hardening

  • ModSecurity es un módulo para servidores HTTP cuyo propósito es reforzar la seguridad de las aplicaciones Web. Es efectivamente un sistema de prevención y detección de intrusos para servidores Web.

  • Este artículo explica cómo configurar un servidor Web Nginx de forma segura, que acepte pedidos sólo a través de TLS (redireccionando de forma automática todos los pedidos HTTP a HTTPS), de forma que todo el tráfico entre los clientes y el servidor sea encriptado utilizando sólo los protocolos TLS más fuertes. Para ello se deshabilitará la compresión SSL para evitar el ataque CRIME, también SSLv3 e inferiores debido a sus vulnerabilidades, y se configurará una suite de cifrado fuerte que permita Perfect Forward Secrecy (PFS) cuando sea posible.

  • Este artículo resume un conjunto de configuraciones que permiten mejorar la seguridad de sistemas FreeBSD, para alcanzar un nivel de seguridad similar al que ofrecen los sistemas OpenBSD.

  • El objetivo de este artículo es proveer una guía para mejorar la implementación de un servidor Web seguro utilizando SSL/TLS, particularmente el caso de servidores Apache con mod_ssl (OpenSSL). Se trata de un conjunto de buenas prácticas de seguridad en servidores SSL, junto con un par de herramientas interesantes para determinar en qué estado de seguridad se encuentra tanto nuestro servidor Web como nuestro cliente.

  • En Debian y derivados, el paquete mysql-server incluye el script Perl mysql_secure_installation, el cual permite mejorar la seguridad de la instalación por defecto. Es recomendable correr este script en todas las instalaciones de servidores MySQL para sistemas en producción.

  • Supongamos que hemos montado un servidor OpenVPN accesible libremente desde Internet (desde cualquier dirección IP). Este, por ejemplo, es el caso en el que deseamos que clientes conectados desde cualquier ubicación (usuarios remotos y con movilidad) puedan acceder a nuestra red local corporativa.

    El problema es que tener un acceso público a nuestra VPN nos vuelve blanco de todo tipo de ataques, con lo cual deseamos mejorar la seguridad de su instalación (hardening). Afortunadamente es posible recurrir al mecanismo de autenticación TLS para crear un firewall HMAC (hash-based message authentication code). Esto permite bloquear ataques de tipo DoS (Denial of Service) y flooding de puertos UDP antes de que se establezca efectivamente la conexión con el servidor OpenVPN.