Your SlideShare is downloading. ×
0
Pecha Kucha Mod_Security Apache2
Pecha Kucha Mod_Security Apache2
Pecha Kucha Mod_Security Apache2
Pecha Kucha Mod_Security Apache2
Pecha Kucha Mod_Security Apache2
Pecha Kucha Mod_Security Apache2
Pecha Kucha Mod_Security Apache2
Pecha Kucha Mod_Security Apache2
Pecha Kucha Mod_Security Apache2
Pecha Kucha Mod_Security Apache2
Pecha Kucha Mod_Security Apache2
Pecha Kucha Mod_Security Apache2
Pecha Kucha Mod_Security Apache2
Pecha Kucha Mod_Security Apache2
Pecha Kucha Mod_Security Apache2
Pecha Kucha Mod_Security Apache2
Pecha Kucha Mod_Security Apache2
Pecha Kucha Mod_Security Apache2
Pecha Kucha Mod_Security Apache2
Pecha Kucha Mod_Security Apache2
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Pecha Kucha Mod_Security Apache2

1,016

Published on

1 Comment
0 Likes
Statistics
Notes
  • Be the first to like this

No Downloads
Views
Total Views
1,016
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
8
Comments
1
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. MOD_SECURYTY Servidor Web Apache Débora García y Fran Gavilán 2º ASIR Trimestre 1 Redes
  • 2. Mod_Security• Módulo open source para el servidor web Apache.• Soporta detección y prevención de instrucciones en aplicaciones web. o Protección contra ataques conocidos y contra posibles ataques nuevos.• Añade nivel extra de seguridad antes de servidor web. o Complementario a firewall de paquetes y detectores de instrucciones.
  • 3. Mod_Security• Funciona como firewall de aplicación, filtrando tráfico al nivel de aplicaciones http y https. o Funcionamiento controlado por reglas y patrones sobre el contenido de los mensajes http/https (análogo a Snort). o Integrado en servidor --> accede al tráfico cifrado SSL después de descifrado y justo antes de su proceso por el servidor (Snort no puede analizar tráfico cifrado).
  • 4. Mod_SecurityCaracterísticas:• Funciona de modo transparente para las aplicaciones WEB alojadas. o Permite asegurar aplicaciones WEB complejas o que no puedan ser modificadas (código heredado, aplicaciones privativas...) o No requiere intervención de los desarrolladores originales de las aplicaciones WEB.
  • 5. Mod_SecurityCaracterísticas:• Ofrece protección temporal ante vulnerabilidades recién descubiertas que aún no tengan parche de seguridad. o Actualización de reglas en la web: www.modsecurity.org• Comprende todos los detalles de protocolos http y https y permite un control y filtrado de los accesos permitidos
  • 6. Mod_SecurityFuncionalidades (cont.):• Filtrado de peticiones: las peticiones entrantes son analizadas antes de pasarlas al servidor Apache a sus módulos. o Uso de expresiones regulares para expresar las reglas.• Filtrado de las respuestas del servidor: puede analizar/modificar los mensajes de respuesta del servidor (normales o erróneos).
  • 7. Mod_SecurityFuncionalidades (cont.):• Técnicas anti-evasión: los parámetros recibidos y paths de los ficheros (html, php...) son normalizados para evitar mecanismos de evasión. o Elimina barras dobles (//) y referencias al propio directorio (./). o Decodifica las URLs (caracteres especiales). o Detecta y elimina bytes nulos (%00) usados en desbordamiento de buffer.
  • 8. Mod_SecurityFuncionalidades (cont.):• Soporte HTTP/HTTPS completo: puede especificar reglas hata el nivel de elementos concretos de páginas de HTML (enlaces, campos de formularios). o Procesa el tráfico HTTPS después de descifrado.• Análisis de datos POST: análisis de los datos enviados dentro de peticiones POST.
  • 9. Mod_SecurityFuncionalidades (cont.):• Auditoria y log: capacidades completas de logging de las peticiones procesadas para el análisis posterior. o IPs, timestamps, método HTTP, URI, datos.• Chroot integrado: soporta funcionalidades para implantar jaulas chroot (aisla servidor).• Manejo info. de identificación del servidor: se puede configurar y limitar la info. que el servidor ofrece de si mismo (versión, mensajes de errores...).
