La seguridad de los sitios web es una de las cosas que más preocupan a los empresarios y emprendedores que trabajan con Internet. Hoy en día no es nada difícil despertarse y ver que te han hackeado tu página, o que ésta redirige hacia otro lado por algún tipo de inyección de código.
Muchos de estos ataques se deben a que la aplicación web no está bien asegurada a nivel de código, en la estructura y diseño de su programación. Por otra parte siempre es responsabilidad del proveedor de web hosting brindar un alojamiento seguro, es decir, tomar las medidas para que tu web se aloje en servidores seguros.
Hoy exploraremos el concepto de servidores seguros, veremos de qué se trata, sus características y diversas opiniones sobre servidores seguros a nivel técnico para evaluar cuál es la mejor forma de proteger tu web desde la capa del sistema operativo y sus servicios.
Contenido
- 1 ¿Qué es un servidor seguro?
- 2 Características de los servidores seguros
- 2.1 Encriptan la información usando un Certificado SSL
- 2.2 Disponen de Técnicos de Soporte disponible 24 horas
- 2.3 Usan protección AntiSpam y AntiMalware
- 2.4 Están protegido por un sistema de detección de intrusos
- 2.5 Filtran las conexiones entrantes y salientes con un firewall
- 2.6 Utilizan CloudLinux para enjaular a sus usuarios
- 2.7 Actualizados y parcheados de forma constante
- 2.8 Realizan respaldos de la información
- 3 Ventajas de un servidor seguro
- 4 Planes de hosting en servidores seguros
- 5 Tipos de servidores seguros
- 6 Opiniones sobre servidores seguros
- 7 Conclusión
¿Qué es un servidor seguro?
Un servidor seguro es un servidor de datos o aplicaciones al que se le han aplicado configuraciones para resistir mejor ataques de terceros desde Internet (hardening). Así se consigue mitigar intrusiones remotas, ataques man in the middle, inyecciones de código malicioso, ataques DOS y DDOS, etc.
También se considera como servidores seguros a aquellos que usan un certificado SSL/TLS para encriptar la información utilizando algoritmos especializados aseguran el tránsito de los datos entre el cliente y servidor web.
Todos los servidores deberían asegurarse contra ataques externos e internos, pero cobran especial atención aquellos que son utilizados para alojar información sensible de personas, empresas u organizaciones, tales como:
- Datos personales com direcciones, nombres o teléfonos
- Datos digitales como email, usuarios y contraseñas
- Información de tarjetas de crédito, bancos y otras entidades financieras.
Características de los servidores seguros
Veamos ahora las características de los servidores seguros, es decir, las particularidades que hacen que puedan ser considerados como «seguros».
Encriptan la información usando un Certificado SSL
Esta es una de las principales características que hacen que un servidor pueda ser más seguro que otros. En realidad los certificados SSL no se aplican sobre el servidor, sino que aplican directo a las páginas web que se despachan desde allí.
El hacer uso de certificados SSL en una página web ayuda enormemente a reducir ataques que buscan obtener información sensible como números de tarjeta de crédito, contraseñas, etc.
También a nivel de servidor se pueden aplicar certificados de seguridad digitales SSL para cifrar el acceso a servicio de correo por webmail (utilizando IMAP), así como servidor SMTP, servidor POP3, o al panel de control cPanel/WHM.
Disponen de Técnicos de Soporte disponible 24 horas
Esto es fundamental cuando pensamos en seguridad. Un servidor nunca puede estar asegurado si no cuenta con un equipo de administración de servidores Linux / Unix o Windows que esté allí atento ante cualquier incidente.
Sea una infección de malware, virus, un intento de hackeo a nivel de root, o bien un ataque DDOS, toda empresa seria de servidores o web hosting debe tener un equipo técnico preparado para mitigar o sobrellevar cualquier tipo de problema referido a la seguridad de sus sistemas.
