Ethical Hacking, aspectos a considerar.
Horst H. von Brand
vonbrand en inf.utfsm.cl
Vie Ene 18 00:55:32 CLST 2008
Lenin Hernández <leninmhs en gmail.com> wrote:
[...]
> > A que exactamente te refieres? algún ejemplo de lo que llamas 'directiva' o
> > 'parametros'?
> Ok asumiendo que usas apache y no Cherokee ni lighttpd, Webrick o
> cualquier otro... Segun tus necesidades particulares buscando
> seguridad podrias:
> - reducir el tiempo de espera (tiemeout)
[...]
> - si no tienes mucho trafico reducir el numero de peticiones a aceptar
> asi como el tiempo q debe transcurrir para otra peticion
Esa clase de medidas reduce (no elimina!) la ventana de posibles
vulnerabilidades.
> - usuario y grupo propio y exclusivo para apache
En Windows?!
> - tal vez esconder la info del server vercion y modulos cargados
> - tal vez modificar o personalizar los mensajes de error del web
> server(error 403, 404 etc...)
"Security through obscurity, isn't" [No sacas nada con pintarlo de rosado
para que no lo reconozcan como elefante por lo gris si te enfrentas a quien
dispara a cuanta cosa grande se le pone delante... o (peor aun), quien se
entero de tu "truquito" por algun medio. Por lo demas, /esta/ clase de
trucos son tan faciles de llevar a cabo y tan "obviamente seguros" (y por
tanto tan populares) que a lo mas detienen al script kiddie promedio unos
pocos minutos. Para perspectiva, date una vueltecita por las cosas que
puede hacer nmap sin demasiado esfuerzo, y consulta por alli por "passive
fingerprinting"...]
> - instalar modulos de apache que te harian la vida mas bonita como
> mod_evasive (evita ataques de denegacion de servicio), mod_security
> etc...
Si no los necesitas...
> - restriccion de ip o rangos de ip etc..
> - no permitir la ejecucion de cji's
Esa clase de cosas hay que cortarlas si no las requieres, obvio; si las
requieres, las requieres...
--
Dr. Horst H. von Brand User #22616 counter.li.org
Departamento de Informatica Fono: +56 32 2654431
Universidad Tecnica Federico Santa Maria +56 32 2654239
Casilla 110-V, Valparaiso, Chile Fax: +56 32 2797513
Más información sobre la lista de distribución Linux