  • 10. Mod_SecurityReglas mod_security:• Definidas mediante expresiones regulares SecRule [variable/elementos peticion] [patrón] [acciones] -SecRule REQUEST_URI | QUERY_STRINGataque -SecRule ARGS "drop [ [ :space: ] ] table" deny,log
  • 11. Mod_SecurityElementos analizados (separados por |)• elementos de cabeceras HTTP• variables de entorno y variables del servidor• cookies• variables definicas en las páginas HTML• sobre páginas HTML o sobre la salida generada por los lenguajes de script (php,etc)Pueden definirse reglas específicas para distintos directorios oservidores virtuales dentro de la estructura de la web
  • 12. Mod_SecurityReglas mod_security (cont):• Acciones: o deny --> rechazo silencioso (sin redirección a mensaje de error) o status:nnn --> rechazar petición con un status code (403,404,500,...) o allow --> detiene procesam.reglas y permite la petición o redirect:url --> redirige la petición a la url indicada o log o nolog --> loggin (o no) de la petición o exec:cmd --> ejecución de un comando externo o pass --> ignora la regla actual y pasa a la siguiente o pause:n --> retiene la petición n milisegundos
  • 13. Mod_SecurityReglas mod_security (cont):• Modelos de funcionamiento: esquemas generales a la hora de definir las reglas SecDefault action1, action2, action3 (lista de acciones por defecto)• Modelo positivo: permitimos lo que sabemos que es seguro (politica por defecto DROP)• o mejor rendimiento o menos falsos positivos o más dificil de implantar (dar permiso a todo lo que tenemos en el servidor)
  • 14. Mod_SecurityReglas mod_security (cont):• Modelo negativo: denegamos lo que es peligroso (política por defecto ACCEPT) o más facil de implantar o más fácil positivos o mayor tiempo de procesamiento
  • 15. Mod_SecurityOtras funcionalidades• Chroot interno o mod_security permite configurar la ejecución de Apache en un entorno chroot interno  encierra al servidor en un sistema de directorios "/" falso  evita el acceso a directorios y ficheros sensibles (/etc, /dev/, /usr/bin) o El entorno chroot es implantado una vez el servidor está en ejecución SecChrootPath /chroot/var/www
  • 16. Mod_SecurityOtras funcionalidades (cont)• Cambiar la identificación del servidor WEB o mod_security gestiona el cambio de la "firma" sel servidor (nombre, versión, módulos instalados) que lo identifica en los mensajes HTTP enviados. o Dificulta a los atacantes la identificación del servidor
  • 17. Mod_SecurityConfiguraciones avanzadas de mod_security• La instalación básica de mod_security protege al servidor web donde sea instalado como módulo• Combinado con los módulos mod_proxy y mod_proxy_http se puede implantar una configuración de Proxy Inverso (reparto de peticiones) o Se implanta un "firewall HTTP" que protege a varios servidores WEB o Permite proteger servidores no Apache
  • 18. Mod_Security Ejemplo
  • 19. Mod_SecurityInstalación en Debian/Ubuntu (no paquetes oficiales)• Opciones o Compilación desde código fuente o Paquetes no oficiales (http://etc.inittab.org/~agi/debian)• Instalación o Editar fichero /etc/apat/sources.list y añadir  deb http://etc.inittab.org/~agi/debian/libapache-mod-security2 ./ o Actualizar e instalar  apt-get update  apt-get install libapache2-mod-security2 o
  • 20. Mod_Security• Instalar modulo Apache o en Debian --> $ a2enmod mod_security2 o manualmente --> /etc/apache2/apache.conf• Editar fichero de configuración y añadir reglas o /usr/share/doc/mod-security2- common/examples/modsecuririty.conf-minimal o /usr/share/doc/mod-security2-common/examples/rules• Reglas actualizadas disponibles en www.modsecurity.org

×