Apache Web Server

AUDITORIAS ESPECFICAS

Presentado por: Jheidy Lizeth Aguirre Ocampo

Presentado a: PhD. Carlos Hernn Gmez

Universidad de Caldas
Facultad de Ingenieras
Ingeniera de Sistemas y Computacin
Manizales, 03 de Julio de 2014

Tabla de contenido
1. INTRODUCCIN

1.1. CARACTERSTICAS
1.2 APACHE: IMPACTO Y RIESGO DEL NEGOCIO
1.3. MDULOS
1.4 COBIT COMO MARCO DE REFERENCIA

2
3
3
4

2. OBJETIVOS Y ALCANCE

3. PROGRAMA DE AUDITORIA

4. GUIAS DE AUDITORIA

5. ANLISIS DE MADUREZ

11

6. CONCLUSIONES Y OBSERVACIONES

12

7. BIBLIOGRAFIA

13

13

1. INTRODUCCIN
Apache Web Server, comnmente conocido como Apache, es el servidor web ms
popular en uso hoy en da y es responsable de ms del 50 por ciento de las bases
instaladas de servidor web. Apache se utiliza principalmente para mostrar las
pginas web en la World Wide Web. Reside como una aplicacin en un equipo
host o servidor. Apache opera en la mayora de sistemas operativos (hosts),
incluyendo las distintas versiones propietarias de UNIX, Linux, Windows Server y
Macintosh de Apple, proporcionando la portabilidad y la coherencia entre
plataformas operativas. Proporciona la plataforma bsica del entorno operativo
para las aplicaciones web de soporte especficos, incluidos los sistemas de
gestin de bases de datos, gestin de contenido dinmico, programacin de
servidor, etc. Apache opera como un proceso, utilizando el sistema operativo host
con soporte bsico, seguridad incluida, control de acceso, etc.
Apache es desarrollado por la Apache Software Foundation (ASF). La licencia es
de cdigo abierto, lo que requiere que el usuario preserve la informacin de
copyright, pero permite que el cdigo fuente pueda ser modificado y / o distribuido
libremente. Algunos proveedores de hardware incluyen Apache con su sistema
operativo; otros proporcionan enlaces del sitio Web de Apache Software
Foundation. Los usuarios pueden descargar el cdigo fuente, determinar los
componentes que se incluirn en su versin interna y compilar una versin
ejecutable personalizada del Apache Web Services Server.

1.1. Caractersticas
Entre las caractersticas ms significativas se puede destacar:
Es modular
Multiplataforma
Permite crear servidores virtuales
Permite crear servidores seguros https

13

 Permite crear sitios privados

Permite crear sitios de usuario
Se crean actualizaciones con una gran rapidez y seguridad.
Implementa el protocolo HTTP/1.1

1.2 Apache: Impacto y Riesgo del negocio

Los riesgos de Apache son resultantes de las ineficaces o incorrectas
configuraciones del sistema operativo, dependen de las solicitudes tramitadas por
el servidor web. Estas cuestiones podran incluir:
Revelacin de informacin privilegiada
Prdida de bienes fsicos
Prdida de la propiedad intelectual
La prdida de la ventaja competitiva
Prdida de confianza de los clientes
Prdida de la reputacin
Violacin de los requisitos reglamentarios
La interrupcin de la infraestructura informtica da como resultado la
incapacidad para llevar a cabo funciones crticas del negocio
Infeccin de los sistemas informticos con los virus y otros similares para
interrumpir el procesamiento
Uso del servidor web como una plataforma de lanzamiento para
actividades maliciosa en contra de otras entidades

1.3. Mdulos
La arquitectura del servidor Apache es muy modular. El servidor consta de una
seccin core y diversos mdulos que aportan mucha de la funcionalidad que
podra considerarse bsica para un servidor web. Algunos de estos mdulos son:

mod_ssl - Comunicaciones Seguras va TLS.

mod_rewrite - reescritura de direcciones (generalmente utilizado para

transformar pginas dinmicas como php en pginas estticas html para as
engaar a los navegantes o a los motores de bsqueda en cuanto a cmo
fueron desarrolladas estas pginas).

mod_dav - Soporte del protocolo WebDAV (RFC 2518).

