SlideShare una empresa de Scribd logo

Seguridad en servidores

Descargar como PPTX, PDF
Taty Millan
Taty Millan

Un servidor web procesa aplicaciones del lado del servidor realizando conexiones con el cliente y generando respuestas. Existen muchas amenazas como ataques de denegación de servicio, inyección SQL, mala configuración, y códigos con vulnerabilidades. Es importante implementar medidas de seguridad como cortafuegos, actualizaciones, y monitoreo para proteger el servidor.

Tecnología
1 de 18
 Un servidor web o servidor HTTP es un programa informático que procesa una aplicación del lado del servidor realizando conexiones bidireccionales y/o unidireccionales y síncronas o asíncronas con el cliente generando o cediendo una respuesta en cualquier lenguaje o Aplicación del lado del cliente.
 Hoy día, hay un enorme número de amenazas a las que hace frente a un servidor web, muchas de ellas dependen del uso, el sistema operativo y el ambiente que se haya configurado en el sistema mismo.
Algunos de los riesgos podrian ser:  Negación del servicio: un ataque DOS es un ataque en el cual un sistema ataca otro con la intención de consumir todos los recursos del sistema (tales como ancho de banda o ciclos del procesador), no dejando nada libre para peticiones legítimas.  Negación del servicio distribuido: en un ataque de DDoS, en vez de un sistema ataque a otro, un atacante utiliza sistemas múltiples para apuntar un servidor (su servidor), y sistemas múltiples significa (en algunos casos) no centenares o millares, sino hasta cientos de millares. Estos pueden ser: Ataques FTP, Ataque de exploración de puertos, Ataque "Smurf“, Ataque por inundación SYN (Synflood), Ataque de fragmentación, Ataque SNMP, Ataque de inundación por ping (Pingflood).
 Desconfiguración de la página web : cuando un servidor está incorrectamente configurado, y un atacante utiliza esta debilidad para modificar páginas bajo cualquier cantidad de razones.  Inyección SQL: un atacante utiliza debilidades en el diseño de la base de datos o de la página web para extraer información o más aún, para manipular información dentro de la base de datos.  Codificación pobre : en el mejor de los casos, una codificación pobre puede ser no más que una molestia, donde las funcionalidades de una aplicación no trabajen según lo anunciado; pero en el peor de los casos, las aplicaciones pobremente codificadas pueden tener "agujeros" de seguridad importantes.
 Códigos empaquetado (Shrink-wrapped code): el problema proviene de la conveniencia de obtener componentes precompilados o desarrollados de antemano, que se pueden utilizar como bloques para construir aplicaciones propias. Su desventaja es que los componentes utilizados pueden no haber pasado un proceso de revisión de su código, y su uso puede crear problemas potenciales de inseguridad.
 Deshabilita los usuarios de invitado (guest): a estos usuarios se les debe asignar una contraseña compleja y se puede restringir el número de logons que puede realizar por día como medida extra de seguridad.  Limita el número de cuentas en tu servidor: elimina cualquier usuario innecesario, audita tus usuarios regularmente.
 Limita los accesos de la cuenta de administración: el administrador no debe utilizar la cuenta de mayores privilegios para sus actividades diarias que no necesitan accesos especiales.  Renombra la cuenta de administración: el nombre del usuario no debe indicar sus privilegios.  Crea una cuenta “tonta” de administrador: crear una cuenta llamada administrador y no se le otorgan privilegios y una contraseña compleja de al menos 10 caracteres.
