SlideShare una empresa de Scribd logo

Seguridad en servidores WEB. Modulo mod_security

S
seguridadelinux

El documento describe la seguridad en servidores web, incluyendo ataques comunes como inyección SQL y cross-site scripting. También presenta herramientas para la detección y protección como escáneres web y el módulo Apache mod_security, el cual actúa como un cortafuegos de aplicaciones para filtrar tráfico HTTP de forma transparente usando reglas basadas en expresiones regulares.

TecnologíaNoticias y política
1 de 23
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
Erica Lloves Calviño Francisco José Ribadas Pena elloves@uvigo.es ribadas@uvigo.es Seguridad en servidores Web. Departamento de Informática Módulo mod_security Universidade de Vigo Ferramentas de seguridade en GNU/Linux Curso de Extensión Universitaria 26 de xuño de 2009
Indice Seguridad en servidores WEB Ataques a servidores WEB Herramientas de detección/protección Módulo Apache mod_security Funcionalidades Reglas y configuración Instalación en Debian/Ubuntu 2
Seguridad en servidores WEB Los servidores WEB son una de las mayores fuentes de vulnerabilidades uno de los principales objetivos de los ataques. Es uno de los servicios más usados Disponible en la mayor parte de organizaciones Firewalls no suelen bloquear puerto http (80) Fuentes de vulnerabilidades: el propio servidor WEB (bugs, defectos configuración) las páginas HTML y aplicaciones WEB alojadas Delegar en otros mecanismos de seguridad/prevención no siempre basta firewalls + detección de intrusiones usar SSL/TLS no soluciona todos los problemas 3
Ataques a servidores WEB Defectos/bugs del servidor y la configuración Agujeros de seguridad o fallos en la protección del servidor (errores de implementación y/o configuración) Uso del servidor WEB como punto de entrada para nuevos ataques contra la red interna de la organización Permiten la ejecución de código atacante con los permisos del usuario que ejecuta el servidor WEB Mecanismos de prevención: Ejecutar servidor con los mínimos privilegios Evitar ejecución SUID (aplicaciones ejecutadas por root) Actualización constante (disponer de últimos parches) Log y monitorización de la actividad del servidor Mostrar mínima información sobre el servidor y el sistema Ejecución enjaulada (chroot) Definir un entorno chroot donde se ejecutará el servidor WEB aislado del resto del sistema de ficheros de al máquina Minimiza el riesgo de que ataques contra el servidor WEB pudieran afectar a otros elementos del equipo/red 4
Ataques a servidores WEB Acceso a información sensible Finalidad última de los ataques mal intencionados Acceso a información sensible Robo de passwords, contraseñas, nº tarjeta,... Acceso a información personal cookies, hábitos de navegación, ... Técnicas: Escucha del tráfico: sniffing Suplantación de páginas web: phishing Medidas de prevención Evitar canales inseguros Mecanismos criptográficos y cifrado de info. sensible Cifrado de la conexión (protocolo SSL/TLS [https]) autentica a los extremos (servidor y/o cliente) asegura confidencialidad e integridad del tráfico Concienciación y “formación” del usuario 5
Ataques a servidores WEB Ejecución de código de forma remota Aprovechar defectos en diseño de páginas HTML y aplicaciones WEB (generalmente fallos de validación) cross-site scripting XSS: vulnerabilidades en la validación de datos que permiten introducir código HTML incrustado inyección SQL: inserción de instruciones SQL que serán reenvidas a la BD sin ser validadas buffer overflow: inserción de código máquina arbitrario aprovechando buffers de entrada no limitados Tipo de ataque/vulnerabilidad más frecuente Abundancia y variedad de aplicaciones WEB Deficiencias en el desarrollo (poca atención a seguridad) Mientras no se solucionan los problemas en las aplicaciones WEB inseguras (tarea de los desarrolladores), establecer mecanismos para mitigar sus peligros es tarea de los administradores de red. Medidas de prevención: Filtrado y validación de entradas en propia aplicación WEB Filtros y detectores de intrusiones integrados en el servidor WEB (mod_security) 6
Cross Site Scripting XSS Ejecución de código script arbitrario ''incrustado'' por un tercero en campos de datos que son enviados tal cual desde el servidor WEB al navegador Hay datos que serán interpretados como código que modifica el comportamiento o aspecto de la página Peligro: cuando se ejecuta un script se tiene acceso a la página actual y a toda la información contenida en la misma obtener cookie del usuario (robando su id de sesión) redirigir a una página alternativa presentar contenido falso (para que introduzca info. privada) Etiquetas <script> </script> Introducir en algún campo de la Web o en un parámetro de una petición dinámica: <script>alert(“Esto es vulnerable a XSS”)</script> 7