13

mod_deflate -

Compresin

transparente

con

el

algoritmo deflate del

contenido enviado al cliente.

mod_auth_ldap - Permite autentificar usuarios contra un servidor LDAP.

mod_proxy_ajp - Conector para enlazar con el servidor Jakarta Tomcat de

pginas dinmicas en Java (servlets y JSP).

mod_cfml - Conector CFML usado por Railo.

El servidor de base puede ser extendido con la inclusin de mdulos externos

entre los cuales se encuentran:

mod_cband - Control de trfico y limitador de ancho de banda.

mod_perl - Pginas dinmicas en Perl.

mod_php - Pginas dinmicas en PHP.

mod_python - Pginas dinmicas en Python.

mod_rexx - Pginas dinmicas en REXX y Object REXX.

mod_ruby - Pginas dinmicas en Ruby.

mod_aspdotnet -

Pginas

dinmicas

en .NET

de

Microsoft (Mdulo

retirado).

mod_mono - Pginas dinmicas en Mono

mod_security - Filtrado a nivel de aplicacin, para seguridad.

1.4 COBIT como marco de referencia

Los procesos de TI de COBIT, DS9
Entregar y Dar Soporte (DS) aborda
integridad de las configuraciones de
establecimiento y mantenimiento de

Administrar la configuracin del dominio

las buenas prcticas para garantizar la
hardware y software. Esto requiere el
un depsito de configuracin exacta y
13

completa. Las secciones de DS5 Garantizar la seguridad de sistemas y AI3

Adquirir y mantener la infraestructura tecnolgica son relevantes en el proceso de
implementacin.

2. OBJETIVOS Y ALCANCE
Objetivo
Proporcionar a la direccin una evaluacin independiente en relacin con la
eficacia de la configuracin y la seguridad de los servidores Apache Web Services
en el entorno informtico de la empresa.

Alcance
La revisin se centrar en las configuraciones de los correspondientes servidores
Apache Web Services dentro de la empresa. La seleccin de las aplicaciones /
funciones y servidores especficos se basar en los riesgos introducidos a la
empresa por estos sistemas.

3. PROGRAMA DE AUDITORIA
Pasos
1. PLANIFICACIN Y ALCANCE DE LA AUDITORA
1.1 Definir los objetivos de auditora / aseguramiento.
1.2 Definir los lmites de la revisin.
1.3 Identificar y documentar los riesgos.
1.4 Definir los cambios en el proceso.
1.5 Definir el xito de la asignacin.
1.6 Definir los recursos de auditora / aseguramiento requeridos.
1.7 Definir los entregables.
1.8 Comunicaciones
2. PASOS PARA LA PREPARACIN
2.1 Obtener y revisar el organigrama actual de las funciones de gestin y de
seguridad del sistema operativo.
2.2 Determinar si una auditora del sistema operativo host ha sido realizada.
2.3 Seleccione los servidores que se incluirn en la revisin.
2.4 Obtener la documentacin de configuracin web para los servidores a ser
revisados.
3. SISTEMA HOST
3.1 Sistema host
13

