STIC3-COLTEL-IFC-IN-ID000-CONFIGURACION HARDENING CAPA MEDIA - v2

STIC3-COLTEL-IFC-IN-ID000
- CONFIGURACIÓN HARDENING
CAPA MEDIA
Código:
STIC3-COLTEL-DGP-FR-ID000
Nombre: PLANTILLA DE
CONFIGURACIÓN HARDENING ELABORACIÓN DOCUMENTOS
SISTEMAS OPERATIVOS UNIX/SOLARIS Fecha:29-11-2019
Versión: 1
REGISTRO DE CAMBIOS
VERSIÓN FECHA DE CAMBIO MOTIVO DEL CAMBIO
1
CONTROL DEL DOCUMENTO

VERSIÓN ELABORADO REVISADO APROBADO
0
1
Código:
Versión: 1
TABLA DE CONTENIDO
Pág.
1. NTRODUCCIÓN..............................................................................................................................
2. OBJETIVO.......................................................................................................................................
3. ALCANCE........................................................................................................................................
4. DEFINICIONES................................................................................................................................
5. Aseguramiento Weblogic.................................................................................................................
5.1. Configurar las páginas de error...............................................................................................
5.2. Parchado periodico según Boletin de Seguridad weblogic......................................................
5.3. Utilice un sistema de archivos que pueda prevenir accesos no autorizado.............................
5.4. No ejecute servidores web como root......................................................................................
5.5. Aplicar al Sistema operative conjuntos de parches de seguridad............................................
5.6. Habilite la auditoría de seguridad............................................................................................
5.7. Establezca el número de sockest permitidos en un servidor para prevenir ataques DoS.......
5.8. Contraseñas encriptadas en el boot.properties.......................................................................
6. Aseguramiento IIS............................................................................................................................
6.1. ASP.NET - Concurrency Configuration....................................................................................
6.2. Application Pool - Regular Time Interval Recycling.................................................................
6.3. Web Server Content Security..................................................................................................
6.4. SSL - SSL 2.0 Server Enabled................................................................................................
6.5. SSL - SSL 3.0 Client Enabled SSL y SSL 3.0 Server Enabled................................................
6.6. SSL - TLS 1.1 Server Disabled..............................................................................................10
6.7. SSL - TLS 1.2 Server Disabled..............................................................................................10
6.8. Event Log - IIS Configuration Auditing...................................................................................11
6.9. Practicas de seguridad recomendadas por Microsoft............................................................11
6.10. IIS Crypto SSL TLS.............................................................................................................. 13
6.11. Tunning APP Pool................................................................................................................. 14
7. Aseguramiento Apache.................................................................................................................. 15
7.1. Eliminar documentos por default que vienen con la instalación del apache..........................15
7.2. Deshabilitar ver la solicitud TRACE a un servidor apache.....................................................15
7.3. Proteger de ataques XSS...................................................................................................... 15
7.4. Ocultar la versión de la capa media.......................................................................................15
7.5. Ocultar directorios de la aplicación mediante la web.............................................................15
7.6. Evitar ataques de confidencialidad se agrega esta línea en el httpd.conf.............................15
7.7. Evitar vulnerar la integridad del apache.................................................................................16
2
Código:
Versión: 1
7.8. Eliminar el banner de la versión del servidor.........................................................................16

7.9. Ejecute Apache desde una cuenta sin privilegios..................................................................16
7.10. Proteger el permiso del directorio binario y de configuración................................................17
7.11. Protección de la configuración del sistema............................................................................17
7.12. Métodos de solicitud HTTP.................................................................................................... 18
7.13. Establecer cookie con HttpOnly y bandera segura................................................................18
7.14. Ataque de clickjacking........................................................................................................... 19
7.15. Configuración del valor de tiempo de espera........................................................................19
7.16. SSL........................................................................................................................................ 19
7.17. Clave SSL.............................................................................................................................. 20
7.18. Deshabilitar SSL v2 y v3........................................................................................................ 20
7.19. Descarga e instalación.......................................................................................................... 21
7.20. Habilitar motor de reglas........................................................................................................ 22
8. Aseguramiento Tomcat - Jboss...................................................................................................... 22
8.1. Configuración del server.xml.................................................................................................22
1.1.1. Dejar este tag en el server.xml......................................................................................23
1.1.2. Configuración de sesión-config en el server.xml...........................................................23
8.2. Depuracion de archivos por defecto......................................................................................23
8.3. Configuración de archivos..................................................................................................... 23
9. Anexos........................................................................................................................................... 23
3
Código:
Versión: 1
1. NTRODUCCIÓN
El siguiente documento es creado como guía para la implementación de los documentos de

