Está en la página 1de 28
INSTALA QVON@ GON DP! GUIRAGHION Y ADMINISTRACION 18 Aegentira $ 22 Mein § 49- &SEGURIDAD SERVIDORES WEB Y FTP En este fasciculo aprenderemos sobre los servidores utilizados para alojar sitios web y transferir archivos mediante el protocolo FIP. Ademas, conoceremos la manera de configurarlos y administrarlos correctamente. > INSTALACIGN Y ADMINISTRACIGN > HOSTING PROPIO VERSUS CONTRATADO = > SERVICIOS RECOMENDADOS 2 > SEGURIDAD EN SERVIDORES > DIFERENCIAS ENTRE LOS PROTOCOLOS HTTP Y HTTPS Técnico en &SEGURIDAD Coordinador editorial Nuestros expertos Paula Budis Valentin Almirén José Bustos Asesores técnicos Gustavo Cardelle Federico Pacheco Rodrigo Chaver Javier Richarte Alejandro Gamez Javier Medina Gustavo Martin Moglie Pablo Pagani Gerardo Pedraza Ezequiel Sanchez Curso visual prictco Técnico en edesy seguridad es una pubcaion de Fox Andina en coedcin con Dalaga .8 Esta pba no puede se eproduia i en ‘ado ni en pare, por ringia melo actual ofuturo sine perso previo y por escta Fox Andina S.A, Dstbuidres on Argentina: Capt: Vaccaro Sinchery Cla. SC piso 9 (1091), Cudad de Buenos Ales, Tel 541 1-4342-4031/4032; Interior: Disibuiora Incerplaas SA, (ISA Pe. Luis Sden Pes 1832 (C1135ABN), ‘Buenos Aires, Te 541 1-4305-0114, Bolivia: Agence Madera, General Ach E-0132, asia de comeo 462, Cochabamba, Tel 5914-422-1414, Chile: METAS.A, Willams Rebolledo 1717 - Rua - Sartiag, Tel. 562-620-1700, Colombia: Disibuidoras ‘Unidas SA, Carrera 71 Nro. 21-73, Bogté D.C, Te $71-486-8000, Evader: Disandes(Ostrbuidra dels Andes) Calle yAv, Agustin Fee, Guayaquil, Tel 59342-27 1651. Msc: Distribuidor Intermex, SA. de CV, Lucio Blanca #435, Col San Juan Tuaca, México DF (02400) Tal $255 52 30 95 4, Pert: Distibuidera Bolvariana ., Av Republica de Param 3635 ps 2 Sansa, Una Tel 511 4412948 anexo 21. Uruguay: spert SRL, Parenay 1924, Montevideo, Tel, 5982-924.0766. Venezuela Distrbuidora Continental Baque de Armas, afi Blaque de Armas Psa no, Ay. San Matin cuce con final A, La Paz, Caracas Tel. $8212.406-4250, Moreno 79 Impreso en Sevagrat S.A, Impreso en Argentina Capyight © Fax Andina S|, Mx Técnicoen &SEGURIDAD SERVIDORES WEB Y FTP En at ace sondern as ers nde, par alas ob y nt aie edt 1 nee FF ons, consceremas mast te coitus y ain caine » say zommesrcén Tecnico en redes y seguridad / coordinado por Paula Buchs. - 1a ed » Buenos Altes: Fox Andina, 2013, 576 p.; 28 x 20 am, (Usets;22) IBN 978-987-1857-78-4 1. Informatica. 2. Redes. |. Budi, Paula, coord OD 004.68 En esta clase veremos... Las caracteristicas y ventajas de contar con un servidor web y FTP; ademas, los pasos necesarios para administrarlos, la seguridad y los protocolos asociados. Comenzamos realizando una introduccién a esta tecnologia y vias las opciones de software que pueden ayudarnos. Detallamos a AMAT Jos usos dela administracion remota, y aprendimos a instar 2 un cliente y servidor UltraVNC. Luego, analzamos las ventajas Ge TeamiViewer y aprendimos a ponerlo en marcha; también Qué es un servidor web conocimas algunas aplicaciones similares y nos adentramos en la tecnologia SSH, plataforma Citrix e Intel vPro. En esta case evsaremos las caracteristicas de os ervidores te y FT conocer qu sony qv eras os ena, 10 Aprenderemos a instaar estos servidoresy revisaremos Paso a paso: Instalar un servidor las consideraciones que debemos tener en cuenta para FIP en Windows ‘Seguridad en servidores web 24 HTTP y HTTPS: TECNICO EN REDES Y SEGURIDAD | 18 © Qué es un servidor web Es una aplicacién de software que cumple el rol de servidor y se ejecuta en una computadora a la espera de peticiones web de los clientes, 1 servidor web, también denaminado senidor HITTP, es una apcacono software que seejeuta en tuna computadora que cumple con el rol de servidor en una arquitectua ciente-servior. Esta realiza conexiones bidieccionales 0 unidteccionaes, sincronizadas ono, con uno o varios clients, recibiendo peliciones y respondiendo dichas solicitudes en un lenguaje de programacién determinado del lado del cliente Las respuestas recibidas por el cliente son compiladas y ejecutadas por un navegador web. Para la transmisin de datos entre el servidr y lint, or lo general, se utiliza el protocalo de red HITP que emplea el puerta TCP 80 y se encuentra en ia capa de aplicacin del modelo OSI. El término de servidor wneb también es utilized para rferrse a la computadora que ejecuta fa aplicacion o software de servidor web. Funcionamiento La apiacién de servidor web se eecutaen una computadora Servidor la espera de peticiones de clientes (navegadores web que seejecutan en los clientes) as eticiones a servidorsuelen celizarse mediante HTTP utlizando el método de peticion GET, fRoswonu meu! en[a que una pégnao un st se solic, através de fa URL ena ancora pra 4 ao we con omc we pen naga (Uniform Resource Locator o localizador uniforme de recursos) al servidor web Por ejemplo, cuando ingresamas la drecin ‘wwmcorganizacion com/index html en la bate de direcciones del navegador, estamos ejecutando la pticin GET ue presentames a continuacén GET / index.html HTTP / 1.1 HOST: wrw.organizacion.com Las peticones POST son el segundo tipo de peticin HTTP mas utiizado; su objetivo es el envio de datos. Los datos por enviar al servidor se inciuyen en el cuerpo de la misma peticign con las cabeceras HTTP asignadas correspondientes respecta al tipa de peticién. Casi siempre se asacia con los formularios web en los que los datas suelen ser cfrados para ser enviados de manera segura al servidor. Todo navegador web provee a sus usuarios de una Interfax para poder realizar uma o varias solicitudes web. La intefaz esta conformada por aquellos elementos del navegador que permiten realizar la Peticion de forma activa, Estas peticiones pueden ser realizadas también por aplicaciones que no sean un navegador web, www.redusers.com Elementos ‘Acontinvacién, vamos a detallar algunos elementos que poseen las interfaces de los navegadores para realizar pticiones. > Hipervineulo, enlace o link se tata de una parte 0 porcién de contenido de una pagina o sitio web, ya sea texto, imagen u otro elemento que direciona a una URL. Al pulsar un hipervinculo,e! navegador genera una peticion GET automitica ala direcién URL de dicho lnk. > Formulario: es un contenedor de datos presente en una gina, que captura informacién ingresada por el usuario pare ser almacenada después. Al momento de confirmar el envio de un formlari, el navegador web genera una peticién GET (0 POST (comiinmente POST) automatica para enviar los datos al servidor a una direccin particular. > Barra de direcciones: todos los navegadores web incluyen una bara de direcciones mediante la cual podemos acceder, en forma manual, @ cualquier dieccién URL, de modo que el navegador generard una peticién GET automstica a dicha URL cada vez que el usuario lo incigue ingresando la direccén. > Script activo © pasivo): cualquier aplicacion JavaScript tiene acceso al estado del navegador y puede motifcar los datos que describen ta esta, Pores un elemento de este tipo puede solar una direc de forma pasva (sin a interven del usuario) o deforma activa (mediante alguna accion del usuario). También puede enviar datos deforma pasivao activa. E! servdor web, uego de recibir una solctud, la esponde devolviendo una pagina web que va a ser visible en nuestro navegador 0 un mensoje de ertor que también sed visible como una pagina. For elem, a ingresar a URL. werw.organizacion. comen la barra de irecciones de nuestro navegador, este eliza una petciin HTT al servidor de dicha dieccién. 