¿No sabes por dónde empezar? Ayúdanos normalizando artículos.
¿Tienes experiencia? Crea alguno de estos artículos de actualidad.

Diferencia entre revisiones de «Mod Security»

 
(No se muestran 4 ediciones intermedias de 3 usuarios)
Línea 1: Línea 1:
{{Normalizar}}{{Ficha Software
+
{{Ficha Software
 
|nombre= Mod Security
 
|nombre= Mod Security
 
|familia= Seguridad servidor web
 
|familia= Seguridad servidor web
|imagen= ‎ Modsecurity-logo.gif‎ ‎‎ ‎ ‎ ‎ ‎ ‎
+
|imagen= ‎ Modsecurity-logo-1.gif ‎‎ ‎ ‎ ‎ ‎ ‎
 
|tamaño=
 
|tamaño=
|descripción= Módulo para Apache que se encarga de proporcionarle un nivel de seguridad adicional al servidor web
+
|descripción= Módulo para Apache
 
|imagen2=
 
|imagen2=
 
|tamaño2=
 
|tamaño2=
Línea 22: Línea 22:
 
|web= [http://www.modsecurity.org/ modsecurity.org]
 
|web= [http://www.modsecurity.org/ modsecurity.org]
 
}}
 
}}
<div align="justify">
+
 
   
 
   
 
'''Mod Security. ''' Es un módulo de [[Apache]] que brinda detección y prevención de intrusos al [[servidor]] [[Web Apache]]; también a los productos que realizan estas tareas comúnmente se los llama "[[Firewall]] de [[Aplicaciones]]".
 
'''Mod Security. ''' Es un módulo de [[Apache]] que brinda detección y prevención de intrusos al [[servidor]] [[Web Apache]]; también a los productos que realizan estas tareas comúnmente se los llama "[[Firewall]] de [[Aplicaciones]]".
Línea 32: Línea 32:
 
   
 
   
 
== Descripción ==
 
== Descripción ==
[[Image: modsecurity.png|thumb|right| Mod Security]]
+
[[Image: Modsecurity-prog.png|thumb|right| Mod Security]]
Es un firewall web (web application firewall (WAF)) de código abierto, una de las más usadas actualmente, Mod Security provee protección para una amplia variedad de ataques contra aplicaciones web, permitiendo el monitoreo de tráfico http y análisis en tiempo real casi sin cambios en la infraestructura de un sistema.
+
Mod Security es un firewall web (web application firewall (WAF)) de código abierto, provee protección para una amplia variedad de ataques contra aplicaciones web, permitiendo el monitoreo de tráfico http y análisis en [[tiempo real]] casi sin cambios en la infraestructura de un sistema.
 
   
 
   
 
El funcionamiento es similar al de un [[Sistema de Detección de Intrusos (IDS)]] el cual es utilizado para analizar el [[tráfico de red]] con el fin de detectar anomalías, pero con la diferencia que este trabaja en el nivel de [[HTTP]] y lo comprende realmente muy bien.
 
El funcionamiento es similar al de un [[Sistema de Detección de Intrusos (IDS)]] el cual es utilizado para analizar el [[tráfico de red]] con el fin de detectar anomalías, pero con la diferencia que este trabaja en el nivel de [[HTTP]] y lo comprende realmente muy bien.
Línea 41: Línea 41:
 
=== Técnicas ===
 
=== Técnicas ===
 
*'''Modelo de seguridad negativo:''' Monitorea por solicitudes anómalas, comportamientos inusuales, y aplicaciones de ataques más usadas. Mantiene registros de anomalías de cada solicitud grabando IP, cuentas de usuarios y sesiones de registro. Las solicitudes con alto grado de anomalías se rechazan completamente.
 
*'''Modelo de seguridad negativo:''' Monitorea por solicitudes anómalas, comportamientos inusuales, y aplicaciones de ataques más usadas. Mantiene registros de anomalías de cada solicitud grabando IP, cuentas de usuarios y sesiones de registro. Las solicitudes con alto grado de anomalías se rechazan completamente.
*'''Modelo de Seguridad Positivo:''' Cuando se ejecuta, sólo las solicitudes que se reconocen como válidas son permitidas, todo lo demás se rechaza. Requiere un claro conocimiento de las aplicaciones que se pretende proteger. Generalmente es un modelo usado en aplicaciones que mantienen un alto nivel de uso pero un bajo update de forma que se da un bajo mantenimiento como ventaja del modelo.
+
*'''Modelo de Seguridad Positivo:''' Cuando se ejecuta, sólo las solicitudes que se reconocen como válidas son permitidas, todo lo demás se rechaza. Requiere un claro conocimiento de las aplicaciones que se pretende proteger.
 
