Introducción a la seguridad del servidor de aplicaciones
El servidor de aplicaciones es un componente crítico del sistema sobre el que se ejecutan las aplicaciones de Sterling™ Order Management System.
Sin embargo, a diferencia de los sistemas operativos y los sistemas de gestión de bases de datos, el Centro para la Seguridad en Internet (CIS) no dispone actualmente de puntos de referencia de endurecimiento para servidores de aplicaciones como Oracle WebLogic... Las Guías Técnicas de Implementación de Seguridad (STIG) o las listas de comprobación de endurecimiento elaboradas por la Agencia de Sistemas de Información de Defensa (DISA) están escritas para un servidor de aplicaciones genérico. Dada la falta de listas de comprobación de refuerzo creadas por consenso y revisadas por pares públicamente, se recomienda que trabaje con el proveedor del servidor de aplicaciones para las recomendaciones generales de refuerzo.
En IBM® developerWorks®, los expertos de IBM han proporcionado medidas de refuerzo recomendadas para reforzar la seguridad de un entorno de WebSphere® Application Server .
- Habilite sólo las funciones de aplicación y servidor web que sean absolutamente necesarias. Las configuraciones de servidor predeterminadas a menudo exponen una amplia variedad de servicios que aumentan innecesariamente el riesgo para el sistema.
- Considere los controles de protección de la capa de transporte:
- Utilice únicamente comunicaciones web seguras. Habilite SSL/TLS para proteger los datos cuando se transmiten.
- Utilice únicamente potentes suites de cifrado SSL-Los atacantes podrían ver y modificar comunicaciones SSL aparentemente cifradas, lo que resultaría en una violación de la confidencialidad y la integridad. Las sesiones enteras podrían verse comprometidas.
- Mejore la seguridad de la aplicación para que solo envíe cookies a través de un canal seguro configurando el atributo seguro.El atributo secure es una opción que puede ser establecida por el servidor de aplicaciones cuando envía una nueva cookie al usuario dentro de una respuesta HTTP. El objetivo del atributo de seguridad es evitar que las cookies sean observadas por terceros no autorizados debido a la transmisión de la cookie en texto claro. Para lograr este objetivo, los navegadores que dan soporte al atributo seguro envían cookies con el atributo seguro cuando la solicitud va a una página HTTPs. Esto significa que el navegador no envía una cookie con el atributo seguro establecido a través de una petición HTTP sin cifrar.Nota: Como requisito previo, despliegue la aplicación en Servlet Container versión 3.0y asegúrese de que el archivo
web.xmlsea compatible con la versión 3.0.Para configurar el atributo seguro para la cookie de sesión, aplique la siguiente configuración en el archivo WEB-INF/web.xml de la aplicación de destino y, a continuación, reinicie el servidor de aplicaciones.<session-config> <cookie-config> <secure>true</secure> </cookie-config> </session-config>Para obtener más información sobre el atributo seguro, consulte Atributo de cookie seguro.
- Considere la posibilidad de restringir las cookies sólo a
HTTP. El uso del distintivoHttpOnlyal generar una cookie ayuda a mitigar el riesgo de que el script del lado del cliente acceda a la cookie protegida (si el navegador la admite).
- Deshabilite la divulgación de información por parte de su servidor web siempre que sea posible - Los datos del servidor web o la información de depuración, como el tipo de servidor web, o ciertos mensajes de error HTTP pueden utilizarse como pistas para formar un ataque contra su sistema. Las configuraciones de servidor web a menudo se establecen para revelar este tipo de información de forma predeterminada. Considere la posibilidad de inhabilitar estas características:
- Divulgación de información de tipo y versión de servidor web
- Solicitudes de listado de directorios
- Divulgación de información sobre solicitudes de listado de directorios no válidas
- Solicitudes HTTP OPTIONS
- Solicitudes HTTP TRACE