1 senvidr responde a dente enviandelcéigo HTML de la gina el ciente, una ver recid el edgo fo interpreta y lo exhibe en pantalla. Como vemas can este empl, e cent es ef encargado de intrpretar el cdigo HTML, es dec, de mostrar las fuentes, los colores y la dsposicin de os textos y cbjetos. ele pagina; el servidr tan soo se limita a raster cédigo dela pagina sin evar a cabo ninguna interpretacion de el LOS NAVEGADORES WEB OFRECEN UNA INTERFAZ PARA REALIZAR UNA 0 VARIAS SOLICITUDES WEB. Aplicaciones ‘Adem de a transerencia de cdgo HTML, los servidores web pueden entregar aplicaciones web, Estas son porciones de cégigo que se ejecutan cuando se realzan cietas petciones 0 respuestas HTTP. Hay que ditinguir entre: > Aplicaciones en el lado del cliente’ el cliente web es ol encargado de ejecutarlas en la maquina del usuario. Son las aplicaciones tipo Java applets o JavaScript: el servidar proporciona el cédigo de ls aplicaciones al cliente, y este, mediante el navegador, las efecuta. &snecesari, por tat, {que el cliente dispanga de un navegador con capacidad para ejecutar aplicaciones (también llamadas scripts). Comunmenta, los navegadores permitenejecutar aplicaciones, escitas en lenguaje JavaScript y Java, aunque pueden aiadse mas lenguajes mediante el uso de plugins. > Aplicaciones en el lado del servidor: el servidor web ejecua la aplcacion; esta, una vez ejecutads, genera certo COdigo HTML; el servidor toma este céiga recién creado y lo cervia al cliente por medio del protocolo HTP. Es més prctco aque las aplicaciones se encventren del lado del servidor ya que, al eecutarse en el servidor y no en los clientes, estos itimos, no requieren de ningin agregado para poder interprtar Java 0 JavaScript. Solo es necesaro un navegador web bésico, —— TECNICO EN REDES Y SEGURIDAD | 18 © Qué es un servidor FTP Es una aplicacién de software que se utiliza para realizar el intercambio de archivos bajo la arquitectura de computadoras cliente-servidor. es comenzat con la defncion de un servidor FIP, debemos recordar qué es FTP (File Tanster Protocol © protocol de tensierencia de archivos, Como bien lo espectica su nombre, consist en un protocolo de red que se utiliza para el intercambio de archivos entre dos o mas computadoras. Un senior FIP es una apliacéno software que se eecutaen ura computadora que curle con rol de servo en una arquitectura cente-servidor, que liza ¢l protocolo antes mencionado y que se encuentra conectada generaimente @ Internet (puede que se encuentre conecaca 2 otros tipos de redes, como redes LAN, MAN, etc) Esta realize coneiones bidireccionales o uniieccanales entre uno © vatos clientes para intrcambiar archivos. as computador dispuestas al ntercambio de archivos deben encontase coneciadas a una red TCP (Transmission onto! Protoco) 0 protoclo de contol de transmisin, Los programas sendores FIP no suelenencontiarseen os ordenadores personales, por lo que un usuario casi sempre utiizaré el FTP par conedtarse remotamente 3 uno y, ai, intercambiar informacion con él Las aplicaciones mas ‘communes de los servidres FTP sulen ser €alojamiento web en e que sus clientes uailizan el sewicio para subir sus paginas ‘web y sus archivos corespondientes; 0 ‘como servidor de backup (cosia de seguridad) de los archivos importantes ‘que pueda tener una empresa xisten protocols de comunicacén FTP para que ls datos se transmit citados como el SFTP (Secure File Transfer Protocol 0 protocolo de transferena de archivos seguro. Una ‘computadora cliente puede conectarse aun sevidor para descrgar archivos desde lo para eral archives, independietemerte al sistema operatvo utiliza en cada nod. Funcionamiento Elservc FTP se encuentra dentro de la capa de aplcacién de! modelo de red ‘TCPAP yuiiza los puertos TCP 20 21 La principal desventaja que presenta es que ests pensado para oftecer a maxima velocidad, pero no la maxima seguridad, 48 que todo el intercambio de informa, desde el foginy password del usuario en el servidor hasta la transferenca de ualauier archiva, se realiza en texto plano sin ningin tipo de credo, con lo que un posible atacante puede capturar este trafic acceder al servidory apropiarse de los archivos transferidos Para solucionar ‘este problema, son de gran utlided aplicaciones como SCP y SFTP, incuidas en el paquete SSH, que permiten transerir archivos, pero cittando todo ef trio Para ricarsesin en este servidor FTP, escrba un nombre de usuario yuna contvasef, distntos. Ambo Senvdor FTP: —192.168,0.203 Nombre de “Aeinevador Contaser lak 2d con facia, Irvoay sesién de forma anorwma ‘ Google ser un pr un sewvidor FTP. Otro punto pare t que la conexién de d se puede usar simulténeamente para et pate recibir datos. En sus iicos, el probleme era alizacion de los servidores en la red Una ver que nice la sein, paced agregar este servdor alos Favorit yregresar | usuario debia con TP, El servicio FTP ha evolucionado a por la que no importa si sus sistemas aperativos san izan el protocolo estandarizado ner en cuenta consiste en se alojaban las archivos. Con el arto de Internet ¥ los potentes motores de busqueda actuales, como localizacién dels servidres FTP dejé de fema, Enla acualidad, cvando e usuario se descarga un archivo apart de un en pagina web, desco ce deuna que lo esta haciendo desde io argo del tiempo y, hoy en dia, es muy ulizado met, en tedes corporat as, Intranets, Soportato por cualquier sstema operative, exste gran Clientes FTP aes instucciones son generadas en catia desofware bast enel protec FP Cuando un navegador no pose terada el nérprete de protocoladeseridor . afurcén FIR os eseamos subir (IP desewidon yenviades al Pde —-‘Tipos de usuarios FTP. Un cliente FTP es un programa que se —_pardmetros para la conexién de datos > Usuario anonimo: permite que cualquier instal en el ordenador del usuario, y que (puerta de dat noda de transferencia, persona acceda a un servicio FTP sin que se deba emplea el protacola FTP para conectarse @ tipo de representacién y estructura) realizar la creacién dela cuenta especiia un servdor FTP y transfetc archivos, ya sea la naturaleza de la operacién sobre» Usuario comin: debemos contar can una para descargarlos o para subitlos, el sistema de archiva (almacenat, cuenta de este tipo si necesitamos privilegias de Para utlizr un cliente FIR necestamos _recuperar, iad, borar, ec.) El proceso acceso, creacan o modificacion, a cualquier parte conocer el nombre del archivo, a de transferencia de datos (DTP) de restingida del sistema de archives del servidor FTP. computadora en la que se encuent usuario u otro proceso en su lugar > Usuario invitado: se utliza para permite (ervidor, en el caso de descarga de debe archivos), la computadora ala que conexién al puerta perar a que el servdor nice la datos esp 105 transferee archivo (en caso (puerto 20 en modo activo © estandar cde querer subirlo nosotros al server y transferir los datos en funcén de los ylacap Algunos clientes de FTP basicos en La comunicacion estalecida ent ‘mado consol vienenintegrados en los _yservidr es independiente del sistema de sistemas operativasincuyendo Microsof vos utlizado en cada computadora, Windows, GNU/Linux y Unix. Sin embargo, eta en La que se encuentra pardmetros que se hayan especficado hay clientes disponibles eee ree cces0 a entornos resvingidos, como acute cone! ificado usuario andnimo, peo con ms privilegios. m afuncén FP es més confablealahora ar de concise con seridores FTP no BO ancias ua un programa cient aa Funcionamiento Meee caer aed open: sorting Elimérprete de protocol de usuario ee ee eg (Peevsero) nica maneinens — a ed puso 2. Lege, geveslasinsrucionss Ee a estandares FIP y las transmite hacia gene el senior através def conexion cree ine en 0,08 de contrl establecida. Las respuestas wow.redusers.com TECNICO EN REDES Y SEGURIDAD | 18 © Hosting propio versus hosting contratado En estas paginas conoceremos las caracteristicas, ventajas y desventajas de las opciones de hosting propio y contratado, cada una de las cuales nos permiten darnos a conocer en la Web. | temino hosting, en forma litera significa hospedsj: en informatica, con se hace referencia llugr vtual donde se alacenarn los datos de auesta pagina web. Adems, nose trata solo de almacenar los archivos del sto web, sina también de las heramientas