configuración y hardening requeridos para todos los sistemas de capa media que se
encuentren dentro de la infraestructura de la entidad y para las nuevas implementaciones.
2. OBJETIVO
Mitigar vulnerabilidades de toda las capa media que se encuentren dentro de la

infraestructura de la Entidad y para las nuevas implementaciones. En consecuencia, aplacar
los riesgos de ataques sobre los activos de información.
3. ALCANCE
Esta plantilla contiene un índice sugerido para dar cumplimiento a los requerimientos de
información mínimos que deben contener los documentos de configuración que se requieren
para todos los componentes de sistema que se encuentren dentro de la infraestructura de la
Entidad y para las nuevas implementaciones.
4. DEFINICIONES
 Componente de Sistema: Todo componente de red, servidor, dispositivo informático

o aplicación (desarrollos stand-alone, web, consola o cualquier otro hecho a la
medida, sistemas operativos, sistemas gestores de bases de datos, servidores web y
de aplicaciones, componentes de virtualización o cualquier otro producto de
software).
 Hardening: (palabra en inglés que significa endurecimiento) en seguridad informática
es el proceso de asegurar un sistema mediante la reducción de vulnerabilidades en el
4
Código:
Versión: 1
mismo, esto se logra eliminando software, servicios, usuarios, etc; innecesarios en el

sistema; así como cerrando puertos que tampoco estén en uso.
 Tomcat: Es un contenedor de servlets desarrollado bajo el proyecto Jakarta en la
Apache Software Foundation. Tomcat implementa las especificaciones de los servlets
y de JavaServer Pages de Oracle Corporation.
 IIS: Internet Information Services o IIS es un servidor web y un conjunto de servicios
para el sistema operativo Microsoft Windows. Originalmente era parte del Option
Pack para Windows NT
 Apache: es un servidor web HTTP de código abierto para plataformas Unix-like
(BSD, GNU/Linux, etc.), Windows, Macintosh y otras, que implementa el protocolo
HTTP/1.1 y la noción de sitio virtual.
 Jboss-wildfly: Es un servidor de aplicaciones Java EE de código abierto
implementado en Java puro, más concretamente la especificación Java EE.
 WebLogic: Oracle WebLogic es un servidor de aplicaciones Java EE y también un
servidor web HTTP, desarrollado por BEA Systems, posteriormente adquirida por
Oracle Corporation. Se ejecuta en Unix, Linux, Microsoft Windows, y otras
plataformas.
5. Aseguramiento Weblogic
5.1. Configurar las páginas de error
<error-page>
<location>/general-error.html</location>
</error-page>
5.2. Parchado periodico según Boletin de Seguridad weblogic

Validar cada 3 meses la nota oracle, Patch Set Update (PSU) Release Listing for Oracle
WebLogic Server (WLS) (Doc ID 1470197.1) con el fin de validar los ultimos parches que se
tengan para toda la infraestuctura weblogic
5
Código:
Versión: 1
Nota: no olvide tener actualizado el opatch o bsu para una acción correcta de parchado
5.3. Utilice un sistema de archivos que pueda prevenir accesos no autorizado
 Asegúrese de que el sistema de archivos en cada host de WebLogic Server

pueda evitar acceso no autorizado a los recursos protegidos. Por ejemplo, en una
computadora con Windows, use solo NTFS.
5.4. Ulimit para entornos LINUX
• El valor de los descriptores open file debe estar en al menos 65000 para el
uusario oracle
/etc/security/limits.conf
## hard limit for max opened files

oracle hard nofile 65000
## soft limit for max opened files
6
Código:
Versión: 1
oracle soft nofile 65000

##Max user proces
oracle soft nproc 65000
oracle hard nproc 65000
5.5. No ejecute servidores web como root
• El servidor web debe ejecutarse solo como un usuario sin privilegios, nunca
como root.
• La estructura de directorios en la que se encuentra el servidor web, incluidos
todos los archivos, debe protegerse del acceso de usuarios sin privilegios.
Seguir estos pasos ayuda a garantizar que los usuarios sin privilegios no puedan
insertar código que pueda potencialmente ser ejecutado por el servidor Web.
5.6. Aplicar al Sistema operative conjuntos de parches de seguridad.

