• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Mod security
 

Mod security

on

  • 2,372 views

 

Statistics

Views

Total Views
2,372
Views on SlideShare
2,367
Embed Views
5

Actions

Likes
0
Downloads
18
Comments
0

1 Embed 5

http://www.slideshare.net 5

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Mod security Mod security Presentation Transcript

    • Manuel Carrasco Moñino Seguridad de Aplicaciones Web HotelSearch.com Enero-2010 manolo@apache.org
    • Servidores Web  Servidores Web son los principales objetivos  Porque es el servicio mas utilizado  Porque los FW no bloquean el puerto 80/443  Vulnerabilidades  Servidor: bugs, configuracion, exploits  Aplicaciones: mal desarrolladas, con prisas, desarrolladores sin conocimientos de sistemas.  Normalmente la seguridad se delega a:  FW + Detect. Intrusos (nivel 3, logs ...)  SSL
    • Peligro: El Servidor Web  Bugs y agujeros configuracion  Punto de entrada para ataque interno  Permisos usuario web  Prevencion  Minimos privilegios  Chroot  Monitorizacion (quien, cuando)  Actualización frecuente (no suficiente)
    • Peligro: Aplicaciones  Defectos de aplicacion  XSS, html incrustado  Inyección SQL  Buffer overflow  DOS  Prevencion  Concienciar desarrolladores  Validaciones en aplicacion  Detectores  HA, monitorización
    • Peligro: Usuario  Robar informacion sensible  Passwords  Tarjetas  Cookies  Prevencion  Https  Concienciar al usuario
    • Filtro: mod_security  Opensource, Sourceforge (no apache)  Nivel de aplicacion:  http/ftp/https  GET, POST …  Request, Response  Deteccion y prevencion  Reglas y patrones  Sin intervención de desarrolladores  Actualizacion de reglas: modsecurity.org
    • Funcionalidades: mod_security  Peticiones  Expresiones regulares en Query String  Análisis de la petición POST  Respuestas  Analiza y modifica mensajes de servidor  Normalización (anti evasion)  Parámetros  Url, nulos, //, ..,
    • Configuracion: mod_security <IfModule mod_security.c>   SecRuleEngine On   SecAuditEngine RelevantOnly   SecAuditLog /var/log/apache2/audit_log   SecDebugLog /var/log/apache2/modsec_debug_log   SecDebugLogLevel 3   SecRequestBodyAccess On   SecDefaultAction "phase:2,pass,log,auditlog"   SecRule REQUEST_METHOD "!^(?:GET|POST|HEAD)$"       "phase:1,t:none,deny,status:500"   SecRule REQUEST_URI "login_failed.php"        log,exec:/usr/bin/manolo_mod_security.sh   SecRule ARGS:mypar !whatever deny   SecRule ARGS:mynum ^[^d]+$ deny </IfModule>
    • Reglas: mod_security  Patron  SecRule VARIABLES OPERATOR [ACTIONS]  SecRule REQUEST_URI "attack"     "phase:1,t:none,t:urlDecode,t:lowercase,t:normalisePath"  SecRule ARGS "drop[[:space:]]table" deny,log  Elementos  Headers, ENV, Cookies, QS, Variables html, Xpath ...  Acciones  Deny, status:nnn, allow, redirect:url, log, nolog, exec:cmd, pass, pause:n  Bloques  Directorios/Virtualhosts
    • Fases: mod_security
    • Recomendacion: mod_security  Politica recomendada:  Accept por defecto, denegar lo peligroso  Utilizar reglas de modsecurity.org (actualizables)  Arquitectura  FW  Proxy: mod_security + mod_proxy  Frontends
    • Appliances  ModSecurity Console  Comercial (Breach)  Consola gráfica  Alto rendimiento  Alta disponibilidad  Version trial / organizaciones