Mod Security

Mod Security Parte de la familia Seguridad servidor web Módulo para Apache Creador Ivan Ristic Sistemas Operativos compatibles Windows, Linux, BSD Licencia GPL Sitio web modsecurity.org

Mod Security. Es un módulo de Apache que brinda detección y prevención de intrusos al servidor Web Apache; también a los productos que realizan estas tareas comúnmente se los llama "Firewall de Aplicaciones".

Antecendentes de Mod Security

Ivan Ristic especialista en seguridad web, creó Mod Security™ en el año 2002. Abordó el desarrollo de esta aplicación después de haber utilizado durante un año y medio Snort para monitorear tráfico Web y llegar a la conclusión de que necesitaba una herramienta que le permitiera especificar reglas más complejas y la capacidad de realizar acciones relacionadas específicamente con el tráfico HTTP.

En septiembre de 2006 Breach Security adquirió Thinking Stone y Mod Security™. A mediados de noviembre de 2006 se lanzó al mercado la versión 2.0 de Mod Security™.

Descripción

Mod Security es un firewall web (web application firewall (WAF)) de código abierto, provee protección para una amplia variedad de ataques contra aplicaciones web, permitiendo el monitoreo de tráfico http y análisis en tiempo real casi sin cambios en la infraestructura de un sistema.

El funcionamiento es similar al de un Sistema de Detección de Intrusos (IDS) el cual es utilizado para analizar el tráfico de red con el fin de detectar anomalías, pero con la diferencia que este trabaja en el nivel de HTTP y lo comprende realmente muy bien.

Tiene la funcionalidad de prevenir, si encuentra peticiones con carga maliciosa puede rechazar la petición basada en las reglas que incorpora.

Técnicas

• Modelo de seguridad negativo: Monitorea por solicitudes anómalas, comportamientos inusuales, y aplicaciones de ataques más usadas. Mantiene registros de anomalías de cada solicitud grabando IP, cuentas de usuarios y sesiones de registro. Las solicitudes con alto grado de anomalías se rechazan completamente.
• Modelo de Seguridad Positivo: Cuando se ejecuta, sólo las solicitudes que se reconocen como válidas son permitidas, todo lo demás se rechaza. Requiere un claro conocimiento de las aplicaciones que se pretende proteger.
• Vulnerabilidades y Debilidades conocidas: Un problema usual en los sistemas a medida es la detección de problemas que usualmente pueden tardar mucho tiempo en ser solucionados, para ésto es ideal la característica del Mod Security de ser una aplicación externa, se puede utilizar el lenguaje propio de la herramienta para establecer reglas que remedien la situación mientras se encuentra por parte de los encargados la solución a los problemas detectados. La tarea entonces es la de reducir la ventana de oportunidades para ataques oportunistas.

Principales reglas de contenido

A fin de proporcionar protección aplicaciones web genérica, las normas básica utilizar las siguientes técnicas:

• HTTP de protección: la detección de violaciones de los protocolos HTTP y una política de uso definidos a nivel local.
• Web comunes los ataques de protección: la detección de la aplicación web común ataque a la seguridad.
• Detección de automatización: detección de robots, escáneres y actividad superficial maliciosos.
• Protección de Troya: detección de acceso a los caballos troyanos.
• Error ocultar: disfrazar los mensajes de error enviados por el servidor.

Proyectos

• ModSecurity para Apache.
• Núcleo ModSecurity conjunto de reglas (CRS).
• ModSecurity Reglas Comerciales.
• Demos ModSecurity.
• ModProfiler.

Características y Funcionalidades

El módulo cuenta con las siguientes funcionalidades:

• Filtrado de Peticiones

Las peticiones entrantes son analizadas antes de pasarlas al servidor web ó a cualquier otro módulo de Apache.

• Técnicas Anti-evasión

Los paths y los parámetros son normalizados antes del análisis para evitar técnicas de evasión.

• Comprensión del protocolo HTTP

Al comprender el protocolo HTTP, puede realizar filtrados muy específicos y granulares.

• Post Payload análisis

Intercepta y analiza el contenido transmitido a través del método POST.

• Audit Logging

Es posible loguear con detalle (incluidas las peticiones POST) para un posterior análisis.

• HTTPS Filtering

Al estar embebido como módulo tiene acceso a los datos después de que estos hayan sido desencriptados.

• Compressed content Filtering

Al igual que la funcionalidad anterior, tiene acceso a los datos después de la descompresión.

• Byte range verification

Sirve para detectar y bloquear shellcodes, esto se puede lograr limitando el rango de los bytes.

Ventajas

• Una de las mayores ventajas que tiene el Mod Security es la posibilidad de proteger complejas aplicaciones donde la modificación del código fuente para poder securizarlas sea difícil, se necesite mucho tiempo, sea muy caro, o simplemente no se pueda.
• Se podrá utilizar para proteger foros, blogs, wikis, portales de comentarios SPAM, etc.
• Al tener un servidor web o una aplicación que es vulnerable a cierto ataque/bug se puede protegerlo con el programa hasta que salga el parche o la actualización del mismo para solucionar el problema.
• Es Open Source, y gratuito.
• Fácil de configurar.
• Eficiente.
• Curva de aprendizaje muy rápida.
• Se podrán evitar un alto número de ataques con un pocas líneas de configuración.
• Se podrán crear reglas muy específicas, optimizando así el rendimiento del programa.
• Otra de las ventajas es el hecho de ser portable, funcionando en casi todos los Sistemas Operativos conocidos.

Fuentes

• shellsec
• blog.infranetworking.com
• sliceoflinux
• isecauditors
• emezeta

Enlaces Externos

• rm-rf.es
• onlamp
• www.modsecurity.org/documentation