A10 Gestão Insegura de Arquivos de Configuração
(Redirecionado de A10 Insecure Configuration Management)
A10 Gestão Insegura de Arquivos Configuração
Conteúdo |
A10.1 Descrição
As configurações de Servidores Web e Servidores de Aplicações tem um papel importante na segurança de uma Aplicação Web. Estes servidores são responsáveis por servir o conteúdo e invocar aplicações para gerar conteúdo. Além do mais, muitos servidores de aplicação provem um número de serviços que aplicações Web podem utilizar, incluindo armazenamento de informações, serviços de diretórios, correio, mensagens e muito mais. A falha na gestão apropriada da configuração de seus servidores podem levar a uma ampla variedade de problemas de segurança.
O grupo de desenvolvimento Web é frequentemente separado do grupo que está operando o site. Na verdade, existe sempre uma lacuna entre aqueles que escrevem a aplicação e aqueles que são responsáveis pelo ambiente de operação. A segurança de aplicações Web busca geralmente fechar esta lacuna e requer que membros de ambos os lados do projeto se responsabilizem pela segurança da aplicação Web.
Existe uma ampla variedade de problemas de configuração de servidor que podem prejudicar a segurança de um site. Estas incluem:
- Falhas de segurança não corrigidas no software do servidor;
- Falhas no software do servidor ou erro de configuração que permite a listagem de diretórios ou ataques para atravessar diretórios (Traversal Attacks);
- Arquivos desnecessários de padrão, backup ou para fins de exemplo, incluindo scripts, aplicações, arquivos de configuração e páginas web;
- Permissões inapropriadas de acesso a arquivos e diretórios;
- Serviços desncessários habilitados, incluindo gestão de conteúdo e administração remota;
- Conta de acesso e suas senhas padrões;
- Funções administrativas ou de monitoração (debug) habilitadas ou acessíveis;
- Mensagens de erro com excesso de informação (mais detalhes na seção de tratamento de erro);
- Certificado digital e configuração de criptografia SSL mal configurados;
- Uso de certificados digitais auto-assinados (self-signed) para obter autenticação e proteção contra ataques man-in-the-middle;
- Uso de certificados digitais padrões;
- Uso impróprio de autenticação com sistemas externos.
Alguns destes problemas podem ser detectados com ferramentas de "escaneamento" de segurança amplamente disponíveis. Uma vez detectados, estes problemas podem ser facilmente explorados e resultarem no comprometimento de um website. Ataques bem-sucedidos podem resultar no comprometimento de sistemas de suporte interno (backend) incluindo banco de dados e redes corporativas. Ter um software seguro e uma configuração segura são requerimentos para se ter um site seguro.
A10.2 Ambientes Afetados
Todos servidores web, servidores de aplicação e ambientes de aplicação web são suscetíveis a erros de configuração.
A10.3 Exemplos e Referências
- Guia OWASP para Construir Aplicações e Serviços Web Seguros (http://www.owasp.org/documentation/guide/)
- Melhores Práticas para Segurança de Servidores Web (http://www.pcmag.com/article2/0,4149,11525,00.asp)
- Protegendo Servidores Web Públicos (CERT) (http://www.cert.org/security-improvement/modules/m11.html)
A10.4 Como determinar se você está vulnerável
Se você não realizou um esforço concentrado para proteger seus servidores web e de aplicações você provavelmente deve estar vulnerável. Poucos servidores, se existir algum, são seguros após a instalação. A configuração seguro para sua plataforma deve ser documentada e atualizada frequentemente. Uma revisão manual do guia de configuração deve ser realizada regularmente para assegurar sua atualização e consistência. Uma comparação com o sistema atual implementado também é recomendado.
Adicionalmente, existe um número de produtos de "escaneamento" disponíveis, incluindo Nessus e Nikto, que podem varrer externamente por vulnerabilidades conhecidas dos servidores web e de aplicação. Você deve rodar estas ferramentas regularmente, pelos menos mensalmente, para encontrar problemas o mais rápido possível. Estas ferramentas devem rodar tanto interna quanto externamente. Varreduras externas devem ser executadas a partir de um ambiente externo ao ambiente de rede do servidor. Varreduras internas devem ser executadas a partir da mesma rede do servidor-alvo.
A10.5 Como se proteger
O primeiro passo é criar um guia de proteção para as configurações de seus servidores web e de aplicação. Esta configuração deve ser utilizada em todos os servidores que estiverem rodando a aplicaçÃo e ambientes de desenvolvimento também. Nós recomendamos começar com guias pré-existentes que você pode encontrar com o seu fabricante ou aqueles disponibilizados por organizações de segurança como OWASP, CERT e SANS e então adaptá-los para suas necessidades particulares. O guia de proteção deve incluir os seguintes tópicos:
- Configurar todos os mecanismos de segurança;
- Desligar todos os serviços não utilizados;
- Configurando papéis, permissões e contas, incluindo desabilitar todas as contas padrões ou modificar suas senhas;
- Alertas e Log
Uma vez que o guia esteja pronto, utilize-o para configurar e manter todos os seus servidores. Se você tiver um grande número de servidores para configurar, considere a automatização toal ou parcial do processo de configuração. Use ferramentas existentes de configuração ou desenvolva sua própria. Ferramentas com este propósito estão disponíveis. Você pode ainda utilizar um serviço de replicação de disco tal como Ghost para obter uma imagem do servidor já protegido e então replicá-la para os novos servidores. Tal processo pode ou não funcionar para o seu ambiente em particular.
Manter a configuração do servidor segura requer vigilância. Você deve assegurar que a responsabilidade por manter a configuração atualizada de um servidor esteja designada para uma pessoa ou equipe. O processo de manutenção deve incluir:
- Monitoração das últimas vulnerabilidades publicadas;
- Aplicar as últimas correções de segurança;
- Atualizar o guia de configuração de segurança;
- Varredura interna e externa de vulnerabilidades periódicamente;
- Revisão interna frequente da configuração de segurança dos servidores comparada com seu guia de configuração;
- Relatório frequente para alta gerência documentando a postura em relação à segurança.