Consulte al proveedor de su sistema operativo para obtener una lista de conjuntos
de parches recomendados y parches relacionados con la seguridad
5.7. Habilite la auditoría de seguridad.
La auditoría es el proceso de registrar eventos clave de seguridad en su

Entorno de servidor WebLogic. Cuando el proveedor de Auditoría que el
WebLogic Security Service proporciona está habilitado, registra eventos en
DomainName\DefaultAuditRecorder.log.
Habilita un proveedor de auditoría en la administración del servidor WebLogic
Consola en Reinos de seguridad > Nombre del reino > Proveedores >
Página de auditoría.
5.8. Establezca el número de sockest permitidos en un servidor para prevenir

ataques DoS.
Para evitar algunos ataques DoS, limite el número de sockets permitidos para un
servidor para que haya menos sockets que el número permitido para el proceso
completo. Esto asegura que la cantidad de descriptores de archivo permitidos por
los límites del sistema operativo no se supera. Incluso después de que se exceda
el límite del servidor, los administradores pueden acceder al servidor a través del
puerto de administración.
Puede realizar esta configuración mediante el indicador MaxOpenSockCount.
7
Código:
Versión: 1
Ver Servidores: Configuración: Ajuste en Oracle WebLogic Server Consola de

administración Ayuda en línea.
5.9. Contraseñas encriptadas en el boot.properties
Todas las claves deben ir encriptadas en el boot.properties, en caso contrario debe

ejecutar la subida del ambiente con el comando
Dweblogic.system.StoreBootIdentity=true
nohup ./startWebLogic.sh -Dweblogic.management.username=weblogic -

Dweblogic.management.password=welcome1 -
Dweblogic.system.StoreBootIdentity=true -
Dweblogic.configuration.schemaValidationEnabled=false &
6. Aseguramiento IIS
6.1. ASP.NET - Concurrency Configuration

Se agrega la siguiente línea en el archivo Aspnet.config de la ruta C:\Windows\
Microsoft.NET\Framework64\v2.0.50727
<system.web>
<applicationPool
maxConcurrentRequestsPerCPU="5000"/>
</system.web>
8
Código:
Versión: 1
6.2. Application Pool - Regular Time Interval Recycling

Se debe validar las configuraciones del Recycle que se tiene actualmente, ya que este
puede impactar en los tiempos de respuesta durante un momento.
Se debe configurar en los AppPoo el campo Regular Time Interval (minutes) con el
valor cero (0).
O quitar la selección del Regular Time Interval (minutes) en la opciones del

Recyclen…
Se sugiere dejar en dos reclicye en horas valle (ejemplo 5AM y 12 del dia)
6.3. Web Server Content Security

En la siguiente ruta del Regedit se debe realizar las siguientes modificaciones:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\
SCHANNEL\Protocols\SSL 2.0
Validar que en la llave Cliente este creado el REG_DWORD
Enabled  con un valor Hexadecimal 0
Si no se encuentra, toca crearla.
6.4. SSL - SSL 2.0 Server Enabled
9
Código:
Versión: 1

SCHANNEL\Protocols\SSL 2.0
Se debe crear la llave Server y dentro de esta se crean los RWG_DWORD:
DisabledByDefault  con un valor Hexadecimal 1
6.5. SSL - SSL 3.0 Client Enabled SSL y SSL 3.0 Server Enabled
SCHANNEL\Protocols\
Se debe crear la llave SSL 3.0 dentro de esta llave se crear las siguientes llaves:
Llave Client y dentro de esta se crean los RWG_DWORD:
Se debe crear la llave Server y dentro de esta se crean los RWG_DWORD:

6.6. SSL - TLS 1.1 Server Disabled

SCHANNEL\Protocols\
10
Código:
Versión: 1
Se debe crear la llave TLS 1.1 dentro de esta llave se crear las siguientes llaves:
Llave Client y dentro de esta se crean el RWG_DWORD:
6.7. SSL - TLS 1.2 Server Disabled

SCHANNEL\Protocols\
Se debe crear la llave TLS 1.1 dentro de esta llave se crear las siguientes llaves:
Llave Client y dentro de esta se crean el RWG_DWORD:
6.8. Event Log - IIS Configuration Auditing

Considere la posibilidad de habilitar el registro de auditoría de configuración de IIS, ya
que puede ser muy útil para identificar de dónde provienen los cambios.
El eventvwr se puede habilitar IIS Configuration Audit con los siguientes pasos:
1. Open the Event Viewer management console.

2. Expand the Applications and Services Logs node.
3. Expand the Microsoft node.
4. Expand the Windows node.
5. Locate the IIS-Configuration node and expand it.
6. Right-click on the Operational log and select the Enable Log option.
11
Código:
Versión: 1
6.9. Practicas de seguridad recomendadas por Microsoft
 Instalar solamente los módulos IIS que necesite.