 Cuidado con los privilegios por omisión para los grupos de usuarios: existen carpetas compartidas para los usuarios del sistema operativo y algunas personas que no conocen los riesgos colocan datos en ellas.  Coloca las particiones con NTFS: Los sistemas FAT y FAT32 no soportan buenos niveles de seguridad.  Configura políticas de seguridad en su servidor y su red: seleccionar el nivel de seguridad que su organización requiere y se pueden editar aspectos como: perfil de usuarios, permisología de carpetas, tipos de autenticación, etc.
 Apaga servicios innecesarios en el servidor: algunos servicios vienen configurados y listos para utilizarse, aquellos que no están siendo utilizados constituyen una vulnerabilidad para su equipo.  Cierra el acceso a puertos que no se están utilizando: Configurar sus puertos vía la consola de seguridad TCP/IP ubicada en el panel de control sus accesos de red.  Habilita la auditoría en su servidor: como mínimo considere habilitar las siguientes opciones: Eventos de login de usuario, gestión de cuentas de usuario, acceso a objetos, cambios en políticas, uso de privilegios y eventos del sistema.
 Coloca protección a sus archivos de registros de eventos: es importante dar permisos tanto de lectura como escritura solo a los usuarios de sistema y administradores.  Desactiva la opción del último usuario para desplegarse en la pantalla de inicio o bloqueo del sistema: este parámetro de configuración puede modificarse en las plantillas de su CD de instalación o en las políticas de seguridad.  Verifica los parches de seguridad que libera Microsoft mensualmente
 Deshabilita la opción de creación del archivo dump: aunque esta opción es muy útil para conocer los por menores de un error en el servidor como las causas de los famosos pantallazos azules. También sirve para proveer al atacante de información sensible como contraseñas de las aplicaciones.  Deshabilita las carpetas compartidas que no son necesarias.
 Mala configuración  Banderas de Información: Las banderas de información pueden revelar información a aquellos que saben que la información está ahí y decirles cómo buscarla.  Permisos  Mensajes de error: cualquier mensaje de error que su servidor genera puede revelar información sobre como están configuradas sus aplicaciones, qué bibliotecas utiliza, sus conexiones a la base de datos y otras muchas cosas.
 Servicios  Protocolos: cualquier protocolo que no necesite debe inhabilitado o francamente removido.  Cuentas de usuario  Muestras y archivos de prueba: estos archivos debe ser eliminados de los servidores y aplicaciones web en producción, ya que pueden ser manipulados y permitir accesos no autorizados.  Puertos
 Sistemas de la Intrusión-detección (anfitrión y red-basado): Estos sistemas son los dispositivos del hardware o del software que pueden ayudarle a supervisar el acceso a través la red a y desde su servidor así como actividad en el servidor sí mismo.  Software de Antivirus
 Cortafuegos: Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios. Los cortafuegos pueden ser implementados en hardware o software, o una combinación de ambos.
 Honeypot: servidor señuelo.
 http://es.wikipedia.org/wiki/Servidor_web  http://www.masadelante.com/faqs/servidor  http://www.uc3m.es/portal/page/portal/informatica/Nos Dedicamos/Seguridad/guia_instalacion_servidores.pdf  http://searchservervirtualization.techtarget.com/news/123 2096/VMware-Server-on-Windows-vs-VMware-Server-on- Linux  http://www.iworld.com.mx/iw_Opinions_read.asp?IWID=9 0  http://www.sip.gob.mx/seguridad/206-seguridad-de-un- servidor-web  http://www.sip.gob.mx/seguridad/206-seguridad-de-un- servidor-web  http://en.wikipedia.org/wiki/Firewall_(computing)