Usan protección AntiSpam y AntiMalware
Incluso en Unix y Linux existen virus, por lo que es una tarea vital tener varios antivirus y scanners antimalware corriendo scans diariamente o listos para ejecutar un escaneo a demanda sobre diferentes directorios y bases de datos si es necesario.
Software anti-malware como CXS (ConfigServer Exploit Scanner), Maldet, ClamAV o utilidades para verificar backdoors y troyanos como Chkrootkit y Rootkit Hunter son fundamentales. También utilidades para filtrado de correo como SpamAssassin son realmente efectivos para reducir el correo basura, y mantener los virus lejos al integrarse con ClamAV.
Contar con hosting con protección antimalware, antivirus y antispam se vuelve entonces otro requisito fundamental.
Están protegido por un sistema de detección de intrusos
Tener un sistema de deteccion de intrusos es una de las cosas fundamentales que no puede faltar en un servidor al que se le ha aplicado un hardening robusto.
Aplicaciones y servicios tales como Snort, OSSEC, AIDE, Fail2Ban o incluso la suite de seguridad integrada del firewall CSF resultan geniales para monitorear, detectar y bloquear diferentes intentos de explotación de recursos, escaneos o intrusión al servidor.
Filtran las conexiones entrantes y salientes con un firewall
El uso de un firewall de sistema (en español conocido como cortafuegos) es otra pieza fundamental de la seguridad informática de sistemas.
Cuando hablamos específicamente de firewalls para servidores Unix y Linux lo ideal es decantarse por dos opciones:
- Firewalls nativos de cada distribución: iptables, firewalld o bien el popular UFW (uncomplicated firewall).
- Firewalls desarrollados por terceros: los mejores ejemplos son APF, CSF, pfsense, IPCop, Shorewall, entre otros.
Gracias a los firewalls podemos filtrar el tráfico no deseado, y permitir sólo el que queremos bajo determinadas reglas, puertos y protocolos.
Utilizan CloudLinux para enjaular a sus usuarios
CloudLinux es hoy por hoy la solución más robusta en seguridad de sistemas para la industria de web hosting y servidores Linux. Sea para servidores de alojamiento web compartido, como para servidores dedicados, VPS o Cloud Hosting.
CloudLinux es en palabras sencillas, una distribución comercial basada en GNU/Linux que se instala sobre el servidor donde va a funcionar.
Permite control de recursos a nivel de hardware, software y a su vez se caracteriza a nivel de seguridad por ofrecer versiones alternativas y parcheadas de PHP, virtualización/enjaulamiento de cada usuario bajo su propio chroot, haciendo que permanezcan aislados ante cualquier explotación a dichas cuentas.
Actualizados y parcheados de forma constante
Para que un sistema pueda reducir al máximo las vulnerabilidades en su software y servicios debe mantenerse siempre al día.
Esto es vital ya que aplicar a tiempo las actualizaciones que corrigen bugs y agujeros de seguridad en el código es algo vital para evitar intrusiones y ataques no deseados.
Suscribirse a boletines de seguridad de los proveedores de software que usamos en nuestros servidores es un paso fundamental para estar informado.
Otra forma muy efectiva de estar siempre actualizado es configurar el sistema para que realice actualizaciones automáticas, aunque muchas veces pueden causar cambios drásticos al sistema o aplicaciones, hay que hacerlo con cuidado si es que se implementa.
Realizan respaldos de la información
Realizar backups de toda la información es una de las mejores prácticas que las personas pueden realizar cuando tienen un servidor a su cargo a nivel de la administración del sistema.
Existen dos tipos de respaldos recomendados:
- Locales: pueden ubicarse en el mismo centro de datos o lugar físico, pero en diferentes servidores o unidades de almacenamiento en red, y su frecuencia puede ser diaria o semanal.
- Remotos: son respaldos que se copian hacia servidores que están por fuera de la red original, en otro centro de datos, y si es posible en un estado o país diferente al original, se pueden almacenar copias semanales o mensuales.