 IIS 8 se compone de más de 40 módulos, lo que permite agregar módulos que necesita y
quita los módulos que no es necesario. Si instala sólo los módulos que necesita, reduce la
superficie que está expuesta a posibles ataques.
 Mantener, software antivirus actualizado.
Instale y ejecute la versión más reciente del software antivirus en el servidor.
 Mover el Inetpub la carpeta de la unidad del sistema a una unidad diferente.
 De forma predeterminada IIS 8 configura la Inetpub carpeta en la unidad del sistema
(normalmente la unidad C). Si mueve la carpeta a una partición diferente, puede ahorrar
espacio en la unidad del sistema y mejorar la seguridad.
 Aislar las aplicaciones web.
 Separe las aplicaciones diferentes en distintos sitios con grupos de aplicaciones diferentes.
 Implementar el principio de privilegios mínimos.
 Ejecute el proceso de trabajo como una identidad con privilegios bajos (identidad del grupo
de aplicaciones virtuales) que sea única para cada sitio.
 Aislar las carpetas temporales de ASP.NET.
 Configure una carpeta temporal de ASP.NET independiente por cada sitio y únicamente
conceda acceso a la identidad de proceso adecuada.
12
Código:
Versión: 1
 Aislar el contenido.
 Asegúrese de establecer una ACL (lista de control de acceso) en cada raíz del sitio para
permitir el acceso solo a la identidad de proceso adecuada.
 Si utiliza la autenticación de Windows, active la protección extendida.
 Protección extendida protege contra la retransmisión de credenciales y phishing ataques al
utilizar la autenticación de Windows. Para obtener más información acerca de la protección
extendida y cómo activar en IIS.
 Tenga en cuenta que al configurar la autenticación anónima junto con otro tipo de
autenticación para el mismo sitio Web puede causar problemas de autenticación.
 Si configura la autenticación anónima y otro tipo de autenticación, el resultado está
determinado por el orden en que se ejecutarán los módulos. Por ejemplo, si son la
autenticación anónima y la autenticación de Windows anónima y configurada la
autenticación ejecuta en primer lugar, nunca se ejecuta la autenticación de Windows.
 Deshabilitar el acceso anónimo a los directorios de servidor y recursos.
 Si desea conceder a un usuario el acceso a los directorios del servidor y los recursos, utilice
un método de autenticación que no es anónimo.
 Permite operaciones de escritura anónimos en el servidor.
 Autenticar al usuario con un método que no es anónimo antes de permitir que el usuario
puede cargar nada al sitio Web o un sitio FTP.
 Asegúrese de que están habilitadas las reglas de filtrado de solicitudes.
 Los filtros restringen los tipos de solicitudes HTTP de la solicitud que IIS 8 procesos. Al
bloquear solicitudes HTTP concretas, los filtros de solicitudes ayudan a evitar que lleguen al
servidor solicitudes que pueden ser perjudiciales. El módulo de filtro de solicitudes examina
las solicitudes entrantes y rechaza las no deseadas a partir de reglas configuradas. Sitios
Web y sitios FTP deben tener la protección filtro solicitud proporcionan las reglas. Para más
información sobre el filtrado de solicitudes.
 Asegúrese de que los límites de la solicitud se establecen en valores razonables.
 Pensar sobre los valores que se asignan a parámetros de configuración. Por ejemplo,
asegúrese de que un valor de límite superior es mayor que un valor de límite inferior. De lo
contrario, nunca puede activar el filtro.
 No utilice las identidades de servicio integrada (como servicio de red, servicio Local o
sistema Local).
 Para mayor seguridad, grupos de aplicaciones deben ejecutarse bajo la identidad del grupo
de aplicaciones que se genera cuando se crea el grupo de aplicaciones. Las cuentas que
están integradas IIS son LocalSystem, NetworkService, LocalService y
ApplicationPoolIdentity. El valor predeterminado (recomendado) y más segura es
ApplicationPoolIdentity.
 Uso de una cuenta de identidad personalizada es aceptable, pero asegúrese de usar una
cuenta diferente para cada grupo de aplicaciones.
 Disponer de una muy buena monitorización.
 Revisar rendimiento, logs de aplicación, de IIS,… Una vigilancia diaria de esta información
nos puede alertar de cualquier comportamiento anómalo de la aplicación debido a un
posible ataque informático.
 Mantener una actualización al día tanto de sistema operativo como de software del servidor.
Después de cada actualización es necesario revisar el funcionamiento de la aplicación.
 Utilizar herramientas tanto de Microsoft como de terceros para realizar análisis más en
profundidad de la aplicación a nivel de seguridad. Algunas son:
o IIS Security “What if”
13
Código:
Versión: 1
o IIS Security Planning Tool

o IIS Lockdown tool
 Realizar copias de seguridad periódicas del servidor IIS.

