Configuración básica de Apache

httpd ApacheEn este post se trata de dar una idea de los que pueden ser los primeros pasos a dar tras la instalación de un servidor Apache con PHP.

/etc/php.ini

En primer lugar, podríamos mirar el archivo de configuración del php en busca de las líneas correspondientes a la gestión de la visualización de los mensajes de error. Se recomienda que ambos parámetros estén a Off si se quiere evitar que tras un error en el servidor, se le muestre al usuario el código relativo al error, o incluso el fragmento de código php que lo ha provocado:

display_errors = Off
display_startup_errors = Off

Continuar leyendo «Configuración básica de Apache»

Notas rápidas del MCSA

Nerd
Bueno, después de más de cuatro meses asistiendo a clases para la certificación MCSA de Microsoft, he decidido compartir algunas anotaciones interesantes que se han visto durante el curso, aunque no entran en el temario del mismo. Así que prepararos para una entrada bastante técnica, pero muy útil (o eso espero) para la gente de sistemas:

  • Servidor de ficheros: una buena idea es tener discos «hot swap», para poder reemplazarlos sin necesidad de parar el servicio, en caso de necesidad. Esto no nos sirve, si lo que falla es el disco donde tenemos el sistema operativo; para ello, usaremos 2 discos en espejo.
  • Discos duros: básicamente hablamos de discos SATA y discos SCSI (llamados SAS actualmente). Estos últimos son los recomendados siempre en entornos de empresa, puesto que el rendimiento es mucho mejor a pesar de que el pico de rendimiento puede ser mayor en discos SATA, aunque únicamente en picos puntuales.
  • DMZ: nunca se deberían facilitar accesos directos al exterior desde la red interna. Para ello, usaremos máquinas que harán de intermediarios para los servicios requeridos (como DNS, correo, web, etc.) que se ubicarán en esta DMZ. Estas máquinas perimetrales, no deberían ser miembros del dominio, por temas de seguridad.
  • Servidor Radius/IAS: Montaremos un servidor Radius cuando 1) queramos centralizar ahí las directivas de acceso remoto o 2) queramos autentificar equipos contra servidores que no estén en Directorio Activo
  • NAS vs SAN: entre otras, la diferencia principal es que NAS tiene un sistema operativo que hace toda la gestión, mientras que SAN únicamente comparte disco.
  • Siempre que podamos, intentaremos deshabilitar (no quitar) los componentes no estrictamente necesarios (USB, CD, ciertos tipos de archivo anexos en correos electrónicos, etc.)
  • NetBios: hoy en día, si podemos, deshabilitaremos Netbios en nuestra red. Con ello, deshabilitaremos también la función «Mis sitios de red», ya que únicamente se verá nuestro propio equipo. Los usuarios, por tanto, tendrá que usar la búsqueda por Directorio Activo para encontrar recursos compartidos, impresoras, usuarios, etc. Esto lo haremos, puesto que si tenemos muchos equipos, NetBios puede llegar a colapsar la red.
  • Directorio Activo: agarraos …
    • No montaremos un árbol de dominios con más de 3 niveles de profundidad, puesto que más niveles hacen inviable su gestión.
    • Montaremos un mínimo de 2 Controladores de Dominio por dominio.
    • Antes de montar Directorio Activo, deberemos tener muy claro para qué lo queremos, y siempre, primero se hará la estructura sobre papel.
    • Las cuentas de los usuarios que dejan la empresa, no deberán borrarse en los siguientes 5 años, por temas legales.
    • Los permisos se darán siempre a nivel de grupo.
  • Alto rendimiento: para alto rendimiento, usaremos (si el bolsillo lo permite) una cabina de discos, y montaremos el RAID por hardware que nos permita la cabina.
  • Además, usaremos fibra para la conexión gigabyte, o en su defecto, iSCSI.
  • Auditoría: la auditoría ha de habilitarse para empezar a registrar eventos. Lo que se ha hecho antes de habilitar la auditoría no se podrá auditar. En cualquier caso, para auditar necesitaremos:
    • Directivas: habilitar la directiva de auditoría necesaria, y
    • Recurso: habilitar el recurso que quiero auditar e indicar qué se quiere auditar.
  • Clústers: siempre que podamos, montaremos Clústers con Windows 2008 en lugar de con Windows 2003, por temas de compatibilidad.
  • Tarjetas de red TEAM: este tipo de tarjetas que soportan TEAM, permiten funcionar juntas como una sola (una máquina puede tener por ejemplo 4 tarjetas TEAM a 1 GB cada una, funcionando como una única tarjeta). Ésto nos permitirá usar cada tarjeta para una comunicación. Así, si por ejemplo estamos trabajando con una única comunicación por ejemplo copiando una ISO de 8GB, únicamente estaremos usando una de las tarjetas (a 1GB máximo). Sacaremos provecho al TEAM cuando estemos usando varias comunicaciones de forma simultánea.

¡Espero que os sea de utilidad!

Flickr! Foto por elvissa

Facebook… ¿seguro?

Search & DestroySí, lo reconozco, yo también formo parte de Facebook. Esa peazo red social que permite organizar cenas con los colegas que no veías en años (a las que no suelo poder asistir).

Hoy me he puesto a mirar y tengo realmente muchas solicitudes (de estas que te instalan aplicaciones externas a facebook) de las cuales nunca he aceptado ninguna. Nunca me ha dado demasiada seguridad este tema, así que hoy me he puesto a perder 10 minutos googleando a ver que pasa con este tipo de aplicaciones. (Otro día si acaso hablamos de los datos personales que se introducen en los perfiles de los usuarios, que corresponden a sus contraseñas del hotmail y demás, o de las búsquedas de información que hacen las empresas especializadas cuando necesitan conocer más a fondo a algún empleado).