Objetivo de la auditora: El sistema operativo del servidor que aloja el servidor

web est configurado para hacer frente a las vulnerabilidades de seguridad
identificadas o controles de compensacin para los riesgos residuales.
3.1.1 Configuracin del sistema operativo del host en el servidor web
3.1.2 Actualizaciones de seguridad del servidor Web
3.1.3 Usuarios con acceso a chroot
3.1.3.1 Identificar los usuarios que tienen acceso a chroot.
3.1.3.1.1 Determinar si los siguientes directorios estn restringidos de
acceso de root: (/etc/group, /etc/passwd, /etc/sudo)
4. SERVIDOR WEB
4.1 Mdulos de servidor web habilitado
4.1.1 Poltica del mdulo de servidor Web
4.1.2 Mdulos innecesarios son deshabilitados
4.1.3 Mdulos de servidor Web necesarios son habilitados.
4.2 Autenticacin segura
4.2.1 Acceso restringido del Servidor Apache a O / S
4.2.2 Servidor Apache UID no tiene ningn directorio o Shell
4.2.3 Servidor Apache tiene un archivo de contraseas separado
4.3 Asegurar los servicios de red
4.4 Componentes de Seguridad del Servidor
5. SERVICIOS DE GESTIN COMPARTIDA DE TI
5.1 Administracin de revisiones
5.2 Gestin de registros
5.3 Gestin de Incidentes
5.4 Prevencin y monitoreo de intrusos
6. SERVIDOR WEB DE COMPONENTES ADICIONALES
6.1 El profesional de la auditora / aseguramiento puede agregar pasos de
auditora para las extensiones SSL web, componentes de contenido web
dinmicas, incluir del lado del servidor, interfaces de puerta de enlace comn
(CGI) y sistemas de gestin de bases de datos. Dado que estos componentes
varan segn la instalacin, es preferible adaptar el programa de auditora /
aseguramiento para adaptarse a los componentes especficos de la instalacin.

4. GUIAS DE AUDITORIA
Documento:
Tipo de Documento:
Empresa Auditora:
Empresa Auditada:
Auditores:

AUDIE1101
Lista de Chequeo
Diligenciada por:

Fecha:
13

Proceso
Objetivo
Aspecto a
considerar

DS9 Administrar la configuracin

Garantizar las configuraciones
hardware y software
Cumple

No Cumple

de

Observaciones

1. Se tiene un
repositorio
de
todas
las
configuraciones
que
permita
rastrear
los
cambios, o saber
la
manera
adecuada
de
proceder
ante
actualizaciones?
2.
Las
actualizaciones
del
sistema
operativo
se
aplican de forma
rutinaria?
3.
Existen
polticas
que
prescriban cmo
se evalan las
actualizaciones de
seguridad,
priorizadas,
probadas
y
aplicadas a los
servidores
de
produccin?
4. El Servidor
Web Apache tiene
un
archivo
separado
de
contraseas para
el
acceso
al
Servidor
Web
Apache?
13

5. Hay alguna
dependencia en la
empresa
designada
a
monitorear, y dar
soporte
a
la
configuracin del
servidor
Web
Apache
?
6. Se revisan
peridicamente
los
datos
de
configuracin para
verificar
y
confirmar
la
integridad de la
configuracin
actual e histrica?
Documento:
Tipo de Documento:
Empresa Auditora:
Empresa Auditada:
Auditores:

AUDIE1201
Lista de Chequeo

Proceso

DS5 Garantizar la seguridad de los

sistemas
Mantener
la
integridad
de
la
informacin y de la infraestructura de
procesamiento y minimizar el impacto
de las vulnerabilidades e incidentes de
seguridad.

Diligenciada por:

Objetivo

Aspecto a
considerar

Cumple

No Cumple

Fecha:

Observaciones

1. Los directorios
del servidor Web
estn protegidos
contra el acceso
no
autorizado
usando chroot.?

13

2.
Existen
directorios
que
estn restringidos
del ROOT.?
3.
La
configuracin de
la red limita a los
puertos 80 (HTTP)
y (443) de SSL?
4. Se utilizan
tcnicas
de
seguridad
y
procedimientos de
gestin
relacionados (por
ejemplo, firewalls,
dispositivos
de
seguridad,
segmentacin de
redes, deteccin
de intrusos) para
autorizar
el
acceso y el control
de los flujos de
informacin desde
y hacia las redes?
5. Se prueba y
supervisa
la
implementacin
de la seguridad de
TI
de
forma
proactiva?
6.
Existen
procedimientos
para la gestin de
incidencias?
7. Se definen
claramente
y
comunican
las
caractersticas de
posibles
incidentes
de
seguridad
para
que puedan ser
13

debidamente
clasificados
y
tratados por el
proceso
de
gestin
de
incidentes
y
problemas?
8.
Las
actividades de la
web se incluyen
en
el
procedimiento de
gestin
de
incidencias?