Esto te asegura que cualquier tipo de incidente de seguridad o bien ruptura de hardware/software crítica no cause pérdidas en tus datos, manteniéndolos a salvo en todo momento.
Ventajas de un servidor seguro
¿Cuáles son las ventajas de tener servidores seguros? Vamos a ver qué beneficios tienen para nuestra empresa o negocio con presencia online.
Evitas pérdidas de datos
Uno de los mayores beneficios y ventajas de tener un servidor seguro es que podrás tener tus datos seguros durante todo momento.
En realidad es difícil que un sistema o aplicación esté 100% segura, de hecho es una utopía, pues siempre algún genio informático podrá encontrar una vulnerabilidad.
Pero manteniendo tus datos en un servidor que ha tomado todas las medidas posibles para evitar intrusiones y pérdidas de datos, dormirás más tranquilo pues reduces mucho las chances de perder tu valiosa información.
Evitas perder clientes y visitas
No hay nada peor que irte de vacaciones, o salir durante un fin de semana para volver y encontrarte con que tu web ha sido hackeada.
Los atacantes han explotado una vulnerabilidad en tu sitio web, han accedido a tus archivos o bases de datos y han reemplazado la información original por mensajes ofensivos o simplemente han redireccionando la web hacia otros sitios maliciosos.
Alojar tu web en servidores seguros te permitirá evitar este tipo de sucesos, aunque debes tener en cuenta que también debes mantener tu aplicación al día actualizada y asegurada, no todo depende al 100% del servidor, nunca lo olvides.
Tu web y aplicaciones siempre está online
Tener un servidor asegurado te permite tener la tranquilidad de que salvo que venga un ataque DDOS súper mega gigante, el 99% de las veces siempre estará online pues cuenta con un hardening adecuado para soportar floods, DOS y DDOS de tipo pequeño y mediano.
Disponer de mucho ancho de banda, así como muchos recursos a nivel de RAM, CPU y discos rápidos SSD permiten mejorar aún más la respuesta de mitigación ante un ataque entrante, haciendo que tu web no caiga en el proceso, y permanezca el mayor tiempo online.
Mejora la confianza de los visitantes y clientes
La utilización de certificados SSL en tu página web ayuda no únicamente a cifrar la información que circula entre el cliente (navegador) y el servidor, sino también que te ayuda a ganar una mejor reputación de parte de tus clientes y visitas.
Al ver que la web está encriptada, podrán sentirse más seguros sabiendo que usas un certificado SSL de cifrado digital.
Planes de hosting en servidores seguros
¿Qué tipo de planes se pueden contratar en servidores seguros? Vamos a ver qué soluciones existen, desde los planes más baratos hasta los más altos en precio.
Alojamiento Web
Este tipo de planes son los más típicos que podrás encontrar. Se trata de planes de alojamiento web que utilizan un mismo servidor compartido entre muchos clientes.
Si el proveedor ha aplicado medidas correctas de seguridad como las que mencionamos anteriormente, resulta un plan económico y fácil de contratar para tener tu web online.
En nuestro caso aplicamos un hardening muy agresivo a los servidores compartidos, por lo que al final resulta una buena opción siempre.
Hospedaje Multidominio
Al igual que el alojamiento web de un dominio, los planes multidominio son soluciones que permiten alojar muchos dominios en una sola cuenta de hosting.
Se hospedan también en servidores compartidos, están bien securizados y resultan una solución ideal para montar tu web o blog online, así como los sitios de tus clientes.
En este tipo de planes se suele alcanzar un nivel de seguridad alto, siempre y cuando también aparte de contar con un servidor seguro, tengas tus aplicaciones correctamente aseguradas.
Hosting Semi Dedicados
El hosting semidedicado es un tipo de hosting compartido, que se caracteriza por brindar mucho espacio en disco y transferencia. Es el salto previo a usar servidores cloud o hosting dedicado de alto rendimiento. Lo suelen usar las empresas de marketing, diseño y desarrollo web.
