SlideShare una empresa de Scribd logo

Seguridad en servidores

Descargar como PPTX, PDF
Taty Millan
Taty Millan

Un servidor web procesa aplicaciones del lado del servidor realizando conexiones con el cliente y generando respuestas. Existen muchas amenazas como ataques de denegación de servicio, inyección SQL, mala configuración, y códigos con vulnerabilidades. Es importante implementar medidas de seguridad como cortafuegos, actualizaciones, y monitoreo para proteger el servidor.

Tecnología
1 de 18
 Un servidor web o servidor HTTP es un programa informático que procesa una aplicación del lado del servidor realizando conexiones bidireccionales y/o unidireccionales y síncronas o asíncronas con el cliente generando o cediendo una respuesta en cualquier lenguaje o Aplicación del lado del cliente.
 Hoy día, hay un enorme número de amenazas a las que hace frente a un servidor web, muchas de ellas dependen del uso, el sistema operativo y el ambiente que se haya configurado en el sistema mismo.
Algunos de los riesgos podrian ser:  Negación del servicio: un ataque DOS es un ataque en el cual un sistema ataca otro con la intención de consumir todos los recursos del sistema (tales como ancho de banda o ciclos del procesador), no dejando nada libre para peticiones legítimas.  Negación del servicio distribuido: en un ataque de DDoS, en vez de un sistema ataque a otro, un atacante utiliza sistemas múltiples para apuntar un servidor (su servidor), y sistemas múltiples significa (en algunos casos) no centenares o millares, sino hasta cientos de millares. Estos pueden ser: Ataques FTP, Ataque de exploración de puertos, Ataque "Smurf“, Ataque por inundación SYN (Synflood), Ataque de fragmentación, Ataque SNMP, Ataque de inundación por ping (Pingflood).
 Desconfiguración de la página web : cuando un servidor está incorrectamente configurado, y un atacante utiliza esta debilidad para modificar páginas bajo cualquier cantidad de razones.  Inyección SQL: un atacante utiliza debilidades en el diseño de la base de datos o de la página web para extraer información o más aún, para manipular información dentro de la base de datos.  Codificación pobre : en el mejor de los casos, una codificación pobre puede ser no más que una molestia, donde las funcionalidades de una aplicación no trabajen según lo anunciado; pero en el peor de los casos, las aplicaciones pobremente codificadas pueden tener "agujeros" de seguridad importantes.
 Códigos empaquetado (Shrink-wrapped code): el problema proviene de la conveniencia de obtener componentes precompilados o desarrollados de antemano, que se pueden utilizar como bloques para construir aplicaciones propias. Su desventaja es que los componentes utilizados pueden no haber pasado un proceso de revisión de su código, y su uso puede crear problemas potenciales de inseguridad.
 Deshabilita los usuarios de invitado (guest): a estos usuarios se les debe asignar una contraseña compleja y se puede restringir el número de logons que puede realizar por día como medida extra de seguridad.  Limita el número de cuentas en tu servidor: elimina cualquier usuario innecesario, audita tus usuarios regularmente.
 Limita los accesos de la cuenta de administración: el administrador no debe utilizar la cuenta de mayores privilegios para sus actividades diarias que no necesitan accesos especiales.  Renombra la cuenta de administración: el nombre del usuario no debe indicar sus privilegios.  Crea una cuenta “tonta” de administrador: crear una cuenta llamada administrador y no se le otorgan privilegios y una contraseña compleja de al menos 10 caracteres.
 Cuidado con los privilegios por omisión para los grupos de usuarios: existen carpetas compartidas para los usuarios del sistema operativo y algunas personas que no conocen los riesgos colocan datos en ellas.  Coloca las particiones con NTFS: Los sistemas FAT y FAT32 no soportan buenos niveles de seguridad.  Configura políticas de seguridad en su servidor y su red: seleccionar el nivel de seguridad que su organización requiere y se pueden editar aspectos como: perfil de usuarios, permisología de carpetas, tipos de autenticación, etc.
 Apaga servicios innecesarios en el servidor: algunos servicios vienen configurados y listos para utilizarse, aquellos que no están siendo utilizados constituyen una vulnerabilidad para su equipo.  Cierra el acceso a puertos que no se están utilizando: Configurar sus puertos vía la consola de seguridad TCP/IP ubicada en el panel de control sus accesos de red.  Habilita la auditoría en su servidor: como mínimo considere habilitar las siguientes opciones: Eventos de login de usuario, gestión de cuentas de usuario, acceso a objetos, cambios en políticas, uso de privilegios y eventos del sistema.
 Coloca protección a sus archivos de registros de eventos: es importante dar permisos tanto de lectura como escritura solo a los usuarios de sistema y administradores.  Desactiva la opción del último usuario para desplegarse en la pantalla de inicio o bloqueo del sistema: este parámetro de configuración puede modificarse en las plantillas de su CD de instalación o en las políticas de seguridad.  Verifica los parches de seguridad que libera Microsoft mensualmente
 Deshabilita la opción de creación del archivo dump: aunque esta opción es muy útil para conocer los por menores de un error en el servidor como las causas de los famosos pantallazos azules. También sirve para proveer al atacante de información sensible como contraseñas de las aplicaciones.  Deshabilita las carpetas compartidas que no son necesarias.
 Mala configuración  Banderas de Información: Las banderas de información pueden revelar información a aquellos que saben que la información está ahí y decirles cómo buscarla.  Permisos  Mensajes de error: cualquier mensaje de error que su servidor genera puede revelar información sobre como están configuradas sus aplicaciones, qué bibliotecas utiliza, sus conexiones a la base de datos y otras muchas cosas.
 Servicios  Protocolos: cualquier protocolo que no necesite debe inhabilitado o francamente removido.  Cuentas de usuario  Muestras y archivos de prueba: estos archivos debe ser eliminados de los servidores y aplicaciones web en producción, ya que pueden ser manipulados y permitir accesos no autorizados.  Puertos
 Sistemas de la Intrusión-detección (anfitrión y red-basado): Estos sistemas son los dispositivos del hardware o del software que pueden ayudarle a supervisar el acceso a través la red a y desde su servidor así como actividad en el servidor sí mismo.  Software de Antivirus
 Cortafuegos: Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios. Los cortafuegos pueden ser implementados en hardware o software, o una combinación de ambos.
 Honeypot: servidor señuelo.
 http://es.wikipedia.org/wiki/Servidor_web  http://www.masadelante.com/faqs/servidor  http://www.uc3m.es/portal/page/portal/informatica/Nos Dedicamos/Seguridad/guia_instalacion_servidores.pdf  http://searchservervirtualization.techtarget.com/news/123 2096/VMware-Server-on-Windows-vs-VMware-Server-on- Linux  http://www.iworld.com.mx/iw_Opinions_read.asp?IWID=9 0  http://www.sip.gob.mx/seguridad/206-seguridad-de-un- servidor-web  http://www.sip.gob.mx/seguridad/206-seguridad-de-un- servidor-web  http://en.wikipedia.org/wiki/Firewall_(computing)

