Gracias Cristian y Rodrigo Ok, estamso claro que la mejor proteccion es tener uan BD con acceso a usuarios bien perfilados y un buen codigo, no estamos con PHP estamos trabajando con JAVA, TOMCAT, sin embargo hemso revisado bien el codigo antes de sacar este sitio al publico y queriamos una buena seguridad con el S.O. y con el web server.
Les agradesco sus comentarios, si tienen algo mas sera bienvenido. Saludos, On Sun, 8 Jul 2007, Rodrigo Fuentealba wrote: > El 8/07/07, Cristian Rodriguez <[EMAIL PROTECTED]> escribió: >> On 7/7/07, Morenisco <[EMAIL PROTECTED]> wrote: >> > On 7/6/07, Cristian Rodriguez <[EMAIL PROTECTED]> wrote: >> > > >> > > On 7/6/07, Vida Luz <[EMAIL PROTECTED]> wrote: >> > >> > >> > [...] >> > >> > > ahora el mod_security no es una muy buena idea, para simplificar la >> > > explicacion este es como un filtro anti-spam pero para evitar ataques >> > > en tus sitios, o sea.. detiene "ataque" pero no "AtAQu3" , hay miles >> > > de maneras de programar exploits de formas distintas y es imposible >> > > tener "reglas" para todos. > > Basta con que la persona escriba un buen código, y no las estupideces > que se ven en cualquier content management system. > >> > > En resumen, vas por el camino equivocado. > > ¿Por qué? No ha dicho con qué clase de software usa con Apache, estás > presuponiendo que está usando alguna cosa relacionada con PHP. > >> > Estimado Cristian ya ke le echaste abajo el avion, podrias indicarle cual >> > seria el kamino adecuado? > > De hecho, nunca el camino adecuado es filtrar a partir desde apache, > porque se llega a vulnerar ese filtro, el usuario va a quedar en > pelotas... > >> para tomar el camino adecuado, primero hay que saber adonde queremos llegar >> :-) >> >> 1. Si quiere "proteger" aplicaciones escritas en PHP, suhosin >> extension [1] le puede servir. >> >> 2. SI las aplicaciones que quiere proteger estan bajo su control, la >> mejor manera de protegerse es manteniendolas al dia. >> >> [1] http://www.hardened-php.net/suhosin/index.html incluido en >> openSUSE 10.2 o posterior, disponible para versiones mas antiguas de >> la distribucion en http://software.opensuse.org/server:/php/ ( si >> tienes alguna duda, escribes.. yo mantengo todo eso :-P ) > > La verdad es que si bien el suhosin de Stefan Esser es bueno para php, > la dama no ha dicho nada sobre PHP en ninguna parte, y Suhosin no > aplica bajo aplicaciones escritas en Perl, Python, Ruby, ni nada de > eso; es para PHP. > > From [EMAIL PROTECTED] Mon Jul 9 11:38:40 2007 From: [EMAIL PROTECTED] (Carlos Vergara) Date: Mon Jul 9 12:08:36 2007 Subject: restriccion de hotmail y gmail con squid In-Reply-To: <[EMAIL PROTECTED]> References: <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> Message-ID: <[EMAIL PROTECTED]> activa el filtro de badwords en squid y listo. problema solucionado: ahi pones las poalabras que quieres bloquear como hotmail, gmail, fotolog, etc. saludos El día 9/07/07, Enrique Herrera Noya <[EMAIL PROTECTED]> escribió: > > El 7/07/07, Miguel Angel Amador L <[EMAIL PROTECTED]> escribió: > > On 7/6/07, Víctor González Piña <[EMAIL PROTECTED]> wrote: > > > Estimada Lista: > > > > > > No he podido restringir las páginas de Gmail y Hotmail, tengo dos > servidores > > > proxy con squid 2.6. Todas las otras restricciones de acceso funcionan > de > > > maravilla, pero este par para nada. Supongo que tiene algo que ver con > el > > > redireccionamiento que hacen ambas páginas, pero aún tratando de > bloquear la > > > página de destino ¡naranjas! > > > > > > Alguna idea para este tipo de situaciones donde existe > redireccionamiento de > > > páginas, ¿no debería bastar con bloquear la primera página para que no > > > ocurra el redireccionamiento? > > > e > > > > > desde mi cuenta gmail, te respondo empiricamente > si coloco gmail, me redirecciona a https para logear y de ahi de > vuelta a http://mail.google.com > > espero te sirva > > > > > > > Atte. > > > > > > > > > > > > Víctor González Piña > > > > > > Ingeniero en Redes > > > > > > > > > > Que parametros estas bloquendo?, osea, que es lo que estas bloqueando? > > IP? dominio? valor en la URL ? Metodo? etc... hay varias opciones.. > > generalmente los REDIRECT son HTTP de tipo 300 ... al menos los > > redirect HTTP. > > > > -- > > Miguel Angel Amador L. > > [ jokercl at gmail dot com | User #297569 counter.li.org ] > > > > > > > -- > http://www.partidopirata.cl > http://www.chilelinks.cl/ > http://www.decurauma.cl/wendyx Wendyx 1.0 > http://www.decurauma.cl/tazones a $3000 > > From [EMAIL PROTECTED] Mon Jul 9 13:03:17 2007 From: [EMAIL PROTECTED] (Larry Letelier N.) Date: Mon Jul 9 