam sarango
 
Acceso Directo a la Memoria - DMA
Acceso Directo a la Memoria - DMAAcceso Directo a la Memoria - DMA
Acceso Directo a la Memoria - DMAErika Rodríguez
 
Administracion de usuarios y grupos
Administracion de usuarios y gruposAdministracion de usuarios y grupos
Administracion de usuarios y gruposJACKELIN SORALUZ
 
Estructura y funcionamiento del procesador
Estructura y funcionamiento del procesadorEstructura y funcionamiento del procesador
Estructura y funcionamiento del procesadorJose Diaz Silva
 

La actualidad más candente (20)

Maquinas virtuales
Maquinas virtualesMaquinas virtuales
Maquinas virtuales
 
Sistemas operativos
Sistemas operativosSistemas operativos
Sistemas operativos
 
Tecnicas de estimacion de software
Tecnicas de estimacion de softwareTecnicas de estimacion de software
Tecnicas de estimacion de software
 
Bases de datos orientadas a objetos
Bases de datos orientadas a objetosBases de datos orientadas a objetos
Bases de datos orientadas a objetos
 
SISTEMAS OPERATIVOS MULTIMEDIA
SISTEMAS OPERATIVOS MULTIMEDIASISTEMAS OPERATIVOS MULTIMEDIA
SISTEMAS OPERATIVOS MULTIMEDIA
 
Lenguaje ensamblador
Lenguaje ensambladorLenguaje ensamblador
Lenguaje ensamblador
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redes
 
Configuracion y administracion del espacio en disco
Configuracion y administracion del espacio en disco Configuracion y administracion del espacio en disco
Configuracion y administracion del espacio en disco
 
Arquitectura Multiprocesadores
Arquitectura Multiprocesadores Arquitectura Multiprocesadores
Arquitectura Multiprocesadores
 
Gestion de red
Gestion de redGestion de red
Gestion de red
 
Presentacion ftp
Presentacion ftpPresentacion ftp
Presentacion ftp
 
Seguridad en Base de Datos
Seguridad en Base de DatosSeguridad en Base de Datos
Seguridad en Base de Datos
 
SEGURIDAD EN REDES
SEGURIDAD EN REDESSEGURIDAD EN REDES
SEGURIDAD EN REDES
 
Acceso Directo a la Memoria - DMA
Acceso Directo a la Memoria - DMAAcceso Directo a la Memoria - DMA
Acceso Directo a la Memoria - DMA
 
Xampp
XamppXampp
Xampp
 
Administracion de usuarios y grupos
Administracion de usuarios y gruposAdministracion de usuarios y grupos
Administracion de usuarios y grupos
 
Estructura y funcionamiento del procesador
Estructura y funcionamiento del procesadorEstructura y funcionamiento del procesador
Estructura y funcionamiento del procesador
 
Arquitectura Web
Arquitectura WebArquitectura Web
Arquitectura Web
 
Los Sistemas operativos
Los Sistemas operativosLos Sistemas operativos
Los Sistemas operativos
 
Cortafuegos
CortafuegosCortafuegos
Cortafuegos
 

Similar a Seguridad en servidores

Recomendaciones adm windows
Recomendaciones adm windowsRecomendaciones adm windows
Recomendaciones adm windowsHenry Candelario
 
Seguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securitySeguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securityseguridadelinux
 
Modulo 10: Conceptos de Seguridad de LAN
Modulo 10: Conceptos de Seguridad de LANModulo 10: Conceptos de Seguridad de LAN
Modulo 10: Conceptos de Seguridad de LANsrkamote
 
Vulnerabilidades y soluciones Evidencias 3, Iber Pardo Aguilar
Vulnerabilidades y soluciones Evidencias 3, Iber Pardo AguilarVulnerabilidades y soluciones Evidencias 3, Iber Pardo Aguilar
Vulnerabilidades y soluciones Evidencias 3, Iber Pardo AguilarIber Pardo Aguilar
 
Desarrollo seguro en NodeJS (OWASP top ten y JWT)
Desarrollo seguro en NodeJS (OWASP top ten y JWT)Desarrollo seguro en NodeJS (OWASP top ten y JWT)
Desarrollo seguro en NodeJS (OWASP top ten y JWT)Raúl Requero García
 
Medidas de-seguridad-dentro-de-una-red
Medidas de-seguridad-dentro-de-una-redMedidas de-seguridad-dentro-de-una-red
Medidas de-seguridad-dentro-de-una-redRoosii Mendooza
 
Redes del computador unidad 3
Redes del computador unidad 3Redes del computador unidad 3
Redes del computador unidad 3AngelSoto104
 
