Está en la página 1de 6

Cuando un sistema es usado como un servidor en una red pública, se convierte en

un objetivo para ataques. Por esta razón, es de suma importancia para el


administrador fortalecer el sistema y bloquear servicios.
Antes de extendernos en problemas particulares, debería revisar los siguientes
consejos generales para mejorar la seguridad del servidor:

 Mantenga todos los servicios actualizados para protegerse de las últimas


amenazas.
 Utilice protocolos seguros siempre que sea posible.
 Proporcione sólo un tipo de servicio de red por máquina siempre que sea
posible.
 Supervise todos los servidores cuidadosamente por actividad sospechosa.

Control de recursos del servidor


Otra característica importante de xinetd, es su habilidad para controlar la cantidad
de recursos bajo su control que puede utilizar.
Esto se hace a través de las siguientes directivas:

 cps = <number_of_connections> <wait_period> — Indica el número de


conexiones permitidas al servicio por segundo. Esta directiva acepta
solamente valores enteros.
 instances = <number_of_connections> — Indica el número total de
conexiones permitidas al servicio. Esta directiva acepta bien sea un valor
entero o UNLIMITED.
 per_source = <number_of_connections> — Indica las conexiones
permitidas a un servicio por cada máquina. Esta directiva acepta un valor
entero o UNLIMITED.
 rlimit_as = <number [K|M]> — Indica la cantidad de espacio de direcciones
de memoria que el servicio puede ocupar, en kilobytes o megabytes. Esta
directiva acepta valores enteros o UNLIMITED.
Servidores

Un servidor es una computadora que, formando parte de una red, provee servicios
a otras computadoras denominadas clientes. Existe una gran variedad de
servidores que desarrollan variadas funciones.

Tipos de servidores

 Servidor de archivo: centra su función al almacenamiento de varios tipos de


archivos y los distribuye a otros clientes en la red.
 Servidor de impresiones: controla una o más impresoras y acepta trabajos de
impresión de otros clientes de la red, poniendo en cola los trabajos de impresión
(aunque también puede cambiar la prioridad de las diferentes impresiones); y
realizando la mayoría o todas las otras funciones que en un sitio de trabajo se
realizaría para lograr una tarea de impresión, si la impresora fuera conectada
directamente con el puerto de impresora del sitio de trabajo.
 Servidor de correo: almacena, envía, recibe, enruta y realiza otras operaciones
relacionadas con la mensajería electrónica para los clientes de la red.
 Servidor de fax: almacena, envía, recibe, enruta y realiza otras funciones
necesarias para la transmisión, la recepción y la distribución apropiadas de los
fax.
 Servidor de la telefonía: desarrolla trabajos relacionadas con la telefonía, la de
contestador automático, realizando las funciones de un sistema interactivo para
la respuesta de la voz, almacenando los mensajes de voz, encaminando las
llamadas y controlando también la red o el Internet.
 Servidor proxy: realiza un cierto tipo de funciones a nombre de otros clientes en
la red para aumentar el funcionamiento de ciertas operaciones. También
proporciona servicios de seguridad, incluye unos cortafuegos. Permite
administrar el acceso a internet en una red de computadoras, permitiendo o
negando el acceso a diferentes sitios web.
 Servidor del acceso remoto (RAS): controla las líneas de módem de los
monitores u otros canales de comunicación de la red, para que las peticiones
conecten con la red de una posición remota. Responde llamadas telefónicas
entrantes o reconoce la petición de la red, y realiza la autentificación necesaria
y otros procedimientos necesarios para registrar a un usuario en la red.
 Servidor de uso: realiza la parte lógica de la informática o del negocio de un uso
del cliente, aceptando las instrucciones para que se realicen las operaciones de
un sitio de trabajo y sirviendo los resultados a su vez al sitio de trabajo; mientras
que el sitio de trabajo realiza la interfaz operadora o la porción del GUI del
proceso, es decir, la lógica de la presentación que se requiere para trabajar
correctamente.
 Servidor web: almacena documentos HTML, imágenes, archivos de texto,
escrituras, y demás material web compuesto por datos y distribuye este
contenido a clientes que la piden en la red.
 Servidor de Base de Datos (data base server): provee servicios de base de
datos a otros programas u otras computadoras, como es definido por el modelo
cliente-servidor. También puede hacer referencia a aquellas computadoras
(servidores) dedicadas a ejecutar esos programas, prestando el servicio.
 Servidor de reserva: tiene el software de reserva de la red instalado y tiene
cantidades grandes de almacenamiento de la red en discos duros u otras formas
del almacenamiento (cinta, etc.), disponibles para que se utilice con el fin de
asegurarse de que la pérdida de un servidor principal no afecte a la red. Esta
técnica también es denominada clustering.
 Servidor de impresión: muchas impresoras son capaces de actuar como parte
de una red de ordenadores sin ningún otro dispositivo, tal como un "print server"
(servidor de impresión), a actuar como intermediario entre la impresora y el
dispositivo que está solicitando que se termine un trabajo de impresión.