Recomendados

Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redesdpovedaups123
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informáticajemarinoi
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redesshujeymc
 
Seguridad informática y plan de contigencia
Seguridad informática y plan de contigenciaSeguridad informática y plan de contigencia
Seguridad informática y plan de contigenciaWilliam Matamoros
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redesJaime Abraham Rivera
 
Comparticion de recursos- Sistemas Distribuidos
Comparticion de recursos- Sistemas Distribuidos Comparticion de recursos- Sistemas Distribuidos
Comparticion de recursos- Sistemas Distribuidos Freddy Hugo Estupiñan Batalla
 
Presentación-nessus
Presentación-nessusPresentación-nessus
Presentación-nessusnana nana
 
Seguridad de los Sistemas Operativos
Seguridad de los Sistemas OperativosSeguridad de los Sistemas Operativos
Seguridad de los Sistemas Operativossteevenjose
 

Recomendados

Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redesdpovedaups123
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informáticajemarinoi
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redesshujeymc
 
Seguridad informática y plan de contigencia
Seguridad informática y plan de contigenciaSeguridad informática y plan de contigencia
Seguridad informática y plan de contigenciaWilliam Matamoros
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redesJaime Abraham Rivera
 
Comparticion de recursos- Sistemas Distribuidos
Comparticion de recursos- Sistemas Distribuidos Comparticion de recursos- Sistemas Distribuidos
Comparticion de recursos- Sistemas Distribuidos Freddy Hugo Estupiñan Batalla
 
