luzblanco

 
  • Decrease font size
  • Default font size
  • Increase font size
Inicio arrow Ubuntu 6.06 arrow Últimas arrow Seguridad Web
Seguridad Web PDF Imprimir E-mail
Calificación de usuario: / 8
MaloBueno 
Escrito por Valc   
martes, 22 de agosto de 2006
INTRODUCCIÓN
Para disponer de un servidor totalmente seguro es necesario tener un nivel alto de conocimientos y dedicarle un tiempo considerable al que no todos llegamos.

Por una parte y al no ser, normalmente, todos los que tenemos una web programadores o informáticos profesionales, la seguridad de nuestro sistema operativo, servidor y herramientas o programas anexos, quedará en manos, principalmente, de sus respectivos autores, equipo de soporte y colaboradores.

Ante esta carencia de conocimientos, me parece un buen motivo por mi parte y en vista del panorama, declarar inseguro y desaconsejar su uso, a otros en mi misma situación, por muy bien que funcione o majo que parezca, de todo aquel programa, aplicación o componente, especialmente los populares o de uso común, que no disponga de previsión, soporte y actualización de problemáticas conocidas o frente a las nuevas técnicas de ataque o huecos de seguriad que se pudieran encontrar en los mismos. Porque amigos, nada de lo que aquí se pretende recoger sirve de algo frente a un agujero de seguridad; ya que, precisamente lo que se hace con dicha brecha abierta y te venga de por donde te venga, es conseguir saltarse las protecciones que pudiera haber impuestas por nuestra parte.

Esta situación, si se busca seguridad en cierto modo me obliga, aparte de mantenerme actualizado y al día en el aspecto anterior (instalar todo tipo de actualización de seguiridad que nos llegue desde Ubuntu), a responsabilizarme de lo que está en mi mano y que es, mantenerme informado y aplicar algunas consideraciones mínimas de seguridad e irlas incrementando, contra las ideologias vandálicas que pululan por internet ..con el fin de evitar "hacer favores al intruso", cuando lo que viene a romper es mi Confidencialidad, Integridad y/o Disponibilidad



ACLARACIÓN DE CONCEPTOS
A groso modo, con breves descripciones, acompañadas con pequeños ejemplos, cada una de las areas por cubrir, se resumirian así:

Confidencialidad
Protegerla, consiste en impedir que personas no autorizadas, tengan acceso a nuestros datos privados o no públicos. Es decir, nosotros, a través de nuestra web, podemos decidir, por ejemplo, compartir publicamente un artículo con los demas y dar libre acceso a él..sin que esa acción por nuestra parte tenga que suponer el tener que compartir con los demás cualquier otra cosa que pudieramos almacenar dentro de nuestra máquina, como por ejemplo, las claves de acceso a la base de datos en la que almacenemos ese mismo artículo.

Integridad
Protegerla, consiste en evitar que personas no autorizadas, modifiquen o alteren nuestra información o sincronización..ya sea pública como privada. Es decir y siguiendo con el ejemplo, evitar que alguien se dedique a poder cambiarme el contenido del articulo, nuestra clave de acceso a la base de datos y/o modifique o altere las cosas para que cuando yo intente realizar una copia de seguridad en mi PC, acabe esa información en el suyo.

Disponibilidad
Protegerla, consiste en evitar que nos dejen sin poder "tomar el timón", es decir, sin poder acceder a nuestra información, por ejemplo, por culpa de ataques de denegación de servicio por parte de alguna de las ideologias vandálicas que pululan por internet.


ALGUNAS CONSIDERACIONES A TENER EN CUENTA
Para los que como yo, esteis usando una versión de escritório en lugar de una máquina totalmente dedicada a funcionar como servidor casero, el asegurar este tipo de instalaciones, requiere de un esfuerzo extra y estamos más expuestos a las "brechas de seguridad", simplemente, por tener que cubrir una mayor cantidad de aplicaciones y programas susceptibles de ser explotados por alguna vulnerabilidad que, con otro tipo de instalación, específica o especialmente orientada a realizar la tarea solo de servidor, con lo que el número de "cosas innecesarias" a instalar y en consecuencia a proteger, se reduce sensiblemente.

Por lo tanto y siendo obvio que si estamos usando una versión de escritorio, en lugar de una del tipo server, responde a algún motivo, para nosotros necesario.... lo que sí podemos hacer, es desinstalar aquellos programas que estemos seguros que no vamos a utilizar, o, reducir el número de programas "homónimos" que tengamos instalados.

Por ejemplo, si yo no uso el "Open Office Presentation o el Data base"...los desinstalo. Si no necesito 7 reproductores distintos para ver/escuchar archivos en formato MP3, AVI, Divx..etc, de entre cada uno de los tipos o categorias, me quedo con uno y los demas..desinstalados.