Permite hospedar muchísimos sitios, y al igual que los anteriores planes, se aloja en un servidor compartido (éste con la diferencia de que se comparte entre muy pocos clientes), por lo que sigue las mismas reglas anteriores.
Cloud Hosting
Las soluciones de servidores cloud como Cloud VPS y Cloud Servers son las más populares hoy en día. Brindan un entorno virtualizado donde solamente tu te alojas en dicha máquina virtual, no compartes recursos de red, espacio o transferencia con otros clientes.
Si el servidor está bien asegurado, resulta una de las mejores formas de tener servidores seguros, ya que únicamente estarán tus recursos alojados allí, no compartirás nada con terceros.
Salvo que un atacante vaya directo contra los servidores máster o nodos que hospedan los Cloud VPS, es difícil que tengas problemas de seguridad en un Cloud.
Hosting Dedicado
Es el nivel más alto de seguridad que podrás encontrar en cuanto a servidores seguros se refiere.
Al adquirir un servidor dedicado estarás disponiendo de una máquina física solo para ti, que no depende de nodos o servidores máster que controlen ninguna virtualización (comparado con los Cloud). Es decir, tendrás un sistema operativo instalado, corriendo tus servicios y aplicaciones.
Ningún recurso se comparte, todo está 100% instalado directamente sobre el sistema operativo que interactúa con el hardware, sin intermediarios, sin virtualización.
Si tienes montado un buen sistema de seguridad desde el lado del server, y tienes tus aplicaciones aseguradas también, resulta el entorno más seguro y robusto.
Tipos de servidores seguros
¿Cuantos tipos de servidores seguros existen a nivel de sistema operativo?
En la industria del web hosting y servidores en general existen numerosos demonios o servicios que pueden ser securizados para hacerlos más resistentes ante ataques, vamos a explorar los más populares ahora.
Servidor PHP seguro
El servidor PHP es el encargado de despachar todo el contenido dinámico que se solicita desde el servidor web. Cuando se utiliza Apache el encargado es mod_php o suPHP por lo general. Aunque en stacks modernos se suele usar el servicio PHP-FPM.
Existen muchas formas de asegurar un servidor PHP, las más clásicas y conocidas incluyen: habilitar open_basedir, deshabilitar funciones peligrosas alterando la variable disable_functions, así como los métodos de carga de datos remotos como allow_url_fopen y allow_url_include, otras formas también aplicadas incluyen deshabilitar la subida de archivos/datos desde la variable file_uploads.
Deshabilitar los errores también ayuda a ocultar información crítica, sobre todo en sitios que están en producción, para ello se altera la variable display_errors.
Servidor DNS seguro
El servidor DNS es en muchísimos casos olvidado tras su instalación y configuración; e irónicamente en estos últimos años suele ser también el protocolo que más crecimiento en ataques ha tenido.
Un servidor DNS seguro incluye medidas como mantenerlo actualizado siempre, restringir la transferencia de zonas DNS, esconder la versión del servidor, así como habilitar el uso de extensiones de seguridad (DNSSEC).
Uno de los servidores DNS más seguros que existen hoy en día es Cloudflare, donde se destacan entre casi todos los proveedores que existen hoy en día.
Existen también alternativas de servicios como SecurityTrails que también ofrecen formas de acceder a datos precisos de zonas DNS, IPs y dominios para complementar la inteligencia y datos sobre nuestra infraestructura que nunca se deben descartar.
Servidor Web seguro
Si el DNS es un servidor que recibe ataques, el servidor web se lleva el puesto número 1.
Ha sido desde siempre el servicio más atacado, e incluso hoy que se ha comenzado a usar muchísimo el cifrado con SSL/TLS, aún sigue recibiendo más ataques que cualquier otro protocolo.
Por eso es que asegurar el servidor web se ha vuelto una tarea tan crítica, donde existen muchísimas formas de endurecer lo máximo posible su exposición ante ataques.
