Asignatura
Datos del alumno alumno
Fecha
Universidad Universidad Internacional de la Rioja Maestria en Seguridad Informática Seguridad en Aplicaciones en Linea M.S.. !avier Al"erto armona #ro$o
Índice Introducción……………………………………………………………….2 Objetivo……………………………………………………………………2 Marco Teórico Teórico …………………………………………………………….2 Instalación y preparación de máquinas virtuales con modsecurity ……….3 on!i"uración de #pac$e mod%evasive…………………………………...& mod%evasive…………………………………...& 'ruebas de servidor……………………………………………………….(2 onclusiones……………………………………………………………….() *e!erencias………………………………………………………………..() #ne+o #. #taques en modo no se"uro. #ne+o ,. #taque en modo se"uro
La Paz, Baja California California Sur, México a 08/01/2018 08/01/2018
(
Asignatura
Datos del alumno
Fecha
Introducci%n. Hoy en dia, tanto la seguridad fisica como la seguridad logia de las aplicaciones web es un tema que hay que tratar seriamente, ya que debido a la falta de cultura organizacional en lo referente a la seguridad informática, las empresas pierden grandes cantidades de dinero por no tener securizado sus sistemas, es decir, no hay la cultura de seguridad adecuada para mantener la información con los parametros necesarios para mantener la Disponibilidad, Integridad y la confidencialidad de esta. Es por ello, que las empresas u organizaciones deben contemplar medidas de seguridad que impidan que los atacantes informáticos entren a nuestros recursos por medio del internet. ara ello, deben tener buen sistema de cortafuegos o firewall correctamente configurados. En este traba!o, se e"plica la configuracion de un firewall en mo seguro asi como las pruebas necesarias para la #erificacion de la fiabilidad de este con respecto a un firewall que no se encuentre seguro. &"jetivo. Instalar y configurar un ser#idor modsecure. robar el ser#idor para diferentes ataques y comprobar con respecto a un ser#ir firewall no configurado.
Marco teorico. $n firewall es un dispositi#o de seguridad de la red que monitorea el tráfico de red %entrante y saliente% y decide si permite o bloquea tráfico espec&fico en función de un con!unto definido de reglas de seguridad. 'os firewalls han constituido una primera l&nea de defensa en seguridad de la red durante más de () a*os. Establecen una barrera entre las redes internas protegidas y controladas en las que se puede confiar y redes e"ternas que no son de confianza, como Internet. +I-, (/012 $n firewall puede ser hardware, software o ambos. #ipos de fire'all ara comprender me!or el funcionamiento de los firewall, se presentan algunos tipos de ellos. Fire'all pro($ $n firewall pro"y, uno de los primeros tipos de dispositi#os de firewall, funciona como gateway de una red a otra para una aplicación espec&fica. 'os ser#idores pro"y pueden brindar funcionalidad adicional, como seguridad y almacenamiento de contenido en cach3, e#itando las cone"iones directas desde el e"terior de la red. -in embargo, esto tambi3n puede tener un impacto en la capacidad de procesamiento y las aplicaciones que pueden admitir. Fire'all de inspecci%n activa $n firewall de inspección acti#a, ahora considerado un firewall 4tradicional5, permite o bloquea el tráfico en función del estado, el puerto y el protocolo. Este firewall monitorea toda la acti#idad, desde la apertura de una cone"ión hasta su cierre. 'as decisiones de filtrado se toman de acuerdo con las reglas definidas por el administrador
2
Asignatura
Datos del alumno
Fecha
y con el conte"to, lo que refiere a usar información de cone"iones anteriores y paquetes que pertenecen a la misma cone"ión. Fire'all de administraci%n unificada de amena)as *U#M+ $n dispositi#o $67 suele combinar en forma fle"ible las funciones de un firewall de inspección acti#a con pre#ención de intrusiones y anti#irus. 8demás, puede incluir ser#icios adicionales y, a menudo, administración de la nube. 'os $67 se centran en la simplicidad y la facilidad de uso. Fire'all de pr%(ima generaci%n *,-F+ 'os firewalls han e#olucionado más allá de la inspección acti#a y el filtrado simple de paquetes. 'a mayor&a de las empresas están implementando firewalls de pró"ima generación para bloquear las amenazas modernas, como los ataques de la capa de aplicación y el malware a#anzado. -eg9n la definición de :artner, Inc., un firewall de pró"ima generación debe incluir lo siguiente;
-i bien estas funcionalidades se están con#irtiendo cada #ez más en el estándar para la mayor&a de las empresas, los >: pueden hacer más. ,-F centrado en amena)as Estos firewalls incluyen todas las funcionalidades de un >: tradicional y tambi3n brindan funciones de detección y corrección de amenazas a#anzadas. on un >: centrado en amenazas, puede hacer lo siguiente; +I-, (/012
Estar al tanto de cuáles son los acti#os que corren mayor riesgo con reconocimiento del conte"to completo. =eaccionar rápidamente ante los ataques con automatización de seguridad inteligente que establece pol&ticas y fortalece las defensas en forma dinámica. Detectar me!or la acti#idad sospechosa o e#asi#a con correlación de e#entos de terminales y la red. =educir significati#amente el tiempo necesario desde la detección hasta la eliminación de la amenaza con seguridad retrospecti#a que monitorea continuamente la presencia de acti#idad y comportamiento sospechosos, incluso despu3s de la inspección inicial.