Ataques client side exploitation
Ataques client side exploitationAtaques client side exploitation
Ataques client side exploitationjack_corvil
 
Unidad 6 Protección y seguridad.
Unidad 6 Protección y seguridad.Unidad 6 Protección y seguridad.
Unidad 6 Protección y seguridad.Juan Anaya
 
Instituto tecnologico de zitacuaro investigacion topicos de redes
Instituto tecnologico de zitacuaro investigacion topicos de redesInstituto tecnologico de zitacuaro investigacion topicos de redes
Instituto tecnologico de zitacuaro investigacion topicos de redesTere Ilianid Almazan Martinez
 
Hardening en-nix-asegurar-un-ftp-server
Hardening en-nix-asegurar-un-ftp-serverHardening en-nix-asegurar-un-ftp-server
Hardening en-nix-asegurar-un-ftp-serverJosé Moreno
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De DatosWilliam Suárez
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De Datosguestb40a1b0
 
Los 7 pecados del Desarrollo Web
Los 7 pecados del Desarrollo WebLos 7 pecados del Desarrollo Web
Los 7 pecados del Desarrollo Webacksec
 

Similar a Seguridad en servidores (20)

Recomendaciones adm windows
Recomendaciones adm windowsRecomendaciones adm windows
Recomendaciones adm windows
 
Seguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securitySeguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_security
 
Evidencia 3 sandra jaramillo
Evidencia 3 sandra jaramilloEvidencia 3 sandra jaramillo
Evidencia 3 sandra jaramillo
 
Modulo 10: Conceptos de Seguridad de LAN
Modulo 10: Conceptos de Seguridad de LANModulo 10: Conceptos de Seguridad de LAN
Modulo 10: Conceptos de Seguridad de LAN
 
Vulnerabilidades y soluciones Evidencias 3, Iber Pardo Aguilar
Vulnerabilidades y soluciones Evidencias 3, Iber Pardo AguilarVulnerabilidades y soluciones Evidencias 3, Iber Pardo Aguilar
Vulnerabilidades y soluciones Evidencias 3, Iber Pardo Aguilar
 
Desarrollo seguro en NodeJS (OWASP top ten y JWT)
Desarrollo seguro en NodeJS (OWASP top ten y JWT)Desarrollo seguro en NodeJS (OWASP top ten y JWT)
Desarrollo seguro en NodeJS (OWASP top ten y JWT)
 
Medidas de-seguridad-dentro-de-una-red
Medidas de-seguridad-dentro-de-una-redMedidas de-seguridad-dentro-de-una-red
Medidas de-seguridad-dentro-de-una-red
 
Redes del computador unidad 3
Redes del computador unidad 3Redes del computador unidad 3
Redes del computador unidad 3
 
Ataques client side exploitation
Ataques client side exploitationAtaques client side exploitation
Ataques client side exploitation
 
Vulnerabilidades y soluciones redes y seguridad
Vulnerabilidades y soluciones redes y seguridad Vulnerabilidades y soluciones redes y seguridad
Vulnerabilidades y soluciones redes y seguridad
 
Unidad 6 Protección y seguridad.
Unidad 6 Protección y seguridad.Unidad 6 Protección y seguridad.
Unidad 6 Protección y seguridad.
 
Investigacion seguridad 2
Investigacion seguridad 2Investigacion seguridad 2
Investigacion seguridad 2
 
Instituto tecnologico de zitacuaro investigacion topicos de redes
Instituto tecnologico de zitacuaro investigacion topicos de redesInstituto tecnologico de zitacuaro investigacion topicos de redes
Instituto tecnologico de zitacuaro investigacion topicos de redes
 
rojas landa vanessa.pdf
rojas landa vanessa.pdfrojas landa vanessa.pdf
rojas landa vanessa.pdf
 
Sistemas operativos
Sistemas operativosSistemas operativos
Sistemas operativos
 
Definiciones seguridad informatica
Definiciones seguridad informaticaDefiniciones seguridad informatica
Definiciones seguridad informatica
 
Hardening en-nix-asegurar-un-ftp-server
Hardening en-nix-asegurar-un-ftp-serverHardening en-nix-asegurar-un-ftp-server
Hardening en-nix-asegurar-un-ftp-server
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De Datos
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De Datos
 
Los 7 pecados del Desarrollo Web
Los 7 pecados del Desarrollo WebLos 7 pecados del Desarrollo Web
Los 7 pecados del Desarrollo Web
 

