Geekflare cuenta con el apoyo de nuestra audiencia. Podemos ganar comisiones de afiliados comprando enlaces en este sitio.
Comparte en:

Guía de protección y seguridad de IBM HTTP Server

Sin título-1200-×-385-px-38
Escáner de seguridad de aplicaciones web Invicti – la única solución que ofrece verificación automática de vulnerabilidades con Proof-Based Scanning™.

Ajustar IBM HTTP Server (IHS) para el entorno de producción

El servidor HTTP de IBM se utiliza a menudo en combinación con IBM Servidor de aplicaciones WebSphere. Algunos de los sitios populares que utilizan IBM HTTP Server son:

  • Airtel.in
  • marriott.com
  • Hsbc.es
  • Mercedes-benz.com.pe
  • Argos.es

IHS se basa en Apache HTTP Server, sin embargo, modificado por IBM para admitir aplicaciones empresariales y soporte de mantenimiento. Tiene muy menos cuota de mercado en el mundo de los servidores web, pero todavía se usa ampliamente con WebSphere Application Server.

cuota de mercado de ihs

La configuración predeterminada de IHS proporciona mucha información confidencial, que puede ayudar a los piratas informáticos a prepararse para un ataque e interrumpir las operaciones comerciales. Como administrador, debe tener en cuenta que debe reforzar la configuración de IHS para asegurar las aplicaciones web.

En este artículo, explicaré cómo hacer que el entorno de IHS esté listo para la producción para mantener la seguridad y seguro.

Pocas cosas: -

  • Tiene IHS instalado en el entorno Linux; de lo contrario, puede consultar guía de instalación aquí.
  • Se recomienda realizar una copia de seguridad de un archivo de configuración.
  • Tienes encabezado HTTP extensiones en un navegador o puede usar Comprobador de encabezado herramienta en línea
  • Debido a la extensión del artículo, hablaré sobre la configuración de SSL en la próxima publicación.

Ocultar el banner del servidor y la información del producto del encabezado HTTP

Probablemente una de las primeras tareas que se deben realizar al configurar el entorno de producción es enmascarar la versión de IHS y el banner del servidor en un encabezado. Esto no es crítico, pero se considera de bajo riesgo como vulnerabilidad de fuga de información y debe serlo para aplicaciones que cumplen con PCI DSS.

Echemos un vistazo a la respuesta de solicitud no existente (404) en la configuración predeterminada.

respuesta-ihs-inexistente

Oh no, revela que estoy usando IBM HTTP Server junto con la IP del servidor y el número de puerto, lo cual es feo. Escondámoslos.

Solución: -

  • Agregue las siguientes tres directivas en el archivo httpd.conf de su IHS.
AddServerHeader Off ServerTokens Prod ServerSignature Off
  • Guarde el archivo y reinicie el IHS

Verifiquemos accediendo a un archivo que no existe. También puede utilizar Herramienta de encabezado HTTP para verificar la respuesta.

ihs-respuesta-inexistente-fija

¡Mucho mejor! Ahora no proporciona información sobre el producto, el servidor y el puerto.

Desactivar Etag

El encabezado Etag puede revelar información de inodo y puede ayudar a los piratas informáticos a ejecutar ataques NFS. De forma predeterminada, IHS revela el etag y así es como puede remediar esta vulnerabilidad.

ihs-etag

Solución: -

  • Agregue la siguiente directiva en un directorio raíz.
FileETag ninguno

Por ejemplo:

Opciones FollowSymLinks AllowOverride Ninguno
   FileETag ninguno
  • Reinicie el servidor IHS para que surta efecto.

ihs-etag

Ejecute IHS con una cuenta que no sea root

La configuración predeterminada ejecuta un servidor web con usuario root y nadie, lo cual no es recomendable, ya que ejecutar una cuenta privilegiada puede afectar a todo el servidor en caso de un agujero de seguridad. Para limitar el riesgo, puede crear un usuario dedicado para ejecutar instancias IHS.

