Post on 10-Jun-2020
Implementación de ModSecurity
Firewall de Aplicación Web
L.I. Dante Odín Ramírez López
Subdirección de Seguridad de la Información UNAM-CERT
¿Por qué las aplicaciones web son inseguras?
• Su desarrollo es apresurado
• Desconocimiento de practicas de seguridad en el desarrollo
• Dificultad y tiempo extra requerido
• Costo
• La seguridad no es la prioridad en el desarrollo
¿Por qué las aplicaciones web son inseguras?
• Tiempos destinados a reparación de vulnerabilidades
extensos
• El protocolo HTTP no fue diseñado pensando en seguridad
• Ha mejorado pero no es suficiente para el nivel de seguridad
requerido en la actualidad
• Errores de programación (BUGS)
Panorama Actual
Web Application Security Statistics 2008 - WASC
• En 12,186 aplicaciones web - 97,554 vulnerabilidades.
• 49% de las aplicaciones tienen vulnerabilidades de alto
riesgo.
• Vulnerabilidades de alto riesgo – 80% a 96% (Al revisar
código fuente).
WhiteHat WebSite Security Statistics Report 2011
• Se analizaron 3000 aplicaciones web (2010).
• 71% orientadas a la educación expuestas a vulnerabilidades
graves.
• 64% vulnerables a Cross-Site Scripting.
• 14% presentan vulnerabilidad a SQLInjection.
• 50% de las organizaciones tardaron 116 días en remediar
vulnerabilidades graves.
Tiempos de respuesta aproximados
(En días)
106
93
62
57
87
78
67 Cross-Site Scripting
Fuga de Información
Falsificación de Contenido
Problemas de Privilegios
SQL Injection
Cross-Site Request Forgery
Secuestro de Sesión
Referencia: 2011: Web Application Security Metrics Landscape – Arian Evans / WhiteHat Security
¿Cómo mejorar?
• Reducir riesgos entendiendo las amenazas.
• Asegurar desde el inicio del Ciclo de Vida de Desarrollo de
Software (SDLC).
• Implementar estrategias de seguridad más allá del
código de las aplicaciones web.
Firewall de Aplicación Web
• Tipo de firewall que aplica un conjunto de reglas y políticas al
tráfico HTTP.
• Detecta y bloquea ataques dirigidos a las aplicaciones web.
• Protege contra ataques como Cross-Site Scripting (XSS),
SQL Injection y otros listados en el Top 10 de OWASP.
Beneficios de un WAF
• Brinda protección desde su implementación*.
• Contiene ataques mientras se solucionan vulnerabilidades.
• No se requiere la modificación del código de las aplicaciones
web.
Ventajas de su implementación
• Detecta y bloquea ataques antes de que alcancen a las
aplicaciones web.
• No importa el lenguaje y plataforma de desarrollo de la
aplicación web.
• Protege cualquier servidor web.
Ventajas de su implementación
• Genera bitácoras detalladas de las transacciones HTTP.
• Monitoreo de tráfico HTTP.
• Variedad de soluciones WAF open source y de paga.
Desventajas de su implementación
• Sufren de falsos positivos y falsos negativos.
• Requiere de un periodo de pruebas y adecuación.
• Requiere cambiar la configuración de cifrado SSL, tanto en el
WAF como en los servidores web.
Desventajas de su implementación
• Consume más recursos (Procesador, RAM, espacio en DD).
• Puede provocar problemas de cuello de botella.
• Si las aplicaciones web cambian puede que se requiera
adecuar el WAF a los cambios.
¿Firewall?¿Firewall de Aplicación?
• Trabajan en diferentes niveles del modelo OSI.
• El firewall de red bloquea conexiones filtrando puertos y
direcciones IP.
• El WAF bloquea transacciones HTTP filtrándolas por su
contenido.
Firewall y Firewall de Aplicación
7 • Capa de Aplicación
6 • Capa de Presentación
5 • Capa de Sesión
4 • Capa de Transporte
3 • Capa de Red
2 • Capa de Enlace de Datos
1 • Capa Física
Firewall de
Aplicación
Firewall de
Red
¿Cómo funciona
un Firewall de Aplicación?