Símplemente buscando por "seguridad aplicaciones facebook" aparecerán cientos de páginas comentando este problema. Básicamente todas hablan de lo mismo, de lo que se puede leer en Facebook Noticias en donde admiten un problema de seguridad con este tipo de aplicaciones, según un estudio de la compañía Sophos, debido al hecho (acertado bajo mi punto de vista) de permitir que cualquiera pueda crear sus propias aplicaciones y compartirlas en la red social. Muchos medios se hacen eco, aunque en facebook no parece hablarse del tema.

Desconozco hasta qué punto este problema lo es como tal. Que cada cual haga lo que quiera con sus datos en las redes sociales. Yo por si acaso voy a ir borrando mi número de cuenta de mi perfil.

Flickr! Foto por ptufts

Contraseñas de Windows

Mirando los feeds de «una al día» de Hispasec, he ido a parar a un fantástico artículo sobre la seguridad en las contraseñas locales en sistemas Windows dividido en varias entradas. Concretamente está en los siguientes enlaces:

Básicamente comentan la existencia de un fichero donde se almacenan las contraseñas (SAM), que como ya sabemos únicamente se guardan cifradas. Así pues, siempre que se realiza una comprobación de contraseñas realmente se realiza una comprobación del cifrado de las mismas (esta es la razón por la cual en los sistemas «seguros» un administrador nunca podrá recordarte tu contraseña si la has perdido, únicamente podrá crearte una de nuevo, ya que no será capaz de recuperarla a partir del cifrado).

Security

Por lo que nos comentan los amigos de Hispasec, inicialmente Windows usaba el algoritmo LM para el cifrado de las contraseñas (permitiendo contraseñas de hasta 14 carácteres), que introducía numerosos fallos de diseño y facilitaba la vida a los atacantes que buscaban mediante programas de fuerza bruta crear una contraseña que generase el mismo cifrado. Posteriormente Windows sacó el nuevo algoritmo NTLM, mucho más robusto, pero que no añadía seguridad, debido a que hasta la aparición de Windows Vista, se almacenaban los resultados de aplicar ambos algoritmos (LM y NTLM) en el mismo fichero de passwords (SAM), con lo que un atacante únicamente tenía que ignorar la clave NTLM y centrarse, como hasta ahora en el LM.

Como punto a favor, diremos que se puede anular el almacenamiento en cifrado LM usando passwords de 15 o más caracteres, o incluso forzando al sistema a no usarlo

Como último apunte, me quedo con el intento de añadir seguridad por parte de Microsoft, añadiendo un cifrado del cifrado con el uso de Syskey, que da las opciones (que nadie, que conozca, usa o ha usado) de tener que introducir manualmente el cifrado al iniciar el PC, o mediante el uso de un disquette, imposibilitando así que un atacante pueda conseguir este segundo cifrado (ya que está en tu cabeza o en un medio físico externo).

Flickr! Foto por Brad & Sabrina

La importancia de los Backups

Backups¿Quién no ha perdido en alguna ocasión datos importantes, y no ha podido recuperarlos por no tener una copia de seguridad? Hace poco, una empresa cliente ha tenido que cambiar de firewall ya que el anterior les ha dejado de funcionar. Al nuevo firewall le han cargado la copia de seguridad de la configuración más reciente: una configuración de hace algo más de tres meses, que obviamente no contempla muchos de los cambios que se han venido haciendo desde entonces. Esto nos ha ocasionado mucho trabajo; trabajo que ya habíamos hecho, y por tanto, mucha pérdida de tiempo, y todo debido a que la empresa cliente no tenía una buena política de copias de seguridad.

Tan importante como tener una buena política de copias de seguridad, es cómo se realizan estas copias. Y no me refiero a la metodología (periodicidad, copias incrementales, etc.), sino a la seguridad de las mismas. En entornos empresariales pequeños, en los que las copias de seguridad corren en DVDs o en discos extraíbles, prima que no nos sea un problema el caso de pérdida o sustracción de alguna de estas copias de seguridad. Esto nos lleva a la inevitable y necesaria encriptación de los datos de que constan nuestras copias. Este punto es sumamente importante si, por ejemplo como en el caso de la empresa anterior, nuestro backup contiene la configuración del firewall de nuestra empresa. Obviamente no nos interesa que nadie pueda ver nuestras políticas de seguridad de red, ya que perderíamos gran parte de esa «seguridad». Igualmente, al trabajar con datos de clientes, proveedores o empleados, típicos de las bases de datos sobre las que se realizan los backups empresariales, es aún más importante que el administrador de sistemas se asegure de que dichos datos no puedan caer en manos ajenas, y que en caso de que así sucediese, no puedan ser accesibles.

Todo esto está muy bien, pero algo que creo no se acostumbra a hacer, es comprobar si las copias de seguridad que tenemos contienen todos los datos que queremos que contengan, y nos permiten recuperarlos en el mínimo tiempo posible. Por ejemplo, supongo que no será extraño empezar a trabajar en una empresa, y encontrarte toda la política de copias de seguridad ya definida, pero no encontrar por ningún lado definida la política de restauración de estas copias de seguridad. Quizá sería una buena idea, establecer metodologías para la recuperación de los datos de las copias de seguridad, para que cualquier persona pueda recuperar los datos en el menor tiempo posible.

Flickr! Foto por godog