*'''Vulnerabilidades y Debilidades conocidas:''' Un problema usual en los sistemas a medida es la detección de problemas que usualmente pueden tardar mucho tiempo en ser solucionados, para ésto es ideal la característica del Mod Security de ser una aplicación externa, se puede utilizar el lenguaje propio de la herramienta para establecer reglas que remedien la situación mientras se encuentra por parte de los encargados la solución a los problemas detectados. La tarea entonces es la de reducir la ventana de oportunidades para ataques oportunistas.
 
*'''Vulnerabilidades y Debilidades conocidas:''' Un problema usual en los sistemas a medida es la detección de problemas que usualmente pueden tardar mucho tiempo en ser solucionados, para ésto es ideal la característica del Mod Security de ser una aplicación externa, se puede utilizar el lenguaje propio de la herramienta para establecer reglas que remedien la situación mientras se encuentra por parte de los encargados la solución a los problemas detectados. La tarea entonces es la de reducir la ventana de oportunidades para ataques oportunistas.
 
   
 
   
Línea 53: Línea 53:
 
   
 
   
 
=== Proyectos ===
 
=== Proyectos ===
* '''ModSecurity para Apache:''' Implementación nativa del firewall de aplicaciones web, trabajando como módulo de Apache. Las dos principales ramas de Apache son compatibles.
+
* ModSecurity para Apache.
* '''Núcleo ModSecurity conjunto de reglas (CRS):''' Una colección de reglas diseñadas para detectar los ataques comunes de aplicaciones Web, que se convierte en una herramienta de ModSecurity Web de detección de intrusiones. El núcleo ModSecurity Reglas proyecto se encuentra un proyecto de OWASP.
+
* Núcleo ModSecurity conjunto de reglas (CRS).  
* '''ModSecurity Reglas Comerciales:''' Reglas de ModSecurity comerciales están disponibles en las organizaciones de expertos, y la dirección o complementar el núcleo OWASP conjunto de reglas.
+
* ModSecurity Reglas Comerciales.  
* '''ModSecurity Apoyo:''' Las opciones de apoyo y solución de problemas para los despliegues de ModSecurity.
+
* Demos ModSecurity.
* '''Demos ModSecurity:''' La demostración ModSecurity es un esfuerzo conjunto entre el ModSecurity y equipos PHPIDS proyecto para permitir a los usuarios probar ModSecurity y PHPIDS. Todos los datos se envían a una instalación de ModSecurity para su inspección por la CRS y luego será proxy a la página de PHPIDS para inspección normal y el procesamiento. El cuerpo de la respuesta será inspeccionada para confirmar si hay algún problema de evasión entre el CRS y PHPIDS.
+
* ModProfiler.
* '''ModProfiler:''' utiliza registros de transacciones para analizar el tráfico y crear modelos de solicitud, que luego se puede exportar a las normas de ModSecurity que utilizan un modelo de seguridad positiva.
 
 
   
 
   
 
== Características y Funcionalidades ==
 
== Características y Funcionalidades ==
 
El módulo cuenta con las siguientes funcionalidades:  
 
El módulo cuenta con las siguientes funcionalidades:  
* '''Filtrado de Peticiones:''' Las peticiones entrantes son analizadas antes de pasarlas al servidor web ó a cualquier otro módulo de Apache. Para realizar este filtrado podemos utilizar expresiones regulares, lo cual lo hace muy flexible.  
+
* '''Filtrado de Peticiones'''  
* '''Técnicas Anti-evasión:''' Los paths y los parámetros son normalizados antes del análisis para evitar técnicas de evasión. Elimina directorios referenciados por si mismos (./). Tratamiento de \ y / de manera igual (en [[Windows]]).Decodificación de [[URL]]. Reemplazo de bytes nulos por espacios (%00).
+
Las peticiones entrantes son analizadas antes de pasarlas al servidor web ó a cualquier otro módulo de Apache.  
* '''Comprensión del protocolo HTTP:''' Al comprender el protocolo HTTP, puede realizar filtrados muy específicos y granulares. Podemos analizar un campo específico de un formulario X de una página en particular.  
+
* '''Técnicas Anti-evasión'''  
* '''Post Payload análisis:''' Intercepta y analiza el contenido transmitido a través del método POST.  
+
Los paths y los parámetros son normalizados antes del análisis para evitar técnicas de evasión.
* '''Audit Logging:''' Es posible loguear con detalle (incluidas las peticiones [[POST]]) para un posterior análisis Forense.  
+
* '''Comprensión del protocolo HTTP'''  
* '''[[HTTPS]] Filtering:''' Al estar embebido como módulo tiene acceso a los datos después de que estos hayan sido desencriptados.  
+
Al comprender el protocolo HTTP, puede realizar filtrados muy específicos y granulares.  
* '''Compressed content Filtering:''' Al igual que la funcionalidad anterior, tiene acceso a los datos después de la descompresión.  
+
* '''Post Payload análisis'''  
* '''Byte range verification:''' Sirve para detectar y bloquear shellcodes, esto se puede lograr limitando el rango de los [[bytes]].  
+
Intercepta y analiza el contenido transmitido a través del método [[POST]].  
 +
* '''Audit Logging'''  
 +
Es posible loguear con detalle (incluidas las peticiones POST) para un posterior análisis.  
 +
* '''[[HTTPS]] Filtering'''  
 +
Al estar embebido como módulo tiene acceso a los datos después de que estos hayan sido desencriptados.  
 +
* '''Compressed content Filtering'''  
 +
Al igual que la funcionalidad anterior, tiene acceso a los datos después de la descompresión.  
 +
* '''Byte range verification'''  
 +
Sirve para detectar y bloquear shellcodes, esto se puede lograr limitando el rango de los [[bytes]].  
 