Cross Site Scripting XSS Inyección de scritps en otras etiquetas: <img src=“javascript:alert(“Vulnerable a XSS”)> La mayor parte de etiquetas que admitan los atributos STYLE, SRC, HREF o TYPE son susceptibles de ser usadas:<html>,<body>,<embed>,<frame>,<frameset>,<a pplet>,<iframe>,<layer>,<meta>,<object>,<style> Protección: Filtrar los datos que el usuario introduce. No tan fácil: ofuscación/codificación de las cadenas introducidas para que pasen desapercibidas No se pueden detectar scripts introducidos dentro de etiquetas HTML 8
Inyección SQL Inserción de sentencias/comandos SQL en datos de entrada SQL posibilita la comunicación de datos entre WEB y almacenamiento → generación dinámica de sentencias SQL usando los parámetros que proporciona el usuario Posibilidad de cambiar la naturaleza de la petición que va a ejecutar el servidor de BD Introducción de sentencias o porciones de sentencias SQL en la URL, en campos de la página o en parámetros usados para generar sentencias SQL dinámicamente Este ataque es posible cuando hay entradas de usuario que se envíen directamente de aplicación Web a la BD Objetivo: acceso no autorizado o no restringido a la base de datos (potencialidad de daño enorme) Obtener información sensible contenida en una base de datos sin ser un usuario autorizado del sistema Modificar los datos almacenados Destruir la base de datos 9
Inyección SQL Ejemplo: login contra BD Parámetros entrada: nombre + clave Los parámetros de entrada no se comprueban Código de login en el servidor (php) $SQLquery = "SELECT * FROM users"; $SQLquery .= " WHERE user_login = '".$_POST[“nombre”]."'"; $SQLquery .= " AND user_pass ='".$_POST[“clave”].”'”; $Dbresult=db_query($SQLQuery); If ($Dbresult){ //Existe el usuario y la clav => acceder } else { //Acceso no permitido } 10
Inyección SQL Si como nombre de usuario se escribe ' OR 1=1 # (el password puede quedar en blanco) la consulta real siempre devolvería resultados: "SELECT * FROM users WHERE user_login = '' OR 1=1 # AND user_pass ='" Asumimos que el servidor BD usa ' como símbolo de cadenas y # como marca de comentario Ejecutación de comandos SQL arbitrarios Concatener nuevas sentencias SQL separadas por ; Permite modificar los contenidos de la BD En el caso anterior, usando como nombre de usuario '; INSERT INTO users (user_login, user_password) VALUES ('atacante','') # La sentencia SQL sería: "SELECT * FROM users WHERE user_login = ''; INSERT INTO users (user_login, user_password) VALUES ('atacante','') # AND user_pass ='" 11
Herramientas disponibles Escáneres de seguridad WEB Analizan el servidor y las páginas y servicios alojados Realizan comprobaciones de seguridad (ataques típicos) defectos en la configuración del servidor defectos en páginas/servicios WEB alojados Ejemplos nikto: http://www.cirt.net/code/nikto.shtml WebScarab: http://www.owasp.org/index.php/OWASP_WebScarab_Project Filtros (firewalls de aplicación) Integrados en el propio servidor WEB Validan todas las peticiones recibidas, realizando transformaciones y rechazando las que sean sospechosas Ejemplos mod_security: www.modsecurity.org 12
mod_security Módulo open source para el servidor web Apache Soporta detección y prevención de intrusiones en aplicaciones WEB Protección contra ataques conocidos y contra 'posibles' ataques nuevos. Añade nivel extra de seguridad 'antes' de servidor WEB Complementario a firewall de paquetes y detectores de intrusiones Funciona como “firewall” de aplicación, filtrando tráfico al nivel de aplicaciones http y https Funcionamiento controlado por reglas y patrones sobre el contenido de los mensajes http/https (análogo a SNORT) Integrado en servidor => accede al tráfico cifrado SSL después de descifrado y justo antes de su 'proceso' por el servidor (SNORT no puede analizar tráfico cifrado) 13
mod_security Características: Funciona de modo transparente para las aplicaciones WEB alojadas permite asegurar aplicaciones WEB complejas y/o que no puedan ser modificadas (código 'heredado', aplicaciones privativas,...) no requiere intervención de los desarrolladores originales de las aplicaciones WEB Ofrece protección temporal ante vulnerabilidades recién descubiertas que aún no tengan parche de seguridad actualiz. de reglas en la web: www.modsecurity.org Comprende todos los detalle de losprotocolos http y https y permite un control y filtrado 'fino' de los accesos permitidos 14
mod_security Funcionalidades Filtrado de peticiones: las peticiones entrantes son analizadas antes de pasarlas al servidor Apache a a sus módulos uso de expresiones regulares para expresar las reglas Filtrado de las respuestas del servidor: puede analizar/modificar los mensajes de respuesta del servidor (normales o erroneos) Técnicas anti-evasión: los parámetros recibidos y paths de los ficheros (html, php, ...) son normalizados para evitar mecanismos de evasión elimina barras dobles (//) y referencias al propio directorio (./) decodifica las URLs (caracteres especiales) detecta y elimina bytes nulos (%00) [usados en desbordamiento de buffer] 15
