¿No sabes por dónde empezar? Ayúdanos normalizando artículos.
¿Tienes experiencia? Crea alguno de estos artículos de actualidad.

Mod Security

Mod Security
Información sobre la plantilla
Parte de la familia Seguridad servidor web
260px
Módulo para Apache que se encarga de proporcionarle un nivel de seguridad adicional al servidor web
CreadorIvan Ristic
Sistemas Operativos compatiblesWindows, Linux, BSD
LicenciaGPL
Sitio web
modsecurity.org

Mod Security. Es un módulo de Apache que brinda detección y prevención de intrusos al servidor Web Apache; también a los productos que realizan estas tareas comúnmente se los llama "Firewall de Aplicaciones".

Antecendentes de Mod Security

Ivan Ristic especialista en seguridad web, creó Mod Security™ en el año 2002. Abordó el desarrollo de esta aplicación después de haber utilizado durante un año y medio Snort para monitorear tráfico Web y llegar a la conclusión de que necesitaba una herramienta que le permitiera especificar reglas más complejas y la capacidad de realizar acciones relacionadas específicamente con el tráfico HTTP.

En septiembre de 2006 Breach Security adquirió Thinking Stone y Mod Security™. A mediados de noviembre de 2006 se lanzó al mercado la versión 2.0 de Mod Security™.

Descripción

Es un firewall web (web application firewall (WAF)) de código abierto, una de las más usadas actualmente, Mod Security provee protección para una amplia variedad de ataques contra aplicaciones web, permitiendo el monitoreo de tráfico http y análisis en tiempo real casi sin cambios en la infraestructura de un sistema.

El funcionamiento es similar al de un Sistema de Detección de Intrusos (IDS) el cual es utilizado para analizar el tráfico de red con el fin de detectar anomalías, pero con la diferencia que este trabaja en el nivel de HTTP y lo comprende realmente muy bien.

Tiene la funcionalidad de prevenir, si encuentra peticiones con carga maliciosa puede rechazar la petición basada en las reglas que incorpora.

Técnicas

  • Modelo de seguridad negativo: Monitorea por solicitudes anómalas, comportamientos inusuales, y aplicaciones de ataques más usadas. Mantiene registros de anomalías de cada solicitud grabando IP, cuentas de usuarios y sesiones de registro. Las solicitudes con alto grado de anomalías se rechazan completamente.
  • Modelo de Seguridad Positivo: Cuando se ejecuta, sólo las solicitudes que se reconocen como válidas son permitidas, todo lo demás se rechaza. Requiere un claro conocimiento de las aplicaciones que se pretende proteger. Generalmente es un modelo usado en aplicaciones que mantienen un alto nivel de uso pero un bajo update de forma que se da un bajo mantenimiento como ventaja del modelo.
  • Vulnerabilidades y Debilidades conocidas: Un problema usual en los sistemas a medida es la detección de problemas que usualmente pueden tardar mucho tiempo en ser solucionados, para ésto es ideal la característica del Mod Security de ser una aplicación externa, se puede utilizar el lenguaje propio de la herramienta para establecer reglas que remedien la situación mientras se encuentra por parte de los encargados la solución a los problemas detectados. La tarea entonces es la de reducir la ventana de oportunidades para ataques oportunistas.

Principales reglas de contenido

A fin de proporcionar protección aplicaciones web genérica, las normas básica utilizar las siguientes técnicas:

  • HTTP de protección: la detección de violaciones de los protocolos HTTP y una política de uso definidos a nivel local.
  • Web comunes los ataques de protección: la detección de la aplicación web común ataque a la seguridad.
  • Detección de automatización: detección de robots, escáneres y actividad superficial maliciosos.
  • Protección de Troya: detección de acceso a los caballos troyanos.
  • Error ocultar: disfrazar los mensajes de error enviados por el servidor.

Proyectos

  • ModSecurity para Apache: Implementación nativa del firewall de aplicaciones web, trabajando como módulo de Apache. Las dos principales ramas de Apache son compatibles.
  • Núcleo ModSecurity conjunto de reglas (CRS): Una colección de reglas diseñadas para detectar los ataques comunes de aplicaciones Web, que se convierte en una herramienta de ModSecurity Web de detección de intrusiones. El núcleo ModSecurity Reglas proyecto se encuentra un proyecto de OWASP.
  • ModSecurity Reglas Comerciales: Reglas de ModSecurity comerciales están disponibles en las organizaciones de expertos, y la dirección o complementar el núcleo OWASP conjunto de reglas.
  • ModSecurity Apoyo: Las opciones de apoyo y solución de problemas para los despliegues de ModSecurity.
  • Demos ModSecurity: La demostración ModSecurity es un esfuerzo conjunto entre el ModSecurity y equipos PHPIDS proyecto para permitir a los usuarios probar ModSecurity y PHPIDS. Todos los datos se envían a una instalación de ModSecurity para su inspección por la CRS y luego será proxy a la página de PHPIDS para inspección normal y el procesamiento. El cuerpo de la respuesta será inspeccionada para confirmar si hay algún problema de evasión entre el CRS y PHPIDS.
  • ModProfiler: utiliza registros de transacciones para analizar el tráfico y crear modelos de solicitud, que luego se puede exportar a las normas de ModSecurity que utilizan un modelo de seguridad positiva.

Características y Funcionalidades

El módulo cuenta con las siguientes funcionalidades:

  • Filtrado de Peticiones: Las peticiones entrantes son analizadas antes de pasarlas al servidor web ó a cualquier otro módulo de Apache. Para realizar este filtrado podemos utilizar expresiones regulares, lo cual lo hace muy flexible.
  • Técnicas Anti-evasión: Los paths y los parámetros son normalizados antes del análisis para evitar técnicas de evasión. Elimina directorios referenciados por si mismos (./). Tratamiento de \ y / de manera igual (en Windows).Decodificación de URL. Reemplazo de bytes nulos por espacios (%00).
  • Comprensión del protocolo HTTP: Al comprender el protocolo HTTP, puede realizar filtrados muy específicos y granulares. Podemos analizar un campo específico de un formulario X de una página en particular.
  • Post Payload análisis: Intercepta y analiza el contenido transmitido a través del método POST.
  • Audit Logging: Es posible loguear con detalle (incluidas las peticiones POST) para un posterior análisis Forense.
  • HTTPS Filtering: Al estar embebido como módulo tiene acceso a los datos después de que estos hayan sido desencriptados.
  • Compressed content Filtering: Al igual que la funcionalidad anterior, tiene acceso a los datos después de la descompresión.
  • Byte range verification: Sirve para detectar y bloquear shellcodes, esto se puede lograr limitando el rango de los bytes.

Ventajas

  • Una de las mayores ventajas que tiene el Mod Security es la posibilidad de proteger complejas aplicaciones donde la modificación del código fuente para poder securizarlas sea difícil, se necesite mucho tiempo, sea muy caro, o simplemente no se pueda.
  • Se podrá utilizar para proteger foros, blogs, wikis, portales de comentarios SPAM, etc.
  • Al tener un servidor web o una aplicación que es vulnerable a cierto ataque/bug se puede protegerlo con el programa hasta que salga el parche o la actualización del mismo para solucionar el problema.
  • Es OpenSource, y gratuito.
  • Fácil de configurar.
  • Eficiente.
  • Curva de aprendizaje muy rápida.
  • Se podrán evitar un alto número de ataques con un pocas líneas de configuración.
  • Se podrán crear reglas muy específicas, optimizando así el rendimiento del programa.
  • Otra de las ventajas es el hecho de ser portable, funcionando en casi todos los SO conocidos.

Fuentes

Enlaces Externos