Charla: Blindando Apache

La primer charla. Toda las expectativas para el inicio de uno de los eventos de Software Libre más representativos de la región.
Rodolfo Pilas comienza con una comparación bastante gráfica de que es un administrador de seguridad y sistemas. “Es como un arquero, estás para que te intenten hacer goles y en algún momento te lo van a hacer. Lo importante es aprender y no tener vergüenza en decir que te metieron un gol”.
Una charla orientada a los web master y administradores de red que tengan incidencia sobre la seguridad de un servidor apache.
Para mostrar como se asegurar un apache, nos enseña como es que lo atacan.

De está forma nos comento algunos ataques que recibió últimamente y como pudo aprender de ellos para dar mayor seguridad a su infraestructura WEB.

Habiendo ejemplificado las formas en las que se puede atacar un servidor web Apache, dio tips y formas de hacerlo más seguro y que sea menos vulnerable a los ataques desde internet y/o la red interna.
Filtrado de paquetes, IDS, administración de recursos y procesos, control de las páginas de error, manejo de módulos, etc, etc. una larga lista de temas a tener en cuenta para que Apache sea seguro. Aplicaciones que seguramente están corriendo ahora en servidores de producción, tienen errores y vulnerabilidades las cuales tienen que ser conocidas por el administrador de sistemas y que no pueden pasar desapercibidas para tener un mayor nivel de seguridad.
Dado que el tener que hablar de todo el conjunto de aplicaciones implicadas llevaría mucho tiempo, se limito a hablar sobre módulos que tienen que configurarse de forma óptima.

El primer módulo del que se hablo es el suPHP, módulo de apache que ejecuta el código PHP como el usuario que se loguea. Herramienta considerada fundamental para la seguridad de un sitio.
suPHP: http://www.suphp.org

ModSecurity es un interceptor de pedidos POST que analiza la linea de pedido y decide si sirve o no el pedido y así también la respuesta que da el Apache. De esta forma, en caso de que se cumpla alguna regla que no se quiere dejar pasar, el ModSecurity intervendrá para que no sea servida. Su funcionamiento es en conjunto con Apache, entre sus múltiples funciones, de está forma puede trabajar con tráfico encriptado por modSSL, lo cual no puede hacer ningún proxy.
ModSecurity: http://www.modsecurity.org

Con estos 2 módulos se puede tener un nivel más elevado de seguridad que con el Apache como viene de fábrica. Rápido, conciso y al ejemplificador.
Como lectura obligada, considerada por Rodolfo “La Biblia del Servidor Apache, recomendó “Apache Security” de O’Really escrito por el mismo autor del módulo ModSecurity y como Web Server a ver, Cherokee, un Web Server rápido y efectivo que requiere muchos menos recursos que Apache.

Pueden escuchar la charla descargando este Ogg:

http://www.lugro.org.ar/archivo/5tas_cafeconf/Blindando_apache.ogg