Algunas de las formas más tradicionales que usamos con nuestros clientes incluyen:
- Habilitar SSL/TLS
- Reducir timeouts de HTTP
- Deshabilitar variables peligrosas
- Activar un firewall de aplicaciones (WAF) como Mod_Security
- Ocultar la versión del servidor HTTP (Apache, Nginx o LiteSpeed)
- Deshabilitar el listado de directorios
- Deshabilitar módulos y funciones no necesarios
Servidor de Correo encriptado
El servidor de correo es otro de los servicios críticos que potencian las comunicaciones en Internet. Es común entonces ver como los usuarios reciben ataques de diferentes tipos como infecciones por virus, distribución de malware, campañas de phishing, email spoofing y mucho más.
Para que un servidor de correo esté más seguro ante ataques debe incluir algunos de estos elementos:
- Filtro antivirus (ClamAV) y antispam (como SpamAssassin)
- Scan antimalware activo 24 hs
- No estar configurado para actuar como un open_relay
- Protecciones contra ataques de diccionario
- Incluir verificaciones contra listas negras antispam RBL
El correo es quizás el servicio que literalmente deja sin comunicación a toda una empresa en el caso de un incidente de seguridad. Por ello es realmente importante siempre tener un ojo arriba de los logs de sistema, así como mantener el software actualizado, entre las demás medidas que ya mencionamos anteriormente.
Servidor FTP seguro
El protocolo FTP, utilizado por el servidor FTP fue durante años considerado como uno de los más expuestos debido a que al realizar una conexión FTP casi nunca se encriptaba la información. Luego con el auge de los certificados SSL/TLS el protocolo se transformó en lo que se conoce como FTPS, es decir, un FTP encriptado.
Al instalar un SSL sobre el hostname del servidor nos permite cifrar las conexiones inseguras de FTP, y hacerlas seguras para que los dueños de sitios web puedan subir contenidos sin ningún problema.
Aparte de esto, tener servidores FTP seguros requiere de otras medidas como:
- Mantener el paquete actualizado y parcheado contra bugs
- Deshabilitar el login anónimo
- Restringir las conexiones a IPs confiables cuando hay un número limitado de usuarios con IP estática
Servidor OpenSSH
El servidor SSH surgió como una versión mejorada en cuanto a seguridad del viejo servidor Telnet, el cual tenía el mismo problema que el FTP, transmitía la información sin encriptar.
Especialmente luego de la llegada de la versión de SSH2, el protocolo se volvió sumamente robusto, haciendo que las comunicaciones en el modelo cliente servidor fueran algo realmente seguro.
SSH permite controlar servidores Linux y Unix remotamente desde la terminal de comandos. Y si bien es un servicio seguro ya de por si, algunas veces necesitamos hacer algunos tweaks para endurecer aún más su configuración, por ejemplo:
- Mover el puerto a uno distinto al 22
- Configurar el firewall para limitar el ingreso y egreso del puerto SSH.
- Deshabilitar el acceso desde X11
- Deshabilitar el uso de resolución DNS
- Limitar el acceso usando Tcpwrappers
- Deshabilitar el uso de passwords, en su lugar usar llaves públicas
- Nunca habilitar shell normal para los usuarios, usar Jailshell en todo caso, o dejarlo 100% deshabilitado
Opiniones sobre servidores seguros
Existen dos grupos bien diferenciados sobre testimonios y opiniones de servidores seguros, vamos a ver qué opinan cada uno:
Usuarios sin experiencia en administración de sistemas y ciberseguridad
Suelen no darle importancia a la seguridad de sistemas pensando que nunca les sucederá nada malo en sus aplicaciones o sitios. «Eso de los hackers pasa sólo en las películas» escuchamos una vez de parte de un cliente incluso, y sirve perfecto para ilustrar la «ilusión» en la que algunas personas viven dentro de Internet.
Cuando contratan un Cloud o Servidor Dedicado no admininstrado, y no realizan ningún tipo de hardening de servicios y sistema operativo, suelen pensar que nada pasará en sus aplicaciones o servidores.