Y seguir aplicando este mismo criterio, con el resto de utilidades o programas que, o bien no vayamos a usar o dispongamos de más de una opción para la misma cosa.

También, me gustaría hacer especial hincapié, con el tipo de Web que esteis pensando crear y ya tanto dá si esta va a ser alojada en nuestra máquina o no... más bien tiene que ver con la inexperiencia o con la falta de recursos, sobre todo, bajo un punto de vista de seguridad; es decir, si estais pensando en carritos de compra, donaciones y/o datos privados.. no seais imprudentes o necesitareis de un abogado. En otros casos, todo vuestro trabajo o el que otros hayan aportado a vuestra web, pude irse al garete.

Esta web, dentro de la clasificación anterior, está includa en las del segundo tipo, o sea, en su diseño o estructura no hay carritos de compra, posibilidad de hacer donaciones y/o necesidad de intercambio de datos privados por parte de los visitantes/usuarios y en todo caso, puedo perder el trabajo del último día en que alguien se haya registrado/haya realizado alguna modificación en el contenido.. todo lo demás, es reinstalable y reforzable tantas veces como sea necesario; pero, siempre y por muy bien que creas haberte cubierto debes tener presente a un hábito llamado "hacer copias de seguridad de tus datos en la web (u otros de interés, claro)".

Para nosotros, estando alojados en nuestra máquina o PC, esta tarea se realiza en un "plis plas". Almacenar esos datos en una unidad extraible de tipo mini-usb o con otros soportes extraibles, tampoco requiere de ningún esfuerzo sobrehumano.. solo de constancia y sensatez.

El otro tipo de web(¿Carritos de compra?, ¿Donaciones?, ¿Datos privados?), no son recomendables para nadie que no cumpla con unos requisitos/recursos necesarios y eso, es algo que cada cual sabe o debería saber :)

Hay una idea que coger, y esta es, la que intenta trasmitirse junto a los siguientes puntos, muy a tener en cuenta, y, que variarán en función a nuestra experiencia / recursos / necesidades:

.- La seguridad de nuestro servidor unas veces dependerá directamente de nosotros (normas de seguridad a aplicar /incrementar por mi parte) y otras veces dependerá de terceros (por ejemplo, yo dependo del soporte y actualización de Ubuntu, y, de Joomla/extensiones) .

.- De nada sirve aplicar todo tipo de protección frente a un agujero de seguridad te venga de por donde te venga..porque precisamente lo que hace, es saltarse las protecciones. Con esto no se pretende ni tan siquiera insinuar que uno deba volverse descuidado porque "no hay nada que hacer".. es mas bien todo lo contrario.. haz siempre todo lo que este a tu alcance, aplica normas de seguridad sugeridas para las necesidades que pretendes cubrir y no dejes de incrementarlas en base a los continuos cambios que se van produciendo.
 
.-No caigais en la falsa creencia que todo servidor es seguro o que se encargará de la seguridad de tu web por tí; así como tampoco creas que todo se resuelve instalando un CMS, como pueda ser Joomla! o cualquier otro.. para estar seguros y a salvo de ataques contra nuestra Confidencialida/Integridad y/o Disponibilidad.

El tema tiene mucha miga y desde esta web se ha empezado con sugerencias muy básicas; pero, que no son ni las más seguras, ni las más optimas.. se está en el camino de irlas incrementando :)






RECURSOS
¿Que te he hecho yo, aunque fruste tu intento, para ser atacado de este modo?
En pricipio, nada que le permita a un atacante, mas que argumentar con sus sinrazones e hipocresía subyacente.

Gracias a las configuraciones básicas de nuestro "cortafuegos"(iptables) instalados en Ubuntu por defecto, estar usando un sistema operativo basado en GNU/Linux que, nos notifica automáticamente todo tipo de actualizaciones (entre ellas de seguridad), al cual, accedemos como "Usuario normal" o con privilegios limitados y no como "root" o con privilegio total... nos esta favoreciendo, a efectos de seguridad y robustez, en gran medida.

Pero ojo! no caigamos tampoco en la falsa creencia, por ejemplo, de que podemos abrir, sin más, el puerto 80 de nuestra máquina y jactarnos de lo muy seguros que nos sentimos...

...De hecho, no creo que podamos jactarnos de ello en ninguna ocasión, estando conectados a internet, debido a las condiciones actuales y las reglas de juego establecidas del tipo "Yo tapo un boquete / Pues yo te abro otro. Hala!" (Lo cual viene muy bien para progresar en robustez...hasta que llega el vándalo y te rompe hardware/software, te impide dar servicio y/o te roba o altera algo que no debería).