para su edi, coniguraciin y administracion I lugar fisico donde se encuentran los servidores dependeré de lo empresa dedicada a prestar el servic, Hosting propio Si administramos la red de una empresa, ynos pide la trea de implementar un hosting propio dentra de a misma empresa, mientras ls costos la permitan, las ventalas son varias Si queremos implementar un hosting propia a nivel personal, Ta primera gran desventaja con la que nos encontraremos es el costo para su implementacin fic. Ants de empezar con la coniguracén del equipo que utlizaremos como hosting propio, debemas realizar en el hardware todas las pruebas que Consderemos impartantes. Adams, debemos colocaren una bahia «isponible un soporte para discos removibles. Convene relat una copia exacta del disco duro en oto disco (6 no conta con alain sistema RAID) de esta forma, en caso de que e isco pxincipal se ‘wow: redusers.com aie, podtemos reemplazarl inmeiatamente y poner operative el servdor en un corta tempo. Una vez terminadas las pruebas sobre el hardware, instlaremos el sistema operativo y slo el software ‘que se requier para el furcionamiento del hating, coma soporte para base de datos MySQu; consultas PHP; una interlaz par la administracién del sitio, como Joomla; servicios FTP para permitir la carga remota de archivos. Hay que tener presente que no debemos sobrecargar de aplicaciones 0 servicios que no serén utiizados; por ejemplo, inclir soporte pare vaio lengusjes PHP, ASP JavaScript, etc, de los cuales ya sabemos que urilizaremos uno solo, aumenta el riesgo de vulnerabilidades que puede tener ‘cada complementa que procedemos a instal HOSTING DEFINE EL LUGAR VIRTUAL DONDE SE ALMACENA UN SITIO 0 PAGINA WEB. La vertaja que nos binds el tener nuestro propio hosting 2 a Tbertady dominio total paras configuracn y mdificacon pero, a su vez, la desveraja que eso conlea es que debers pestar summa atencin alas adualaones prnentes del software que hayamosinstaledoen especial, alas wulerabiidades qu se ‘ayn conociendo y puedan poner en peligro su funconaidad La ubicacién fica de equipo no debe ser un lugar ila, peo I Sequn. Generaimente, se encuentra con tos seioves intros, de manera que solo el personal atorizado pueda inresar. Tampaco pademas olvidar de realizar un backup. £s posible ealzao de fa manuel, conetando un dsc extemo, 0 tealzindolo a través de une tars programada, pare que se compan todas ls carpetas de ls cuales deseamas tener un backup, luego, ecopien 2 o¥0 equipo come copa de resquardo Hosting contratado A diferencia del mode ante; en est caso, alqilaremos un espacio vital pare almacenar nuestra pagina web, con las herramientas necesaras para su creacén ediciéno carga de archivos editados. Ademas, los servicios que serén contratados, vatiarén mucho en precio segin sus caractersticas. La ventaja {que nos provee este modelo es que solo nos tendremos que focalizar directamente en las caracteristica del sitio web y, segtin as caracterstcas con las que deseemos conta, serén los servicios que contrataremos. Asi por ejemplo, si vamos a utilizar varias bases de datos relacionadas, debemos asegurarmos antes de contratr los servicios qué camtidad de bases de datos nos periten utlizary qué versiones estan soportadas. Por una cuestidn de seguridad, como las bases de datos llevan un nombre de usuario y contasefia para que se puedan agregar y consultar datos, es muy probable que ese nombre sea distinto de admin o root. Ademas de contrata al hosting los servicios que se ajusten a nuestro requerimiento, también aparecera qué tréfico mensual est incluido en nuestro plan. Debemos prestaratencién a este punto ya que si contamos con un gran volumen de clientes, el trafico contratado deberd poder cubrir esa demanda y, ademas, tener un margen para los futuros y potenciales clientes Cua utilizar? En ambos casos, para ayudarnos a decir cual convene més, debemos evalua todas las necesidades y dudas que tenemos Acqué plc queremoslegar? {Qué senicios necestames? De nada nos sive pagar un hosting que nas proves de heramiartas que no urlizaremos, coma tampocoeegir un hosing econémico y estar muy lmitados por las pocas herramientas clsponibls Slo que deseamos hacer es un proyecto petsonal no comiene invert crecamente en un hosting contratado 1 propio, ye que las tasas de transferencia para subidas que nos provee nuestro ISP son baas. En este caso, nos conwiene al principio probar con alguna aternativa gratuita, como Google tes, 0, si queremas tener nuesto propio blog, podemos contr an un hosting gratuito como WordPress.com o Blogger.com. Debemos tener presente que un hosting gratuit, i bien es una «ran atemativa para nuestro proyecto personal, insertaré en rues sta publcidades que no pacremas configura. Sino las deseamos, es posible contratar en lism hosting una opcén ara que no aparezcanlaspubliidades, ademas, contremos on algin servicio adicional,y los preci resultan casi sempre sms econbmicos que los de un hosting contatado. il hosting serd para nuestro cliente que mana interactuar$ con sus, clients via web, e hosting contratado puede consderarse una alternativa. Peta los servidores que tienen las empresas de servicios de hosting albergan cientos de sitios web en sus servidores, con lo cual un atagueditigida a uno de esos sitios puede afectaren forma indecta al sto de ruesto cliente y jaro inaperatvo por algn tiempo indeterminado. En est caso, pote actvidad de nuestro cient, corvendré poner un hosting propio, para tener un mayor contol y dominio de. m AMAA TCE Ly Una de las mayores desventajas de implementar Pam ica eer Pee cance et contar con un equipo que se encuentre preparado para estar prendido todo el tiempo, COCR ete a occ ues? factor importante. Ademas, debemos contratar tuna mayor tasa de transferencia para subidas con nuestro |SP; esto permitird, a nuestros potenciales vsitantes, argar nuestra pagina web ea esa gee cei ccs worw-redusers.com nium TECNICO EN REDES Y SEGURIDAD | 18 © Instalar un servidor web en Windows Internet Information Server (IIS) es la solucién de software de servidor web que ofrece Microsoft para sus clientes. I> cor kK Bose QOS revisecoesi+ lusts Is efiguacin del eauiae Como primer paso para Acantnuacén, Seabre una Una vez over instal Internet selecionamos la opin ventana ena instal la Information Server denominede Programas cual sistema oocin Internet en nuestra computadora con y caracteristicas/Activar 0 nos permite selecconar las Information Server, Windows 7, debomas acceder _—_desactivar las caracteristicas caracterisicas que deseamos | procedemas a cnfiguar ‘Panel de Control/Programas. de Windows, quo se encuentra acivar.Marcamos Internet |! servicio. Primero Este timo meni eselquenos ei las opcones presentadasenla | ‘Information Services, | selecionamos Panel permite instar y desinstlar ventana; luego esperamos mientas ademas elas opcones que | de Control/Sistema programas a iqual que aparece la ventana de caractrsticas. corsideremos necesaras, —_-y Seguridad. caacteristicas de Windows. i es a fb.com/RedUsersPremium 22 identi Me ins de equa estraén Hacerunacopis devequiddleqips Retauar oives esecpidesgurine Windows Anytime Upgrade (Otter mds coca con una end Windows? “Gy Pepmesasadeinstatias ence ferret erm) Cer orserpatiene de dice re (Ge vepstore rage cmgucones mses iesooe DOE om re on TS WI Coacertias de dearlo de apcaciones Ey as? iy) Ase.ver Bg ca ip tensed de NET iM BtensionesIS8P1 A Fits 15401 TF Inclusions del ide sender (© MI) Corcterisicas de endiinto (8 Mp Corctertias HTTP comunes BM Eade, diegnostico MI Seguided ‘Una vez levado Siauienda con el Buscamos al sitio. Debemos analzar acabod paso proceso de nstaacén, wweb amacenado aconcencia qué erg er ubicamoselicono dent de la PC loca, caracersticas de necesaio queselecdonemos lamado Administrador de lesplegamose mend contextual | Internet Information Server laopciin Herramientas Internet Information Services estoy selecionamas ia