Más de Taty Millan

Remote Procedure Call (RPC)
Remote Procedure Call (RPC)Remote Procedure Call (RPC)
Remote Procedure Call (RPC)Taty Millan
 
Introducción a las tecnologías de la información
Introducción a las tecnologías de la informaciónIntroducción a las tecnologías de la información
Introducción a las tecnologías de la informaciónTaty Millan
 
Microsoft Solutions Framework
Microsoft Solutions FrameworkMicrosoft Solutions Framework
Microsoft Solutions FrameworkTaty Millan
 

Más de Taty Millan (6)

Cocomo II
Cocomo IICocomo II
Cocomo II
 
Remote Procedure Call (RPC)
Remote Procedure Call (RPC)Remote Procedure Call (RPC)
Remote Procedure Call (RPC)
 
Ciberdelitos
CiberdelitosCiberdelitos
Ciberdelitos
 
Token Ring
Token RingToken Ring
Token Ring
 
Introducción a las tecnologías de la información
Introducción a las tecnologías de la informaciónIntroducción a las tecnologías de la información
Introducción a las tecnologías de la información
 
Microsoft Solutions Framework
Microsoft Solutions FrameworkMicrosoft Solutions Framework
Microsoft Solutions Framework
 

Último

Hernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxHernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxJOSEMANUELHERNANDEZH11
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELmaryfer27m
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativaAdrianaMartnez618894
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptJavierHerrera662252
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxJOSEFERNANDOARENASCA
 
Plan Sarmiento - Netbook del GCBA 2019..
Plan Sarmiento - Netbook del GCBA 2019..Plan Sarmiento - Netbook del GCBA 2019..
Plan Sarmiento - Netbook del GCBA 2019..RobertoGumucio2
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxGoogle-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxAlexander López
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxAlexander López
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaarkananubis
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son241514984
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxAlexander López
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMidwarHenryLOZAFLORE
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx241522327
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptMiguelAtencio10
 
Segunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxSegunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxMariaBurgos55
 

Último (20)

Hernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxHernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptx
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFEL
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativa
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptx
 
Plan Sarmiento - Netbook del GCBA 2019..
Plan Sarmiento - Netbook del GCBA 2019..Plan Sarmiento - Netbook del GCBA 2019..
Plan Sarmiento - Netbook del GCBA 2019..
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxGoogle-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en mina
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptx
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.ppt
 
Segunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxSegunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptx
 

