Manuel Carrasco Moñino

HotelSearch.comEnero-2010

Seguridad de Aplicaciones Web

manolo@apache.org

Servidores Web

Servidores Web son los principales objetivos Porque es el servicio mas utilizado Porque los FW no bloquean el puerto 80/443

Vulnerabilidades Servidor: bugs, configuracion, exploits Aplicaciones: mal desarrolladas, con prisas,

desarrolladores sin conocimientos de sistemas.

Normalmente la seguridad se delega a: FW + Detect. Intrusos (nivel 3, logs ...) SSL

Peligro: El Servidor Web

Bugs y agujeros configuracion Punto de entrada para ataque interno Permisos usuario web

Prevencion Minimos privilegios Chroot Monitorizacion (quien, cuando) Actualización frecuente (no suficiente)

Peligro: Aplicaciones

Defectos de aplicacion XSS, html incrustado Inyección SQL Buffer overflow DOS

Prevencion Concienciar desarrolladores Validaciones en aplicacion Detectores HA, monitorización

Peligro: Usuario

Robar informacion sensible Passwords Tarjetas Cookies

Prevencion Https Concienciar al usuario

Filtro: mod_security

Opensource, Sourceforge (no apache) Nivel de aplicacion:

http/ftp/https GET, POST … Request, Response

Deteccion y prevencion Reglas y patrones Sin intervención de desarrolladores Actualizacion de reglas: modsecurity.org

Funcionalidades: mod_security

Peticiones Expresiones regulares en Query String Análisis de la petición POST

Respuestas Analiza y modifica mensajes de servidor

Normalización (anti evasion) Parámetros Url, nulos, //, ..,

Configuracion: mod_security

<IfModule mod_security.c>  SecRuleEngine On  SecAuditEngine RelevantOnly  SecAuditLog /var/log/apache2/audit_log  SecDebugLog /var/log/apache2/modsec_debug_log  SecDebugLogLevel 3  SecRequestBodyAccess On  SecDefaultAction "phase:2,pass,log,auditlog"  SecRule REQUEST_METHOD "!^(?:GET|POST|HEAD)$" \     "phase:1,t:none,deny,status:500"  SecRule REQUEST_URI "login_failed\.php" \      log,exec:/usr/bin/manolo_mod_security.sh  SecRule ARGS:mypar !whatever deny  SecRule ARGS:mynum ^[^\d]+$ deny</IfModule>

Reglas: mod_security Patron SecRule VARIABLES OPERATOR [ACTIONS]

SecRule REQUEST_URI "attack" \   "phase:1,t:none,t:urlDecode,t:lowercase,t:normalisePath"

SecRule ARGS "drop[[:space:]]table" deny,log

Elementos Headers, ENV, Cookies, QS, Variables html, Xpath ...

Acciones Deny, status:nnn, allow, redirect:url, log, nolog,

exec:cmd, pass, pause:n Bloques

Directorios/Virtualhosts

Fases: mod_security

Recomendacion: mod_security

Politica recomendada: Accept por defecto, denegar lo peligroso Utilizar reglas de modsecurity.org (actualizables)

Arquitectura FW Proxy: mod_security + mod_proxy Frontends

Appliances

ModSecurity Console Comercial (Breach) Consola gráfica Alto rendimiento Alta disponibilidad

Version trial / organizaciones