Luego cuando sucede una intrusión por que están utilizando un kernel ultra viejo lleno de bugs, suelen culpar a sus desarrolladores, o bien al proveedor del servidor.
Son personas que tampoco mantienen sus aplicaciones al día, entre éstas podemos encontrar los adictos a WordPress, Joomla o PrestaShop, que instalan múltiples copias de estos CMS para utilizarlos en diferentes tareas como desarrollo, pruebas, y producción.
El problema de los CMS no es de ellos, sino de quienes los usan, que instalan decenas de plugins, themes y nunca los mantienen actualizados. Luego cuando un plugin se ve afectado por un exploit y ocurre un deface en el sitio web no saben qué hacer.
Otros que tienen ciertos conceptos sobre seguridad también piensan que por activar Cloudflare sus aplicaciones o servidores estarán mejor protegidos.
Eso es una de las cosas que luego cuestan muy caro, pues el activar Cloudflare si bien tiene sus beneficios cuando se configura correctamente, no hace magia realmente, ni realiza la seguridad completa por ti.
Expertos en seguridad de datos, sistemas y aplicaciones
Algo básico que aprendemos en administración de sistemas es a prestar atención a tres áreas importantísimas de un sistema operativo:
- Rendimiento: aprender a evaluar como se compara un servidor, detección de problemas, lentitudes, cuellos de botella, etc, y más importante aún: como solucionar el inconveniente para que el server responda rápido.
- Respaldos: utilizar metodologías de respaldo para mantener la información a salvo en todo momento.
- Seguridad: como realizar un endurecimiento (hardening) de la seguridad del sistema y sus servicios para que éste se comporte de la forma más efectiva ante ataques desde el exterior (DDOS, DOS, Floods, inyecciones SQL, ataques al server DNS, etc)
El punto #2 y #3 están directamente relacionados con tener un servidor seguro. Si quieres tener servidores seguros si o si tendrás que tener un servidor con un hardening de sistema y servicios, así como un monitoreo proactivo de la red, logs de servicios y demonios que corren, inspeccionar el tráfico y revisar alertas en los sistemas de seguridad centralizados que se usen.
Incluso si durante años no hay un ataque a un servidor web (algo raro hoy en día), no significa que a futuro no vayan a aparecer. La ciberseguridad es como el seguro de cobertura médica, nunca te sucede nada, pero sirve tenerlo para prevenir cuando algo funciona o está por funcionar mal, en ese momento querrás haber tomado todos los recaudos para mitigar mejor los ataques, y enfrentar la situación con profesionales que te acompañen.
Sobre el famoso tema de Cloudflare y la seguridad: si, sirve, no decimos que no, pero como una medida complementaria a otras medidas y configuraciones que deben hacerse desde el lado del servidor y de las aplicaciones, sin uno u otro Cloudflare resulta en solo una capa débil que puede ser fácilmente evitada por hasta los más inexpertos investigadores y pentesters.
Conclusión
Como hemos visto, existen muchísimas formas de tener un servidor seguro, lo más importante siempre es comenzar desde abajo, es decir, el sistema operativo y sus servicios, para luego si pasar a tratar de asegurar las aplicaciones web o bases de datos que vayas a correr en el server.
También pudimos ver que hay diversas opiniones sobre servidores seguros, algunos utilizan determinados firewalls y sistemas anti intrusos especializados que se instalan en el sistema, mientras que otros optan por usar solucionar tercerizadas como Cloudflare.
Lo cierto es que no hay una fórmula única, y siempre se deben evaluar todas las estrategias para hacer que tu hosting sea seguro, y así evitar pérdidas de datos o intrusiones.
Hay algo que si podemos asegurarte: en Infranetworking somos expertos en Seguridad y Hardening de servidores, tanto de cPanel como CloudLinux, CentOS, Ubuntu, Debian y Linux AMI de AWS.
Si necesitas que te ayudemos con la seguridad de tu servidor, contáctanos, con gusto te asistiremos.
¿Buscas Servidores Seguros con protección anti-hacker