Ethical Hacking, aspectos a considerar.

Rodrigo Fuentealba darkprox en gmail.com
Vie Ene 18 01:17:35 CLST 2008


El 18/01/08, Horst H. von Brand <vonbrand en inf.utfsm.cl> escribió:

> Lenin Hernández <leninmhs en gmail.com> wrote:
>
> [...]
> > - si no tienes mucho trafico reducir el numero de peticiones
> > a aceptar asi como el tiempo q debe transcurrir para otra
> > peticion
>
> Esa clase de medidas reduce (no elimina!) la ventana de posibles
> vulnerabilidades.

Y aumenta la posibilidad de denegaciones de servicio pues es más fácil
saturarte de peticiones, a mi parecer.

> > - usuario y grupo propio y exclusivo para apache
>
> En Windows?!

NT sí; IUSR_NOMBREDELAMAQUINA, generalmente. PostgreSQL también tiene
su usuario y grupo propio cuando se instala ahí.

> > - tal vez esconder la info del server vercion y modulos cargados
> > - tal vez modificar o personalizar los mensajes de error del web
> > server(error 403, 404 etc...)
>
> "Security through obscurity, isn't" [No sacas nada con pintarlo de rosado
> para que no lo reconozcan como elefante por lo gris si te enfrentas a quien
> dispara a cuanta cosa grande se le pone delante... o (peor aun), quien se
> entero de tu "truquito" por algun medio. Por lo demas, /esta/ clase de
> trucos son tan faciles de llevar a cabo y tan "obviamente seguros" (y por
> tanto tan populares) que a lo mas detienen al script kiddie promedio unos
> pocos minutos. Para perspectiva, date una vueltecita por las cosas que
> puede hacer nmap sin demasiado esfuerzo, y consulta por alli por "passive
> fingerprinting"...]
>

Seguridad por oscuridad no es seguridad, pero mientras detenga un
tiempo más al posible victimario, igual sirve. Si voy arrancando de un
sicario que me quiere matar y puedo tirarle sillazos para que
tropiece, puedo escaparme.

> > - instalar modulos de apache que te harian la vida mas bonita como
> > mod_evasive (evita ataques de denegacion de servicio), mod_security
> > etc...
>
> Si no los necesitas...

mod_security es bonito pero a veces se torna complejo de configurar
(sobretodo con varios sitios y varios requerimientos); úsalo con
precaución.

mod_evasive lo he probado y parece bueno, pero evalúa primero el
historial de seguridad.

> > - restriccion de ip o rangos de ip etc..
> > - no permitir la ejecucion de cji's
>
> Esa clase de cosas hay que cortarlas si no las requieres, obvio; si las
> requieres, las requieres...

Intenta no requerirlas a toda costa. Muchas cosas que puedes hacer a
través de un CGI también puedes hacerlas con funciones de PHP como
módulo de apache (si le quitas las funciones peligrosas como popen y
exec, y lo configuras bien...).

Saludos,

-- 
Rodrigo Fuentealba



Más información sobre la lista de distribución Linux