Recomendados

Servidores, tipos de servidores
Servidores, tipos de servidoresServidores, tipos de servidores
Servidores, tipos de servidores
Enya Loboguerrero
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redes
dpovedaups123
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redes
shujeymc
 
Power point de diseño de redes
Power point de diseño de redesPower point de diseño de redes
Power point de diseño de redes
carmen44rosa
 
seguridad de los sistemas operativos
seguridad de los sistemas operativos seguridad de los sistemas operativos
seguridad de los sistemas operativos
Carlos Guerrero
 
Evolución de los monitores de computadora compartido
Evolución de los monitores de computadora compartidoEvolución de los monitores de computadora compartido
Evolución de los monitores de computadora compartido
victorlopezzz
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redes
Jaime Abraham Rivera
 
Sistemas distribuidos
Sistemas distribuidosSistemas distribuidos
Sistemas distribuidos
Luis Yallerco
 

Recomendados

Servidores, tipos de servidores
Servidores, tipos de servidoresServidores, tipos de servidores
Servidores, tipos de servidores
Enya Loboguerrero
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redes
dpovedaups123
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redes
shujeymc
 
Power point de diseño de redes
Power point de diseño de redesPower point de diseño de redes
Power point de diseño de redes
carmen44rosa
 
seguridad de los sistemas operativos
seguridad de los sistemas operativos seguridad de los sistemas operativos
seguridad de los sistemas operativos
Carlos Guerrero
 
Evolución de los monitores de computadora compartido
Evolución de los monitores de computadora compartidoEvolución de los monitores de computadora compartido
Evolución de los monitores de computadora compartido
victorlopezzz
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redes
Jaime Abraham Rivera
 
Sistemas distribuidos
Sistemas distribuidosSistemas distribuidos
Sistemas distribuidos
Luis Yallerco
 
Sistemas operativos
Sistemas operativosSistemas operativos
Sistemas operativos
Rubén López
 
Firewall
FirewallFirewall
Firewall
nachosport
 
Servidor presentacion
Servidor presentacionServidor presentacion
Servidor presentacion
miguelangelperezhenao
 
Sistemas operativos-para-servidores
Sistemas operativos-para-servidoresSistemas operativos-para-servidores
Sistemas operativos-para-servidores
pelaodioses
 
Sistemas de almacenamiento RAID
Sistemas de almacenamiento RAIDSistemas de almacenamiento RAID
Sistemas de almacenamiento RAID
Jonathan Fabrizzio Argüello Valle
 
ENSAYO - Seguridad informatica por Adeluz Cayllahua Mamani
ENSAYO - Seguridad informatica por Adeluz Cayllahua MamaniENSAYO - Seguridad informatica por Adeluz Cayllahua Mamani
ENSAYO - Seguridad informatica por Adeluz Cayllahua Mamani
RoggerArmas
 
ARDUINO: Plataforma de hardware libre
ARDUINO: Plataforma de hardware libreARDUINO: Plataforma de hardware libre
ARDUINO: Plataforma de hardware libre
Luis Manuel Diaz
 
Diapositivas Fuente De Poder
Diapositivas Fuente De PoderDiapositivas Fuente De Poder
Diapositivas Fuente De Poder
Luis Esteban
 
Virtualizacion
VirtualizacionVirtualizacion
Virtualizacion
Paco Orozco
 
Kernel de los sistemas operativos
Kernel de los sistemas operativosKernel de los sistemas operativos
Kernel de los sistemas operativos
Alex Acosta
 
Firewall presentaciones exposicion
Firewall presentaciones exposicionFirewall presentaciones exposicion
Firewall presentaciones exposicion
JONNATAN TORO
 
Arquitectura del hardware
Arquitectura del hardwareArquitectura del hardware
Arquitectura del hardware
Lau Madrid
 
Gestion de redes
Gestion de redesGestion de redes
Gestion de redes
vanessarequejo
 
Software de redes
Software de redesSoftware de redes
Software de redes
Carloz Kaztro
 
Fuente de poder i estabilizadores
Fuente de poder i estabilizadores Fuente de poder i estabilizadores
Fuente de poder i estabilizadores
Iestp Instituto Superior
 
Prtg network monitor
Prtg network monitorPrtg network monitor
Prtg network monitor
Stalin Eduardo Tusa Vitar
 
servidores web
servidores webservidores web
servidores web
Valeria Valencia López
 
Los Sistemas operativos
Los Sistemas operativosLos Sistemas operativos
Los Sistemas operativos
Juan Seguí Moreno
 
Caracteristicas de los Sistemas Operativos
Caracteristicas de los Sistemas OperativosCaracteristicas de los Sistemas Operativos
Caracteristicas de los Sistemas Operativos
Pablo Macon
 
Tema2: Tecnologías de desarrollo web (Desarrollo Aplicaciones Web)
Tema2: Tecnologías de desarrollo web (Desarrollo Aplicaciones Web)Tema2: Tecnologías de desarrollo web (Desarrollo Aplicaciones Web)
Tema2: Tecnologías de desarrollo web (Desarrollo Aplicaciones Web)
Micael Gallego
 
