Conociendo ModSecurity


En un Post Anterior estuve hablando sobre las recomendaciones de seguridad en un servidor apache y toque el tema de Mod_Security. Hoy le abundaré un poco más sobre el tema.

ModSecurity es un firewall de aplicaciones web que se ejecuta como modulo en un servidor web y provee protección contra diversos ataques hacia nuestras aplicaciones web. Nos permite monitorear el trafico HTTP y realiza análisis en tiempo real. Es un producto desarrollado por Breach Security y está disponible como Software Libre bajo la licencia GNU.  Anteriormente ModSecurity solo estaba disponible para servidores Apache pero ya está disponible para Microsoft IIS y NginX.



El módulo cuenta con diversas funcionalidades:

·         Filtrado de Peticiones: los pedidos HTTP entrantes son analizados por el módulo mod_security antes de pasarlos al servidor Web, a su vez, estos pedidos son comparados contra un conjunto de reglas predefinidas para realizar las acciones correspondientes. Para realizar este filtrado se pueden utilizar expresiones regulares, permitiendo que el proceso sea flexible.

·         Técnicas antievasión: las rutas y los parámetros son normalizados antes del análisis para evitar técnicas de evasión.

·         Elimina múltiple barras (//)
·         Elimina directorios referenciados por si mismos (./)
·         Se trata de igual manera la \ y la / en Windows.
·         Decodificación de URL.
·         Reemplazo de bytes nulos por espacios ()

·        Comprensión del protocolo HTTP: al comprender el protocolo HTTP, ModSecurity puede realizar filtrados específicos y granulares.

·        Análisis Post Payload: intercepta y analiza el contenido transmitido a través del método POST.

·        Log de Auditoría: es posible dejar traza de auditoría para un posterior análisis forense.

·        Filtrado HTTPS: al estar embebido como módulo, tiene acceso a los datos después de que estos hayan sido descifrados.

·        Verificación de rango de Byte: permite detectar y bloquear Shellcodes, limitando el rango de los bytes.

·        Monitoreo en Tiempo Real: Además de Registrar todo el tráfico HTTP, ModSecurity puede monitorear el tráfico en tiempo real para detectar ataques. Quiere Decir que ModSecurity actúa como una herramienta de detección de intrusos.

A partir de su versión 2 ModSecurity agregó diversas funcionalidades que mencionamos:

·         Cinco fases de procesamiento, incluyendo: encabezados del pedido (request headers), cuerpo del pedido (request body), encabezados de respuesta (response headers), cuerpo de respuesta (response body) y almacenamiento en bitácora (logging).

·         Opciones de transformación por regla.

·         Variables transaccionales.

·         Persistencia de datos (utilizado en seguimientos de direcciones IP, sesiones de aplicación, y usuarios de aplicación).

·         Soporte para ranking de anomalías y correlación básica de eventos (los contadores pueden ser automáticamente decrementados con el paso del tiempo, las variables pueden expirar).

·         Soporte para aplicaciones Web e IDs de sesión.

·         Soporte para XML (parseo, validación, XPath).

·         bloqueo de IP



ModSecurity puede ser implementado e integrado a nuestra infraestructura existente de servidores web. Este tipo de implementación tiene las siguientes ventajas.

  • No tenemos que modificar nuestra red interna.
  • No agregamos un punto de falla a la red
  • Balanceo de Carga y escalabilidad: Ya que ModSecurity funciona integrado en los servidores web, automáticamente aprovecha la funcionalidad adicional de balanceo de Carga y escalabilidad.
  • No tendríamos problemas con el contenido comprimido o encriptado: Muchos de los sistemas de prevención de intrusos tienen dificultades para analizar el tráfico encriptado. Esto no es un problema para Modsecurity ya que analiza el tráfico cuando ya esta desencriptado.


ModSecurity es una herramienta de Seguridad imprescindible y que ha demostrado ser muy efectiva. Si eres un Administrador de Sistemas con aplicaciones web criticas y que deben ser accedidas publicamente este es un Firewall que merece su atención.

Mas adelante estaré publicando un Post sobre como instalar esta valiosa herramienta.

Comentarios

Publicar un comentario

Entradas más populares de este blog

Que es la Seguridad de Información?

Imagen
Hoy inicio con una serie de publicaciones para que conozcan más a fondo de que se trata la seguridad de la información, Conceptos, ataques, recomendaciones y mucho más. La Seguridad de la información es el conjunto de medidas que toman las organizaciones para resguardar y proteger toda la información para asi mantener la confidencialidad, la disponibilidad y la integridad de la misma. Se puede definir también como la práctica de defender la información contra cualquier uso, divulgación, alteración, modificación, lectura, inspección, registro o destrucción independientemente de la forma que se obtenga. La información es poder y según las posibilidades que ofrece tener acceso a cierta información, esta se puede clasificar   en Critica, Valiosa y Sensible. Hay 2 factores importantes en la seguridad de la información que son: ·          Seguridad de la Tecnología de la Información : Conocido como Seguridad informática, son las medidas aplicadas a nivel de tecnología. Es
Leer más

Instalando ModSecurity en Linux CentOS y Apache

Imagen
En la actualidad la mayor parte de los ataques son dirigidos hacia las aplicaciones web, es por esta razón que las organizaciones necesitan todo lo que les puede ayudar para hacer que sus sistemas y aplicaciones sean más seguras. Los Firewalls de aplicaciones Web se implementan para agregar otra capa de seguridad a nuestras aplicaciones que aumentan la seguridad, detienen y previenen los ataques antes de que estos lleguen a la aplicación. En un  Post  anterior hablaba de lo que era ModSecurity, que es un Firewall de aplicaciones web que nos ayuda a proteger nuestras aplicaciones web de diversos ataques. Hoy vamos a ver como lo instalamos en un Sistema con Linux CentOS y Apache. La instalación es bien sencilla y trae reglas preconfiguradas que nos ayudarán aumentar la seguridad de nuestras aplicaciones web. Seguimos los siguientes pasos como root.
Leer más

Instalando Citrix XenServer 6.2, Paso a Paso.

Imagen
XenServer es una plataforma de virtualización de clase empresarial y probada para la nube que nos brinda todas las características necesarias para una implementación de un Datacenter virtualizado.  Soporta Varios Sistemas operativos, Almacenamiento Centralizado, Manejo MultiServidor Centralizado, entre otros. Recuerden que les hable que XenServer 6.2 paso a ser Fully Open Source y ahora podemos aprovechar funcionalidades que solo estaban disponible en la versión comercial. Vamos a ver ahora como podemos instalarlo, recuerden que el equipo debe contar con un procesador que soporte virtualización. Podemos instalarlo por 2 vías, Usando un CD booteable o una memoria USB. Descargamos la Imagen Aquí Una vez Descargado, procedemos a Quemar la imagen a un cd, o preparamos un USB Booteable. Para el USB Booteable pueden usar Universal-USB-Installer que lo pueden descargar desde Aquí y cuando vayan a elegir la versión de Linux, eligen la opción, Other Linux Distro, y sel
Leer más