   
 
   
 
==Ventajas ==
 
==Ventajas ==
 
* Una de las mayores ventajas que tiene el Mod Security es la posibilidad de proteger complejas aplicaciones donde la modificación del código fuente para poder securizarlas sea difícil, se necesite mucho tiempo, sea muy caro, o simplemente no se pueda.
 
* Una de las mayores ventajas que tiene el Mod Security es la posibilidad de proteger complejas aplicaciones donde la modificación del código fuente para poder securizarlas sea difícil, se necesite mucho tiempo, sea muy caro, o simplemente no se pueda.
* Se podrá utilizar para proteger [[foros]], [[blogs]], [[wikis]], portales de comentarios [[SPAM]], etc.
+
* Se podrá utilizar para proteger [[foros]], [[blog]]s, [[wikis]], portales de comentarios [[SPAM]], etc.
 
* Al tener un [[servidor web]] o una aplicación que es vulnerable a cierto ataque/bug se puede protegerlo con el programa hasta que salga el parche o la actualización del mismo para solucionar el problema.
 
* Al tener un [[servidor web]] o una aplicación que es vulnerable a cierto ataque/bug se puede protegerlo con el programa hasta que salga el parche o la actualización del mismo para solucionar el problema.
* Es [[OpenSource]], y gratuito.
+
* Es [[Open Source]], y gratuito.
 
* Fácil de configurar.
 
* Fácil de configurar.
 
* Eficiente.
 
* Eficiente.
Línea 81: Línea 88:
 
* Se podrán evitar un alto número de ataques con un pocas líneas de configuración.
 
* Se podrán evitar un alto número de ataques con un pocas líneas de configuración.
 
* Se podrán crear reglas muy específicas, optimizando así el rendimiento del programa.
 
* Se podrán crear reglas muy específicas, optimizando así el rendimiento del programa.
* Otra de las ventajas es el hecho de ser portable, funcionando en casi todos los SO conocidos.
+
* Otra de las ventajas es el hecho de ser portable, funcionando en casi todos los Sistemas Operativos conocidos.
+
 
 
== Fuentes ==
 
== Fuentes ==
 
* [http://www.shellsec.net/articulo/que-software-seguridad-usas/ shellsec]
 
* [http://www.shellsec.net/articulo/que-software-seguridad-usas/ shellsec]

última versión al 17:45 5 feb 2021

Mod Security
Información sobre la plantilla
Parte de la familia Seguridad servidor web
Modsecurity-logo-1.gif
Módulo para Apache
CreadorIvan Ristic
Sistemas Operativos compatiblesWindows, Linux, BSD
LicenciaGPL
Sitio web
modsecurity.org


Mod Security. Es un módulo de Apache que brinda detección y prevención de intrusos al servidor Web Apache; también a los productos que realizan estas tareas comúnmente se los llama "Firewall de Aplicaciones".

Antecendentes de Mod Security

Ivan Ristic especialista en seguridad web, creó Mod Security™ en el año 2002. Abordó el desarrollo de esta aplicación después de haber utilizado durante un año y medio Snort para monitorear tráfico Web y llegar a la conclusión de que necesitaba una herramienta que le permitiera especificar reglas más complejas y la capacidad de realizar acciones relacionadas específicamente con el tráfico HTTP.

En septiembre de 2006 Breach Security adquirió Thinking Stone y Mod Security™. A mediados de noviembre de 2006 se lanzó al mercado la versión 2.0 de Mod Security™.