Recomendaciones adm windows
Recomendaciones adm windowsRecomendaciones adm windows
Recomendaciones adm windows
Henry Candelario
 
Seguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securitySeguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_security
seguridadelinux
 

Más contenido relacionado

La actualidad más candente

Diapositivas Fuente De Poder
Diapositivas Fuente De PoderDiapositivas Fuente De Poder
Diapositivas Fuente De Poder
Luis Esteban
 
Firewall presentaciones exposicion
Firewall presentaciones exposicionFirewall presentaciones exposicion
Firewall presentaciones exposicion
JONNATAN TORO
 

La actualidad más candente (20)

Sistemas operativos
Sistemas operativosSistemas operativos
Sistemas operativos
 
Firewall
FirewallFirewall
Firewall
 
Servidor presentacion
Servidor presentacionServidor presentacion
Servidor presentacion
 
Sistemas operativos-para-servidores
Sistemas operativos-para-servidoresSistemas operativos-para-servidores
Sistemas operativos-para-servidores
 
Sistemas de almacenamiento RAID
Sistemas de almacenamiento RAIDSistemas de almacenamiento RAID
Sistemas de almacenamiento RAID
 
ENSAYO - Seguridad informatica por Adeluz Cayllahua Mamani
ENSAYO - Seguridad informatica por Adeluz Cayllahua MamaniENSAYO - Seguridad informatica por Adeluz Cayllahua Mamani
ENSAYO - Seguridad informatica por Adeluz Cayllahua Mamani
 
ARDUINO: Plataforma de hardware libre
ARDUINO: Plataforma de hardware libreARDUINO: Plataforma de hardware libre
ARDUINO: Plataforma de hardware libre
 
Diapositivas Fuente De Poder
Diapositivas Fuente De PoderDiapositivas Fuente De Poder
Diapositivas Fuente De Poder
 
Virtualizacion
VirtualizacionVirtualizacion
Virtualizacion
 
Kernel de los sistemas operativos
Kernel de los sistemas operativosKernel de los sistemas operativos
Kernel de los sistemas operativos
 
Firewall presentaciones exposicion
Firewall presentaciones exposicionFirewall presentaciones exposicion
Firewall presentaciones exposicion
 
Arquitectura del hardware
Arquitectura del hardwareArquitectura del hardware
Arquitectura del hardware
 
Gestion de redes
Gestion de redesGestion de redes
Gestion de redes
 
Software de redes
Software de redesSoftware de redes
Software de redes
 
Fuente de poder i estabilizadores
Fuente de poder i estabilizadores Fuente de poder i estabilizadores
Fuente de poder i estabilizadores
 
Prtg network monitor
Prtg network monitorPrtg network monitor
Prtg network monitor
 
servidores web
servidores webservidores web
servidores web
 
Los Sistemas operativos
Los Sistemas operativosLos Sistemas operativos
Los Sistemas operativos
 
Caracteristicas de los Sistemas Operativos
Caracteristicas de los Sistemas OperativosCaracteristicas de los Sistemas Operativos
Caracteristicas de los Sistemas Operativos
 
Tema2: Tecnologías de desarrollo web (Desarrollo Aplicaciones Web)
Tema2: Tecnologías de desarrollo web (Desarrollo Aplicaciones Web)Tema2: Tecnologías de desarrollo web (Desarrollo Aplicaciones Web)
Tema2: Tecnologías de desarrollo web (Desarrollo Aplicaciones Web)
 

Similar a Seguridad en servidores

Recomendaciones adm windows
Recomendaciones adm windowsRecomendaciones adm windows
Recomendaciones adm windows
Henry Candelario
 
Modulo 10: Conceptos de Seguridad de LAN
Modulo 10: Conceptos de Seguridad de LANModulo 10: Conceptos de Seguridad de LAN
Modulo 10: Conceptos de Seguridad de LAN
srkamote
 