mod_security Funcionalidades (cont.) Soporte HTTP/HTTPS completo: puede especificar reglas hasta el nivel de elementos concretos de páginas HTML (enlaces, campos de formularios) procesa el tráfico HTTPS despues de descrifrado Análisis de datos POST: análisis de los datos enviados 'dentro' de peticiones POST Auditoria y log: capacidades completas de logging de las peticiones procesadas para el análisis posterior IPs, timestamps, método HTTP, URI, datos chroot integrado: soporta funcionalidades para implantar jaulas chroot (aisla servidor) manejo info. de identificación del servidor: se puede configurar y limitar la info. que el servidor ofrece de si mismo (versión, mensajes de error, ...) 16
mod_security <IfModule mod_security.c> SecFilterEngine On # Turn the filtering engine On or Off SecFilterCheckURLEncoding On # Make sure that URL encoding is valid SecFilterCheckUnicodeEncoding Off # Unicode encoding check SecFilterForceByteRange 0 255 # Only allow bytes from this range SecAuditEngine RelevantOnly # Only log suspicious requests SecAuditLog logs/audit_log # The name of the audit log file SecFilterDebugLog logs/modsec_debug_log SecFilterDebugLevel 0 # Debug level set to a minimum SecFilterScanPOST On # Should mod_security inspect POST payloads SecFilterDefaultAction "deny,log,status:500" # By default log and deny suspicious # requests with HTTP status 500 SecRule REQUEST_URI "login_failed.php" chain SecRule ARG_username "^admin$" log,exec:/home/apache/bin/notagain.pl ... </IfModule> 17
mod_security Reglas mod_security Definidas mediante expresiones regulares SecRule [variable/elementos petición] [patrón] [acciones] SecRule REQUEST_URI|QUERY_STRING ataque SecRule ARGS "drop[[:space:]]table" deny,log Elementos analizados (separados por |) elementos de cabeceras HTTP variables de entorno y variables del servidor cookies variables definidas en las páginas HTML carga de peticiones POST sobre páginas HTML o sobre la salida generada por los lenguajes de script (php, etc) Pueden definirse reglas específicas para distintos directorios o servidores virtuales dentro de la estructura de la web 18
mod_security Reglas mod_security (cont.) Acciones posibles: deny rechazo silencioso (sin redirección a mensaje de error) status:nnn rechazar petición con un status code (403,404,500,...) allow detiene procesam. reglas y permite la petición redirect:url redirige la petición a la url indicada log ó nolog loggin (o no) de la petición exec:cmd ejecución de un comando externo pass ignora la regla actual y pasa a la siguiente pause:n retiene la petición n milisegundos 19
mod_security Reglas mod_security (cont.) Modelos de funcionamiento: esquemas generales a la hora de definir las reglas SecDefaultAction action1,action2,action3 (lista de acciones por defecto) Modelo positivo: permitimos lo que sabemos que es seguro (política por defecto DROP) mejor rendimiento menos falsos positivos más difícil de implantar (dar permiso a todo lo que tenemos en el servidor) Modelo negativo: denegamos lo que es peligroso (política por defecto ACCEPT) más fácil de implantar más falsos positivos mayor tiempo de procesamiento 20
mod_security Otras funcionalidades chroot interno mod_security permite configurar la ejecución de Apache en un entorno chroot interno encierra al servidor en un sistema de directorios “/” falso evita el acceso a directorios y ficheros sensibles (/etc, /dev, /usr/ bin) El entorno chroot es implantado una vez el servidor está en ejecución SecChrootPath /chroot/var/www Cambiar la identificación del servidor WEB mod_security gestiona el cambio de la “firma” del servidor (nombre, versión, módulos instalados) que lo identifica en los mensajes HTTP enviados Dificulta a los atacantes la identificación del servidor SecServerSignature “mi servidor” 21
mod_security Configuraciones avanzadas de mod_security La instalación básica de mod_security protege al servidor web donde sea instalado como módulo Combinado con los módulos mod_proxy y mod_proxy_http se puede implantar una configuración de Proxy Inverso (reparto de peticiones) Se implanta un “firewall HTTP” que protege a varios servidores WEB Permite proteger servidores no Apache MS IIS Cliente mod_security WEB + Apache mod_proxy Apache Firewall Servidores (filtro paquetes) WEB 22
mod_security Instalación en Debian/Ubuntu (no paquetes oficiales) Opciones: Compilación desde código fuente Paquetes no oficiales (http://etc.inittab.org/~agi/debian/) Instalación: Editar fichero /etc/apt/sources.list y añadir deb http://etc.inittab.org/~agi/debian/libapache-mod-security2 ./ Actualizar e instalar apt-get update apt-get install libapache2-mod-security2 Instalar módulo Apache en debian: $ a2enmod mod_security2 manualmente: /etc/apache2/apache.conf Editar fichero de configuración y añadir reglas /usr/share/doc/mod-security2-common/examples/modsecurity.conf-minimal /usr/share/doc/mod-security2-common/examples/rules/ Reglas actualizadas disponibles en www.modsecurity.org 23