 Hacer una copia de seguridad de estado del sistema cada día o dos. También hacer antes
de las actualizaciones de software importantes o cambios de configuración.
 Limitar los permisos concedidos a los no administradores.
 Busque las carpetas que no sean administradores tienen permisos de escritura y permisos
de ejecución de secuencias de comandos a y quitar los permisos.
 Activar SSL y mantener certificados SSL.
 Renovar el certificado o elija un nuevo certificado para el sitio. Un certificado expirado deja
de ser válido y puede impedir que los usuarios obtienen acceso al sitio.
 Usar SSL al utilizar la autenticación básica.
 Utilice la autenticación básica con un enlace SSL y asegúrese de que el sitio o la aplicación
está establecida para que requiera SSL. Como alternativa, utilice un método de
autenticación diferente. Si utiliza la autenticación básica sin SSL, las credenciales se envían
en texto sin formato que podría ser interceptado por código malintencionado. Si desea
seguir utilizando la autenticación básica, debe comprobar los enlaces de sitio para
asegurarse de que un enlace HTTPS está disponible para el sitio y, a continuación,
configurar el sitio para que requiera SSL.
 Al establecer reglas de delegación de características, no cree reglas que son más
permisivas que los valores predeterminados.
 Para una aplicación ASP clásica, desactivar el modo de depuración.
6.10. IIS Crypto SSL TLS
Como sugerencia de configuración para los protocolos SSL tls, y algoritmos, puede usar la
herramienta IISCrycto para validar y configurar el estado SSL y TLS
14
Código:
Versión: 1
6.11. Tunning APP Pool
Dejar los parametros Queue length en 5000 , start mode en ALWAYS RUNNING y establecer un %
de uso maximo de la cpu, se recomeinda entre 80% a 85%
15
Código:
Versión: 1
7. Aseguramiento Apache
7.1. Eliminar documentos por default que vienen con la instalación del apache
7.2. Deshabilitar ver la solicitud TRACE a un servidor apache

TraceEnable off
7.3. Proteger de ataques XSS

Header set X-XSS-Protection "1; mode=block"
7.4. Ocultar la versión de la capa media

ServerTokens Prod
ServerSignature Off
7.5. Ocultar directorios de la aplicación mediante la web

<Directory /opt/apache/htdocs>
Options -Indexes
</Directory>
<Directory /opt/apache/htdocs>
Options None
</Directory>
16
Código:
Versión: 1
7.6. Evitar ataques de confidencialidad se agrega esta línea en el httpd.conf

FileETag None
Se debe validar posteriormente la funcionalidad de la aplicación.
7.7. Evitar vulnerar la integridad del apache

<Directory />
Options -Indexes
AllowOverride None
</Directory>
7.8. Eliminar el banner de la versión del servidor
Diría que esta es una de las primeras cosas a considerar, ya que no desea
exponer qué versión del servidor web está utilizando. Exponer la versión
significa que está ayudando al hacker a acelerar el proceso de reconocimiento.
La configuración predeterminada expondrá la versión de Apache y el tipo de
sistema operativo como se muestra a continuación.
Go to $Web_Server/conf folder
Modify httpd.conf by using the vi editor
Add the following directive and save the httpd.conf
ServerTokens Prod
ServerSignature Off
7.9. Ejecute Apache desde una cuenta sin privilegios
La idea aquí es proteger otros servicios en ejecución en caso de cualquier

agujero de seguridad.
Crea un usuario y un grupo llamado apache
# groupadd apache
# useradd –G apache apache
17
Código:
Versión: 1
Cambie la propiedad del directorio de instalación de apache a un usuario

sin privilegios recién creado
# chown –R apache:apache /opt/apache
Vaya a $Web_Server/conf
Modificar httpd.conf usando vi
Busque la directiva de usuario y grupo y cambie como apache de cuenta
sin privilegios
apache de usuario
Grupo apache
Guarde el httpd.conf
reiniciar apache
grep para ejecutar el proceso http y asegurarse de que se esté ejecutando con
el usuario de apache
# ps –ef |grep http
Debería ver que un proceso se está ejecutando con root. Eso es porque
Apache está escuchando en el puerto 80 y debe iniciarse con la raíz.
7.10. Proteger el permiso del directorio binario y de configuración
De forma predeterminada, el permiso para el binario y la configuración es

