Your SlideShare is downloading. ×
0
Pecha kucha
Pecha kucha
Pecha kucha
Pecha kucha
Pecha kucha
Pecha kucha
Pecha kucha
Pecha kucha
Pecha kucha
Pecha kucha
Pecha kucha
Pecha kucha
Pecha kucha
Pecha kucha
Pecha kucha
Pecha kucha
Pecha kucha
Pecha kucha
Pecha kucha
Pecha kucha
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Pecha kucha

428

Published on

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
428
On Slideshare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
2
Comments
0
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. MOD_SECURYTY Servidor Web Apache Débora García y Fran Gavilán 2º ASIR Trimestre 1 Redes
  • 2. Mod_Security• Módulo open source para el servidor web Apache.• Soporta detección y prevención de instrucciones en aplicaciones web. o Protección contra ataques conocidos y contra posibles ataques nuevos.• Añade nivel extra de seguridad antes de servidor web. o Complementario a firewall de paquetes y detectores de instrucciones.
  • 3. Mod_Security• Funciona como firewall de aplicación, filtrando tráfico al nivel de aplicaciones http y https. o Funcionamiento controlado por reglas y patrones sobre el contenido de los mensajes http/https (análogo a Snort). o Integrado en servidor --> accede al tráfico cifrado SSL después de descifrado y justo antes de su proceso por el servidor (Snort no puede analizar tráfico cifrado).
  • 4. Mod_SecurityCaracterísticas:• Funciona de modo transparente para las aplicaciones WEB alojadas. o Permite asegurar aplicaciones WEB complejas o que no puedan ser modificadas (código heredado, aplicaciones privativas...) o No requiere intervención de los desarrolladores originales de las aplicaciones WEB.
  • 5. Mod_SecurityCaracterísticas:• Ofrece protección temporal ante vulnerabilidades recién descubiertas que aún no tengan parche de seguridad. o Actualización de reglas en la web: www.modsecurity.org• Comprende todos los detalles de protocolos http y https y permite un control y filtrado de los accesos permitidos
  • 6. Mod_SecurityFuncionalidades (cont.):• Filtrado de peticiones: las peticiones entrantes son analizadas antes de pasarlas al servidor Apache a sus módulos. o Uso de expresiones regulares para expresar las reglas.• Filtrado de las respuestas del servidor: puede analizar/modificar los mensajes de respuesta del servidor (normales o erróneos).
  • 7. Mod_SecurityFuncionalidades (cont.):• Técnicas anti-evasión: los parámetros recibidos y paths de los ficheros (html, php...) son normalizados para evitar mecanismos de evasión. o Elimina barras dobles (//) y referencias al propio directorio (./). o Decodifica las URLs (caracteres especiales). o Detecta y elimina bytes nulos (%00) usados en desbordamiento de buffer.
  • 8. Mod_SecurityFuncionalidades (cont.):• Soporte HTTP/HTTPS completo: puede especificar reglas hata el nivel de elementos concretos de páginas de HTML (enlaces, campos de formularios). o Procesa el tráfico HTTPS después de descifrado.• Análisis de datos POST: análisis de los datos enviados dentro de peticiones POST.
  • 9. Mod_SecurityFuncionalidades (cont.):• Auditoria y log: capacidades completas de logging de las peticiones procesadas para el análisis posterior. o IPs, timestamps, método HTTP, URI, datos.• Chroot integrado: soporta funcionalidades para implantar jaulas chroot (aisla servidor).• Manejo info. de identificación del servidor: se puede configurar y limitar la info. que el servidor ofrece de si mismo (versión, mensajes de errores...).
  • 10. Mod_SecurityReglas mod_security:• Definidas mediante expresiones regulares SecRule [variable/elementos peticion] [patrón] [acciones] -SecRule REQUEST_URI | QUERY_STRINGataque -SecRule ARGS "drop [ [ :space: ] ] table" deny,log
  • 11. Mod_SecurityElementos analizados (separados por |)• elementos de cabeceras HTTP• variables de entorno y variables del servidor• cookies• variables definicas en las páginas HTML• sobre páginas HTML o sobre la salida generada por los lenguajes de script (php,etc)Pueden definirse reglas específicas para distintos directorios oservidores virtuales dentro de la estructura de la web
  • 12. Mod_SecurityReglas mod_security (cont):• Acciones: o deny --> rechazo silencioso (sin redirección a mensaje de error) o status:nnn --> rechazar petición con un status code (403,404,500,...) o allow --> detiene procesam.reglas y permite la petición o redirect:url --> redirige la petición a la url indicada o log o nolog --> loggin (o no) de la petición o exec:cmd --> ejecución de un comando externo o pass --> ignora la regla actual y pasa a la siguiente o pause:n --> retiene la petición n milisegundos
  • 13. Mod_SecurityReglas mod_security (cont):• Modelos de funcionamiento: esquemas generales a la hora de definir las reglas SecDefault action1, action2, action3 (lista de acciones por defecto)• Modelo positivo: permitimos lo que sabemos que es seguro (politica por defecto DROP)• o mejor rendimiento o menos falsos positivos o más dificil de implantar (dar permiso a todo lo que tenemos en el servidor)
  • 14. Mod_SecurityReglas mod_security (cont):• Modelo negativo: denegamos lo que es peligroso (política por defecto ACCEPT) o más facil de implantar o más fácil positivos o mayor tiempo de procesamiento
  • 15. Mod_SecurityOtras funcionalidades• Chroot interno o mod_security permite configurar la ejecución de Apache en un entorno chroot interno  encierra al servidor en un sistema de directorios "/" falso  evita el acceso a directorios y ficheros sensibles (/etc, /dev/, /usr/bin) o El entorno chroot es implantado una vez el servidor está en ejecución SecChrootPath /chroot/var/www
  • 16. Mod_SecurityOtras funcionalidades (cont)• Cambiar la identificación del servidor WEB o mod_security gestiona el cambio de la "firma" sel servidor (nombre, versión, módulos instalados) que lo identifica en los mensajes HTTP enviados. o Dificulta a los atacantes la identificación del servidor
  • 17. Mod_SecurityConfiguraciones avanzadas de mod_security• La instalación básica de mod_security protege al servidor web donde sea instalado como módulo• Combinado con los módulos mod_proxy y mod_proxy_http se puede implantar una configuración de Proxy Inverso (reparto de peticiones) o Se implanta un "firewall HTTP" que protege a varios servidores WEB o Permite proteger servidores no Apache
  • 18. Mod_Security Ejemplo
  • 19. Mod_SecurityInstalación en Debian/Ubuntu (no paquetes oficiales)• Opciones o Compilación desde código fuente o Paquetes no oficiales (http://etc.inittab.org/~agi/debian)• Instalación o Editar fichero /etc/apat/sources.list y añadir  deb http://etc.inittab.org/~agi/debian/libapache-mod-security2 ./ o Actualizar e instalar  apt-get update  apt-get install libapache2-mod-security2 o
  • 20. Mod_Security• Instalar modulo Apache o en Debian --> $ a2enmod mod_security2 o manualmente --> /etc/apache2/apache.conf• Editar fichero de configuración y añadir reglas o /usr/share/doc/mod-security2- common/examples/modsecuririty.conf-minimal o /usr/share/doc/mod-security2-common/examples/rules• Reglas actualizadas disponibles en www.modsecurity.org

×