Más contenido relacionado

PDF
Desarrollo seguro en NodeJS (OWASP top ten y JWT)
Raúl Requero García
 
PPT
Cómo realizar un test de intrusión a una aplicación Web
Eduardo Jalon
 
PPTX
Seguridad en php
Ricardo Joel Robinson Gonzalez
 
PDF
Hacking de servidores web OMHE
Héctor López
 
PDF
Las diez principales amenazas para las bases de datos
Imperva
 
PPT
Spring Security
Santiago Márquez Solís
 
PDF
Actividad No. 6.3: Escaneo de vulnerabilidades con Nessus
Francisco Medina
 
PDF
Seguridad y Control de Acceso en una instalación Citrix
Joaquin Herrero
 
Desarrollo seguro en NodeJS (OWASP top ten y JWT)
Raúl Requero García
 
Cómo realizar un test de intrusión a una aplicación Web
Eduardo Jalon
 
Seguridad en php
Ricardo Joel Robinson Gonzalez
 
Hacking de servidores web OMHE
Héctor López
 
Las diez principales amenazas para las bases de datos
Imperva
 
Spring Security
Santiago Márquez Solís
 
Actividad No. 6.3: Escaneo de vulnerabilidades con Nessus
Francisco Medina
 
Seguridad y Control de Acceso en una instalación Citrix
Joaquin Herrero
 

Similar a Seguridad en servidores WEB. Modulo mod_security (20)

PPT
Web app attacks
Jaime Restrepo
 
PPT
WebAttack - Presentación
Marcos Miguel Garcia
 
PPTX
Seguridad en servidores
Taty Millan
 
PDF
Seguridad web
camposer
 
PPTX
Los 7 pecados del Desarrollo Web
acksec
 
PPTX
Seguridad en los sistemas web
Facultad de Ciencias y Sistemas
 
PPT
Seguridad en la web
Tensor
 
ODP
Curso basicoseguridadweb slideshare3
tantascosasquenose
 
PPTX
Temas owasp
Fernando Solis
 
PPTX
Seguridad en la web
Tensor
 
PPTX
Seguridad en la web
Tensor
 
PPTX
Seguridad en la web
Tensor
 
PPTX
Seguridad en la web
Tensor
 
ODP
Seguridad en aplicaciones web
Jose Mato
 
PDF
Vulnerabilidades en Aplicaciones Web
Alonso Eduardo Caballero Quezada
 
PPTX
Seguridad web
Carlos Javier Majerhua
 
PPTX
Ciberseguridad y Seguridad Informática.pptx
bermudeznerhissaci00
 
PPTX
Ciberseguridad y Seguridad Informática.pptx
bermudeznerhissaci00
 
PDF
Aplicaciones Web Seguras (Anti-SQLi)
Francisco José Cruz Jiménez
 
PPT
Pecha kucha
Terrafx9
 
Web app attacks
Jaime Restrepo
 
WebAttack - Presentación
Marcos Miguel Garcia
 
Seguridad en servidores
Taty Millan
 
Seguridad web
camposer
 
Los 7 pecados del Desarrollo Web
acksec
 
Seguridad en los sistemas web
Facultad de Ciencias y Sistemas
 
Seguridad en la web
Tensor
 
Curso basicoseguridadweb slideshare3
tantascosasquenose
 
Temas owasp
Fernando Solis
 
Seguridad en la web
Tensor
 
Seguridad en la web
Tensor
 
Seguridad en la web
Tensor
 
Seguridad en la web
Tensor
 
Seguridad en aplicaciones web
Jose Mato
 
Vulnerabilidades en Aplicaciones Web
Alonso Eduardo Caballero Quezada
 
Seguridad web
Carlos Javier Majerhua
 
Ciberseguridad y Seguridad Informática.pptx
bermudeznerhissaci00
 
Ciberseguridad y Seguridad Informática.pptx
bermudeznerhissaci00
 
Aplicaciones Web Seguras (Anti-SQLi)
Francisco José Cruz Jiménez
 
Pecha kucha
Terrafx9
 
Publicidad

Más de seguridadelinux (16)

PDF
Amenazas en redes GNU/Linux. Herramientas de seguridad para redes.
seguridadelinux
 
PDF
Gestión de usuarios en GNU/Linux. Módulos de autenticación PAM
seguridadelinux
 
PDF
Autenticación remota y servicios de directorio LDAP
seguridadelinux
 
ODP
Protección perimetral. Fundamentos de firewalls y redes privadas virtuales
seguridadelinux
 
ODP
Tests de intrusión. Análisis de seguridad en GNU/Linux
seguridadelinux
 
PDF
Herramientas criptográficas en GNU/Linux
seguridadelinux
 
PDF
Autenticación remota y servicios de directorio. LDAP y Kerberos
seguridadelinux
 
PDF
Ferramentas criptográficas en GNU/linux. gnuPG e sistemas de arquivos cifrados
seguridadelinux
 
PDF
Introduccion a GNU/Linux. Uso de QEMU
seguridadelinux
 
PDF
Sistemas de detección de intrusiones. SNORT
seguridadelinux
 
PDF
Herramientas de seguridad en redes. WIRESHARK. NMAP
seguridadelinux
 
PDF
Fundamentos de administración de sistemas GNU/Linux
seguridadelinux
 
PDF
Herramientas de detección de vulnerabilidades-NESSUS
seguridadelinux
 
PDF
Gestión de usuarios y autenticación en GNU/Linux
seguridadelinux
 
PDF
Fundamentos de firewalls. Netfilter/iptables
seguridadelinux
 
PDF
Topologías avanzadas de firewalls
seguridadelinux
 
Amenazas en redes GNU/Linux. Herramientas de seguridad para redes.
seguridadelinux
 