755, lo que significa que cualquier usuario de un servidor puede ver la
configuración. Puede prohibir que otro usuario ingrese a la carpeta conf y bin.
Ir al directorio $Web_Server
Cambiar el permiso de la carpeta bin y conf
# chmod –R 750 bin conf
7.11. Protección de la configuración del sistema
En una instalación predeterminada, los usuarios pueden anular la

configuración de Apache usando .htaccess. Si desea evitar que los usuarios
18
Código:
Versión: 1
cambien la configuración de su servidor apache, puede agregar

AllowOverride a None como se muestra a continuación.
Esto debe hacerse en el nivel raíz.
Vaya al directorio $Web_Server/conf

Abra httpd.conf usando vi
Buscar Directorio en un nivel raíz
<Directorio />
Opciones -Índices
AllowOverride Ninguno
</Directorio>
Guarde el httpd.conf
reiniciar apache
7.12. Métodos de solicitud HTTP
El protocolo HTTP 1.1 admite muchos métodos de solicitud que pueden no

ser necesarios y algunos de ellos tienen un riesgo potencial.
Por lo general, es posible que necesite métodos de solicitud GET, HEAD,

POST en una aplicación web, que se pueden configurar en la directiva de
directorio respectiva.
La configuración predeterminada admite el método OPCIONES, GET,

HEAD, POST, PUT, DELETE, TRACE, CONNECT en el protocolo HTTP
1.1.

Busque Directorio y agregue lo siguiente
<Límite Excepto GET POST HEAD>
Negar todo
</LímiteExcepto>
reiniciar apache
7.13. Establecer cookie con HttpOnly y bandera segura

Puede mitigar la mayoría de los ataques comunes de Cross Site Scripting
utilizando HttpOnly y el indicador de seguridad en una cookie. Sin tener
19
Código:
Versión: 1
HttpOnly y Secure, es posible robar o manipular la sesión y las cookies de la

aplicación web, y es peligroso.
Asegúrese de que mod_headers.so esté habilitado en su httpd.conf

Agregue la siguiente directiva y guarde el httpd.conf
Edición de encabezado Set-Cookie ^(.*)$ $1;HttpOnly;Secure
reiniciar apache
7.14. Ataque de clickjacking
Clickjacking es una vulnerabilidad de aplicación web bien conocida.
Asegúrese de que mod_headers.so esté habilitado en su httpd.conf

Agregue la siguiente directiva y guarde el httpd.conf
El encabezado siempre agrega X-Frame-Options SAMEORIGIN
reiniciar apache
apache-x-frame-opciones
X-Frame-Options también admite dos opciones más que expliqué aquí.
7.15. Configuración del valor de tiempo de espera
De forma predeterminada, el valor de tiempo de espera de Apache es de 300

segundos, lo que puede ser víctima de un ataque Slow Loris y DoS. Para
mitigar esto, puede reducir el valor del tiempo de espera a unos 60 segundos.

Agregue lo siguiente en httpd.conf
20
Código:
Versión: 1
Tiempo de espera 60
7.16. SSL
Tener SSL es una capa adicional de seguridad que está agregando a la
aplicación web. Sin embargo, la configuración SSL predeterminada genera
ciertas vulnerabilidades y debería considerar ajustar esas configuraciones.
7.17. Clave SSL
Romper la clave SSL es difícil, pero no imposible. Es solo una cuestión de

potencia computacional y tiempo.
Como sabrá, con una PC de la era 2009 funcionando durante unos 73 días,
puede aplicar ingeniería inversa a una clave de 512 bits.
Entonces, cuanto mayor sea la longitud de la clave, más complicado será

romper la clave SSL. La mayoría de las empresas web gigantes usan claves de
2048 bits, como se muestra a continuación, ¿por qué nosotros no?
Outlook.com
Microsoft.com
vivir.com
Skype.com
Apple.com
yahoo.com
Bing.com
hotmail.com
Twitter.com
Puede usar OpenSSL para generar CSR con 2048 bits como se muestra a
continuación.
openssl req -out geekflare.csr -newkey rsa:2048 -nodes -keyout geekflare.key

Generará un CSR que deberá enviar a una autoridad de certificación para que
lo firme. Una vez que reciba el archivo de certificado firmado, puede
agregarlo en el archivo httpd-ssl.conf
SSLCertificateFile #Certificado firmado por autoridad

SSLCertificateChainFile #Certificate signatario otorgado por autoridad
SSLCertificateKeyFile #Archivo de claves que generó anteriormente
21
Código:
Versión: 1
Reinicie el servidor web Apache e intente acceder a la URL con https
7.18. Deshabilitar SSL v2 y v3
SSL v2 y v3 tiene muchas fallas de seguridad, y si está trabajando en la

prueba de penetración o el cumplimiento de PCI, entonces se espera que
cierre el hallazgo de seguridad para deshabilitar SSL v2/v3.
Cualquier comunicación SSL v2/v3 puede ser vulnerable a un ataque Man-in-