Sin embargo, de acuerdo al rol que asumen dentro de una red se dividen en:

 Servidor dedicado: son aquellos que le dedican toda su potencia a administrar


los recursos de la red, es decir, a atender las solicitudes de procesamiento de
los clientes.
 Servidor no dedicado: son aquellos que no dedican toda su potencia a los
clientes, sino también pueden jugar el rol de estaciones de trabajo, al procesar
solicitudes de un usuario local.

Para los que desarrollan aplicaciones web de una Intranet, es de gran utilidad
conocer los mecanismos de seguridad utilizados en cada uno de los productos, y
cómo trabajan éstos. Así como aquellos problemas relacionados con la seguridad
de Windows NT, IIS y Microsoft SQL Server y cómo integrarlos adecuadamente

Seguridad en Windows NT

Windows es un sistema operativo donde ejecutarán IIS y Microsoft SQL Server, por
lo que es necesario entender cómo protege los recursos NT. Cualquier acción
requiere de una comprobación de seguridad, para saber quién desea acceder a los
recursos y cuáles derechos tiene sobre éstos.
El usuario debe iniciar una sesión e introducir nombre de usuario y contraseña, para
identificarse ante el sistema; el cual usa esa credencial para determinar, al buscar
en la base de datos de usuarios del dominio, si la persona que inició la sesión es
válida y entonces se le creará un token o llave de acceso, la que es encriptada, al
usar un valor aleatorio creado a estos fines. Dicha llave contiene un identificador y
los privilegios codificados de éste. En la base de datos de usuarios no se almacena
la contraseña en sí, sino que a partir de ella se genera un hash de 128 bits, usando
el algoritmo MD4, estándar de Internet.
Tener esta llave no significa que el usuario pueda abrir cualquier cerradura que se
encuentre en el sistema, sino sólo aquellas a las que tenga autorización. Para que
pueda tener acción sobre los recursos pedidos, el sistema necesitará chequear los
derechos de acceso (lectura, escritura, etc.), que él tiene sobre los mismos.
Una vez que el usuario ha sido identificado, el sistema necesita determinar los
privilegios otorgados al mismo y los que puede ejercer sobre los recursos.
El sistema de archivos de nueva tecnología por sus siglas en inglés NTFS, le
proporciona a los ficheros y directorios una lista de control de acceso, que no es
más que una relación que se utiliza para mantener los derechos que sobre el
recurso tienen los usuarios; así cuando se intenta acceder a un fichero, el
subsistema de seguridad de Windows NT chequea el control de acceso para
determinar si el usuario se halla en él.