Gestión de usuarios en GNU/Linux. Módulos de autenticación PAM
seguridadelinux
 
Autenticación remota y servicios de directorio LDAP
seguridadelinux
 
Protección perimetral. Fundamentos de firewalls y redes privadas virtuales
seguridadelinux
 
Tests de intrusión. Análisis de seguridad en GNU/Linux
seguridadelinux
 
Herramientas criptográficas en GNU/Linux
seguridadelinux
 
Autenticación remota y servicios de directorio. LDAP y Kerberos
seguridadelinux
 
Ferramentas criptográficas en GNU/linux. gnuPG e sistemas de arquivos cifrados
seguridadelinux
 
Introduccion a GNU/Linux. Uso de QEMU
seguridadelinux
 
Sistemas de detección de intrusiones. SNORT
seguridadelinux
 
Herramientas de seguridad en redes. WIRESHARK. NMAP
seguridadelinux
 
Fundamentos de administración de sistemas GNU/Linux
seguridadelinux
 
Herramientas de detección de vulnerabilidades-NESSUS
seguridadelinux
 
Gestión de usuarios y autenticación en GNU/Linux
seguridadelinux
 
Fundamentos de firewalls. Netfilter/iptables
seguridadelinux
 
Topologías avanzadas de firewalls
seguridadelinux
 
Publicidad

Último (20)

PPTX
Historia Inteligencia Artificial Ana Romero.pptx
adairrojas2
 
PPTX
Curso de generación de energía mediante sistemas solares
ICEZonaNortePNLG
 
PDF
MANUAL de recursos humanos para ODOO.pdf
GianCruz26
 
PDF
informe_fichas1y2_corregido.docx (2) (1).pdf
edepsantiagoalfonso
 
PDF
capacitación de aire acondicionado Bgh r 410
MiriamVargas760642
 
PDF
MANUAL TECNOLOGÍA SER MINISTERIO EDUCACIÓN
CLAUDIAPATRICIASALAZ19
 
PPTX
Presentación PASANTIAS AuditorioOO..pptx
ange127383
 
PPTX
RAP02 - TECNICO SISTEMAS TELEINFORMATICOS.pptx
josemejiadiazfonseca
 
PDF
TRABAJO DE TECNOLOGIA.pdf...........................
IsabellaReyesPerea
 
PPTX
ANCASH-CRITERIOS DE EVALUACIÓN-FORMA-10-10 (2).pptx
marceloerazo119
 
PPT
El-Gobierno-Electrónico-En-El-Estado-Bolivia
AlanAsojonih
 
PPTX
COMO AYUDAN LAS TIC EN LA EDUCACION SUPERIOR.pptx
ap3377309
 
PPTX
Presentacion de Alba Curso Auditores Internos ISO 19011
AlexandroDeAlbaGuerr
 
PDF
Maste clas de estructura metálica y arquitectura
juancarlos542581
 
PPT
introduccion a las_web en el 2025_mejoras.ppt
CesarCcamaZenteno
 
PDF
Influencia-del-uso-de-redes-sociales.pdf
DianaLauraFloresAlva
 
PDF
CyberOps Associate - Cisco Networking Academy
VICTOR MAESTRE RAMIREZ
 
PPTX
IA de Cine - Como MuleSoft y los Agentes estan redefiniendo la realidad
Felipe González
 
PPTX
Power Point Nicolás Carrasco (disertación Roblox).pptx
JoseCarrasco807534
 
PPTX
sa-cs-82-powerpoint-hardware-y-software_ver_4.pptx
jeannettehenriquezor
 
Historia Inteligencia Artificial Ana Romero.pptx
adairrojas2
 
Curso de generación de energía mediante sistemas solares
ICEZonaNortePNLG
 
MANUAL de recursos humanos para ODOO.pdf
GianCruz26
 
informe_fichas1y2_corregido.docx (2) (1).pdf
edepsantiagoalfonso
 
capacitación de aire acondicionado Bgh r 410
MiriamVargas760642
 
MANUAL TECNOLOGÍA SER MINISTERIO EDUCACIÓN
CLAUDIAPATRICIASALAZ19
 
Presentación PASANTIAS AuditorioOO..pptx
ange127383
 
RAP02 - TECNICO SISTEMAS TELEINFORMATICOS.pptx
josemejiadiazfonseca
 
TRABAJO DE TECNOLOGIA.pdf...........................
IsabellaReyesPerea
 
ANCASH-CRITERIOS DE EVALUACIÓN-FORMA-10-10 (2).pptx
marceloerazo119
 
El-Gobierno-Electrónico-En-El-Estado-Bolivia
AlanAsojonih
 
COMO AYUDAN LAS TIC EN LA EDUCACION SUPERIOR.pptx
ap3377309
 
Presentacion de Alba Curso Auditores Internos ISO 19011
AlexandroDeAlbaGuerr
 
Maste clas de estructura metálica y arquitectura
juancarlos542581
 
introduccion a las_web en el 2025_mejoras.ppt
CesarCcamaZenteno
 
Influencia-del-uso-de-redes-sociales.pdf
DianaLauraFloresAlva
 
CyberOps Associate - Cisco Networking Academy
VICTOR MAESTRE RAMIREZ
 
IA de Cine - Como MuleSoft y los Agentes estan redefiniendo la realidad
Felipe González
 