Documento:
Tipo de Documento:
Empresa Auditora:
Empresa Auditada:
Auditores:

AUDIE1301
Lista de Chequeo

Proceso

AI3
Adquirir
y
mantener
la
infraestructura tecnolgica
Analizar la eficiencia de los Sistemas
Informticos su comportamiento, la
verificacin del cumplimiento de la
normativa general de la empresa en
este mbito y la revisin de la eficaz
gestin de los recursos materiales y
humanos informticos.

Diligenciada por:

Objetivo

Aspecto a
considerar

Cumple

No Cumple

Fecha:

Observaciones

1. Se tienen
implementadas
medidas
de
control, seguridad
y
auditabilidad
internos durante la
configuracin,
integracin
y
mantenimiento de
13

hardware
y
software
de
infraestructura
para proteger los
recursos
y
garantizar
la
disponibilidad y la
integridad?
2.
Las
responsabilidades
para el uso de los
componentes de
infraestructura
sensitiva,
estn
claramente
definidas
y
entendidas
por
aquellos
que
desarrollan
e
integran
los
componentes de
infraestructura?
3. Se cuenta con
un
plan
de
mantenimiento de
la infraestructura?
4. Se desarrollan
estrategias, y se
asegura de que
los cambios son
controlados
de
acuerdo con el
procedimiento de
gestin
del
cambio
de
la
organizacin?
5. Se hacen
revisiones
peridicas
para
las necesidades
del
negocio,
gestin
de
parches,
actualizacin de
13

las
estrategias,
riesgos,
evaluacin
de
vulnerabilidades y
requerimientos de
seguridad?

5. ANLISIS DE MADUREZ
De acuerdo a los resultados encontrados en la auditoria del servidor Web Apache,
determinar el nivel de madurez para los 3 procesos contemplados por COBIT para
esta auditora.
Proceso
0

Nivel de Madurez
3

DS9
Administrar la
configuracin
DS5
Garantizar la
seguridad de
los sistemas
AI3 Adquirir y
mantener la
infraestructur
a tecnolgica
Niveles de madurez
0 No Existente
1 Inicial / Ad Hoc
2 Repetible pero Intuitivo
3 Definido
4 Administrado y Medible
5 Optimizado

6. CONCLUSIONES Y OBSERVACIONES
El Apache Web Server es una excelente opcin a la hora de escoger montar un
Servidor Web, su caracterstica open-source lo hace asequible a toda persona
13

(dado que es gratis). Su robustez y desempeo de alta calidad (comparable con

servidores Web de estilo comercial) lo hacen la mejor de las opciones a la hora de
escoger un servidor Web de alta calidad, buen desempeo y costo nulo. Con esto
queremos decir que solo la compra del equipo (hardware) seria nuestra nica
inversin a la hora de ubicar los servidores Web en un sitio de Internet.
El ser de libre uso lo hace extremadamente configurable y expandidle, adems su
forma de programacin por mdulos es extremadamente til dado que podemos
configurar as un servidor Web que responda a nuestras necesidades (tanto de
hardware como de software) bsicas primordiales y luego en un futuro expandir el
mismo segn el crecimiento del trfico en nuestro sitio Web.

13

7. BIBLIOGRAFIA

http://documentacion.nexun.org/mediawiki/index.php/13._Introducci
%C3%B3n_a_Apache._Versiones._Instalaci%C3%B3n_y_resoluci
%C3%B3n_de_problemas._Servicios_y_programas_instalados.

http://www.ite.educacion.es/formacion/materiales/85/cd/linux/m3/index.html

http://www.isaca.org/Journal/Past-Issues/2003/Volume-5/Pages/ApacheSecurity-Controls-and-Auditing.aspx

Documento de clase: T42WAPAW-Apache-Web-Server-Research

13