opcén | vamos arequer, ya que administrativas a cual (IS), posteiormentedebemos-‘Examinarparacoroborar que la | _actvarcaracersias que no se encuenta al final de la hacer dob cc pare que esta aplcacon seencventa instelada | utlicemos por jem, para ventana presentada heramienta se eect forma conecta € desarol de aplicaciones, puede repre en forma negative ene desempeio. . . . de nuesto servidr sa TECNICO EN REDES Y SEGURIDAD | 18 © Instalar un servidor FTP en Windows FileZilla es un servidor y cliente FTP ibre. Analizaremos en detalle el proceso de instalacién y conoceremos sus principales caracteristicas. FileZilla... Gea Cir Wrcnwenmcnme eye Descargamos la tia version disponible de senvidor pare Windows ara la pataforma deseada con http Para descargar bi httpzl/sourceforge.net, También es posible descargar l cédigo Fuente de los checksums de cada archivo, desde la misma 1& clceccién web de la apicacon, w& del puerto 14147, ‘wow: redusers.com DDeberos selecionar lainstalacon de Filezilla Server, aque se eecuta com un servicio de Windows, y la consola administrative. Esta oma no cesnecesara para que el servicio se eecute, puede estar instalad €en otro equipo y accederla de forma remota a través, ina sisi yeti leg ei aston ts sewn bimor cnn ype one | romans begiapacekinece eos fb.com/RedUsersPremium chilexs22 Identi eect Pe a aa" (eater $$ uego de confgurado Instalames ef sotware Finalizada la Debemos er cl ervidor,debemos lente, ayos componentes instaacién,iniiaos ‘idadsos y no generar los orupos clsponibls son: conas ecient y, desde compat urdades requeides estableciendo los ‘adiionales, idiomas complementarios | elarchiva abrimasel gestorde | dal sistema, ye que un usuario, permisos que se apican paracada | (espafol y portugues, entre otros), | stos.Pobamasainstalaiin | de maneraimpensada, pda directorio, ya sea de lecture, el shell extension, que permite | realizando una conexién ‘causr problemas en el svi ‘scitu@0 brad, Recomendatnos integrarel cliente de FileZila l 2 localhost ene senior Recomendar baquear os «asignarlos permis los usuarios | explorador de Windows para mover utlizando el usuario la ‘suetos que realcen ntentos tnicamente mediante grupos pare | archivos desde el Eplorador de contrasefa iil defines. e conn lids para etar ‘aca la administra. Windows hacaleaplicacn. Eldiente permite conectar vais | ataques de fuerza bruta . sh sesones usando pestaias, worw-redusers.com fi] TECNICO EN REDES Y SEGURIDAD | 18 © Administracion de un servidor web Un mantenimiento y monitoreo de calidad de nuestro servidor web es la actividad mas importante para mantener el servicio de nuestro sitio en linea. nla actulidad,instalary poner en linea un servidor web no posee una complejidad alta asociad, Puede se un trabajo {que consuma solo algunas horas, de nuestro tipo, incluso para personas inexpertas, dada la gran cantidad de informacién que se encuentra circulando en internet al respecto, Ademds, existen empresas y organizaciones que se dedican 2 alquilar espacio en seridores dedicados, lo que simplfca la necesidad cde montar nuestro propio servidar web A diferencia de la instalacin y puesta en linea, e! mantenimiento y monitoreo de nuestro servidor es una tarea ardua que implica prevencin, configuracén, actualzacién del software relaconado, escalado del hardnarey de los medios de conexin a medida que el trfico Puede salir ala lz en momentos critics Cuando se praduce un tric elevado repentina, cuando fla un cisco duro 0 al sur un ataqueinformstico thackeo). Cabe aclarar que la presi tiene sus limites, y resulta imposible tener en cuenta todos os escenarios posibles; lo saludable es proyectar una evoluciin del servicio para poder ir escalando el servidor a medida que el tréfico aument, estar al tanto de allos de seguridad y acualizaciones de software para corer efectos er fos sistemas, implementar aumenta, etc. La estabiidad de un senvidor web (entenciendo como esiabililed cel brindar un servicia continuo en el tiempo, libre de cuelgues yfallos) va a Implementacién de politicas de respaldos (backups): sibien este aspect resulta un poco obo, en la prctca no se le suele asignar la importancia que require. Si carecemos de un plan de respaldos concet, es hor de que nos senteros cuanto antes a delinearla ya ponerlo en préctica. No hey otra forma de asequrainos de que la informacién pertenecente a nuestro servidor web, la que se genera como resultado dela operatoria covdiana, esté a salvo sise produce una caida del servicio por fallos de hardware o software. Cuando hablamos de respaldos, tenemos dos objetos genéricos que requieren de ruesraatencin: los diretoros y archivos fisicos,ylas bases de datos, sie que nuestro servidor web las pose Para respaldat los directoris y archivos, pademos utlizar software como rsyne, tar, y similares. Este tipo de software se encarga de replicary sineronizar cambios en diectoros ¥ archivos en una computadora remota, Para respaldar bases, de datos, debemos utilizar las herramienta especiticas que ofrecen los distintas matores de bases de datos. n ambos 28050 ideal es que implementemas un proceso automstico 0 semiautomatic de backup para estar sequros de que ls respaldos se van a realizar independientemente de nuestia isponibilidad para levalos a cabo. Caracteristicas que debe poseer una carrecta politica de respaldos: > Debe poseer una periodcidad aco con el dinamismo con el que se produzcan los cambios en la infermacién por tespaldar (daria, emanal, mensual, et). Supongamos que en nuestro servidor web se reaistran un min de usuarios por hora, realizar respaldos datos nova a ser muy ail ya au sie produce un fallo,habremos perdido demasiada informacion de manera dfintiva; a esto nos refers con establecer un period de tiempo de respaldo acorde > Debe mantener vais versiones del espa con distin periodos de tempo (un respaldo diario, uno semanal y Une mensual, por ejempla). De esta manera, podemas satsfacer la necesdad de tener acceso a informacin que no se encuentra en el utm respaldo porque ha sido boada, pero est puede ser encontrada en ota versin del resp, A DIFERENCIA DE LA INSTALACION, EL MANTENIMIENTO Y MONITOREO DE UN SERVIDOR ES UNA TAREA ARDUA. > Debe establecer un perfado de tiempo limite de antigiedad para guardar respaldos de manera de optimizar el espacio {isco de almacenamiento, Por ejemplo, podria solamente ‘mantener ls respalds con un afo de antgledad y borrar ‘todos los respaldos que sean mas viejos. worwredusers.com TECNICO EN REDES Y SEGURIDAD | 18 > Los respaldas se deben realizar —-_(na-se encuentren corruptos)y se puedan manitorear la utlizaidn de los recursos en una ubicacisn fisica diferente de _restaurarcon éxito. Es muy posible que también es clave. Debemos verficar donde se encuentra el servidor web, _necesitemos de un entorno de prueba, _peridcicamente la carga de procesos es decir, fuera de la infraestructura es deci, una infraestructura similar a laa la que es sometida la CPU, el uso de principal. Supengamas que el principal en donde restaurer ls backupsy memoria RAM, el espacio disponitle datacenter (centto de datos) donde _veriicar que nuesto senior funcione en en disco el ancho de banda de la se encuentra nuestro servidor web forma correcta, Frente a una eventualidad —_conexin a Internet que se consume. se inunda 0 se incendia, es importante real, sabremos cémo proceder gracias alas De esta manera, vamos a poder determinar que los respaldos se encuentren restauraciones de prueba realizadss. con antelacién cuéndo realizar una a salvo de estos acontecimientos, actualizacion (yparade) de hardware. > La informacion de respaldo debe estar > Limpieza de archivos de auditoria Cuando mencionamos upgrade de igual de segura que a informacin que (logs): otwo punto pare tener en cuenta hardware, nos referimos a instalar més se encuenra ene seridor principal. esa impiezaperiddica de archos gs memoria RAM, agregar un disco duro > Debemos