The-Middle que podría permitir la manipulación o divulgación de datos.
Implementemos el servidor web apache para que acepte solo el TLS más
reciente y rechace la solicitud de conexión SSL v2/v3.
Vaya a la carpeta $Web_Server/conf/extra

Modifique la directiva SSLProtocol en httpd-ssl.conf como se muestra a
continuación para aceptar solo TLS 1.2+
Protocolo SSL –TODOS +TLSv1.2
Una vez que haya terminado con la configuración SSL, es una buena idea
probar su aplicación web con la herramienta de certificado SSL/TLS en línea
para encontrar cualquier error de configuración.
7.19. SSL KEY certificado permisos

En la ruta donde quede el .KEY y el CRT del certificado debe cambinar los
permisos de SOLO LECTURA para el usuario APACHE
Chmod 600 /ruta/del/certificiado/File.key

Chmod 600 /ruta/del/certificiado/certificado.key
7.20. Descarga e instalación
Los siguientes requisitos previos deben estar instalados en el servidor donde

desea utilizar Mod Security con Apache. Si alguno de estos no existe, la
compilación de Mod Security fallará. Puede usar yum install en Linux o
Centos para instalar estos paquetes.
apache 2.x o superior
22
Código:
Versión: 1
paquete libpcre
paquete libxml2
paquete liblua
paquete libcurl
Paquete libapr y libapr-util
módulo mod_unique_id incluido con el servidor web Apache
Ahora, descarguemos la última versión estable de Mod Security 2.7.5 desde
aquí
Transferir el archivo descargado a /opt/apache

Extraiga modsecurity-apache_2.7.5.tar.gz
# gunzip –c modsecurity-apache_2.7.5.tar.gz | alquitrán xvf –
Ir a la carpeta extraída modsecurity-apache_2.7.5
# cd modsecurity-apache_2.7.5
Ejecute el script de configuración que incluye la ruta apxs a Apache existente
# ./configure –with-apxs=/opt/apache/bin/apxs
Compilar e instalar con make script
# hacer
# hacer la instalación
Una vez finalizada la instalación, verá mod_security2.so en la carpeta de
módulos en /opt/apache
Ahora que esto concluye, ha instalado el módulo Mod Security en el servidor
web Apache existente.
7.21. Habilitar motor de reglas
De forma predeterminada, la regla del motor está desactivada, lo que significa

que si no habilita el motor de reglas, no está utilizando todas las ventajas de
Mod Security.
La activación o desactivación de Rule Engine está controlada por la directiva

SecRuleEngine.
Agregue la directiva SecRuleEngine en setup.conf y reinicie el servidor web

Apache
SecRuleMotor encendido
Hay tres valores para SecRuleEngine:
Activado: para habilitar el motor de reglas
23
Código:
Versión: 1
Desactivado: para deshabilitar el motor de reglas

Solo detección: habilita Rule Engine pero nunca ejecuta ninguna acción como
bloquear, denegar, eliminar, permitir, proxy o redirigir
Una vez que Rule Engine está activado, Mod Security está listo para proteger
con algunos de los tipos de ataques comunes.
8. Aseguramiento Tomcat - Jboss
8.1. Configuración del server.xml
 Dejar este tag en el server.xml

 Server =” “
 Configuración de sesión-config en el server.xml

 <cookie-config>
 <http-only>true</http-only>
 <secure>true</secure>
 </cookie-config>
8.2. Depuracion de archivos por defecto

[root@geekflare webapps]# ls -lt
drwxr-xr-x 14 tomcat tomcat 4096 Sep 29 15:26 docs
drwxr-xr-x 7 tomcat tomcat 4096 Sep 29 15:26 examples
drwxr-xr-x 5 tomcat tomcat 4096 Sep 29 15:26 host-manager
drwxr-xr-x 5 tomcat tomcat 4096 Sep 29 15:26 manager
drwxr-xr-x 3 tomcat tomcat 4096 Sep 29 15:26 ROOT
[root@geekflare webapps]#
8.3. Configuración de archivos