Medidas de-seguridad-dentro-de-una-red
Medidas de-seguridad-dentro-de-una-redMedidas de-seguridad-dentro-de-una-red
Medidas de-seguridad-dentro-de-una-red
Roosii Mendooza
 
Ataques client side exploitation
Ataques client side exploitationAtaques client side exploitation
Ataques client side exploitation
jack_corvil
 
Hardening en-nix-asegurar-un-ftp-server
Hardening en-nix-asegurar-un-ftp-serverHardening en-nix-asegurar-un-ftp-server
Hardening en-nix-asegurar-un-ftp-server
José Moreno
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De Datos
William Suárez
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De Datos
guestb40a1b0
 

Similar a Seguridad en servidores (20)

Recomendaciones adm windows
Recomendaciones adm windowsRecomendaciones adm windows
Recomendaciones adm windows
 
Seguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securitySeguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_security
 
Evidencia 3 sandra jaramillo
Evidencia 3 sandra jaramilloEvidencia 3 sandra jaramillo
Evidencia 3 sandra jaramillo
 
Modulo 10: Conceptos de Seguridad de LAN
Modulo 10: Conceptos de Seguridad de LANModulo 10: Conceptos de Seguridad de LAN
Modulo 10: Conceptos de Seguridad de LAN
 
Vulnerabilidades y soluciones Evidencias 3, Iber Pardo Aguilar
Vulnerabilidades y soluciones Evidencias 3, Iber Pardo AguilarVulnerabilidades y soluciones Evidencias 3, Iber Pardo Aguilar
Vulnerabilidades y soluciones Evidencias 3, Iber Pardo Aguilar
 
Desarrollo seguro en NodeJS (OWASP top ten y JWT)
Desarrollo seguro en NodeJS (OWASP top ten y JWT)Desarrollo seguro en NodeJS (OWASP top ten y JWT)
Desarrollo seguro en NodeJS (OWASP top ten y JWT)
 
Medidas de-seguridad-dentro-de-una-red
Medidas de-seguridad-dentro-de-una-redMedidas de-seguridad-dentro-de-una-red
Medidas de-seguridad-dentro-de-una-red
 
Redes del computador unidad 3
Redes del computador unidad 3Redes del computador unidad 3
Redes del computador unidad 3
 
Ataques client side exploitation
Ataques client side exploitationAtaques client side exploitation
Ataques client side exploitation
 
Vulnerabilidades y soluciones redes y seguridad
Vulnerabilidades y soluciones redes y seguridad Vulnerabilidades y soluciones redes y seguridad
Vulnerabilidades y soluciones redes y seguridad
 
Unidad 6 Protección y seguridad.
Unidad 6 Protección y seguridad.Unidad 6 Protección y seguridad.
Unidad 6 Protección y seguridad.
 
Investigacion seguridad 2
Investigacion seguridad 2Investigacion seguridad 2
Investigacion seguridad 2
 
Instituto tecnologico de zitacuaro investigacion topicos de redes
Instituto tecnologico de zitacuaro investigacion topicos de redesInstituto tecnologico de zitacuaro investigacion topicos de redes
Instituto tecnologico de zitacuaro investigacion topicos de redes
 
Sistemas operativos
Sistemas operativosSistemas operativos
Sistemas operativos
 
rojas landa vanessa.pdf
rojas landa vanessa.pdfrojas landa vanessa.pdf
rojas landa vanessa.pdf
 
Definiciones seguridad informatica
Definiciones seguridad informaticaDefiniciones seguridad informatica
Definiciones seguridad informatica
 
Hardening en-nix-asegurar-un-ftp-server
Hardening en-nix-asegurar-un-ftp-serverHardening en-nix-asegurar-un-ftp-server
Hardening en-nix-asegurar-un-ftp-server
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De Datos
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De Datos
 
Los 7 pecados del Desarrollo Web
Los 7 pecados del Desarrollo WebLos 7 pecados del Desarrollo Web
Los 7 pecados del Desarrollo Web
 

Más de Taty Millan

Remote Procedure Call (RPC)
Remote Procedure Call (RPC)Remote Procedure Call (RPC)
Remote Procedure Call (RPC)
Taty Millan
 