Solución: -

  • Crea un usuario y un grupo llamado ihsadmin
groupadd ihsadmin useradd –g ihsadmin ihsadmin

Actualmente, cambie la propiedad de la carpeta IHS a ihsadmin para que el usuario recién creado tenga todos los permisos necesarios. Suponiendo que haya instalado en la ubicación predeterminada - / opt / IBM / HTTPServer

chown –R ihsadmin: ihsadmin / opt / IBM / HTTPServer

Cambiemos el valor de usuario y grupo en httpd.conf

Usuario ihsadmin Grupo ihsadmin

Guarde httpd.conf y reinicie el servidor IHS. Esto ayudará a IHS a comenzar como usuario de ihsadmin.

Implementar la marca HttpOnly y Secure en Cookie

Teniendo cookie protegida y httponly le ayudará a reducir el riesgo de ataques XSS.

Solución: -

Para implementar esto, debe asegurarse mod_headers.so está habilitado en httpd.conf.

De lo contrario, elimine el comentario de la siguiente línea en httpd.conf

LoadModule headers_module modules / mod_headers.so

Y agregue debajo del parámetro de encabezado

Edición de encabezado Set-Cookie ^ (. *) $ $ 1; HttpOnly; Seguro

Guarde el archivo de configuración y reinicie el servidor web.

Mitigar el ataque de Clickjacking

El clickjacking La técnica es bien conocida en la que un atacante puede engañar a los usuarios para que hagan clic en un enlace y ejecuten código incrustado sin el conocimiento del usuario.

Solución: -

  • Asegúrese de que mod_headers.so esté habilitado y agregue el siguiente parámetro de encabezado en el archivo httpd.conf
El encabezado siempre agrega X-Frame-Options SAMEORIGIN
  • Guarde el archivo y reinicie el servidor.

Verifiquemos accediendo a la URL, debería tener X-Frame-Options como se muestra a continuación.

clickjacking-ataque-ihs

Configurar la directiva de escucha

Esto es aplicable si tiene varias interfaces Ethernet / IP en el servidor. Es recomendable configurar la dirección IP absoluta y el puerto en la escucha para evitar que las solicitudes de DNS se reenvíen. Esto se ve a menudo en un entorno compartido.

Solución: -

  • Agregue la IP y el puerto deseados en httpd.conf en la directiva Listen. Ex:-
Escuchar 10.0.0.9:80

Agregar protección X-XSS

Puede aplicar la protección Cross for Site Scripting (XSS) implementando el siguiente encabezado si el usuario lo deshabilita en el navegador.

Conjunto de encabezado X-XSS-Protection "1; modo = bloque"

Deshabilitar la solicitud HTTP de seguimiento

Tener el método de seguimiento habilitado en el servidor web puede permitir el ataque de seguimiento de sitios cruzados y robar información de cookies. De forma predeterminada, esto está habilitado y puede deshabilitarlos con el siguiente parámetro.

Solución: -

  • Modifique el archivo httpd.con y agregue la siguiente línea
TraceEnable desactivado
  • Guarde el archivo y reinicie la instancia de IHS para que surta efecto.

Espero que los consejos anteriores le ayuden a fortalecer el servidor HTTP de IBM para un entorno de producción.

Gracias a nuestros patrocinadores
Más lecturas interesantes sobre seguridad
Impulse su negocio
Algunas de las herramientas y servicios para ayudar a que su negocio crezca.
  • Invicti utiliza Proof-Based Scanning™ para verificar automáticamente las vulnerabilidades identificadas y generar resultados procesables en cuestión de horas.
    Prueba Invicti
  • Web scraping, proxy residencial, administrador de proxy, desbloqueador web, rastreador de motores de búsqueda y todo lo que necesita para recopilar datos web.
    Prueba Brightdata
  • Semrush es una solución de marketing digital todo en uno con más de 50 herramientas en SEO, redes sociales y marketing de contenido.
    Prueba Semrush
  • Intruder es un escáner de vulnerabilidades en línea que encuentra debilidades de ciberseguridad en su infraestructura, para evitar costosas filtraciones de datos.
    Intente Intruder