Hardening de servidores web

¿Qué es y por qué es importante el hardening de servidores web para la ciberseguridad?

Para una defensa informática en profundidad, se debe contar con medidas de seguridad eficaces para todos los elementos de un sistema. Por eso, en la mayoría de ocasiones, la ciberseguridad se aborda por medio de la protección articulada de las siguientes capas:

• El perímetro de red.
• El dispositivo.
• Las aplicaciones.
• Los datos.

Para cada capa existen diferentes técnicas y herramientas que sirven para eliminar fallos y aumentar sus niveles de seguridad al máximo. No obstante, se puede decir con certeza que ninguna medida de ciberseguridad es suficiente por sí sola, dado lo complejos que son los sistemas actualmente.

En otras palabras, no existe una sola herramienta que sirva para proteger al 100% un perímetro de red, un dispositivo, una aplicación o una cadena de datos. No obstante, sí es posible utilizar conjuntos de herramientas y tácticas para garantizar niveles óptimos de seguridad y respuesta ante ataques.

En este post, hablaremos sobre una de las técnicas que debe aprender un miembro del Blue Team con el fin de aumentar al máximo el nivel de seguridad de una aplicación web. A continuación, te explicaremos qué es el hardening de servidores web y cuáles son los principales elementos a tener en cuenta para este proceso.

¿Qué es el Hardening de servidores web?

El hardening de servidores web es una técnica de defensa en ciberseguridad que consiste en cerciorarse de que la configuración de un servidor es completamente segura. La razón por la que hacer hardening de servidores web es importante radica en que muchos fallos de seguridad se encuentran en las configuraciones por defecto de los servidores.

Los servidores web son programas que permiten establecer una relación entre clientes y servidores para el intercambio de peticiones y respuestas HTTP. Estos softwares son indispensables para el desarrollo de aplicaciones web y los atacantes pueden encontrar vulnerabilidades en ellos. Por eso, es necesario preparar los servidores web como si fuesen a ser atacados por un hacker. Para ello, se recomienda tener presentes los siguientes elementos de la configuración de estos servidores.

Configuración

Ahora que hemos visto en qué consiste el hardening de servidores web, hablaremos sobre cuáles son aquellos elementos de la configuración de los servidores a tener en cuenta para este proceso.

Configuración general:

• Habilitar los logs de acceso con el fin de tener un registro de las interacciones con el servidor web. Esto será útil para hacer análisis forenses, en caso de que se produzcan ciberataques contra la aplicación o el servidor.
• Deshabilitar peticiones HTTP Trace & Track.
• No utilizar el usuario root, ya que este tiene privilegios para ejecutar cualquier tipo de comandos y aplicaciones en el servidor. Por eso, los atacantes pueden utilizarlo para realizar tareas dañinas en contra de los servidores, las aplicaciones y sus clientes.
• Restricciones de direcciones IP específicas.
• Deshabilitar las versiones de SSL desactualizadas (SSLv2 y SSLv3).
• Deshabilitar en listado de directorios para que no se le permita al atacante hacer un mapeo fácil de la superficie de ataque de la aplicación. Es un error muy común que sirve para enriquecer la cantidad de información que recopilan los atacantes al estudiar la aplicación.
• Eliminación de módulos de la aplicación no utilizados, que amplían la superficie de ataque y pueden acumular desactualizaciones o fallos de seguridad.
• Utilizar Web Application Firewalls (WAF), que, como su nombre indica, son cortafuegos especiales para regular el tráfico de entrada y salida de una aplicación web. De este modo, los usuarios no pueden hacer peticiones maliciosas a la app.
• Actualización de todos los softwares, ya que las versiones antiguas tienen fallos de seguridad conocidos, que son muy fáciles de explotar para los atacantes.
• Monitorización de la base de datos de Certificate Transparency, la cual tiene información en tiempo real sobre los certificados de aplicaciones web y, de este modo, permite verificar la confiabilidad de los sitios y cazar amenazas.
  

Otras configuraciones recomendadas:

• Ajustes específicos según el tipo de servidor: cada servidor web, como Apache, Nginx o IIS, tiene sus propias configuraciones y mejores prácticas. Por eso, al hacer hardening, es esencial conocer las particularidades de cada uno. No es lo mismo proteger un Apache que un Nginx.
• Fortalecimiento del sistema operativo: no basta con asegurar el servidor web. También es crucial fortalecer el sistema operativo en el que se ejecuta. Esto implica aplicar parches de seguridad, configurar firewalls y seguir las mejores prácticas específicas para cada sistema operativo. Si descuidas el SO, es como dejar la puerta trasera abierta.
• Gestión de contraseñas y autenticación: aquí no hay que escatimar esfuerzos. Implementa políticas robustas de contraseñas, usa autenticación de dos factores y gestiona las credenciales de manera segura. No queremos que cualquier curioso pueda acceder al servidor.
• Encriptación: asegurar la encriptación de datos tanto en reposo como en tránsito es vital. De esta manera, proteges la información sensible contra miradas indiscretas y ataques maliciosos. Piensa en la encriptación como un candado para tus datos.
• Segmentación de red y aislamiento: implementa una arquitectura de red segura que aísle los servidores web y limite el acceso no autorizado. Es como crear diferentes habitaciones en una casa, donde cada una tiene su cerradura.
• Backups y recuperación ante desastres: no te olvides de los backups. Establece políticas de copias de seguridad regulares y planes de recuperación ante desastres. Así, si algo sale mal, puedes volver a la normalidad sin mayores contratiempos.
• Herramientas y automatización: existen muchas herramientas automatizadas que facilitan el proceso de hardening, realizando escaneos de vulnerabilidades y aplicando configuraciones seguras. Pero ojo, no confíes solo en ellas. Combínalas con revisiones manuales y conocimiento experto para estar bien cubierto.

Monitorización y mantenimiento continuo

El hardening no es una tarea que haces una vez y olvidas. Es un proceso continuo. Implementa sistemas de monitorización y detección de intrusiones, realiza pruebas de penetración regulares y mantén todo actualizado. La seguridad es una carrera sin línea de llegada.

Cumplimiento normativo

No olvides el cumplimiento normativo. Cada sector y región tiene sus propias regulaciones, como GDPR en Europa, PCI-DSS para pagos con tarjetas, HIPAA para salud en EE.UU., o ISO 27001 para seguridad de información global. Cumplir estas normas no solo evita sanciones, sino que también mejora la seguridad general.

Identifica las regulaciones que te aplican, implementa medidas para cumplirlas y mantente al día con nuevas normativas. Esto te proporciona un marco sólido de mejores prácticas para fortalecer la seguridad de tus servidores web.

Seguridad proactiva vs. reactiva

El hardening de servidores web se considera una técnica de seguridad proactiva, ya que busca impedir el éxito de los miles de ciberataques que se intentan diariamente en la red. Es altamente efectivo invertir en la seguridad proactiva para sistemas y aplicaciones, ya que ahorran mucho tiempo y dinero en daños. No obstante, esto no quiere decir que la seguridad reactiva no sea necesaria. El hardening de servidores web es imprescindible, pero se debe combinar con métodos de respuesta efectivos contra ciberataques.

Si quieres aprender cómo hacer hardening de servidores web, en KeepCoding tenemos la mejor formación teórica y práctica para ti. Ingresa a nuestro Ciberseguridad Full Stack Bootcamp y especialízate en tan solo 7 meses. ¡No sigas esperando para cambiar tu vida e inscríbete ya!