Introducción a las tecnologías de la información
Introducción a las tecnologías de la informaciónIntroducción a las tecnologías de la información
Introducción a las tecnologías de la información
Taty Millan
 
Microsoft Solutions Framework
Microsoft Solutions FrameworkMicrosoft Solutions Framework
Microsoft Solutions Framework
Taty Millan
 

Más de Taty Millan (6)

Cocomo II
Cocomo IICocomo II
Cocomo II
 
Remote Procedure Call (RPC)
Remote Procedure Call (RPC)Remote Procedure Call (RPC)
Remote Procedure Call (RPC)
 
Ciberdelitos
CiberdelitosCiberdelitos
Ciberdelitos
 
Token Ring
Token RingToken Ring
Token Ring
 
Introducción a las tecnologías de la información
Introducción a las tecnologías de la informaciónIntroducción a las tecnologías de la información
Introducción a las tecnologías de la información
 
Microsoft Solutions Framework
Microsoft Solutions FrameworkMicrosoft Solutions Framework
Microsoft Solutions Framework
 

Último

Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
JohnRamos830530
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
FagnerLisboa3
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
AnnimoUno1
 

Último (11)

Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 

Seguridad en servidores

  • 1.
  • 2. Un servidor web o servidor HTTP es un programa informático que procesa una aplicación del lado del servidor realizando conexiones bidireccionales y/o unidireccionales y síncronas o asíncronas con el cliente generando o cediendo una respuesta en cualquier lenguaje o Aplicación del lado del cliente.
  • 3. Hoy día, hay un enorme número de amenazas a las que hace frente a un servidor web, muchas de ellas dependen del uso, el sistema operativo y el ambiente que se haya configurado en el sistema mismo.
  • 4. Algunos de los riesgos podrian ser:  Negación del servicio: un ataque DOS es un ataque en el cual un sistema ataca otro con la intención de consumir todos los recursos del sistema (tales como ancho de banda o ciclos del procesador), no dejando nada libre para peticiones legítimas.  Negación del servicio distribuido: en un ataque de DDoS, en vez de un sistema ataque a otro, un atacante utiliza sistemas múltiples para apuntar un servidor (su servidor), y sistemas múltiples significa (en algunos casos) no centenares o millares, sino hasta cientos de millares. Estos pueden ser: Ataques FTP, Ataque de exploración de puertos, Ataque "Smurf“, Ataque por inundación SYN (Synflood), Ataque de fragmentación, Ataque SNMP, Ataque de inundación por ping (Pingflood).
  • 5. Desconfiguración de la página web : cuando un servidor está incorrectamente configurado, y un atacante utiliza esta debilidad para modificar páginas bajo cualquier cantidad de razones.  Inyección SQL: un atacante utiliza debilidades en el diseño de la base de datos o de la página web para extraer información o más aún, para manipular información dentro de la base de datos.  Codificación pobre : en el mejor de los casos, una codificación pobre puede ser no más que una molestia, donde las funcionalidades de una aplicación no trabajen según lo anunciado; pero en el peor de los casos, las aplicaciones pobremente codificadas pueden tener "agujeros" de seguridad importantes.
  • 6. Códigos empaquetado (Shrink-wrapped code): el problema proviene de la conveniencia de obtener componentes precompilados o desarrollados de antemano, que se pueden utilizar como bloques para construir aplicaciones propias. Su desventaja es que los componentes utilizados pueden no haber pasado un proceso de revisión de su código, y su uso puede crear problemas potenciales de inseguridad.
  • 7. Deshabilita los usuarios de invitado (guest): a estos usuarios se les debe asignar una contraseña compleja y se puede restringir el número de logons que puede realizar por día como medida extra de seguridad.  Limita el número de cuentas en tu servidor: elimina cualquier usuario innecesario, audita tus usuarios regularmente.
