Guía de seguridad y endurecimiento del servidor HTTP de IBM

Ajuste de IBM HTTP Server (IHS) para el entorno de producción


HTTP Server de IBM se utiliza a menudo en combinación con IBM WebSphere Application Server. Algunos de los sitios populares utilizando IBM HTTP Server son:

  • Airtel.in
  • Marriott.com
  • Hsbc.co.uk
  • Mercedes-benz.com.eg
  • Argos.co.uk

IHS se basa en Apache HTTP Server, sin embargo, modificado por IBM para admitir aplicaciones empresariales y soporte de mantenimiento. Tiene muy menos cuota de mercado en el mundo del servidor web, pero todavía se usa ampliamente con WebSphere Application Server.

ihs-market-share

La configuración predeterminada de IHS proporciona mucha información confidencial, que puede ayudar a los piratas informáticos a prepararse para un ataque e interrumpir la operación comercial. Como administrador, debe tener en cuenta el endurecimiento de la configuración de IHS para proteger las aplicaciones web..

En este artículo, explicaré cómo preparar el entorno de producción de IHS para mantenerse seguro & seguro.

Pocas cosas: –

  • Si no tiene IHS instalado en un entorno Linux, puede consultar la guía de instalación aquí.
  • Se recomienda realizar una copia de seguridad de un archivo de configuración.
  • Tiene extensiones de encabezado HTTP en un navegador o puede usar Verificador de encabezado herramienta en línea.
  • Debido a la extensión del artículo, hablaré sobre la configuración SSL en la próxima publicación.

Ocultar el banner del servidor y la información del producto del encabezado HTTP

Probablemente una de las primeras tareas a realizar al configurar el entorno de producción es enmascarar la versión IHS y el Banner del servidor en un encabezado. Esto no es crítico, pero se considera de bajo riesgo como vulnerabilidad de fuga de información y debe hacerlo para la aplicación compatible con PCI DSS.

Veamos cómo la respuesta de solicitud no existe (404) en la configuración predeterminada.

ihs-nonexist-response

Oh no, revela que estoy usando IBM HTTP Server junto con la IP del servidor y el número de puerto, lo cual es feo. Vamos a esconderlos.

Solución: –

  • Agregue las siguientes tres directivas en el archivo httpd.conf de su IHS.

AddServerHeader Off
ServerTokens Prod
ServerSignature Off

  • Guarde el archivo y reinicie el IHS

Verifiquemos accediendo a un archivo inexistente. También puedes usar Herramienta de encabezado HTTP para verificar la respuesta.

ihs-nonexist-response-fixed

Mucho mejor! Ahora no proporciona información sobre productos, servidores y puertos..

Desactivar Etag

El encabezado de Etag puede revelar información de inodo y puede ayudar al hacker a ejecutar ataques NFS. Por defecto, IHS revela el etag y así es como puede remediar esta vulnerabilidad.

ihs-etag

Solución: –

  • Agregue la siguiente directiva en un directorio raíz.

FileETag none

Por ej .:

Opciones de FollowSymLinks
AllowOverride None
FileETag none

  • Reinicie el servidor IHS para que surta efecto.

ihs-etag

Ejecute IHS con cuenta no root

La configuración predeterminada ejecuta un servidor web con root & Ningún usuario que no sea aconsejable ya que se ejecuta a través de una cuenta privilegiada puede afectar a todo el servidor en caso de un agujero de seguridad. Para limitar el riesgo, puede crear un usuario dedicado para ejecutar instancias de IHS.

Solución: –

  • Crear usuario y grupo llamado ihsadmin

groupadd ihsadmin
useradd –g ihsadmin ihsadmin

Ahora, cambie la propiedad de la carpeta IHS a ihsadmin para que el usuario recién creado tenga permiso completo. Suponiendo que haya instalado en la ubicación predeterminada: / opt / IBM / HTTPServer

chown –R ihsadmin: ihsadmin / opt / IBM / HTTPServer

Cambiemos de usuario & Valor de grupo en httpd.conf

Usuario ihsadmin
Grupo ihsadmin

Guarde httpd.conf y reinicie el servidor IHS. Esto ayudará a IHS a comenzar como usuario de ihsadmin.

Implemente HttpOnly y Secure flag en Cookie

Tener cookies protegidas y httponly lo ayudará a reducir el riesgo de ataques XSS.

Solución: –

Para implementar esto debes asegurarte mod_headers.so está habilitado en httpd.conf.

Si no, descomente la línea siguiente en httpd.conf

LoadModule headers_module modules / mod_headers.so

Y agregue debajo el parámetro Encabezado

Edición de encabezado Set-Cookie ^ (. *) $ $ 1; HttpOnly; Secure

Guarde el archivo de configuración y reinicie el servidor web..

Mitigar el ataque de clickjacking

El clickjacking La técnica es bien conocida donde un atacante puede engañar a los usuarios para que hagan clic en un enlace y ejecuten código incrustado sin el conocimiento del usuario..

Solución: –

  • Asegúrese de que mod_headers.so esté habilitado y agregue el siguiente parámetro de encabezado en el archivo httpd.conf

El encabezado siempre agrega X-Frame-Options SAMEORIGIN

  • Guarde el archivo y reinicie el servidor..

Verifiquemos accediendo a la URL, debe tener X-Frame-Options como se muestra a continuación.

clickjacking-attack-ihs

Configurar la directiva de escucha

Esto es aplicable si tiene múltiples interfaces Ethernet / IP en el servidor. Es aconsejable configurar la directiva absoluta de IP y puerto en Listen para evitar que se reenvíen solicitudes DNS. Esto se ve a menudo en un entorno compartido..

Solución: –

  • Agregue la IP y el puerto previstos en httpd.conf en la directiva Listen. Ex:-

Escuchar 10.0.0.9:80

Agregar protección X-XSS

Puede aplicar la protección Cross for Site Scripting (XSS) implementando el siguiente encabezado si el usuario lo deshabilita en el navegador.

Conjunto de encabezado X-XSS-Protection "1; modo = bloque"

Desactivar solicitud HTTP de rastreo

Tener habilitado el método de Rastreo en el servidor web puede permitir el Ataque de Rastreo de Sitio Cruzado y posiblemente robar información de cookies. De forma predeterminada, esto está habilitado y puede deshabilitarlos con el siguiente parámetro.

Solución: –

  • Modifique el archivo httpd.con y agregue la siguiente línea

TraceEnable off

  • Guarde el archivo y reinicie la instancia de IHS para que surta efecto.

Espero que los consejos anteriores le ayuden a fortalecer el servidor HTTP de IBM para un entorno de producción.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map