asequrarnos de que el __generados que posean una antigieded nuevo, contratar un ancho de banda respaldo contenga toda la informacién defida con anteriridad sts debeian mayor, et. Sino tomamas ese tipo critica necesaria para poder recuperar _serlimpiados deforma automtca cada de precauciones, uede que un dia el nuestro servidor de forms integra, de ert tiempo para optimizarlautiizacién crecimiento en la demande del servicio. manera que el usuario que consume del espacio sco. Cuanda la cantidad determine haciendo colapsar nuestro servo. nuestro servicio pueda seauir transaciones que se eecutan conta el operando en forma normal. senidor ascende aun numero alto, puede» Monitoreo de procesos y servicios ‘que los arciveslogs generadosterminen mantener en ejecucin software como > Verificacién de los respaldos porutilizar todo el espacio en disco Apache, Internet Information Serer (iS), realizados: una vez que el proceso de spore para nuesto senior IMySAL, servicios de correo electronico respaldo de informacidn se encuentra yproduzcan una caida del sero, (pop, smtp, imap) y demas puede operatvo es deci, en funcionamiento es ser crucial para mantener a nuestros rnecesario que valde, con peiodcidad, » Monitoreo de a utilizacion de usuatios satstechos. Deberiamos utlizar que los archivos de respaldo generados los recursos: asi como es importante _alguna herramienta de software que estén correctamente conformados implementa una poltca de respaldos, _automaticeel proceso de monitoreo de ls servicios para que nos informe en caso de que se produzca algin fallo ¥ 0s evite enterarnos de este a través de la queja de un usuario > Endurecer nuestro servidor (hardening): l proceso de hardening 0 endurecimiento consiste en mantener are] _nvesto senior seguro fentealas || diferentes amenazas que se encuentran en la Web, tanto las conocidas como importante que conozcamos qué procesos se ejecutan en nuestro Servidor, para asi detectarprocesos anormales, qué puertos tenemos abiertos para intriorizarmos de los peligro que ello conleva, mantenesnos que producen las principales amenazas, 8 un ataque, et. El mantenernos informados sobre las novedades en materia de seguridad nos va a permit aplicar nuevas tenologias 2 nuestro sistema yreduci ls riesgo. _ > Actualizaciones de seguridad: ningin sofware se encuentra ciento por cienta libre de fll yerrores que pueden ‘provechar las amenazas para vulnerar nuestro servidor. Partienda de esta regle, debemos estar al tanto sobre las actualizaciones que se iberan con el fin de solucionar estos defectos, para descargarlase instalaras lo antes posible, No aplicar las actualizaciones a nuestro sistema es dfiitvamente un comportamiento negligent, ya que las vulnerbilidades de las dstintas aplicaciones se divalgan muy rSpido por internet y, a medida que pasa el tempo, mas atacantes se ponen al tanto de elas. Los riesgos crecen expanencialmente con el tiempo. Alternativas os de os servidores web mas conocidos en la actuaidad, hablando de sofware, son Apache Web Server, de Apache Foundation, ¢ internet information Server (iS), de Microsoft. Dado que el primera es la solucién més popula, 2 continuacin vamos a desciir algunas consideracines para tener en cuenta y configurarlocovrectamente Parienda del hecho de que poseemos una capacidd de hardware limita y que Apache Web Sener estédlsePato para sopartar riltipes peticionessmultineas de decenas o centenares de suatos (si esto sto es populares fc dase cuenta de que el hardware existent puede no ser suficent para que el softwere de servidor web funcione a su mama capacdad. Nuestro senidor permaneceré expctante ls espera de petiones de conexién realzadas por usuariesy, a medida que vajan legando, desnars Lun proceso un hilo de eecucié) para atendels. MONITOREAR LA UTILIZACION DE LOS RECURSOS DEL SERVIDOR ES UNA TAREA MUY IMPORTANTE. ‘Mientras mayor sea la cantidad de peticiones que se formulen dde manera simultane, mas procesoshils necestaremos para satistacer la demand, y consumiremos ms recursos del servidor, sobre todo memoria. Un servidor web consume muche memoria RAM cuando se encuentra en funcionamientoy a medida que ol tafico aumenta, Este va a sere recurso clave que debemas. aprender a gestionar: la RAM que no se utiliza se desperdicia y proveca que perdamos visitantes o que esos sean atendidos con ‘mayor lntitud. Pero, sino controlamas el consumo de memoria Yel seridor la agota, comenzara a hacer swapping a disco, y evita esto es a regla de or: si legamos a esta instancia, se habra caido el servicio y, posiblemente, deberemas reiniclario, Los principales ajustes que necesitamos realizar se encuentran en el archivo httpd.conf que se halla en la ruta C:\Apache\conf. > Timeout establece la cantidad de tempo medio en segundos que Apache esperar a determinados eventos antes de cetat co abortar una conexién En servidres con pcos recursos, 300 segundos puede ser una cantidad bastante elevada, Reducir ese tiempo sustancialmente ayudard a gestionar mejor la memoria 5 Fitpswanprusba). eo cae It works! ‘Tis isthe defied web page farts server vm prusbat.com ‘The webserver sot i ming bat no cone ae been added et 7) betpmeprucba © SAF hntpsempruedar.com Co It works! ‘Tis he dees web page fr tae server ‘The we server soar rang bit no content has been ade, yet el servdor. Valores de 30 0 40 son éptimos en servidores con pacos recursos. Un valor de 10, incluso, podria mejorar el rendimiento en determinados contextos. > Los tres parémettos, KeepAlive, MaxKeepAliveRequest KeepAliveTimeout, definen la posiblidad de usar coneriones pesistentes yl forma de trataras; el nimera de solicitudes que se permitran sobre cada conexién (MaxkeepAliveRequest), ye tiempo de espera sn solicitudes antes de abortaras Tener hatiltadas este tpo de conexiones reduce la carga del servidory los tiempos de respuesta > Los pardmetos restates, StartServers, MinSpareServers y MaxSpareServers,austanlacantidad de procesos Apache que se cearan al inicio, el minimo y maximo de esos que ‘mantendremos inactivos la espera de que llguen slcudes. Los procesosinactvs consumirn memoria, pro nos permitrén dar una respuesta mas pda a os usuarios > Maxclients e, quits el parémetro mas importante, Define la cantdad maxima de procesos simulténeos que nuesto seridor padié crear para atender solitude. Un nimero més pequefo del {que poderos pemitinos desperciciaré memoria yralertizaré as Solctudes de muchos usuarios (que permanecern a la espera de que uno de estos pracesos se libre para atendero) mientras que tun ndimero demasiado elevado agtaré la memoria del sevidory lo obliga a hacer swapping a disco. > Tenemos un pardmeto més, MaxRequestsPerChilé, que deine le cantidad de solictudes que atenderé cada proceso antes de reciclatse. El valor predeterminado es cer, que indica un nimero imiteda, Definr un valor elevada pero no ilimitado ayudard a que el servidoriberey imple su memoria, Un valor entre 500y 1000 es adecuado para una pequefia PC. weunonen [1] TECNICO EN REDES Y SEGURIDAD | 18 © Administracion de un servidor FIP La administracién de un servidor FTP es una tarea compleja y requiere de previsién y minimizacién de riesgos 1 servidor FTP es un programa de software que se eecuta Sobre una computadore que cumple lol de servidor y generaimente conectado a Internet (exist la posbildad de que esté conectado 2 ots tipos de reds, como redes LAN, MAN, ft) Su funcidn es la de proweer un servicio de intercambio de archivos Las aplicaciones de servidor FIP no sueleninstalarse en computadoras personales, Casi siempre, un usuario de un servicio FIP se cnecta a un servidr FTP que alajael servic a través de tun software cliente FTP instlado en una computador cliente Una aplicacin ampliamenteextendida del servicio FIP es alojamiento de pginas web; se utiliza para actualizar y agregar archivos en sitios de Interety realizar respaldos. En la actualidad, instalr un servidr FTP resulta bastante sencilo