Instalaci%n $ preparaci%n de má/uinas virtuales con modsecurit$. ara la práctica de pruebas de firewall de aplicaciones web, se utilizó el firewall modsecurity +modo seguro2. or un lado, se cargo el firewall sin endurecer el firewall. Este firewall fue montado en #irtual bo" con dos adaptadores de red. $n adaptador para la red interna y un adaptador para la salida a internet. 8si mismo, antes de esto, se
3
Asignatura
Datos del alumno
Fecha
clono el firewall para asi tener dos, uno sin endurecer y otro aplicando las t3cnicas de hardening. 'os pasos de la instalación de los adaptadores de muestran a continuación. 0. En archi#osreferencias =ed, se crea un adaptador tipo solo anfitrion para que los firewall solo se reconozcan y tengan comunicación con la maquina f&sica.
En configuración, se selecciona =ed para asignarle dos adaptadores a uno de los firewalls. 8daptador 0 en >at, 8daptador ( en -olo anfitrion.
-
Asignatura
Datos del alumno
Fecha
)
Asignatura
Datos del alumno
Fecha
Asignatura
Datos del alumno
Fecha
. El archi#o se descomprime y se mue#e al directorio FusrFshareFmodsecurity%crs
a
/
Asignatura
Datos del alumno
Fecha
0
Asignatura
Datos del alumno
Fecha
0(. 8si mismo, se comenta lo indicado en el regla )/ outbound
(. 8nteriormente, !unto con apache( se realizó la instalación de apache mode#asi#e. +=apid1, (/012
&
Asignatura
Datos del alumno
Fecha
(. Instalado apache mod%e#asi#e, se procede a modificar el contenido del archi#o de configuración del mismo.
3. = ea li za d o l o a nt er io r, c re am os e l d i re ct o ri o q ue g en er ar á l os registros de log para el modo e#asi#o. Esto lo realizamos en el d ir ec to ri o i nd ic ad o e n D - 'o gD ir y l e a s ig na mo s d u e* o a e se directorio.
(1
Asignatura
Datos del alumno
Fecha
-e procesarón 0// en#ios y se rechazaron 1/. ) . - e r e al i z a u na p r u e ba m a s c o n u n t es t d e p r u eb a e n p e rl q u e t r ae consigo el mode#asi#e.
1rue"as de servidor.
((
Asignatura
Datos del alumno
Fecha
0 . - e ru eb a d es de l a m áq ui na f is ic a p ar a # er if ic ar s i h ay a cc es o desde direccion ip.
< ig . ( (. - e c om pr ue ba q ue n o s e p ue de a cc es ar c on I d es de o tr a máquina. omprobamos que no hay acceso y hay que desabilitar la regla que me impide el acceso por ip.
(2
Asignatura
Datos del alumno
Fecha
(3
Asignatura
Datos del alumno
Fecha
(-
Asignatura
Datos del alumno
Fecha
EL-. +#er ane"os para referencias sobre resultados de pruebas y ataques.
onclusi%n. 'a instalación de mecanismos de seguridad sobre infraestructuras web, permiten mantener la información protegida, manteniendo as& mismo, la integridad, la disponibilidad y confidencialidad de la información.
wasp proporciona mecanismos tal que permiten que los ataques mas comunes sobre páginas web, sean mitigados o bloqueados por lo que por buenas prácticas debemos #oltear hacia esa comunidad.
Referencias
IO. 2) de 1 de 21(/4. CISCO. Obtenido de que es un 5ire6all7 $ttps788666.cisco.com8c8es%m+8products8security8!ire6alls86$at9is9a9 !ire6all.$tml *apid/. 23 de 1- de 21(/4. Rapid7. Obtenido de :o6 to on!i"ure Mod;vasive 6it$ #pac$e on I. (/ de ;nero de 21(04. github. Obtenido de "it$ub8pider=abo7 $ttps788"it$ub.com8pider=abs8Modecurity86i?i8*e!erence9Manual
()