Lo que sí podremos hacer, es frustrar, filtrar y reducir, aún más, la probabilidad de intrusión o denegación de servicio, no permitida, en nuestra máquina.

Por esos motivos y aún sin ser un experto en la materia, ya he aprendido unas cuantas cosas que os podrian, también, resultar de utilidad y que cuya "lista", tengo intención de seguir incrementando y compartiendo.

Inicialmente, son muy básicas y van dirigidas, normalmente, a conseguir quitarnos de encima un aluvión de esos intentos de intrusión o accesos no permitidos a lugares privados, con un mínimo esfuerzo y conocimiento. También recordaros que el contenido específico de esta web trata sobre servidores caseros instalados sobre Ubuntu Dapper Drake versión de escritorio y usando el CMS Joomla!; por lo tanto, otros Sistemas operativos/CMSs podrán  necesitar de otras configuraciones, también específicas, para intentar cubrir su seguridad. Esto no quita que por medio de algunas "pinceladas", se trate de marcar algunas diferencias existentes con otro tipo de configuraciones.

Como las distintas noticias o artículos, en relación al tema (o no), quedarán desperdigadas por la web, según su fecha de publicación o popularidad, es desde aquí o desde el Menú "Acceso rápido al contenido", desde donde os resultará más fácil y cómodo seguir el hilo o tener conocimiento sobre las distintas informaciones en la web publicadas.


Nota informativa: Valorar los artículos o noticias que vayas leyendo, aunque no ofrezca lecturas reales, pues no todo el que lee algo, lo valora dejando constancia; puede ayudar sensiblemente a esta web a la hora dar prioridad a las nuevas publicaciones, según el interés que despierten otras de referencia y su valoración recibida . Por favor, considéralo, solo toma unos segundos.
También si te interesa, puedes ayudar a incrementar/modificar/actualizar/rectificar la información desde una base lo más real posible, dejando tus aportes, dudas o comentarios en el foro general, sin para ello tener que estar registrado. Gracias!


Un cordial saludo. La administración



Modificado el ( sábado, 18 de noviembre de 2006 )
 
< Anterior   Siguiente >
[Volver]
Advertisement

Menú principal

Inicio
Foro Privado
Foro Público
Ubuntu 6.06
Buscar
FAQ

Formulario de acceso






¿Recordar contraseña?
¿Registrarte? Regístrate aquí

Acceso rápido al contenido

Contenido Web
Promoción Web
Sostenibilidad Web
Seguridad Web
Financiación Web

Recomendadas

bahianoticias.com
delirius.com.ar
Comunidad Joomla!

Foro Público - Últimos


Mini-Chat

Último mensaje: 18 horas, 4 minutos hace
  • M : Como configurar LAMP
  • morfel : esta muy buena la info ayuda en mucho para las personas que nos estamos iniciando en el mundo de linux
  • eeeee : we
  • gast_9584 : hola
  • BioVirus : www.joomlaencolombia.org
  • sktd! : Chicos, he seguido todo el tuto de Postfix con Gmail... pero cómo ejecutar Postfix?
  • gast_9682 : que pasa
  • gast_3979 : enhorabuena
  • DINAMI : www.formacionacademica.com
  • gast_2034 : ji

Emoticonos

Escaparate


Encuestas

¿Sobre qué tipo de contenido te gustaría encontrar más información?
 

Estadísticas

Usuarios: 98
Noticias: 42
Enlaces: 6
Visitantes: 431537

Sindicación

¿Quién está en línea?

Hay 3 Invitados y no Usuarios en línea

Últimas noticias

Popular

Destacamos

Al no ser profesional de la informática, ni experto del tema, puedo avanzarte que también está a tu alcance montar y administrar portales en internet, aún sin tener conocimientos de HTML u otros lenguajes de programación.

Ésto se debe en gran medida a que prácticamente todo el proceso, se puede realizar con intuitivos "golpes de ratón" ..y lo que no se puede realizar a "golpes de ratón", se puede resolver siguiendo tutoriales "limpios" o con soporte.

El escollo de mucha gente y por tanto factor decisivo a la hora de tomar la determinación de "montar una web", es la economía o un cierto temor a "tirar su dinero", es decir y por ejemplo, "me gustaría tener una web para tratar tal o cual tema; pero, no puedo afrontar el gasto mensual que ello supone." o "Estoy pensando en este proyecto para internet, pero si no tiene aceptación ¿Qué pasa con mi inversión?".... Así que, inicialmente se intentará afrontar el montaje desde casa, bajo ese punto de vista.

Sin ánimo de meter "miedo, espanto o pavor"..sino más bien para que os podais formar idea de en que consisten o cuales van a ser los pasos o puntos a tratar y hasta donde debemos llegar para obtener el resultado final satisfactorio o próximo a nuestra idea inicial.....