Configurazione server web

Di seguito sono riportate alcune delle best practice principali relative alla configurazione del server web (Apache/IIS).

  • Modificare le pagine di errore predefinite.

  • Disattiva la versione e i codici SSL precedenti:

    Su Apache, modifica /etc/apache2/mods-available/ssl.conf. Ecco un esempio:

    • SSLv2 -SSLv3 -TLSv1
    • SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SSLv3:!SSLv2:!TLSv1

    In IIS (consulta la documentazione), esegui la seguente configurazione:

    • Aggiungi la sottochiave del Registro di sistema in HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

    • Per consentire al sistema di utilizzare i protocolli che non saranno negoziati per impostazione predefinita (ad esempio TLS 1.2), cambia i dati del valore DWORD del valore DisabledByDefault in 0x0 nelle seguenti chiavi del Registro di sistema sotto la chiave Protocols:

      SCHANNEL\Protocols\TLS 1.2\Client

      SCHANNEL\Protocols\TLS 1.2\Server
      Disattiva SSL x.0

    SCHANNEL\Protocols\SSL 3.0\Client DisabledByDefault: Valore DWORD (32 bit) a 1

    SCHANNEL\Protocols\SSL 3.0\Server Abilitato: Valore DWORD (32 bit) a 0

  • Rimuovi il metodo TRACE :

    Su Apache, modifica in /etc/apache2/conf.d/security: TraceEnable Off

    In IIS (consulta la documentazione), esegui la seguente configurazione:

    • Assicurati che sia installato il servizio o la funzione Richiedi filtro .
    • Nel riquadro Filtro richieste, fare clic sulla scheda Verbi HTTP e quindi fare clic su Nega verbo. Nel riquadro Azioni, immettere TRACE nella finestra di dialogo aperta.
  • Rimuovi il banner:

    Su Apache, modifica /etc/apache2/conf.d/security:

    • Firma server Off
    • Token server Prod

    In IIS, esegui la seguente configurazione:

    • Installa URLScan.
    • Modifica il file Urlscan.ini per avere RemoveServerHeader=1
  • Limita le dimensioni della query per impedire il caricamento di file importanti:

    Su Apache, aggiungi la direttiva ​LimitRequestBodyDirective (dimensione in byte) nella directory /.

    <Directory />
        Options FollowSymLinks
        AllowOverride None
        LimitRequestBody 10485760
    </Directory>
    

    In IIS (consulta la documentazione), imposta maxAllowedContentLength (lunghezza massima consentita per il contenuto) nelle opzioni di filtro del contenuto.

Argomenti correlati:

In questa pagina