Presentación-nessus
Presentación-nessusPresentación-nessus
Presentación-nessusnana nana
 
Seguridad de los Sistemas Operativos
Seguridad de los Sistemas OperativosSeguridad de los Sistemas Operativos
Seguridad de los Sistemas Operativossteevenjose
 
RADIUS (2015)
RADIUS (2015)RADIUS (2015)
RADIUS (2015)Miguel Ángel Martín Tardío
 
Configuración y administración del sistema operativo
Configuración y administración del sistema operativoConfiguración y administración del sistema operativo
Configuración y administración del sistema operativoFátima López
 
20101014 seguridad perimetral
20101014 seguridad perimetral20101014 seguridad perimetral
20101014 seguridad perimetral3calabera
 
Tipos de virus informaticos
Tipos de virus informaticosTipos de virus informaticos
Tipos de virus informaticosIvanEuan
 
seguridad de los sistemas operativos
seguridad de los sistemas operativos seguridad de los sistemas operativos
seguridad de los sistemas operativos Carlos Guerrero
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICAWalter Edison Alanya Flores
 
Integracion de Vistas
Integracion de VistasIntegracion de Vistas
Integracion de VistasAngel Mas
 
Cuentas de usuario
Cuentas de usuarioCuentas de usuario
Cuentas de usuarioGrupo 3 del ITSCO
 
Servidores, tipos de servidores
Servidores, tipos de servidoresServidores, tipos de servidores
Servidores, tipos de servidoresEnya Loboguerrero
 
Unidad 4: Administración de usuarios grupos locales en Windows
Unidad 4: Administración de usuarios grupos locales en WindowsUnidad 4: Administración de usuarios grupos locales en Windows
Unidad 4: Administración de usuarios grupos locales en Windowscarmenrico14
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaAniusm
 
Power Point de la seguridad informática
Power Point de la seguridad informáticaPower Point de la seguridad informática
Power Point de la seguridad informáticavektormrtnz
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaOscar Garces Torres
 
Modulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad InformáticaModulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad InformáticaJuan Manuel García
 
Presentacion firewall
Presentacion firewallPresentacion firewall
Presentacion firewallJakol Inugami
 
Malware Presentacion.pptx
Malware Presentacion.pptxMalware Presentacion.pptx
Malware Presentacion.pptxSantiagoRuizRodrguez1
 
Mecanismos de Seguridad - Seguridad en Redes
Mecanismos de Seguridad - Seguridad en RedesMecanismos de Seguridad - Seguridad en Redes
Mecanismos de Seguridad - Seguridad en RedesLeyda Cordoba Araujo
 
Konfiguracja urządzeń peryferyjnych
Konfiguracja urządzeń peryferyjnychKonfiguracja urządzeń peryferyjnych
Konfiguracja urządzeń peryferyjnychSzymon Konkol - Publikacje Cyfrowe
 
Servidor web apache
Servidor web apache Servidor web apache
Servidor web apache elkincarmonaerazo
 
Servidor presentacion
Servidor presentacionServidor presentacion
Servidor presentacionmiguelangelperezhenao
 
Recomendaciones adm windows
Recomendaciones adm windowsRecomendaciones adm windows
Recomendaciones adm windowsHenry Candelario
 
Seguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securitySeguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securityseguridadelinux
 

Más contenido relacionado

La actualidad más candente

Configuración y administración del sistema operativo
Configuración y administración del sistema operativoConfiguración y administración del sistema operativo
Configuración y administración del sistema operativoFátima López
 
20101014 seguridad perimetral
20101014 seguridad perimetral20101014 seguridad perimetral
20101014 seguridad perimetral3calabera
 
Tipos de virus informaticos
Tipos de virus informaticosTipos de virus informaticos
Tipos de virus informaticosIvanEuan
 
seguridad de los sistemas operativos
seguridad de los sistemas operativos seguridad de los sistemas operativos
seguridad de los sistemas operativos Carlos Guerrero
 
Integracion de Vistas
Integracion de VistasIntegracion de Vistas
Integracion de VistasAngel Mas
 
Servidores, tipos de servidores
Servidores, tipos de servidoresServidores, tipos de servidores
Servidores, tipos de servidoresEnya Loboguerrero
 
