viernes, 2 de mayo de 2014

Resumen del Tema 6: Asegurar el sistema web

El éxito de un sitio web depende de la seguridad. Es un aspecto crítico en un sistema web para mantener a salvo de ataques los recursos de la empresa y resulta fundamental para proteger los datos que almacenamos.


Los objetivos de seguridad deben definirse correctamente y se basan en los siguientes conceptos:
  • Confidencialidad: las comunicaciones deben ser secretas.
  • Integridad: los mensajes enviados deben ser exactamente los recibidos.
  • Disponibilidad: la comunicación con cualquier aplicación o servicio de la granja web debe estar disponible en el momento en que sea requerida.
En este tema hemos estudiado:
  • El concepto de defensa en profundidad (diferentes capas de defensa).
  • Establecer políticas de seguridad, incluyendo claves seguras, para todas las cuentas.
  • Asegurar un servidor mediante la eliminación de servicios innecesarios y vulnerabilidades.
  • Usar un cortafuegos: comprender el funcionamiento de los cortafuegos y los beneficios de estos.
Hay que establecer unas políticas de seguridad, y mantenerse al día de vulnerabilidades del software, de posibles ataques, de actualizaciones de software, etc.  En este sentido, visitar y estar al tanto de los temas que se proponen en sitios como http://www.securitybydefault.com/ (muy recomendable, por cierto) es de suma importancia.

La defensa en profundidad implica mantener diferentes capas de seguridad, independientes entre ellas, de forma que si un atacante consigue pasar una, tendrá otra que superar. Así se dificulta en gran medida la consecución final de un ataque.

Se deben diseñar diferentes tipos de acceso y configurar el sistema para facilitar esos accesos exclusivamente, denegando cualquier otro. Para eso, se utiliza principalmente el cortafuegos, que actúa como guardián de la puerta al sistema, permitiendo el tráfico autorizado y denegando el resto.


Concretamente, el cortafuegos tiene varias tareas principales:
  • Bloquear y filtrar paquetes de red
  • Controlar protocolos de aplicación
  • Control del tráfico de red a nivel de protocolo de red
  • Ocultar la verdadera dirección del servidor, actuando como un proxy
  • Proteger los servidores y aplicaciones de ataques y uso indebido
Por último, dejamos las siguientes URLs a tutoriales para aprender a configurar el cortafuegos en Linux con iptables:
http://www.cyberciti.biz/tips/linux-iptables-examples.html
http://bit.ly/17Vqwi3
http://es.tldp.org/Manuales-LuCAS/doc-iptables-firewall/doc-iptables-firewall-html/

en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)