daca la gran canta de informacién que se encuentra en Internet al respecte Tutoriales paso 2 paso guia visales con cepturas de pantalla y muchas opciones oatuitas © pagas en lo aque se refer al software. No obstante. a tarea de administra un servidr FTP no resulta tan sencilla, ya que debemos tener una Serie de consieraciones para poder mantener el servicio en linea y sin problemas a lo larga de! tiempo. ‘wow: redusers.com ara asegurar un servicio estable. ‘D Acct] 2 Gem @ Dice [HP Paces] M6 ULOLRat] le » 4 itt | tanta | ‘ara [90 res [OU Ge Usuarios Antes que nada, debemos dfinira quien vamos a digi e servicio; si aun conjunte de usvarias bien definidos al piblico en general, a usuarios ocsionales, et. Esta eleccin va a delimitary a encuadrar la adminstracion futua de usuarios > acceso anénimo (Anonymous) os senviores FP ands ec sus servicios de forma litre y gratuita a todos los usaris {bitlico en gener les permiten accede aos archos aojadas en eos sin anecesdad de poseer ura cuenta de usuario defini £5 una forma prcta de permit qu todos los usuarios asiduos ¥ poteciles tengan aceso con prilegiosdefridos sin que para ello el administrador del senior deb crear una cuenta para cada usuario y asignare los permisos corespondientes {a adminiracin no require de a interven del edinistador Si un senior pose un senicio FTP anonymous, slo debemos ingresar anonymous cuando ese sole el usuario durante el proceso de autemticacin, No se require de ninguna cortasefa preestablecida, aunque tendremas que ingresar una contraseia durante el ogeo, la cual mo ser sometide a proceso de validacion alguno, Por lo general, se susle utilizar la dreccién de correa electrénio propia Solamente con eso se consigue acces alos archivos de! FTP. aunque con menos pivilegios que un usuario normal. Casi siempre, solo tendremas privilegios de lectura y copia sobre los archivos que sean pablicos, as\indicados por el administrador del servidor al que nos conectemos. nla mayoria de los casos, se utliza Un servicio FTP anénimo para almacenar archivos de gran tamaio que no tienen utilidad mientras no sean transferidos a la computadora del usuario, como por ejemplo programas, y de esta forma se reservan ls servidores de paginas wed (HTTP) para almacenarinformacién textual destinada a ser lida en linea, » Acceso de usuario comin: si varios a Interactuar con usuarios que necesitan contar con privilegios de acceso 2 cualquier parte del sistema de archivos del seridor FTP, de macificacion de archivos existentes y la posibilidad de subir archivos propos es comin que se establezcan usuarios de este tipo, En el servidor, se almacena la informacion de as distntas cuentas de usuario que pueden acceder a él can sus privilegios Cortespondientes, de manera que, para iniciar una sesién FTP, debemos introdueir una cuenta de usuario (login) y una contrasefia (password) vlidas ‘que nos identfiquen univocamente. La adminstracion de este tipa de usuarios requiere dela intervencién del administrador. Para simplifcar la gestin de usuarios, cuando el grupo de estos se encuentra bien delimitado al igual que sus permisos, pademas heredarlos de un dominio dependiendo dela aplicacion servidor que utilicemas, > Acceso de invitado (Guest): este tercer tipo de usuario es una combinacién crm OfficeConnect'ansi wireless 119 Firewall Router s9s0ft— Fo de los dos anteriores El objetivo de esta dlasticacion otptcaion es permit que cada usuario se conecte al servidor utizando su cuenta ycontrasei, pero ‘eter deforma general que teagan cso a partes del sistema ydrectorias ue no necesitan para realizar su labor De esta manera estamos creando un éentorno restringido genérico que se puede aplicara un conjunto de cuentas y, as, Listar: para poder lista el contenido de las dlectrios. > Crear: para crear directors dentra del directorio asociad, >» Remover: este permiso se ulza para realizar ls eliminacién de directrios dentro de directorio asociado Estos permisos se asignan por cada directorio que se asocia al usuario. Les permisos que se pueden asignar para el corjunto de archivos contenios en un directario son los siguientes: > Lectura: pare descargar archivos existentes dentro del directorio remota a la computadora local > Escritura: para poder subir archivos nuews dentro del decor > Eliminacién: a igual que en ls drectorios, se usa para pader climinar archivos dentro del directorio especiticad. P) ais ‘wow redusers.com CCabe aclaar que ls privlegios se pueden asignar para grupos de usuarios, por lo que la actividad del administrador se simplifica, Cuota de disco Mediante el establecimiento de cuotas de dsc, podem lmitar €l espacio de disco disponible para utilizar por as usuario, de manera de prevenir un posible colapso del sistema en caso de que estos agoten el total de espacio en disco que posee el senvidor De esta manera, cuando un usuario agota su cuota de «isco, debe o bien elminar archivos existents para ganar espacio Ire bien solitare a administrador que ampli su cua, ADMINISTRAR UN SERVIDOR FTP NO RESULTA TAN SENCILLO, YA QUE DEBEMOS CONSIDERAR MUCHAS OPCIONES. Ratios UL/DL Este pardmetro se utiliza para defini el ancho de banda dela conexién para la subida de archivos y para la descarga de archivos de forma separada, por cada usuario, De esta manera ppodemos limitarel consumo de ancho de banda a un maximo en horaros pico para asequrar que el servidar no se clapse como ocurtra s el encho de banda fuera ilimitado para cada Usuario. También nos permite asegurar tuna cierta calidad de conexién para cada usuario. Debemos mencionar que, como desventaja, puede suceder que un Usuario posea ancho de banda ocloso, es decir, que no lo estéutilizando en su totaldad, y otro usuario neceste mas ancho de banda del que haya sido asignado como maximo. Modos de Conexion Debemos especificar con qué modo de conexién va a trabajar nuestro sevidr. FTP soporta dos modos de conerin: modo activo y modo pasiv, > Modo activo: en el modo activo, e servidor siempre crea la conesién en su propio puerto TCP 20, mientras que del Fado del cliente a conexidn se asocia 2 un puerto aleatorio mayoral puerto TCP 1024. Para ello, el cient le envia ‘un mensaje al servdor indicandole et rnimero de puerto, de forma tal que el serdar pueda abrir una conexién de datos por donde se transferrin los archivos y ls listados, en el puerto especificado. La principal desventaja que presenta este modo es que e! cliente debe estar dispuesto a aceptar cualquier conesiénentrante a un puerto TCP superior al puerta TCP 1024 con los resgos que esto trae apareado si consideramos que estamos conectados una red insequra, coma foes Internet ‘Ademas, por lo general, os firewalls rechazan las conexiones aleatoris. La solucin es el mado pasivo, > Modo pasivo: cvando un cliente envia una solctud de canexién e! servidar FTP le indica un puerta TCP especifico (mayoral puerto TCP 1023 del servidon) al que debe conectarse. En este mada de conexin, el cliente incia una conexién hacia el puertoTCP que ha sido indicado por el servidor en forma espectica, Para fnalizar es necesaio mencionar _ primera opcin se encuentra integrada en algunas solucones concretas para montar los sistemas operatvos de Microsoft la Lun servidor FTP, en primer luge el servicio segunda altematve se puede descargar que forma parte de la suite Internet cen forma sencilla y gratuita, acediendo al Information Services (is) y también sitio web que se encuentra en la drecciin FileZilla Server. Como sabemos, |3_—ttpu/filezlla-project.org. m ‘www sedusers.com TECNICO EN REDES Y SEGURIDAD | 18 © Seguridad en servidores web Analizamos la seguridad de los gestores web IIS y Tomeat, los mas utilizados en el mercado; también, recomendamos las configuraciones por considera, $$£__<$_<_<__ I evaluar la seguridad de un servidor web, debemos tener en cuenta todos las componentes que farman parte del servicio, @ Default Web Site Home : © Show All |Group by: Area :- & | # Es necesai considera seguridad 3 Bp a w fia del serio a segue gia | Athena. Comes. Detaut Dieaoyy EnorPages Handler HTTP Comme! (Bealey Mprings Respon en el sistema operativo, los componentes, de infaestructura que permiten el acceso a ie a - e a 2 este, como por ejemplo: firewal = Logging MIME Types Modules Output Request _ SSL Settings router y switch. Una vez analizados sea 7 é 2 7 Ceehing Fieri ‘estos, debemos estimar la seguridad de a 2 ia aplicacin y el gestor web Management En evanto ala aplicacion, hace fata fal , cues & seguridad. Para este fn, pueden utlizarse ias quias y aplicaciones del pr ‘OWASP para crientar el desarrollo seguro, El gestor web consisteen la apicacin que sirve el contenido a ls usuarios; los mas ‘comune son Apache, IS y WebSphere Host Publisher. Debernos deni las configuraciones que permitan una menor URS) Cet ee eee a ee Cd Ge a ee ee eae ee en ace ed las posibilidades de ser victima de diversos ataques como: denegacién de servicio, etc Ena instalacign por defecto, se generan reglas que pueden ser modificadas en el archivo ecient) Pee eee eee Re ic urlScan para que filtre los strings utilizados en SQL Inyection. wow.redusers.com — superficie de contacto, lo que puede ser logrado deshabilitande los servicios no requeridosy restringiendo las permisos de los servicio que s son requeridos. Internet Information Services (IIS) CComenzando cn (el gestor web integrado en Windows) es recomendable eshabilitar los servicios dl sistema coperativo no requeridas, por ejemplo, deberian deshabiltarse: Alerter, Computer Browser, DHCP Client, ec El producto Intemet Information Server puede insalarse en el directorio por efecto, per la informacién para ser publcada (por ejemplo las paginas HTML) eben ubicarse en una partion NTFS que sea dstintaa la del sistema operat Dentro del IS, debemos deshablitar todos los componentes que no sean uiizados, como por ejemplo: FTP Server, SHIP Sexver, Internet Printing, et nla coniguracén dela aplcacén, debemos deshabilitar la opcién arontPaths ya que podhia peri acceso no autvizado al directorio inmediat super Se debe vericar que no se visualceladrecion IP ene campo Content-Location dela informacion dwelt via HTTP (puerto 80) del serio Para ell debemos: > Realzar telnet al puerto BO del servidor > Ejecutar el comand GET/HTTP/1.0. > Verificar que no se visualice la direccion IP en el campo Content-Location eshabiltar'o, usamos este comando: cscriptexe c:\inetpub\adminscripts\ adsutilvbs set wisve/UseHostName ‘rue yreniciamos e seni w3sve Sobre ls directors vituales que contenga la web App, debemos deshabiltar los siguientes permisos: Script sourceaccess, Write y Directorybrowsing. Tomeat En cuanto a Apache Tomeat, ee momento de istalaio se debe utizar la dtima version estable csponible En seridores poductves, na se deben instalar los componentes native, documentation, examples, webapps, ef Se debe rea un usuario y grupo 10 prvlegiado que iniciaré servicio (oor ejemplo: tometusey tometgr). Modificar el ownership de USUARIO_ HOME al usuario y grupo definido. Modifica os archivos en USUARIO. HOME/cont a readonly. Verficar que tometusr tenga pemisos rw en /tmp y Solo wx (300) en USUARIO_HOME/logs. Asignar los permsos minimos necesatos (cx sobre la aplicaciin por utilizar. Se debe analizar sia aplicaion requiera permisos de escritua sobre el sistema de archivos, lo cual no es aconsejable Por ota parte, se recomienda intercambiar los archivos de configuraién de Tomcat, pata siplificary reduc los componentes innecesariamente habiltados por defect, Para est, renombrar (mi: UUSUARIO_HOME/conf/serverxml a USUARIO_HOME,/conf/server-original, sly USUARIO_HOME/cont/ serverminimal xml 2 USUARIO_HOME/ cont/server.ml. Se debe evitr el uso los puertosinferioces 3 1026 ya que, en Unis, estos requieren ejeutarse con piiilegios de root. Por defeco, Tomcat se instal configurado para escuchar en ef puerto 8080. La modificacién del puerto de escucha se hace desde el archivo de configuracén USUARIO_HOME/ conf/serverxml. Luego de moditicar puerto de escucha, es necesario reiniciar el servicio. El puerto 8005 nos permite detener el servicio Tomcat y sus aplicaciones. script para detener el servicio provisto por Tomcat realza una conexién a este puerto, enviando un string que india el shutdown, Es recomendable maaficar est string en ol archivo USUARIO_HOME, conf/server al para evitar apagados no autorizados. ‘Asimismo, es necesrio que todos las puertos (salvo ls usados pore servi, £8080, 8443) estén fitrados por un firewall, Tomcat posee conectoresdefinidos en archivo server.xml, Algunos estan habiltados y otros deshabiltados. Se recomienda deshabilta todos los conectores no tilzados por la plicacion Se require por fo menos un conector que esté escuchando algin tipo de tric, de lo contario, Tomcat no podré servit ninguna petcin, Sino deshabiltamos los conactores no usados, estamos permitiendo que Tomcat recba petciones en ese puerto Es recomendable que se use cf conector HTTPS para toda la informacion sensible generada Para ocular la versién del serio, se debe roempaquetar LUSUARIO_HOME/server/lib/usuario,jar comune version actualzada del archivo ServerInfo.properties; desempaquetar usuario jar y modticar la default error page para evitar que muesire el stacktrace, Voher @ empaquetar, worw-redusers.com TECNICO EN REDES Y SEGURIDAD | 18 © Seguridad en servidores FIP Examinaremos en profundidad el antiguo protocolo de intercambio de archivos, también revisaremos sus caracteristicas de seguridad. I planear os elementos de seguridad que intzaran tun seridor FTP, deberos tener en cuents todos Js componentes que hacen ala seguridad del servicio. Debemos considera elentoma fisico de! servidor, a seguridad en el sistema operat y los ‘components de infestructure que petmiten el acceso, como por ejemplo: firewalls, routers y switches, Una vez asegurats estos ‘componentes, debermosverficar la crfiguraién del servicio FTP Los servdares FTP implementan el RFC 114 de IETE cuyo ‘origen data del afo 1971 can sucesivas madificaciones hasta la actualidad. Originalmente el pratocola FTP no consideraba mayors cuestiones de securided, pero, en sus actuaizaciones, se agrego soporte para TLS/SSL (FTPSI, autenticacion fuerte, integrdad y confidencialidad, entre ott. Seguridad del sistema En cuanto ala seguridad del sistema operative en general, ebemas defini las configuraciones que permitan una menor superficie de contact, lo que puede se lagrado deshabiitando los servicios no requeridosy restringiendo los permisos de los servicios que ison requeridos. Uno de los servidores FTP mas www.redusers.com as ipste Seorty Aarts |msaos| noneeecary| reey Sear For eena ermcers ete eowen nde er cot aammou ses cominmente utlizados en Microsoft Windows es el Internet Information Server (Ns), que se encuentiitegtado @ este. Solo deberia habiliterse el servicio de FIP cuando fuera necesario y no putira ser reemplazado con algin oto servicio sequo como SSH, SFTP 0 similar. recomendable hablar la enctptacdn SSLTLS siempre que sea posible, lo que generard que el servicio se comporte como FTPS, garantizando la confdencildad e integridad de a informacion transfria, Carpetas y permisos La carpeta que se publique en el FTP deberé ser cstinta de las que pertenecen a sistema operatvo y, en lo posible, ciferentes de cualquier sitio web publcado. Nunca se deberla compartir un disco entero del sistema operativo; es recomendable utilizar una unidad completamente separadia del SO. Los permisos para lectura/publicacin de archivos deben otorgarse alos usuarios mediante utiizacién de grupos, de esa manera se facilita la administacion y es posible definir roles (RBAC). Para el caso del acceso de ecura 2 recursos FIP plies, no es necesaio autentcar als usuarios, por la que es recomendable que el acceso sea con el usuaria angnimo 1USR_Servername que posee ciertasrestricciones, Cabe menconar que, indepengientemente