Unidad 4: Administración de usuarios grupos locales en Windows
Unidad 4: Administración de usuarios grupos locales en WindowsUnidad 4: Administración de usuarios grupos locales en Windows
Unidad 4: Administración de usuarios grupos locales en Windowscarmenrico14
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaAniusm
 
Power Point de la seguridad informática
Power Point de la seguridad informáticaPower Point de la seguridad informática
Power Point de la seguridad informáticavektormrtnz
 
Modulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad InformáticaModulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad InformáticaJuan Manuel García
 
Presentacion firewall
Presentacion firewallPresentacion firewall
Presentacion firewallJakol Inugami
 
Mecanismos de Seguridad - Seguridad en Redes
Mecanismos de Seguridad - Seguridad en RedesMecanismos de Seguridad - Seguridad en Redes
Mecanismos de Seguridad - Seguridad en RedesLeyda Cordoba Araujo
 

La actualidad más candente (20)

RADIUS (2015)
RADIUS (2015)RADIUS (2015)
RADIUS (2015)
 
Configuración y administración del sistema operativo
Configuración y administración del sistema operativoConfiguración y administración del sistema operativo
Configuración y administración del sistema operativo
 
20101014 seguridad perimetral
20101014 seguridad perimetral20101014 seguridad perimetral
20101014 seguridad perimetral
 
Tipos de virus informaticos
Tipos de virus informaticosTipos de virus informaticos
Tipos de virus informaticos
 
seguridad de los sistemas operativos
seguridad de los sistemas operativos seguridad de los sistemas operativos
seguridad de los sistemas operativos
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA
 
Integracion de Vistas
Integracion de VistasIntegracion de Vistas
Integracion de Vistas
 
Cuentas de usuario
Cuentas de usuarioCuentas de usuario
Cuentas de usuario
 
Servidores, tipos de servidores
Servidores, tipos de servidoresServidores, tipos de servidores
Servidores, tipos de servidores
 
Unidad 4: Administración de usuarios grupos locales en Windows
Unidad 4: Administración de usuarios grupos locales en WindowsUnidad 4: Administración de usuarios grupos locales en Windows
Unidad 4: Administración de usuarios grupos locales en Windows
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Power Point de la seguridad informática
Power Point de la seguridad informáticaPower Point de la seguridad informática
Power Point de la seguridad informática
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Modulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad InformáticaModulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad Informática
 
Presentacion firewall
Presentacion firewallPresentacion firewall
Presentacion firewall
 
Malware Presentacion.pptx
Malware Presentacion.pptxMalware Presentacion.pptx
Malware Presentacion.pptx
 
Mecanismos de Seguridad - Seguridad en Redes
Mecanismos de Seguridad - Seguridad en RedesMecanismos de Seguridad - Seguridad en Redes
Mecanismos de Seguridad - Seguridad en Redes
 
Konfiguracja urządzeń peryferyjnych
Konfiguracja urządzeń peryferyjnychKonfiguracja urządzeń peryferyjnych
Konfiguracja urządzeń peryferyjnych
 
Servidor web apache
Servidor web apache Servidor web apache
Servidor web apache
 
Servidor presentacion
Servidor presentacionServidor presentacion
Servidor presentacion
 

Similar a Seguridad en servidores

Recomendaciones adm windows
Recomendaciones adm windowsRecomendaciones adm windows
Recomendaciones adm windowsHenry Candelario
 
Seguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securitySeguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securityseguridadelinux
 
Modulo 10: Conceptos de Seguridad de LAN
Modulo 10: Conceptos de Seguridad de LANModulo 10: Conceptos de Seguridad de LAN
Modulo 10: Conceptos de Seguridad de LANsrkamote
 
Vulnerabilidades y soluciones Evidencias 3, Iber Pardo Aguilar
Vulnerabilidades y soluciones Evidencias 3, Iber Pardo AguilarVulnerabilidades y soluciones Evidencias 3, Iber Pardo Aguilar
Vulnerabilidades y soluciones Evidencias 3, Iber Pardo AguilarIber Pardo Aguilar
 
Desarrollo seguro en NodeJS (OWASP top ten y JWT)
Desarrollo seguro en NodeJS (OWASP top ten y JWT)Desarrollo seguro en NodeJS (OWASP top ten y JWT)
Desarrollo seguro en NodeJS (OWASP top ten y JWT)Raúl Requero García
 