Power Point Nicolás Carrasco (disertación Roblox).pptx
JoseCarrasco807534
 
sa-cs-82-powerpoint-hardware-y-software_ver_4.pptx
jeannettehenriquezor
 

Seguridad en servidores WEB. Modulo mod_security

  • 1. Erica Lloves Calviño Francisco José Ribadas Pena elloves@uvigo.es ribadas@uvigo.es Seguridad en servidores Web. Departamento de Informática Módulo mod_security Universidade de Vigo Ferramentas de seguridade en GNU/Linux Curso de Extensión Universitaria 26 de xuño de 2009
  • 2. Indice Seguridad en servidores WEB Ataques a servidores WEB Herramientas de detección/protección Módulo Apache mod_security Funcionalidades Reglas y configuración Instalación en Debian/Ubuntu 2
  • 3. Seguridad en servidores WEB Los servidores WEB son una de las mayores fuentes de vulnerabilidades uno de los principales objetivos de los ataques. Es uno de los servicios más usados Disponible en la mayor parte de organizaciones Firewalls no suelen bloquear puerto http (80) Fuentes de vulnerabilidades: el propio servidor WEB (bugs, defectos configuración) las páginas HTML y aplicaciones WEB alojadas Delegar en otros mecanismos de seguridad/prevención no siempre basta firewalls + detección de intrusiones usar SSL/TLS no soluciona todos los problemas 3
  • 4. Ataques a servidores WEB Defectos/bugs del servidor y la configuración Agujeros de seguridad o fallos en la protección del servidor (errores de implementación y/o configuración) Uso del servidor WEB como punto de entrada para nuevos ataques contra la red interna de la organización Permiten la ejecución de código atacante con los permisos del usuario que ejecuta el servidor WEB Mecanismos de prevención: Ejecutar servidor con los mínimos privilegios Evitar ejecución SUID (aplicaciones ejecutadas por root) Actualización constante (disponer de últimos parches) Log y monitorización de la actividad del servidor Mostrar mínima información sobre el servidor y el sistema Ejecución enjaulada (chroot) Definir un entorno chroot donde se ejecutará el servidor WEB aislado del resto del sistema de ficheros de al máquina Minimiza el riesgo de que ataques contra el servidor WEB pudieran afectar a otros elementos del equipo/red 4
  • 5. Ataques a servidores WEB Acceso a información sensible Finalidad última de los ataques mal intencionados Acceso a información sensible Robo de passwords, contraseñas, nº tarjeta,... Acceso a información personal cookies, hábitos de navegación, ... Técnicas: Escucha del tráfico: sniffing Suplantación de páginas web: phishing Medidas de prevención Evitar canales inseguros Mecanismos criptográficos y cifrado de info. sensible Cifrado de la conexión (protocolo SSL/TLS [https]) autentica a los extremos (servidor y/o cliente) asegura confidencialidad e integridad del tráfico Concienciación y “formación” del usuario 5
  • 6. Ataques a servidores WEB Ejecución de código de forma remota Aprovechar defectos en diseño de páginas HTML y aplicaciones WEB (generalmente fallos de validación) cross-site scripting XSS: vulnerabilidades en la validación de datos que permiten introducir código HTML incrustado inyección SQL: inserción de instruciones SQL que serán reenvidas a la BD sin ser validadas buffer overflow: inserción de código máquina arbitrario aprovechando buffers de entrada no limitados Tipo de ataque/vulnerabilidad más frecuente Abundancia y variedad de aplicaciones WEB Deficiencias en el desarrollo (poca atención a seguridad) Mientras no se solucionan los problemas en las aplicaciones WEB inseguras (tarea de los desarrolladores), establecer mecanismos para mitigar sus peligros es tarea de los administradores de red. Medidas de prevención: Filtrado y validación de entradas en propia aplicación WEB Filtros y detectores de intrusiones integrados en el servidor WEB (mod_security) 6
  • 7. Cross Site Scripting XSS Ejecución de código script arbitrario ''incrustado'' por un tercero en campos de datos que son enviados tal cual desde el servidor WEB al navegador Hay datos que serán interpretados como código que modifica el comportamiento o aspecto de la página Peligro: cuando se ejecuta un script se tiene acceso a la página actual y a toda la información contenida en la misma obtener cookie del usuario (robando su id de sesión) redirigir a una página alternativa presentar contenido falso (para que introduzca info. privada) Etiquetas <script> </script> Introducir en algún campo de la Web o en un parámetro de una petición dinámica: <script>alert(“Esto es vulnerable a XSS”)</script> 7
  • 8. Cross Site Scripting XSS Inyección de scritps en otras etiquetas: <img src=“javascript:alert(“Vulnerable a XSS”)> La mayor parte de etiquetas que admitan los atributos STYLE, SRC, HREF o TYPE son susceptibles de ser usadas:<html>,<body>,<embed>,<frame>,<frameset>,<a pplet>,<iframe>,<layer>,<meta>,<object>,<style> Protección: Filtrar los datos que el usuario introduce. No tan fácil: ofuscación/codificación de las cadenas introducidas para que pasen desapercibidas No se pueden detectar scripts introducidos dentro de etiquetas HTML 8
