OpenLiteSpeed logo Manual de usuario de OpenLiteSpeed
Inicio

Seguridad


LiteSpeed Web Server esta diseñado con la seguridad como una prioridad principal. LSWS admite SSL, tiene control de acceso a nivel de servidor y de virtual host, y proteccion de realm especifica por contexto. Ademas de estas funciones estandar, LSWS tambien cuenta con las siguientes funciones especiales de seguridad:


  1. Limites a nivel de conexion:

    • La limitacion a nivel de IP restringe el ancho de banda de red hacia y desde una sola direccion IP independientemente del numero de conexiones.
    • La contabilidad de conexiones a nivel de IP limita el numero de conexiones simultaneas desde una sola direccion IP. Puede controlar esto con los ajustes de limite flexible de conexiones, limite estricto de conexiones, periodo de gracia y periodo de bloqueo en la consola WebAdmin.

  2. Comprobacion de solicitudes:

    LiteSpeed Web Server examina cada solicitud HTTP. No se permite "/." en una URL decodificada, lo que impide el acceso a archivos ocultos y directorios padre.

    El tamaño de la solicitud esta limitado por los ajustes de longitud maxima de URL de solicitud, longitud maxima de cabecera de solicitud y longitud maxima de cuerpo de solicitud de LiteSpeed Web Server.

  3. Comprobacion de archivos estaticos:

    LiteSpeed Web Server servira un archivo estatico solo si se cumplen las siguientes condiciones:

    • Todos pueden leer el archivo.
    • El archivo no es ejecutable.
    • El archivo no esta en la lista de directorios de acceso denegado.
    • El archivo no contiene un enlace simbolico si no se permiten enlaces simbolicos.
    • De forma predeterminada, LiteSpeed Web Server no indexa un directorio listando sus archivos; debe habilitarse explicitamente.

  4. Firewall de aplicaciones externas:

    LiteSpeed Web Server reenvia solicitudes a aplicaciones externas para procesar/generar contenido dinamico. Esas aplicaciones pueden usar muchos recursos del sistema. El rendimiento de todo el sistema se degradara severamente cuando el consumo de recursos del sistema llegue a cierto punto, por ejemplo cuando se tenga que usar espacio de intercambio. Una forma de realizar un ataque DoS es inundar el servidor web con solicitudes simultaneas a una aplicacion externa pesada.

    LiteSpeed Web Server puede canalizar solicitudes y controlar el nivel de concurrencia de uso de aplicaciones externas para evitar el consumo excesivo de recursos del sistema. LSWS almacena en cache las solicitudes y solo reenvia solicitudes completas a la aplicacion externa. Esto significa que la aplicacion externa no quedara esperando mientras el servidor recibe la solicitud. LSWS tambien almacena en cache la respuesta de la aplicacion externa para que esta pueda liberarse tan pronto como la respuesta se complete y no tenga que esperar a que el cliente reciba la respuesta completa. De esta forma, el servidor puede usar menos instancias de aplicaciones externas para atender mas solicitudes simultaneas y lograr mayor rendimiento y escalabilidad. LiteSpeed Web Server tambien usa su propia memoria virtual para almacenar en cache el cuerpo de solicitud y respuesta, minimizando el uso de memoria del sistema sin sacrificar rendimiento.

  5. Limite de consumo de recursos CGI:

    LiteSpeed Web Server restringe la cantidad de recursos del sistema que pueden consumir las aplicaciones CGI. Para cada solicitud a un script CGI, el servidor web necesita iniciar un proceso CGI independiente para manejarla. En un sistema Unix, el numero de procesos simultaneos es limitado. Con el limite de consumo de recursos CGI, puede configurar el numero maximo de instancias CGI simultaneas que el servidor web puede lanzar. Un exceso de procesos simultaneos degradara el rendimiento de todo el sistema. (Los procesos CGI son un arma comun para ataques DoS.) Se puede especificar un limite de procesos del sistema por usuario para controlar el numero de procesos que puede generar una aplicacion CGI. Cada proceso queda ademas limitado por restricciones de CPU y memoria.

  6. Seguridad CGI/FastCGI mejorada con suEXEC:

    Para reducir los riesgos de seguridad de un script CGI o Fast CGI, LiteSpeed Web Server puede restringir los recursos del sistema a los que puede acceder el script CGI ejecutandolo en modo "suEXEC". "suEXEC" inicia el script CGI o Fast CGI con un ID de usuario distinto del usuario del servidor web. Esto mejora mucho la seguridad en entornos de alojamiento compartido al impedir que el script CGI de un usuario acceda a archivos de otros usuarios.