Guia de Segurança e Proteção do IBM HTTP Server

Ajustando o IBM HTTP Server (IHS) para o ambiente de produção


O HTTP Server da IBM é frequentemente usado em combinação com o IBM WebSphere Application Server. Alguns dos sites populares usando o IBM HTTP Server são:

  • Airtel.in
  • Marriott.com
  • Hsbc.co.uk
  • Mercedes-benz.com.eg
  • Argos.co.uk

O IHS é baseado no Apache HTTP Server, no entanto, ajustado pela IBM para suportar aplicativos corporativos e suporte de manutenção. Detém muito menos Quota de mercado no mundo dos servidores da Web, mas ainda amplamente utilizado com o WebSphere Application Server.

ihs-market-share

A configuração padrão do IHS fornece muitas informações confidenciais, o que pode ajudar o hacker a se preparar para um ataque e interromper a operação comercial. Como administrador, você deve estar ciente de proteger a configuração do IHS para proteger os aplicativos da web.

Neste artigo, explicarei como criar um ambiente pronto para produção IHS para manter a segurança & seguro.

Poucas coisas: –

  • Você possui o IHS instalado no ambiente Linux, caso contrário, consulte o guia de instalação aqui.
  • É recomendável fazer um backup de um arquivo de configuração.
  • Você tem extensões de cabeçalho HTTP em um navegador ou pode usar Verificador de cabeçalho ferramenta online.
  • Devido a uma extensão do artigo, falarei sobre a configuração SSL no próximo post.

Ocultar informações do produto e banner do servidor do cabeçalho HTTP

Provavelmente, uma das primeiras tarefas a serem feitas durante a configuração do ambiente de produção é mascarar a versão IHS e a faixa do servidor em um cabeçalho. Isso não é crítico, mas é considerado de baixo risco como vulnerabilidade a vazamento de informações e deve ser feito para aplicativos compatíveis com PCI DSS.

Vamos dar uma olhada em como não existe (404) solicitar resposta na configuração padrão.

ihs-inexistente-resposta

Ah, não, isso revela que estou usando o IBM HTTP Server junto com o IP do servidor e o número da porta, o que é feio. Vamos escondê-los.

Solução: –

  • Adicione as três diretivas a seguir no arquivo httpd.conf do seu IHS.

AddServerHeader desativado
ServerTokens Prod
ServerSignature Off

  • Salve o arquivo e reinicie o IHS

Vamos verificar acessando um arquivo inexistente. Você também pode usar Ferramenta Cabeçalho HTTP para verificar a resposta.

ihs-nonexist-response-fixed

Muito melhor! Agora, não fornece informações sobre produto, servidor e porta.

Desativar Etag

O cabeçalho Etag pode revelar informações de inode e pode ajudar o hacker a executar ataques NFS. Por padrão, o IHS revela o etag e aqui está como você pode corrigir essa vulnerabilidade.

ihs-etag

Solução: –

  • Adicione a seguinte diretiva em um diretório raiz.

FileETag nenhum

Por exemplo:

Opções FollowSymLinks
AllowOverride None
FileETag nenhum

  • Reinicie o servidor IHS para entrar em vigor.

ihs-etag

Executar o IHS com uma conta não raiz

A configuração padrão executa um servidor web com raiz & ninguém usuário que não seja aconselhável, pois executar uma conta privilegiada pode impactar todo o servidor em caso de falha de segurança. Para limitar o risco, você pode criar um usuário dedicado para executar instâncias IHS.

Solução: –

  • Crie usuário e grupo chamado ihsadmin

groupadd ihsadmin
useradd –g ihsadmin ihsadmin

Agora, altere a propriedade da pasta IHS para ihsadmin para que o usuário recém-criado tenha permissão total. Supondo que você tenha instalado no local padrão – / opt / IBM / HTTPServer

chown –R ihsadmin: ihsadmin / opt / IBM / HTTPServer

Vamos mudar de usuário & Valor do grupo em httpd.conf

Usuário ihsadmin
Grupo ihsadmin

Salve o httpd.conf e reinicie o servidor IHS. Isso ajudará o IHS a iniciar como usuário ihsadmin.

Implementar o sinalizador HttpOnly e Secure no cookie

Ter o cookie protegido e em modo de alerta ajudará você a reduzir o risco de ataques XSS.

Solução: –

Para implementar isso, você deve garantir mod_headers.so está ativado no httpd.conf.

Caso contrário, remova o comentário da linha abaixo em httpd.conf

LoadModule headers_module modules / mod_headers.so

E adicione abaixo do parâmetro Header

Cabeçalho editar Set-Cookie ^ (. *) $ $ 1; HttpOnly; Secure

Salve o arquivo de configuração e reinicie o servidor da web.

Mitigar o ataque de Clickjacking

O clickjacking É bem conhecida a técnica em que um invasor pode induzir os usuários a clicar em um link e executar código incorporado sem o conhecimento do usuário.

Solução: –

  • Certifique-se de que mod_headers.so esteja ativado e inclua o parâmetro de cabeçalho abaixo no arquivo httpd.conf

O cabeçalho sempre anexa X-Frame-Options SAMEORIGIN

  • Salve o arquivo e reinicie o servidor.

Vamos verificar, acessando o URL, ele deve ter X-Frame-Options, como mostrado abaixo.

clickjacking-attack-ihs

Diretiva Configure Listen

Isso é aplicável se você estiver tendo várias interfaces Ethernet / IP no servidor. É aconselhável configurar a diretiva absoluta de IP e porta na escuta para evitar que as solicitações de DNS sejam encaminhadas. Isso geralmente é visto em ambiente compartilhado.

Solução: –

  • Adicione o IP e a porta pretendidos no httpd.conf sob a diretiva Listen. Ex:-

Listen 10.0.0.9:80

Adicionar proteção X-XSS

Você pode aplicar a proteção XSS (Cross for Site Scripting) implementando o cabeçalho a seguir, se ele estiver desativado no navegador pelo usuário.

Conjunto de cabeçalho X-XSS-Protection "1; mode = bloco"

Desativar solicitação HTTP de rastreamento

Ter o método Trace ativado no servidor da Web pode permitir o Ataque de rastreamento entre sites e possível roubar informações de cookies. Por padrão, isso está ativado e você pode desativá-los com o parâmetro abaixo.

Solução: –

  • Modifique o arquivo httpd.con e adicione a linha abaixo

TraceEnable off

  • Salve o arquivo e reinicie a instância IHS para entrar em vigor.

Espero que as dicas acima ajudem você a proteger o IBM HTTP Server para um ambiente de produção.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map