13:05:09 2007 Subject: restriccion de hotmail y gmail con squid In-Reply-To: <[EMAIL PROTECTED]> References: <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> Message-ID: <[EMAIL PROTECTED]> Joven: te conviene generar una ACL, con los sitios que quieres denegar ej: denegados acl denegados src /etc/squid/denegados y en http_access deny red_lan denegados entonces lo redireccionado lo metes ahi y voila. PD: Para denegar sitios de forma automatica, genere un lindo script, ojala les sirva. http://www xofica cl/index.php?itemid=68 saludos larry aka geek El día 9/07/07, Carlos Vergara <[EMAIL PROTECTED]> escribió: > > activa el filtro de badwords en squid y listo. problema solucionado: ahi > pones las poalabras que quieres bloquear como hotmail, gmail, fotolog, > etc. > saludos > > > El día 9/07/07, Enrique Herrera Noya <[EMAIL PROTECTED]> escribió: > > > > El 7/07/07, Miguel Angel Amador L <[EMAIL PROTECTED]> escribió: > > > On 7/6/07, Víctor González Piña <[EMAIL PROTECTED]> > wrote: > > > > Estimada Lista: > > > > > > > > No he podido restringir las páginas de Gmail y Hotmail, tengo dos > > servidores > > > > proxy con squid 2.6. Todas las otras restricciones de acceso > funcionan > > de > > > > maravilla, pero este par para nada. Supongo que tiene algo que ver > con > > el > > > > redireccionamiento que hacen ambas páginas, pero aún tratando de > > bloquear la > > > > página de destino ¡naranjas! > > > > > > > > Alguna idea para este tipo de situaciones donde existe > > redireccionamiento de > > > > páginas, ¿no debería bastar con bloquear la primera página para que > no > > > > ocurra el redireccionamiento? > > > > e > > > > > > > > desde mi cuenta gmail, te respondo empiricamente > > si coloco gmail, me redirecciona a https para logear y de ahi de > > vuelta a http://mail.google.com > > > > espero te sirva > > > > > > > > > > Atte. > > > > > > > > > > > > > > > > Víctor González Piña > > > > > > > > Ingeniero en Redes > > > > > > > > > > > > > > Que parametros estas bloquendo?, osea, que es lo que estas bloqueando? > > > IP? dominio? valor en la URL ? Metodo? etc... hay varias opciones.. > > > generalmente los REDIRECT son HTTP de tipo 300 ... al menos los > > > redirect HTTP. > > > > > > -- > > > Miguel Angel Amador L. > > > [ jokercl at gmail dot com | User #297569 counter.li.org ] > > > > > > > > > > > > -- > > http://www.partidopirata.cl > > http://www.chilelinks.cl/ > > http://www.decurauma.cl/wendyx Wendyx 1.0 > > http://www.decurauma.cl/tazones a $3000 > > > > > From [EMAIL PROTECTED] Mon Jul 9 16:17:15 2007 From: [EMAIL PROTECTED] (Rodrigo Fuentealba) Date: Mon Jul 9 16:19:07 2007 Subject: Suse y Mod Security In-Reply-To: <[EMAIL PROTECTED]> References: <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> Message-ID: <[EMAIL PROTECTED]> El 9/07/07, Vida Luz <[EMAIL PROTECTED]> escribió: > Gracias Cristian y Rodrigo > > Ok, estamso claro que la mejor proteccion es tener uan BD con acceso a > usuarios bien perfilados y un buen codigo, no estamos con PHP estamos > trabajando con JAVA, TOMCAT, sin embargo hemso revisado bien el codigo > antes de sacar este sitio al publico y queriamos una buena seguridad con > el S.O. y con el web server. Uhm, ¿Tomcat corre sobre Apache o lo reemplaza? Supongamos que corre sobre Apache. De todas maneras los consejillos podrán quedar para la posteridad. > Les agradesco sus comentarios, si tienen algo mas sera bienvenido. 1.- Revisa bien los módulos que carga Apache (LoadModule blah_module lib/httpd/blah.so), porque mientras menos módulos tenga, más liviano será en memoria y menos problemas de seguridad podrías tener. Módulos como mod_imap.so NO SON para conectarte a revisar tu mail con Internet Mail A... Protocol (se me fue la sigla), sino para generar mapas de imágenes, algo que HTML 4 hace, y XHTML también. 2.- Define bien, de acuerdo a tus necesidades, las directivas de .htaccess; de esta manera será más difícil que te exploten vulnerabilidades desde fuera. (Más de alguna vez, en entornos de prueba, he explotado vulnerabilidades porque el sysadmin dejó un AllowOverride All lo suficientemente mal puesto) 3.- Algo que no se requiere? Bórralo. Encuentro pésima la costumbre de dejar la versión actual del sistema arriba del servidor y la versión anterior en un archivo comprimido en la raíz. Basta probar con "sistema.tgz", "sistema.tar.gz", "sistema.20060104.tar.gz" y cositas así para descargarlo. Sonará estúpido, pero donde voy me encuentro cosas así... Si recuerdo algo más, lo vuelvo a escribir. Atentamente, -- Rodrigo Fuentealba Cartes Desarrollador de Sistemas Web Registered User 387639 - http://counter.li.org