Seguridad en IIS

IIS posee sus propios mecanismos de seguridad para la autentificación del usuario
que solicita las páginas web. El control de privilegios y derechos sobre los ficheros
pedidos es realizado por NTFS.
En la instalación de IIS se crea un usuario para el acceso anónimo,
llamado IUSR_MACHINENAME, donde MACHINENAME es el nombre de la
máquina donde reside IIS. IUSR se creó como miembro del grupo Guest (tiene
acceso limitado a los recursos), con el privilegio de poder iniciar una sesión en la
máquina y se le asigna una contraseña generada aleatoriamente. Si se desea
cambiar el nombre o contraseña, las modificaciones deben efectuarse usando el
utilitario administrador de servicios de Internet y el administrador de usuarios de
dominio. Si la máquina donde reside IIS es el controlador de dominio primario, IUSR
será una cuenta de dominio y visible en todas las máquinas del dominio. Si reside
en un servidor miembro del dominio, la cuenta será local y visible sólo en esa
máquina.

Seguridad en Microsoft SQL Server

Microsoft SQL Server es un gestor de base de datos que tiene su propia seguridad,
la cual es independiente o no de Windows NT, según el método que utilice. Los
métodos que este servidor brinda son seguridad estándar, integrada y mixta.

Estándar
Existe totalmente independiente de la seguridad de Windows NT, es decir, Microsoft
SQL Server tiene su propia base de datos de usuarios y chequeará si alguno que
desea conectarse, tiene asignado un ID (identificación) válido. Con este método, el
usuario tiene un ID diferente al de Windows NT. Este método es el predeterminado
de Microsoft SQL Server.

Integrada

Depende de la seguridad de Windows NT. La conexión de Microsoft SQL Server se


realiza de igual forma a la sesión iniciada por el usuario en el dominio NT, por lo que
poseen un ID única. La ID del usuario de Windows NT debe ser registrada en
Microsoft SQL Server. Este método necesita utilizar protocolos que permitan
conexiones confiables.

Mixta

Es una combinación de los métodos de seguridad estándar e integrada.

Integración de IIS y Microsoft SQL Server

Integrar IIS y Microsoft SQL Server a veces resulta necesario integrarlos para la
publicación de información contenida en bases de datos. Es indispensable tener en
cuenta la distribución física de ambos productos, para seleccionar adecuadamente
los métodos de seguridad de cada uno de ellos.
Cuando un usuario pide una página web que accede a una base de datos que
reside en Microsoft SQL Server, tendrá lugar un doble proceso de autentificación: el
que realiza IIS para servir la página (cliente/IIS/PDC) y el de Microsoft SQL Server
para establecer la conexión (IIS/SQL).
Los que van a desarrollar las aplicaciones web para Intranet o Internet, es
importante que conozcan cuáles son los mecanismos de seguridad que están
seleccionados en cada uno de los servidores (Web y de datos), así como fijarse
como trabajan éstos y saber qué información necesitan para la autentificación.
Estos dispositivos son capaces de realizar funciones que van desde firewall de
aplicación web (Web Application Firewall -WAF-), aceleración de las propias
aplicaciones, balanceo de carga entre los servidores e IPS. Son muchas las
posibilidades que ofrecen este tipo de herramientas, que cada vez más se están
imponiendo en la compañía con el fin de proteger la parte más importante de la
empresa de cara al exterior.

Entre los beneficios que nos ofrecen este tipo de dispositivos, podemos destacar:

1. Protección de firewall e IPS sobre aplicaciones web.

2. Firewall de aplicaciones XML, implementando las capacidades IPS, sobre el


código XML.

3. Balanceo de carga entre los servidores web, con el fin de conseguir una
descongestión de los mismos.

4. Bloqueo de amenazas sobre las aplicaciones que corren en el servidor web


como cross site, inyección SQL o ataques de buffer overflow.

5. Soporte para comunicaciones SSL y procesamiento de cifrado XML.

6. Cumplimiento de normativas de seguridad.

7. Reducción de la complejidad en la administración.