Seguridad en servidores

  • 1.
  • 2. Un servidor web o servidor HTTP es un programa informático que procesa una aplicación del lado del servidor realizando conexiones bidireccionales y/o unidireccionales y síncronas o asíncronas con el cliente generando o cediendo una respuesta en cualquier lenguaje o Aplicación del lado del cliente.
  • 3. Hoy día, hay un enorme número de amenazas a las que hace frente a un servidor web, muchas de ellas dependen del uso, el sistema operativo y el ambiente que se haya configurado en el sistema mismo.
  • 4. Algunos de los riesgos podrian ser:  Negación del servicio: un ataque DOS es un ataque en el cual un sistema ataca otro con la intención de consumir todos los recursos del sistema (tales como ancho de banda o ciclos del procesador), no dejando nada libre para peticiones legítimas.  Negación del servicio distribuido: en un ataque de DDoS, en vez de un sistema ataque a otro, un atacante utiliza sistemas múltiples para apuntar un servidor (su servidor), y sistemas múltiples significa (en algunos casos) no centenares o millares, sino hasta cientos de millares. Estos pueden ser: Ataques FTP, Ataque de exploración de puertos, Ataque "Smurf“, Ataque por inundación SYN (Synflood), Ataque de fragmentación, Ataque SNMP, Ataque de inundación por ping (Pingflood).
  • 5. Desconfiguración de la página web : cuando un servidor está incorrectamente configurado, y un atacante utiliza esta debilidad para modificar páginas bajo cualquier cantidad de razones.  Inyección SQL: un atacante utiliza debilidades en el diseño de la base de datos o de la página web para extraer información o más aún, para manipular información dentro de la base de datos.  Codificación pobre : en el mejor de los casos, una codificación pobre puede ser no más que una molestia, donde las funcionalidades de una aplicación no trabajen según lo anunciado; pero en el peor de los casos, las aplicaciones pobremente codificadas pueden tener "agujeros" de seguridad importantes.
  • 6. Códigos empaquetado (Shrink-wrapped code): el problema proviene de la conveniencia de obtener componentes precompilados o desarrollados de antemano, que se pueden utilizar como bloques para construir aplicaciones propias. Su desventaja es que los componentes utilizados pueden no haber pasado un proceso de revisión de su código, y su uso puede crear problemas potenciales de inseguridad.
  • 7. Deshabilita los usuarios de invitado (guest): a estos usuarios se les debe asignar una contraseña compleja y se puede restringir el número de logons que puede realizar por día como medida extra de seguridad.  Limita el número de cuentas en tu servidor: elimina cualquier usuario innecesario, audita tus usuarios regularmente.
  • 8.  Limita los accesos de la cuenta de administración: el administrador no debe utilizar la cuenta de mayores privilegios para sus actividades diarias que no necesitan accesos especiales.  Renombra la cuenta de administración: el nombre del usuario no debe indicar sus privilegios.  Crea una cuenta “tonta” de administrador: crear una cuenta llamada administrador y no se le otorgan privilegios y una contraseña compleja de al menos 10 caracteres.
  • 9.  Cuidado con los privilegios por omisión para los grupos de usuarios: existen carpetas compartidas para los usuarios del sistema operativo y algunas personas que no conocen los riesgos colocan datos en ellas.  Coloca las particiones con NTFS: Los sistemas FAT y FAT32 no soportan buenos niveles de seguridad.  Configura políticas de seguridad en su servidor y su red: seleccionar el nivel de seguridad que su organización requiere y se pueden editar aspectos como: perfil de usuarios, permisología de carpetas, tipos de autenticación, etc.
  • 10. Apaga servicios innecesarios en el servidor: algunos servicios vienen configurados y listos para utilizarse, aquellos que no están siendo utilizados constituyen una vulnerabilidad para su equipo.  Cierra el acceso a puertos que no se están utilizando: Configurar sus puertos vía la consola de seguridad TCP/IP ubicada en el panel de control sus accesos de red.  Habilita la auditoría en su servidor: como mínimo considere habilitar las siguientes opciones: Eventos de login de usuario, gestión de cuentas de usuario, acceso a objetos, cambios en políticas, uso de privilegios y eventos del sistema.
  • 11.  Coloca protección a sus archivos de registros de eventos: es importante dar permisos tanto de lectura como escritura solo a los usuarios de sistema y administradores.  Desactiva la opción del último usuario para desplegarse en la pantalla de inicio o bloqueo del sistema: este parámetro de configuración puede modificarse en las plantillas de su CD de instalación o en las políticas de seguridad.  Verifica los parches de seguridad que libera Microsoft mensualmente
  • 12. Deshabilita la opción de creación del archivo dump: aunque esta opción es muy útil para conocer los por menores de un error en el servidor como las causas de los famosos pantallazos azules. También sirve para proveer al atacante de información sensible como contraseñas de las aplicaciones.  Deshabilita las carpetas compartidas que no son necesarias.
  • 13. Mala configuración  Banderas de Información: Las banderas de información pueden revelar información a aquellos que saben que la información está ahí y decirles cómo buscarla.  Permisos  Mensajes de error: cualquier mensaje de error que su servidor genera puede revelar información sobre como están configuradas sus aplicaciones, qué bibliotecas utiliza, sus conexiones a la base de datos y otras muchas cosas.
  • 14.  Servicios  Protocolos: cualquier protocolo que no necesite debe inhabilitado o francamente removido.  Cuentas de usuario  Muestras y archivos de prueba: estos archivos debe ser eliminados de los servidores y aplicaciones web en producción, ya que pueden ser manipulados y permitir accesos no autorizados.  Puertos
  • 15.  Sistemas de la Intrusión-detección (anfitrión y red-basado): Estos sistemas son los dispositivos del hardware o del software que pueden ayudarle a supervisar el acceso a través la red a y desde su servidor así como actividad en el servidor sí mismo.  Software de Antivirus
  • 16. Cortafuegos: Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios. Los cortafuegos pueden ser implementados en hardware o software, o una combinación de ambos.
  • 17. Honeypot: servidor señuelo.
  • 18.  http://es.wikipedia.org/wiki/Servidor_web  http://www.masadelante.com/faqs/servidor  http://www.uc3m.es/portal/page/portal/informatica/Nos Dedicamos/Seguridad/guia_instalacion_servidores.pdf  http://searchservervirtualization.techtarget.com/news/123 2096/VMware-Server-on-Windows-vs-VMware-Server-on- Linux  http://www.iworld.com.mx/iw_Opinions_read.asp?IWID=9 0  http://www.sip.gob.mx/seguridad/206-seguridad-de-un- servidor-web  http://www.sip.gob.mx/seguridad/206-seguridad-de-un- servidor-web  http://en.wikipedia.org/wiki/Firewall_(computing)