de los permisos que se asignen en el servicio FTP, se deben configurar las ACL recesarias en el sistema de archivos (NTFS) para cada uno de los ‘grupos/usuaros Para el acceso a recursos FTP plies, no es ‘bligatoria resting el acceso a nivel de direcciones IP, Pero si puede realizarse en intranets para restringi los segmentas de red no autorizados 0 en caso de detectase ataques de fuerza bru Restricciones Es posible configura les restricciones por equipos (Single computer) 0 grupos de equpos (Group of computers, Se debe implementar una politica de auitria a fin de registrar los logins 3505 yfllidos. Es recomendable definir un tamavio méximo de log para no comprometer el espacio en disco, Sie sewidor cuenta con sstintasplacas de red, es aconsjable defini una por la cual se aceptaran las conexiones FTP. Muchos servidores permitan blaqueat las transferencias FR, potenciaimente peligrasas, peo hacerlo puede implcar que fos usuarios que utiicen un proxy no puedan descargar contenido, £ mecanismo de control que impide las transferencias FAP Consiste en controlar que la IP que inci la transferen sea la misma que descarga el contenido, Algunos servidores FTP, como por ejemplo FileZilla y Gene6, soportan MODE Z, que permite comprimir el tiico onthefly para ahosrar ancho de banda. Esta funcionalidad podialimitar la capacidad de un proxy (0 PS de detectar malware. Solo una ver descomprimido en el servidarclente, podra escanearse en busca de virus Ya sea que esta funcionalidad esté o na habilitada, es recomendable instaar un antivirus completo y mantenerlo actualizado en el sevidor FIP para evitar la distribu contenido maliciaso, aun cuando el servidar no sea Windows. ea cual fuere el seridor FIP que inst rio revisar las configuraciones inicales. Por ejemplo, IS por def vimo al servdor. Si mantenemos acceso anénimo al sevidor, es recomendable crear un directorio para solo escritura y un directorio para solo lectura, De esa forma, garantizamos que los archivos presentes en la catpeta de solo lectura no sean alterados con fines maléticos. Una solucién intermedia para poder enviar informacion confidencial por la red usando un FTP convencional es encriptar ee ete ripen ar la informacion antes de transferila. Para esto, pueden o herramientas, Otra opcin es forear el trfico FIP a través de una VPN, la cual se encarg fe atorgar altos niveles de confidencialdad e integra. utiizarse diversa tc Otras opciones Si decidimos remove el acceso andnim e implementar autentcacién va cuentas NI debemos considera que el servicio FIP enva la infnmacién en eto ple, inchs las contasefia, por lo que, si alguien hace un sniff, pod ganar acceso con aclidad. Porutimo, es necesario ue mantengamos el sstema operatvo yl servdor FTP actualizados sob todo ive a esta expuesto en Internet. lgunas de los exploits cominmente utiizedos contra sonvidres FIP son: Bounce Attack, buffer overflow, DoS Attack y envio de comandos vais 0 cadenas laras. sos exploits permiten que un atacente local oremoto ejecute cio abitraria, cane acceso prilegiad yacceda arutas dal sistema no publicadas en el FIP, entre otros problemas. m et ee ee ee eer ares errr) Pua Bee aot thee to de wow.redusers.com TECNICO EN REDES Y SEGURIDAD | 18 @HTIP y HTTPS HTTP y HTTPS son protocolos de red para transferencia de hipertexto. La diferencia radica en que el segundo cifra los datos antes de transferir. |protocola HTTP (Hipetoxt TransterProtoca) 0 protocolo de transferenca de hipertexto 5 un protocolo de red que specifica la sintaysy la semantic de lenguaje que deben ulizar ios componentes de software de una arquitectura web (clientes, servidores, et) durante una comunicacin entre els. Cada transaccin dentro dela World Wide Web uiliza este protocolo, Es un protocalaorientado a transaccones ¥ sigue el esquema solcitud-espuesta entre un lente y un servidor. El cliente (navegador web por ejemplo) que realiza una solicitud se denomina agente del usuario. La informacién que intercambian un cliente yun senior se denomina reauso y se identifica mediante un focalizador uniforme de recursos (URL 0 Uniform Resource Locaton, Los recursos pueden ser archivos, el resultado de la ejecuciin de un proceso 6 la respuesta de une consulta realized a una base de datos, entre ottos. HTTPS SE REFIERE AL USO DEL PROTOCOLO HTTP COMUN SOBRE UNA CONEXION CIFRADA. Caracteristicas Es un protocoo sin estado, es deci, ‘no almacena ningin tipo de informacion soe las conexanes anteriores. Las aplcacianes web, con frecuencia, necesitan mantener un estado; pata ello se hace uso de las cookies. Estas se pueden utilizar para el rast de usuarios y se quardan en los clientes po tempo indeterminado Este protaclo es nsequo, ya que carece www.redusers.com Festa 8017019 ona cemsmocoeuercnee OO ESM a nn) moun [I e =manem J] =u NCA rose o8 8 on det Tota {4 Coordanadas en's mena paras cde un mecanismo de cifado para los datos comienzan con http: utiizan por ‘que viajan por una conexiin entre un defecto el puerto 80, Las URLs del Cente y un servdor Si un atacante tiene _protocolo HTTPS comienzan con https:// ‘acceso a a conexién, puede apropiarse _y ulizan el puerto 443 por defecto, dea informacén ques intercambia y . hhacer uso de ella, ya que es perfectamente Comparacion legible. Es vulnerable a ataques como HTTP opera en la capa de aplicacién man-in-the-middle o eavesdropping. el modelo, pero el protocol de Seguridad opera en una subcapa mas HTTPS baja, cifrando un mensaje HTTP previo Fara sul esta falencla sue HTTPS ala transmis ydescirando un (Hypertet Transfer Protocol Secure} mensaje una vez recbido. Si realzaros protocole de ransferencia de hiperexto un andlisis en profundidad, HTTPS sequio. Esta variant del protocolo no es un protocol separado, peo se utiliza citado basado en $SLITIS. De _efiere al uso del protocolo HTTP esta manera siun aacanteacede a comin sobre una conexién cada una comunicacionyse propia de datos SSL. (Secure Sockets Layer o capa de intercambiados, no va a poder hacer uso socket segura o una conexin con TAS de ellos ya que novan a serlegibles, _(Tiansport Layer Security o seguridad Fara el protaclo HTTF, las URLs dela capa de transporte. a PROXIMA ENTREGA 19 SERVIDORES DE MAIL En el préximo numero veremos las caracteristicas de los servidores de correo tanto en sistemas Windows como en GNU/Linux. Analizaremos también las opciones de seguridad y las mejores aplicaciones, Técnico en &SEGURIDAD D> PROFESORES EN LINEA profesor@redusers.com D> SERVICIOS PARA LECTORES usershop@redusers.com SOBRE LA COLECCION (CURSO VISUAL Y PRACTICO QUE APORTA LOS SABERES NECESARIOS PARA FORNAR TECNICOS EXPERTOS EN REDES Y SEGURIDAD, INCLUYE ‘UNA GRAN CANTIDAD DE RECURSOS DIDACTICOS ‘COMO INFOGRAFIAS, GUIAS VISUALES YY PROCEDIMIENTOS REALIZADOS PASO A PASO. Con la mejor metodologia para llevar adelante el montaje y mantenimiento de las redes informaticas y con los aspectos clave para brindarles la proteccién neeesaria, esta obra es ideal para aquellos aficionados que deseen profundizar sus conocimientos y para quienes quieran profesionalizar su actividad. Ye i we ill CONTENIDO DE LA OBRA 1 Introduccidn a tas redes intormaticas 2 Tipos de redes y topologias 3 pispasitivos de red 4 instatacidn de redes cabloadas 5 Puesta en marcha de una red cableada G Contiguracién de redes cableadas 7 Instalacin de redes inalémbricas & Configuracién de redes inalimbricas seguridad en redes cableadas e inalémbricas 10 configuracién avanzada de routers 11 Recursos compartides y dispositivos multimedia 12 seguridad fisia de ta red 13 impresoras de red 14 Hardware de servidores 15 Administracién de Windows Server 1G sdministracién de sistemas Linux 17 Acministracién y asistencia remota 18 senvinones wes y FTP 19 servidores de mai 20 Servidores de archivos e impresién 211 Servidores aticionales 22 vuan, vet y trabajo remato 23 Teletonia te 24 cimaras iP “SeHMNINHAHHHNHNPBHOHNLHNHLHUEHHHEHEHHNH NA HAAN HNL HT