• Monitorea el tráfico HTTP.
• Lo analiza aplicando un conjunto de reglas predefinidas
(Basadas en expresiones regulares).
• Bloquea o permite la petición HTTP.
• Registra en bitácoras.
¿Cómo funciona?
• ¿Dónde implemento el WAF?
• ¿Qué sucede cuando el WAF detecta una anomalía o
ataque?
• ¿Cómo quiero que se lleve a cabo la detección de anomalías
y ataques?
¿Cómo funciona?
Modo de implementación
Dispositivo a Nivel de Red
Modo de implementación
Dispositivo a Nivel de Red
Modo de implementación
Embebido
Modo de implementación
Proxy Inverso
Modos de funcionamiento
Modo Pasivo
• El WAF se limita al monitoreo de las transacciones HTTP y al
registro en bitácoras de anomalías o ataques detectados.
• No ejecuta acciones defensivas.
• Útil durante fase de adecuación y pruebas, ayuda a
disminuir los casos de falsos positivos y negativos.
Modos de funcionamiento
Modo Activo
• El WAF ejecuta las acciones defensivas especificadas en el conjunto de reglas al detectar un ataque o anomalía.
• Registrar en bitácora anomalías o ataques detectados.
• No se recomienda su uso sin antes pasar por un periodo de pruebas en modo pasivo.
Modelos de seguridad
Positivo / Lista Blanca
• Se define en el WAF todo lo que está permitido.
• Lo que no esté definido será rechazado.
• Es difícil de mantener en entornos que cambian
frecuentemente.
• Se requiere amplio conocimiento de la aplicación.
Modelos de seguridad
Negativo / Lista Negra
• Se define en el WAF todo lo que está prohibido
(Patrones de ataques web).
• Permite todo lo que no está definido en la lista negra.
• Si la aplicación web cambia, no precisa de muchos
ajustes.
• Más fáciles de configurar y administrar.
• Metodología que sirve como punto de referencia para evaluar
WAFs.
• Criterios de evaluación para determinar la calidad y
funcionalidad de una solución WAF.
• Creada por la WASC para ayudar a los especialistas en
seguridad a tomar una decisión.
WAFEC
Web Application Firewall Evaluation Criteria
¿Qué le debo exigir a un WAF?
• Soporte completo para HTTP y HTTPS (SSL/TLS).
• Conjunto de reglas actualizables.
• Mecanismos anti-evasión o de normalización.
• Alta disponibilidad y rendimiento.
• Registros en bitácoras.
Top 10 OpenSource WAFs
Referencia:http://www.fromdev.com/2011/07/opensource-web-application-firewall-waf.html
Smoothwall
Profense
IronBee
OpenWAF
Guardian @JUMPERZ.NET
Binarysec
WebCastellum
ESAPI WAF
AQTronix WebKnight
ModSecurity
ModSecurity
• Módulo open source de Apache HTTPD.
• Agrega funcionalidad de Firewall de Aplicación.
• Desarrollado y mantenido por la compañía Trustwave
SpiderLabs.
• Disponible bajo la licencia GNU General Public License.
Características
• Modo embebido o proxy inverso.
• Modelos de seguridad activo y pasivo.
• Portabilidad: GNU/Linux, Windows, UNIX, MacOS.
• Conjunto de reglas básicas y especializadas.
• Mecanismos anti-evasión.
• Correlación de eventos de seguridad.
• Consola de monitoreo gráfico.
• Registro en bitácoras.
Conclusión
• La seguridad en aplicaciones web es acerca de entender las
amenazas. “Entre más sepamos más nos podemos preparar”.
• Un sistema es tan fuerte como lo sea su eslabón más débil.
• No se puede eliminar el riesgo, solo se puede reducir.
• Hacer uso de todas las herramientas de seguridad a nuestra
disposición.
Referencias de Seguridad
• WASC:
– http://www.webappsec.org
• OWASP:
– https://www.owasp.org
• WhiteHat Security:
– https://www.whitehatsec.com
adminunam@seguridad.unam.mx