  • 9. Inyección SQL Inserción de sentencias/comandos SQL en datos de entrada SQL posibilita la comunicación de datos entre WEB y almacenamiento → generación dinámica de sentencias SQL usando los parámetros que proporciona el usuario Posibilidad de cambiar la naturaleza de la petición que va a ejecutar el servidor de BD Introducción de sentencias o porciones de sentencias SQL en la URL, en campos de la página o en parámetros usados para generar sentencias SQL dinámicamente Este ataque es posible cuando hay entradas de usuario que se envíen directamente de aplicación Web a la BD Objetivo: acceso no autorizado o no restringido a la base de datos (potencialidad de daño enorme) Obtener información sensible contenida en una base de datos sin ser un usuario autorizado del sistema Modificar los datos almacenados Destruir la base de datos 9
  • 10. Inyección SQL Ejemplo: login contra BD Parámetros entrada: nombre + clave Los parámetros de entrada no se comprueban Código de login en el servidor (php) $SQLquery = "SELECT * FROM users"; $SQLquery .= " WHERE user_login = '".$_POST[“nombre”]."'"; $SQLquery .= " AND user_pass ='".$_POST[“clave”].”'”; $Dbresult=db_query($SQLQuery); If ($Dbresult){ //Existe el usuario y la clav => acceder } else { //Acceso no permitido } 10
  • 11. Inyección SQL Si como nombre de usuario se escribe ' OR 1=1 # (el password puede quedar en blanco) la consulta real siempre devolvería resultados: "SELECT * FROM users WHERE user_login = '' OR 1=1 # AND user_pass ='" Asumimos que el servidor BD usa ' como símbolo de cadenas y # como marca de comentario Ejecutación de comandos SQL arbitrarios Concatener nuevas sentencias SQL separadas por ; Permite modificar los contenidos de la BD En el caso anterior, usando como nombre de usuario '; INSERT INTO users (user_login, user_password) VALUES ('atacante','') # La sentencia SQL sería: "SELECT * FROM users WHERE user_login = ''; INSERT INTO users (user_login, user_password) VALUES ('atacante','') # AND user_pass ='" 11
  • 12. Herramientas disponibles Escáneres de seguridad WEB Analizan el servidor y las páginas y servicios alojados Realizan comprobaciones de seguridad (ataques típicos) defectos en la configuración del servidor defectos en páginas/servicios WEB alojados Ejemplos nikto: http://www.cirt.net/code/nikto.shtml WebScarab: http://www.owasp.org/index.php/OWASP_WebScarab_Project Filtros (firewalls de aplicación) Integrados en el propio servidor WEB Validan todas las peticiones recibidas, realizando transformaciones y rechazando las que sean sospechosas Ejemplos mod_security: www.modsecurity.org 12
  • 13. mod_security Módulo open source para el servidor web Apache Soporta detección y prevención de intrusiones en aplicaciones WEB Protección contra ataques conocidos y contra 'posibles' ataques nuevos. Añade nivel extra de seguridad 'antes' de servidor WEB Complementario a firewall de paquetes y detectores de intrusiones Funciona como “firewall” de aplicación, filtrando tráfico al nivel de aplicaciones http y https Funcionamiento controlado por reglas y patrones sobre el contenido de los mensajes http/https (análogo a SNORT) Integrado en servidor => accede al tráfico cifrado SSL después de descifrado y justo antes de su 'proceso' por el servidor (SNORT no puede analizar tráfico cifrado) 13
  • 14. mod_security Características: Funciona de modo transparente para las aplicaciones WEB alojadas permite asegurar aplicaciones WEB complejas y/o que no puedan ser modificadas (código 'heredado', aplicaciones privativas,...) no requiere intervención de los desarrolladores originales de las aplicaciones WEB Ofrece protección temporal ante vulnerabilidades recién descubiertas que aún no tengan parche de seguridad actualiz. de reglas en la web: www.modsecurity.org Comprende todos los detalle de losprotocolos http y https y permite un control y filtrado 'fino' de los accesos permitidos 14
  • 15. mod_security Funcionalidades Filtrado de peticiones: las peticiones entrantes son analizadas antes de pasarlas al servidor Apache a a sus módulos uso de expresiones regulares para expresar las reglas Filtrado de las respuestas del servidor: puede analizar/modificar los mensajes de respuesta del servidor (normales o erroneos) Técnicas anti-evasión: los parámetros recibidos y paths de los ficheros (html, php, ...) son normalizados para evitar mecanismos de evasión elimina barras dobles (//) y referencias al propio directorio (./) decodifica las URLs (caracteres especiales) detecta y elimina bytes nulos (%00) [usados en desbordamiento de buffer] 15