Medidas de-seguridad-dentro-de-una-red
Medidas de-seguridad-dentro-de-una-redMedidas de-seguridad-dentro-de-una-red
Medidas de-seguridad-dentro-de-una-redRoosii Mendooza
 
Redes del computador unidad 3
Redes del computador unidad 3Redes del computador unidad 3
Redes del computador unidad 3AngelSoto104
 
Ataques client side exploitation
Ataques client side exploitationAtaques client side exploitation
Ataques client side exploitationjack_corvil
 
Unidad 6 Protección y seguridad.
Unidad 6 Protección y seguridad.Unidad 6 Protección y seguridad.
Unidad 6 Protección y seguridad.Juan Anaya
 
Instituto tecnologico de zitacuaro investigacion topicos de redes
Instituto tecnologico de zitacuaro investigacion topicos de redesInstituto tecnologico de zitacuaro investigacion topicos de redes
Instituto tecnologico de zitacuaro investigacion topicos de redesTere Ilianid Almazan Martinez
 
Hardening en-nix-asegurar-un-ftp-server
Hardening en-nix-asegurar-un-ftp-serverHardening en-nix-asegurar-un-ftp-server
Hardening en-nix-asegurar-un-ftp-serverJosé Moreno
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De DatosWilliam Suárez
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De Datosguestb40a1b0
 
Los 7 pecados del Desarrollo Web
Los 7 pecados del Desarrollo WebLos 7 pecados del Desarrollo Web
Los 7 pecados del Desarrollo Webacksec
 

Similar a Seguridad en servidores (20)

Recomendaciones adm windows
Recomendaciones adm windowsRecomendaciones adm windows
Recomendaciones adm windows
 
Seguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securitySeguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_security
 
Evidencia 3 sandra jaramillo
Evidencia 3 sandra jaramilloEvidencia 3 sandra jaramillo
Evidencia 3 sandra jaramillo
 
Modulo 10: Conceptos de Seguridad de LAN
Modulo 10: Conceptos de Seguridad de LANModulo 10: Conceptos de Seguridad de LAN
Modulo 10: Conceptos de Seguridad de LAN
 
Vulnerabilidades y soluciones Evidencias 3, Iber Pardo Aguilar
Vulnerabilidades y soluciones Evidencias 3, Iber Pardo AguilarVulnerabilidades y soluciones Evidencias 3, Iber Pardo Aguilar
Vulnerabilidades y soluciones Evidencias 3, Iber Pardo Aguilar
 
Desarrollo seguro en NodeJS (OWASP top ten y JWT)
Desarrollo seguro en NodeJS (OWASP top ten y JWT)Desarrollo seguro en NodeJS (OWASP top ten y JWT)
Desarrollo seguro en NodeJS (OWASP top ten y JWT)
 
Medidas de-seguridad-dentro-de-una-red
Medidas de-seguridad-dentro-de-una-redMedidas de-seguridad-dentro-de-una-red
Medidas de-seguridad-dentro-de-una-red
 
Redes del computador unidad 3
Redes del computador unidad 3Redes del computador unidad 3
Redes del computador unidad 3
 
Ataques client side exploitation
Ataques client side exploitationAtaques client side exploitation
Ataques client side exploitation
 
Vulnerabilidades y soluciones redes y seguridad
Vulnerabilidades y soluciones redes y seguridad Vulnerabilidades y soluciones redes y seguridad
Vulnerabilidades y soluciones redes y seguridad
 
Unidad 6 Protección y seguridad.
Unidad 6 Protección y seguridad.Unidad 6 Protección y seguridad.
Unidad 6 Protección y seguridad.
 
Investigacion seguridad 2
Investigacion seguridad 2Investigacion seguridad 2
Investigacion seguridad 2
 
Instituto tecnologico de zitacuaro investigacion topicos de redes
Instituto tecnologico de zitacuaro investigacion topicos de redesInstituto tecnologico de zitacuaro investigacion topicos de redes
Instituto tecnologico de zitacuaro investigacion topicos de redes
 
rojas landa vanessa.pdf
rojas landa vanessa.pdfrojas landa vanessa.pdf
rojas landa vanessa.pdf
 
Sistemas operativos
Sistemas operativosSistemas operativos
Sistemas operativos
 
Definiciones seguridad informatica
Definiciones seguridad informaticaDefiniciones seguridad informatica
Definiciones seguridad informatica
 
