INTRODUCCIN

Apache es uno de los servidores Web ms utilizados y una parte vital cuando
alojamos un website o un servicio Web. Este cuenta con varias herramientas que nos
pueden ayudar a reforzar la resistencia de nuestro website a posibles ataques. En este
documento vamos a ver algunas recomendaciones para reforzar la seguridad de nuestro
servidor apache.

Todas las modificaciones se hacen en el archivo de confirguracion de apache

/etc/httpd/conf/httpd.conf.
Lo primero que se hace es deshabilitar la firma o Banner de Apache
La Firma de Apache es el nombre de la aplicacin junto con su versin que se muestran al
momento de hacer un requerimiento Web. Esta informacin no es necesaria y puede ser
utilizada por un atacante para violar la seguridad del servidor.
Un breve ejemplo, supongamos que Apache versin 1.4 tiene una brecha de seguridad
que es fcil de comprometer y fue solucionada en la versin 1.6, si usted no ha
actualizado y el atacante conoce esta informacin, ya inmediatamente sabr por donde
atacar.
Para deshabilitar esto accedemos al archivo de configuracin de Apache y modificamos
los siguientes valores:
ServerSignature off
ServerTokens ProductOnly
Proseguimos a deshabilitar el HTTP TRACE
HTTP TRACE es usado para devolver toda la informacin recibida. Puede ser modificado
para que devuelva cookies HTTP robando la sesin HTTP. Puede ser utilizado para
ataques de Cross Site Scripting o XSS, as que lo ms recomendable es deshabilitarlo por
cuestiones de seguridad. Modificamos lo siguiente en el archivo de configuracin de
Apache:
TraceEnable off
Confirmamos que Apache corre bajo el usuario y grupo Apache
Es de vital importancia que se asegure que apache corra bajo el usuario y grupo Apache.
Unos de los errores ms grandes que se ha visto es que lo dejan correr como Root y esto
lleva a una seria brecha de seguridad. Para confirmarlo se accede al archivo de
configuracin de Apache, se verifica o se modifica las siguientes directivas.
User apache
Group apache

Se Deshabilita los modulos que no se esten utilizando

Apache cuenta con varios mdulos. Si se quiere ver cules mdulos en el servidor est
corriendo se ejecuta el siguiente comando como root.
# grep n LoadModule /etc/httpd/conf/httpd/conf
Aqu desplegara un Listado con todos los mdulos que Apache carga. Analice la lista y
confirmar cuales utiliza el servidor, los que no, simplemente se comenta la lnea en el
archivo de configuracin.
Se limita el tamao de las solicitudes
Los ataques de Denial of Service (DOS) siempre son posibles cuando se permite
solicitudes de gran tamao en el servidor Apache. Apache cuenta con una directiva para
limitar esto:
LimitRequestBody
Por defecto est ilimitada. Se modifique este valor segn sea la necesidad del sitio web.
No permitir que apache acceda a Directorios fuera de su raiz
Permitirle a Apache que tenga acceso a directorios fuera de su raz es dejar una gran
brecha de seguridad, al menos que realmente se necesite que Apache acceda a ellos.
Para deshabilitar esto slo se tiene que modificar la entrada Directory de Document Root
para que se vea como sigue:
<Directory />
Order Deny, Allow
Deny from all
Options None
AllowOverride None
</Directory>
Implementar Mod_Security

Implementar Mod_Security
2

Uno de los Mdulos ms importante de Apache sin duda es Mod_Security. Este es un

Firewall de aplicaciones web que puede manejar varias tareas incluyendo filtrado simple,
filtrado de expresiones regulares, validacin de la codificacin de una URL, entre otras.
Restringir el acceso a ciertas carpetas IP
Si se quiere que el portal web o una seccin sean vistos desde una IP o segmento de red
especfico se agrega la siguiente entrada en la seccin de Directory.
<Directory /sitioweb o carpeta>
Options None
AllowOverride None
Order deny,allow
Deny from all
Allow from 192.168.1.5
Allow from 192.200.0.0/24
Aqu se le esta diciendo a Apache que slo le permita el acceso a la carpeta indicada a la
direccin y segmento de red especificado.
Protejerse de ataques DDOS
Si hay algo cierto es que no se puede proteger del todo de un ataque DDOS. Aqu se
muestra algunas directivas que se pueden utilizar para protegerse un poco ms de este
tipo de ataques.

Timeout: Esta directiva indica el tiempo que el servidor esperar para que un evento
termine antes de fallar. Su valor por defecto es de 300 segundos. Es bueno mantener
este valor lo ms bajo posible si nuestro sitio es constantemente blanco de este tipo
de ataque. Ahora bien, este valor depender tambin de qu tipo de request recibe en
su sitio.

MaxClients: Esta directiva nos permite configurar el nmero de conexiones que

vamos a permitir simultneamente. Las conexiones nuevas sern puestas en cola a
partir del lmite que configuremos.

KeepAliveTimeout: Es el tiempo mximo que el servidor esperar para un

requerimiento posterior antes de cerrar la conexin.

LimitRequestFields: Nos ayuda a limitar el nmero de solicitudes de encabezados

HTTP que aceptaremos de un cliente. Su valor por defecto es 100. Es recomendable
que reduzcamos el valor si constantemente somos blancos de ataques DDOS.

LimitRequestFieldSize: Nos ayuda a limitar el tamao de una solicitud de

encabezado HTTP.

Mantener actualizado del sistema

Mantener Apache siempre actualizado, y si el sitio Web usa PHP, se debe mantner
actualizado de igual forma para as garantizar que cuenta con los ltimos parches de
seguridad.

CONCLUSIONES

La mayora de administradores no adecua la configuracin a sus requisitos de

seguridad.

Mejorar la seguridad en Apache no es slo crear una buena configuracin.

Mdulos especficos + configuracin refinada == Mayor Seguridad

EGRAFIA
https://sistemascomunic.wordpress.com/redes-de-telecomunicaciones/
Manual de Redes de computadoras. Ing. Faustino Vzquez Camporro