Re: sicurezza Web Server

Roberto Bottoni - AfterBit (TMP) wrote:
> Sulla nostra rete c'è un firewall (linux) e dietro, nella DMZ, è posto un
> web server (linux)... mi chiedevo se era o meno il caso di installare anche
> sul web server qualche piccola protezione per aumentare la sicurezza visto
> che sulla porta 80 il traffico è "libero".
> 1) Ci sono dei prodotti in tal senso?

Se il controllo per porte ed indirizzi ip e' gia' effettuato da un 
firewall, sul web server non metterei tantissimi controlli (al max cose 
tipo "blocca ssh proveniente dal firewall" o cose pensate per tener su 
la baracca se ti bucano il firewall). Quello che invece potrebbe essere 
utile sono prodotti tipo mod_security e mod_dosevasive. Con il primo 
puoi implementare controlli altrimenti molto difficili da realizzare, 
tipo filtrare tutte le richieste in modo da bloccare quelle che 
contengono codice SQL (perche' mai uno dovrebbe scrivere codice SQL 
dentro una richiesta alla tua bellissima applicazione web? ;) ), sia sul 
traffico http che https (e qui voglio vederti a farlo con 
qualcos'altro). http://www.modsecurity.org
Il secondo invece consente di impostare dei parametri con cui un 
webserver inizia ad ignorare indirizzi ip (o classi di indirizzi ip) 
troppo "molesti". Va impostato con cura per evitare di chiudere il 
webserver anche ad accessi autorizzati (ad esempio uno che gestisco io 
viene consultato al 60% da dietro un proxy, quindi tutte le richieste 
appaiono da un singolo ip, il quale va *ovviamente* in whitelist, 
altrimenti taglio fuori piu' di meta' utenti). 
http://www.nuclearelephant.com/projects/dosevasive/

> 2) Esistono in rete (o libri) piccoli manuali su come fare almeno le prime
> operazioni di messa in sicurezza di un server?

Si, ne esistono molti, e un buon giro su Google puo' essere piu' utile 
di quanto io possa scrivere. Ad ogni modo consiglio di avvalersi molto 
del buonsenso e di una buona dose di pignoleria: se il nostro server web 
e' strasicuro e possiamo permetterci che vengano scritti dei file in una 
directory, magari e' meglio disabilitare tutti i motori di scripting per 
quella directory, cose di questo genere... ...fatti un quadro completo e 
cerca di "pensarle tutte", ma quello si deve fare sempre :)

> 3) ... e poi.. come ci si può accorgere che siamo (o si è stati) attaccati?

Analisi dei log, possibilmente logging su una macchina diversa dal 
server web e, meglio ancora, una macchina che "tenga d'occhio" 
l'attivita' del server web (potrebbe essere il firewall stesso, 
nell'ipotesi, tutt'altro che remota, che ti buchino il web server 
tramite http): se il webserver si mette a fare ssh in giro (oppure anche 
solo richieste http o dns, ma questo dipende dalla tua applicazione: 
quella con cui lavoro io fa richieste http in giro, quindi il principio 
si applica solo entro certi limiti) probabilmente qualcosa non va...
Altra buona cosa sono i sistemi verifica dell'integrita' dei file, 
magari anche senza andare su controlli impegnativi (verifica di tutti i 
binari, delle librerie e dei file di configurazione del sistema), almeno 
controllo di tutti i file coinvolti dall'applicazione web (sorgenti php, 
cgi, directory...). Qui posso suggerire aide: 
http://www.cs.tut.fi/~rammer/aide.html

> p.s. la distro che utilizzo sul server web è Debian.

Anchi'io...
Ciao
Michele Albrigo

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List