Hardening en-nix-asegurar-un-ftp-server
Hardening en-nix-asegurar-un-ftp-serverHardening en-nix-asegurar-un-ftp-server
Hardening en-nix-asegurar-un-ftp-server
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De Datos
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De Datos
 
Los 7 pecados del Desarrollo Web
Los 7 pecados del Desarrollo WebLos 7 pecados del Desarrollo Web
Los 7 pecados del Desarrollo Web
 

Más de Taty Millan

Remote Procedure Call (RPC)
Remote Procedure Call (RPC)Remote Procedure Call (RPC)
Remote Procedure Call (RPC)Taty Millan
 
Introducción a las tecnologías de la información
Introducción a las tecnologías de la informaciónIntroducción a las tecnologías de la información
Introducción a las tecnologías de la informaciónTaty Millan
 
Microsoft Solutions Framework
Microsoft Solutions FrameworkMicrosoft Solutions Framework
Microsoft Solutions FrameworkTaty Millan
 

Más de Taty Millan (6)

Cocomo II
Cocomo IICocomo II
Cocomo II
 
Remote Procedure Call (RPC)
Remote Procedure Call (RPC)Remote Procedure Call (RPC)
Remote Procedure Call (RPC)
 
Ciberdelitos
CiberdelitosCiberdelitos
Ciberdelitos
 
Token Ring
Token RingToken Ring
Token Ring
 
Introducción a las tecnologías de la información
Introducción a las tecnologías de la informaciónIntroducción a las tecnologías de la información
Introducción a las tecnologías de la información
 
Microsoft Solutions Framework
Microsoft Solutions FrameworkMicrosoft Solutions Framework
Microsoft Solutions Framework
 

Último

Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfJulian Lamprea
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 

Último (10)

Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 

Seguridad en servidores

  • 1.
  • 2. Un servidor web o servidor HTTP es un programa informático que procesa una aplicación del lado del servidor realizando conexiones bidireccionales y/o unidireccionales y síncronas o asíncronas con el cliente generando o cediendo una respuesta en cualquier lenguaje o Aplicación del lado del cliente.
  • 3. Hoy día, hay un enorme número de amenazas a las que hace frente a un servidor web, muchas de ellas dependen del uso, el sistema operativo y el ambiente que se haya configurado en el sistema mismo.
  • 4. Algunos de los riesgos podrian ser:  Negación del servicio: un ataque DOS es un ataque en el cual un sistema ataca otro con la intención de consumir todos los recursos del sistema (tales como ancho de banda o ciclos del procesador), no dejando nada libre para peticiones legítimas.  Negación del servicio distribuido: en un ataque de DDoS, en vez de un sistema ataque a otro, un atacante utiliza sistemas múltiples para apuntar un servidor (su servidor), y sistemas múltiples significa (en algunos casos) no centenares o millares, sino hasta cientos de millares. Estos pueden ser: Ataques FTP, Ataque de exploración de puertos, Ataque "Smurf“, Ataque por inundación SYN (Synflood), Ataque de fragmentación, Ataque SNMP, Ataque de inundación por ping (Pingflood).
  • 5. Desconfiguración de la página web : cuando un servidor está incorrectamente configurado, y un atacante utiliza esta debilidad para modificar páginas bajo cualquier cantidad de razones.  Inyección SQL: un atacante utiliza debilidades en el diseño de la base de datos o de la página web para extraer información o más aún, para manipular información dentro de la base de datos.  Codificación pobre : en el mejor de los casos, una codificación pobre puede ser no más que una molestia, donde las funcionalidades de una aplicación no trabajen según lo anunciado; pero en el peor de los casos, las aplicaciones pobremente codificadas pueden tener "agujeros" de seguridad importantes.
  • 6. Códigos empaquetado (Shrink-wrapped code): el problema proviene de la conveniencia de obtener componentes precompilados o desarrollados de antemano, que se pueden utilizar como bloques para construir aplicaciones propias. Su desventaja es que los componentes utilizados pueden no haber pasado un proceso de revisión de su código, y su uso puede crear problemas potenciales de inseguridad.
  • 7. Deshabilita los usuarios de invitado (guest): a estos usuarios se les debe asignar una contraseña compleja y se puede restringir el número de logons que puede realizar por día como medida extra de seguridad.  Limita el número de cuentas en tu servidor: elimina cualquier usuario innecesario, audita tus usuarios regularmente.
  • 8.  Limita los accesos de la cuenta de administración: el administrador no debe utilizar la cuenta de mayores privilegios para sus actividades diarias que no necesitan accesos especiales.  Renombra la cuenta de administración: el nombre del usuario no debe indicar sus privilegios.  Crea una cuenta “tonta” de administrador: crear una cuenta llamada administrador y no se le otorgan privilegios y una contraseña compleja de al menos 10 caracteres.
  • 9.  Cuidado con los privilegios por omisión para los grupos de usuarios: existen carpetas compartidas para los usuarios del sistema operativo y algunas personas que no conocen los riesgos colocan datos en ellas.  Coloca las particiones con NTFS: Los sistemas FAT y FAT32 no soportan buenos niveles de seguridad.  Configura políticas de seguridad en su servidor y su red: seleccionar el nivel de seguridad que su organización requiere y se pueden editar aspectos como: perfil de usuarios, permisología de carpetas, tipos de autenticación, etc.
  • 10. Apaga servicios innecesarios en el servidor: algunos servicios vienen configurados y listos para utilizarse, aquellos que no están siendo utilizados constituyen una vulnerabilidad para su equipo.  Cierra el acceso a puertos que no se están utilizando: Configurar sus puertos vía la consola de seguridad TCP/IP ubicada en el panel de control sus accesos de red.  Habilita la auditoría en su servidor: como mínimo considere habilitar las siguientes opciones: Eventos de login de usuario, gestión de cuentas de usuario, acceso a objetos, cambios en políticas, uso de privilegios y eventos del sistema.
  • 11.  Coloca protección a sus archivos de registros de eventos: es importante dar permisos tanto de lectura como escritura solo a los usuarios de sistema y administradores.  Desactiva la opción del último usuario para desplegarse en la pantalla de inicio o bloqueo del sistema: este parámetro de configuración puede modificarse en las plantillas de su CD de instalación o en las políticas de seguridad.  Verifica los parches de seguridad que libera Microsoft mensualmente
  • 12. Deshabilita la opción de creación del archivo dump: aunque esta opción es muy útil para conocer los por menores de un error en el servidor como las causas de los famosos pantallazos azules. También sirve para proveer al atacante de información sensible como contraseñas de las aplicaciones.  Deshabilita las carpetas compartidas que no son necesarias.
  • 13. Mala configuración  Banderas de Información: Las banderas de información pueden revelar información a aquellos que saben que la información está ahí y decirles cómo buscarla.  Permisos  Mensajes de error: cualquier mensaje de error que su servidor genera puede revelar información sobre como están configuradas sus aplicaciones, qué bibliotecas utiliza, sus conexiones a la base de datos y otras muchas cosas.
  • 14.  Servicios  Protocolos: cualquier protocolo que no necesite debe inhabilitado o francamente removido.  Cuentas de usuario  Muestras y archivos de prueba: estos archivos debe ser eliminados de los servidores y aplicaciones web en producción, ya que pueden ser manipulados y permitir accesos no autorizados.  Puertos
  • 15.  Sistemas de la Intrusión-detección (anfitrión y red-basado): Estos sistemas son los dispositivos del hardware o del software que pueden ayudarle a supervisar el acceso a través la red a y desde su servidor así como actividad en el servidor sí mismo.  Software de Antivirus
  • 16. Cortafuegos: Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios. Los cortafuegos pueden ser implementados en hardware o software, o una combinación de ambos.
  • 17. Honeypot: servidor señuelo.
  • 18.  http://es.wikipedia.org/wiki/Servidor_web  http://www.masadelante.com/faqs/servidor  http://www.uc3m.es/portal/page/portal/informatica/Nos Dedicamos/Seguridad/guia_instalacion_servidores.pdf  http://searchservervirtualization.techtarget.com/news/123 2096/VMware-Server-on-Windows-vs-VMware-Server-on- Linux  http://www.iworld.com.mx/iw_Opinions_read.asp?IWID=9 0  http://www.sip.gob.mx/seguridad/206-seguridad-de-un- servidor-web  http://www.sip.gob.mx/seguridad/206-seguridad-de-un- servidor-web  http://en.wikipedia.org/wiki/Firewall_(computing)