  • 8.  Limita los accesos de la cuenta de administración: el administrador no debe utilizar la cuenta de mayores privilegios para sus actividades diarias que no necesitan accesos especiales.  Renombra la cuenta de administración: el nombre del usuario no debe indicar sus privilegios.  Crea una cuenta “tonta” de administrador: crear una cuenta llamada administrador y no se le otorgan privilegios y una contraseña compleja de al menos 10 caracteres.
  • 9.  Cuidado con los privilegios por omisión para los grupos de usuarios: existen carpetas compartidas para los usuarios del sistema operativo y algunas personas que no conocen los riesgos colocan datos en ellas.  Coloca las particiones con NTFS: Los sistemas FAT y FAT32 no soportan buenos niveles de seguridad.  Configura políticas de seguridad en su servidor y su red: seleccionar el nivel de seguridad que su organización requiere y se pueden editar aspectos como: perfil de usuarios, permisología de carpetas, tipos de autenticación, etc.
  • 10. Apaga servicios innecesarios en el servidor: algunos servicios vienen configurados y listos para utilizarse, aquellos que no están siendo utilizados constituyen una vulnerabilidad para su equipo.  Cierra el acceso a puertos que no se están utilizando: Configurar sus puertos vía la consola de seguridad TCP/IP ubicada en el panel de control sus accesos de red.  Habilita la auditoría en su servidor: como mínimo considere habilitar las siguientes opciones: Eventos de login de usuario, gestión de cuentas de usuario, acceso a objetos, cambios en políticas, uso de privilegios y eventos del sistema.
  • 11.  Coloca protección a sus archivos de registros de eventos: es importante dar permisos tanto de lectura como escritura solo a los usuarios de sistema y administradores.  Desactiva la opción del último usuario para desplegarse en la pantalla de inicio o bloqueo del sistema: este parámetro de configuración puede modificarse en las plantillas de su CD de instalación o en las políticas de seguridad.  Verifica los parches de seguridad que libera Microsoft mensualmente
  • 12. Deshabilita la opción de creación del archivo dump: aunque esta opción es muy útil para conocer los por menores de un error en el servidor como las causas de los famosos pantallazos azules. También sirve para proveer al atacante de información sensible como contraseñas de las aplicaciones.  Deshabilita las carpetas compartidas que no son necesarias.
  • 13. Mala configuración  Banderas de Información: Las banderas de información pueden revelar información a aquellos que saben que la información está ahí y decirles cómo buscarla.  Permisos  Mensajes de error: cualquier mensaje de error que su servidor genera puede revelar información sobre como están configuradas sus aplicaciones, qué bibliotecas utiliza, sus conexiones a la base de datos y otras muchas cosas.
  • 14.  Servicios  Protocolos: cualquier protocolo que no necesite debe inhabilitado o francamente removido.  Cuentas de usuario  Muestras y archivos de prueba: estos archivos debe ser eliminados de los servidores y aplicaciones web en producción, ya que pueden ser manipulados y permitir accesos no autorizados.  Puertos
  • 15.  Sistemas de la Intrusión-detección (anfitrión y red-basado): Estos sistemas son los dispositivos del hardware o del software que pueden ayudarle a supervisar el acceso a través la red a y desde su servidor así como actividad en el servidor sí mismo.  Software de Antivirus
  • 16. Cortafuegos: Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios. Los cortafuegos pueden ser implementados en hardware o software, o una combinación de ambos.
  • 17. Honeypot: servidor señuelo.
  • 18.  http://es.wikipedia.org/wiki/Servidor_web  http://www.masadelante.com/faqs/servidor  http://www.uc3m.es/portal/page/portal/informatica/Nos Dedicamos/Seguridad/guia_instalacion_servidores.pdf  http://searchservervirtualization.techtarget.com/news/123 2096/VMware-Server-on-Windows-vs-VMware-Server-on- Linux  http://www.iworld.com.mx/iw_Opinions_read.asp?IWID=9 0  http://www.sip.gob.mx/seguridad/206-seguridad-de-un- servidor-web  http://www.sip.gob.mx/seguridad/206-seguridad-de-un- servidor-web  http://en.wikipedia.org/wiki/Firewall_(computing)