Descripción

Mod Security

Mod Security es un firewall web (web application firewall (WAF)) de código abierto, provee protección para una amplia variedad de ataques contra aplicaciones web, permitiendo el monitoreo de tráfico http y análisis en tiempo real casi sin cambios en la infraestructura de un sistema.

El funcionamiento es similar al de un Sistema de Detección de Intrusos (IDS) el cual es utilizado para analizar el tráfico de red con el fin de detectar anomalías, pero con la diferencia que este trabaja en el nivel de HTTP y lo comprende realmente muy bien.

Tiene la funcionalidad de prevenir, si encuentra peticiones con carga maliciosa puede rechazar la petición basada en las reglas que incorpora.

Técnicas

  • Modelo de seguridad negativo: Monitorea por solicitudes anómalas, comportamientos inusuales, y aplicaciones de ataques más usadas. Mantiene registros de anomalías de cada solicitud grabando IP, cuentas de usuarios y sesiones de registro. Las solicitudes con alto grado de anomalías se rechazan completamente.
  • Modelo de Seguridad Positivo: Cuando se ejecuta, sólo las solicitudes que se reconocen como válidas son permitidas, todo lo demás se rechaza. Requiere un claro conocimiento de las aplicaciones que se pretende proteger.
  • Vulnerabilidades y Debilidades conocidas: Un problema usual en los sistemas a medida es la detección de problemas que usualmente pueden tardar mucho tiempo en ser solucionados, para ésto es ideal la característica del Mod Security de ser una aplicación externa, se puede utilizar el lenguaje propio de la herramienta para establecer reglas que remedien la situación mientras se encuentra por parte de los encargados la solución a los problemas detectados. La tarea entonces es la de reducir la ventana de oportunidades para ataques oportunistas.

Principales reglas de contenido

A fin de proporcionar protección aplicaciones web genérica, las normas básica utilizar las siguientes técnicas:

  • HTTP de protección: la detección de violaciones de los protocolos HTTP y una política de uso definidos a nivel local.
  • Web comunes los ataques de protección: la detección de la aplicación web común ataque a la seguridad.
  • Detección de automatización: detección de robots, escáneres y actividad superficial maliciosos.
  • Protección de Troya: detección de acceso a los caballos troyanos.
  • Error ocultar: disfrazar los mensajes de error enviados por el servidor.

Proyectos

  • ModSecurity para Apache.
  • Núcleo ModSecurity conjunto de reglas (CRS).
  • ModSecurity Reglas Comerciales.
  • Demos ModSecurity.
  • ModProfiler.

Características y Funcionalidades

El módulo cuenta con las siguientes funcionalidades:

  • Filtrado de Peticiones

Las peticiones entrantes son analizadas antes de pasarlas al servidor web ó a cualquier otro módulo de Apache.

  • Técnicas Anti-evasión

Los paths y los parámetros son normalizados antes del análisis para evitar técnicas de evasión.

  • Comprensión del protocolo HTTP

Al comprender el protocolo HTTP, puede realizar filtrados muy específicos y granulares.

  • Post Payload análisis

Intercepta y analiza el contenido transmitido a través del método POST.

  • Audit Logging

Es posible loguear con detalle (incluidas las peticiones POST) para un posterior análisis.

Al estar embebido como módulo tiene acceso a los datos después de que estos hayan sido desencriptados.

  • Compressed content Filtering

Al igual que la funcionalidad anterior, tiene acceso a los datos después de la descompresión.

  • Byte range verification

Sirve para detectar y bloquear shellcodes, esto se puede lograr limitando el rango de los bytes.

Ventajas

  • Una de las mayores ventajas que tiene el Mod Security es la posibilidad de proteger complejas aplicaciones donde la modificación del código fuente para poder securizarlas sea difícil, se necesite mucho tiempo, sea muy caro, o simplemente no se pueda.
  • Se podrá utilizar para proteger foros, blogs, wikis, portales de comentarios SPAM, etc.
  • Al tener un servidor web o una aplicación que es vulnerable a cierto ataque/bug se puede protegerlo con el programa hasta que salga el parche o la actualización del mismo para solucionar el problema.
  • Es Open Source, y gratuito.
  • Fácil de configurar.
  • Eficiente.
  • Curva de aprendizaje muy rápida.
  • Se podrán evitar un alto número de ataques con un pocas líneas de configuración.
  • Se podrán crear reglas muy específicas, optimizando así el rendimiento del programa.
  • Otra de las ventajas es el hecho de ser portable, funcionando en casi todos los Sistemas Operativos conocidos.

Fuentes

Enlaces Externos