  • 16. mod_security Funcionalidades (cont.) Soporte HTTP/HTTPS completo: puede especificar reglas hasta el nivel de elementos concretos de páginas HTML (enlaces, campos de formularios) procesa el tráfico HTTPS despues de descrifrado Análisis de datos POST: análisis de los datos enviados 'dentro' de peticiones POST Auditoria y log: capacidades completas de logging de las peticiones procesadas para el análisis posterior IPs, timestamps, método HTTP, URI, datos chroot integrado: soporta funcionalidades para implantar jaulas chroot (aisla servidor) manejo info. de identificación del servidor: se puede configurar y limitar la info. que el servidor ofrece de si mismo (versión, mensajes de error, ...) 16
  • 17. mod_security <IfModule mod_security.c> SecFilterEngine On # Turn the filtering engine On or Off SecFilterCheckURLEncoding On # Make sure that URL encoding is valid SecFilterCheckUnicodeEncoding Off # Unicode encoding check SecFilterForceByteRange 0 255 # Only allow bytes from this range SecAuditEngine RelevantOnly # Only log suspicious requests SecAuditLog logs/audit_log # The name of the audit log file SecFilterDebugLog logs/modsec_debug_log SecFilterDebugLevel 0 # Debug level set to a minimum SecFilterScanPOST On # Should mod_security inspect POST payloads SecFilterDefaultAction "deny,log,status:500" # By default log and deny suspicious # requests with HTTP status 500 SecRule REQUEST_URI "login_failed.php" chain SecRule ARG_username "^admin$" log,exec:/home/apache/bin/notagain.pl ... </IfModule> 17
  • 18. mod_security Reglas mod_security Definidas mediante expresiones regulares SecRule [variable/elementos petición] [patrón] [acciones] SecRule REQUEST_URI|QUERY_STRING ataque SecRule ARGS "drop[[:space:]]table" deny,log Elementos analizados (separados por |) elementos de cabeceras HTTP variables de entorno y variables del servidor cookies variables definidas en las páginas HTML carga de peticiones POST sobre páginas HTML o sobre la salida generada por los lenguajes de script (php, etc) Pueden definirse reglas específicas para distintos directorios o servidores virtuales dentro de la estructura de la web 18
  • 19. mod_security Reglas mod_security (cont.) Acciones posibles: deny rechazo silencioso (sin redirección a mensaje de error) status:nnn rechazar petición con un status code (403,404,500,...) allow detiene procesam. reglas y permite la petición redirect:url redirige la petición a la url indicada log ó nolog loggin (o no) de la petición exec:cmd ejecución de un comando externo pass ignora la regla actual y pasa a la siguiente pause:n retiene la petición n milisegundos 19
  • 20. mod_security Reglas mod_security (cont.) Modelos de funcionamiento: esquemas generales a la hora de definir las reglas SecDefaultAction action1,action2,action3 (lista de acciones por defecto) Modelo positivo: permitimos lo que sabemos que es seguro (política por defecto DROP) mejor rendimiento menos falsos positivos más difícil de implantar (dar permiso a todo lo que tenemos en el servidor) Modelo negativo: denegamos lo que es peligroso (política por defecto ACCEPT) más fácil de implantar más falsos positivos mayor tiempo de procesamiento 20
  • 21. mod_security Otras funcionalidades chroot interno mod_security permite configurar la ejecución de Apache en un entorno chroot interno encierra al servidor en un sistema de directorios “/” falso evita el acceso a directorios y ficheros sensibles (/etc, /dev, /usr/ bin) El entorno chroot es implantado una vez el servidor está en ejecución SecChrootPath /chroot/var/www Cambiar la identificación del servidor WEB mod_security gestiona el cambio de la “firma” del servidor (nombre, versión, módulos instalados) que lo identifica en los mensajes HTTP enviados Dificulta a los atacantes la identificación del servidor SecServerSignature “mi servidor” 21
  • 22. mod_security Configuraciones avanzadas de mod_security La instalación básica de mod_security protege al servidor web donde sea instalado como módulo Combinado con los módulos mod_proxy y mod_proxy_http se puede implantar una configuración de Proxy Inverso (reparto de peticiones) Se implanta un “firewall HTTP” que protege a varios servidores WEB Permite proteger servidores no Apache MS IIS Cliente mod_security WEB + Apache mod_proxy Apache Firewall Servidores (filtro paquetes) WEB 22
  • 23. mod_security Instalación en Debian/Ubuntu (no paquetes oficiales) Opciones: Compilación desde código fuente Paquetes no oficiales (http://etc.inittab.org/~agi/debian/) Instalación: Editar fichero /etc/apt/sources.list y añadir deb http://etc.inittab.org/~agi/debian/libapache-mod-security2 ./ Actualizar e instalar apt-get update apt-get install libapache2-mod-security2 Instalar módulo Apache en debian: $ a2enmod mod_security2 manualmente: /etc/apache2/apache.conf Editar fichero de configuración y añadir reglas /usr/share/doc/mod-security2-common/examples/modsecurity.conf-minimal /usr/share/doc/mod-security2-common/examples/rules/ Reglas actualizadas disponibles en www.modsecurity.org 23