En la carpeta que aloja las webapps crear un archivo error.jsp y después configurar
el archivo web.xml agregando lo siguiente dentro del tag de web-app:
404 /error.jsp 403 /error.jsp 500 /error.jsp
8.4. Users-tomcat.xml
Este file debe estar solo lectura y escritura del usuario apache tomcat7 o similar
8.5. Ulimit
24
Código:
Versión: 1
• El valor de los descriptores open file debe estar en al menos 65000 para el
uusario tomcat
/etc/security/limits.conf
## hard limit for max opened files

tomcat hard nofile 65000
## soft limit for max opened files
tomcat soft nofile 65000
##Max user proces
tomcat soft nproc 65000
tomcat hard nproc 65000
9. Anexos
https://msdn.microsoft.com/es-es/library/jj635855(v=ws.11).aspx
https://technet.microsoft.com/es-es/library/ms172965(v=sql.105).aspx
https://technet.microsoft.com/en-us/library/cc731278(v=ws.10).aspx
25

STIC3-COLTEL-IFC-IN-ID000-CONFIGURACION HARDENING CAPA MEDIA - v2

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

STIC3-COLTEL-IFC-IN-ID000-CONFIGURACION HARDENING CAPA MEDIA - v2

Cargado por

Copyright:

Formatos disponibles

STIC3-COLTEL-IFC-IN-ID000

CONTROL DEL DOCUMENTO

7.8. Eliminar el banner de la versión del servidor.........................................................................16

El siguiente documento es creado como guía para la implementación de los documentos de

Mitigar vulnerabilidades de toda las capa media que se encuentren dentro de la

 Componente de Sistema: Todo componente de red, servidor, dispositivo informático

mismo, esto se logra eliminando software, servicios, usuarios, etc; innecesarios en el

5.1. Configurar las páginas de error

5.2. Parchado periodico según Boletin de Seguridad weblogic

5.3. Utilice un sistema de archivos que pueda prevenir accesos no autorizado

 Asegúrese de que el sistema de archivos en cada host de WebLogic Server

5.4. Ulimit para entornos LINUX

## hard limit for max opened files

oracle soft nofile 65000

5.5. No ejecute servidores web como root

5.6. Aplicar al Sistema operative conjuntos de parches de seguridad.

5.7. Habilite la auditoría de seguridad.

La auditoría es el proceso de registrar eventos clave de seguridad en su

5.8. Establezca el número de sockest permitidos en un servidor para prevenir

Ver Servidores: Configuración: Ajuste en Oracle WebLogic Server Consola de

5.9. Contraseñas encriptadas en el boot.properties

Todas las claves deben ir encriptadas en el boot.properties, en caso contrario debe

nohup ./startWebLogic.sh -Dweblogic.management.username=weblogic -

6.1. ASP.NET - Concurrency Configuration

6.2. Application Pool - Regular Time Interval Recycling

O quitar la selección del Regular Time Interval (minutes) en la opciones del

6.3. Web Server Content Security

Si no se encuentra, toca crearla.

6.4. SSL - SSL 2.0 Server Enabled

En la siguiente ruta del Regedit se debe realizar las siguientes modificaciones:

Se debe crear la llave Server y dentro de esta se crean los RWG_DWORD:

6.6. SSL - TLS 1.1 Server Disabled

6.7. SSL - TLS 1.2 Server Disabled

6.8. Event Log - IIS Configuration Auditing

1. Open the Event Viewer management console.

6.9. Practicas de seguridad recomendadas por Microsoft

 Instalar solamente los módulos IIS que necesite.

o IIS Security “What if”

o IIS Security Planning Tool

 Realizar copias de seguridad periódicas del servidor IIS.

6.10. IIS Crypto SSL TLS

6.11. Tunning APP Pool

7.2. Deshabilitar ver la solicitud TRACE a un servidor apache

7.3. Proteger de ataques XSS

7.4. Ocultar la versión de la capa media

7.5. Ocultar directorios de la aplicación mediante la web

7.6. Evitar ataques de confidencialidad se agrega esta línea en el httpd.conf

Se debe validar posteriormente la funcionalidad de la aplicación.

7.7. Evitar vulnerar la integridad del apache

7.8. Eliminar el banner de la versión del servidor

7.9. Ejecute Apache desde una cuenta sin privilegios

La idea aquí es proteger otros servicios en ejecución en caso de cualquier

Crea un usuario y un grupo llamado apache

Cambie la propiedad del directorio de instalación de apache a un usuario

# chown –R apache:apache /opt/apache

# ps –ef |grep http

7.10. Proteger el permiso del directorio binario y de configuración

De forma predeterminada, el permiso para el binario y la configuración es

7.11. Protección de la configuración del sistema

En una instalación predeterminada, los usuarios pueden anular la

cambien la configuración de su servidor apache, puede agregar

Esto debe hacerse en el nivel raíz.

Vaya al directorio $Web_Server/conf