¿Es suficiente para proteger mi servidor?

Hola a todos:

OK, la cuestión es esta: Hemos desarrollado en la empresa donde trabajo un sistema de manejo de información interna basado en Web. Hasta ayer el sistema era accesible sólo dentro de la red privada de la oficina central, pero a partir de ahora estará disponible desde cualquier computadora conectada a Internet.

Para esto hemos abierto el puerto 80 en el router y asociado la IP del router (estática) con la IP privada de la computadora que actuará como servidor Web (aclarando que no se trara de un equipo servidor propiamente dicho sino de una PC de escritorio "estándar" en la cual está instalado el sistema y la base de datos.

Como es de esperarse, nos preocupa que algún intruso pueda colarse a través del sistema y obtener datos de él (penetrando a la base de datos por ejemplo o robando contraseñas de cuentas de usuario). Lo que venimos haciendo hasta ahora como medidas de prevención es:

- Instalación de SO de servidor (pasamos de Windows XP SP2 a Windows 2000 Server).
- Instalación de software cortafuegos (firewall - ZoneAlarm 7).
- Indtalación de antivirus NOD32 3.0 (no tengo a la mano la versión exacta pero es una de las últimas)
- Escaneo de puertos: Sólo están abiertos los puertos correspondientes a Web y Telnet, el resto está cerrado.
- Intento de conexión a la base de datos desde una computadora fuera de la red (y conectada a Internet) mediante MySQL Administrator. La aplicación no pudo conectarse, con lo que supongo que nadie que no tenga cuenta de acceso podrá meterse a la BD.
- Actualización continua del SO (mediane Windows Update), cortafuegos y antivirus
- Escaneo del servidor con Nmap desde un equipo remoto. Detectó 3 puerttos abiertos (23, 24 y 80). No pudo detectar el sistema operativo. Intentó un traceroute (prueba de conteo de saltos) pero no obtuvo respuesta. Detectó la versión de Apache, PHP y MySQL instalados.

Quieramos saber si estas medidas son suficientes para alejar a los intrusos. Cualquier sugerencia es bien recibida.

La aplicación está programada en PHP 5, con base de datos MySQL 5.0 y servidor web Apache.

Muchas gracias.

Como consejo nunca es suficiente, te realizare las siguientes recomendaciones, antes del server instalaria un firewall fisico, si no tienen recursos optaria por un tarro viejo y linux como firewall, las politicas de seguridad estan aplicadas con Active directory, visaria a demas los permisos de usuarios invitados a la carpeta y a las subcarpetas, si quieres me das la direccion y un correo que pueda entregarte el feedback de mi estudio te parece.

Hola:

Gracias por las recomendaciones. Debo aclarar que si bien el equipo del que hablo hace las funciones de servidor Web, no es un servidor en el sentido formal de la palabra. La red aquí no es cliente/servidor, sólo un grupo de trabajo, no utiliza Active Directory ni maneja cuentas de usuario ni permisos de carpetas.

Como uso un equipo con Linux como firewall?

Cualquier cosa me la puedes enviar a daniloquispe en yahoo punto com

Gracias

Es tan sencillo como que instalas un equipo fisico qeu contenga linux el cual sera el que gestione todas las conexiones entrantes/salientes a traves de iptables.

Con el sistema que te dijo Epunanum tu controlas la totalidad de las conexiones que quieres que entren y salgan, sabiendo asi siempre que o quien puede conectarse o no.

SI yo fuera tu, realizaria lo que te hemos dicho, ya que iptables es una gran opcion como medida de seguridad tanto para un server, como para un pc personal.

todo lo indicado me parece muy correcto, pero hay un punto que a mi parecer podria ser un pequeño agujero de seguridad... con un simple snifer podrian capturar usuario y contraseña que estan usando en la web, ya que como has indicado no estas usando HTTPS... como recomendacion seria usarlo, de esa forma la informacion iria cifrada con lo que los snifers no servirian.

Bueno lo del sniffer siempre y cuando alguien pinche un ordenador en el mismo segmento de red porque por si solo, desde internet, eso no va asi.

Es mi opinion.
Hooker

El usar windows te limita en muchos aspectos de seguridad, ciertamente puedes configurar un firewall a través de iptables con GNULinux, (configurando la máquina linux como un servidor proxy o montando tu base de datos en apache pero bajo Linux), podrías implementar también un IDS usando snort/mysql/acid o mediante BASE, para monitorear tu red.

Si usas windows debes asegurarte de que este continuamente actualizado (lo que significa un riesgo mas, porque en ocasiones lo que hace es inutilizar el mismo windows... lo digo por experiencia).
Consulta periodicamente el siguiente sitio para estar al tanto de vulnerabilidades, ya que no solo windows las presenta sino también en algunos casos el servidor Apache.
Y finalmente yo no estaría conforme con usar Nmap ya que en ocasiones falsea la información que presenta, te recomendaría usar Nessus para detectar posibles vulnerabilidades, además nunca esta de más una segunda opinión.

suerte

qué me dices del acceso remoto al servidor (para la administración)

cómo la haces? con el Escritorio Remoto (más conocido como RDC: Remote Desktop Connection) que trae Windows? VNC?

en el sistema que yo tengo, el cual es Intranet, y no queremos abrirlo a Internet, lo que hicimos fué: tenemos una IP pública y configuramos el router para que con esa IP nos pudiéramos conectar por RDC a una de las terminales de la red (no al servidor). y desde esa terminal, accedemos a la aplicación o al servidor (por VNC). es ésto más seguro que si se accediera directamente al servidor por RDC? más seguro que tener el servidor abierto a internet?

Vamos a ver. Da igual el tema de iptables, firewall y tal. Cualquier cortafuegos decente, si está bien configurado, te servirá. Debes tener el puerto 80 abierto así que hay que centrarse en la aplicación y máquina que escucha tras ese puerto. Eso no quita para que un IDS tal como snort, te ayude con las reglas adecuadas a auditar los accesos al servidor web donde se aloja la aplicación.

Supongo que la máquina con la aplicación y el servidor web están en una DMZ. Si no lo está, esto es lo primero que debes hacer. Testear bien, que supongo lo habreis realizado ya, la aplicación para que no tenga ningún resquicio. Siempre actualizado el software de servidor web y la máquina. Desactivación de servivios innecearios. Mysql solo debe ser accesible a través de la aplicación no desde el exterior (por lo que leo en tu post parece que está así).

Cuidado con los cortafuegos basados en software. Son más propensos a caidas o ser desactivados por algún virus, esto no quiere decir que no sea válido, aunque son preferibles por hardware.

Por lo demás parece que lo tienes controlado.