Mod Security

De Wikipedia, la enciclopedia libre

Tienes mensajes nuevos (Dif. entre las dos últimas versiones).

El título de este artículo se muestra incorrectamente debido a limitaciones técnicas. El título correcto es mod_security.

ModSecurity™ es un Firewall de aplicaciones Web embebible que ejecuta como módulo del Servidor web Apache, provee protección contra diversos ataques hacia aplicaciones Web y permite monitorear tráfico HTTP, así como realizar análisis en tiempo real sin necesidad de hacer cambios a la infraestructura existente ^[1].

ModSecurity™ para Apache es un producto desarrollado por Breach Security. ModSecurity™ está disponible como Software Libre bajo la licencia GNU General Public License, a su vez, se encuentran disponible bajo diversas licencias comerciales.

Tabla de contenidos

1 Historia
2 Funcionamiento
3 Versión 2.x
4 Referencias
5 Véase también
- 5.1 Otros proyectos de Breach Security
- 5.2 Enlaces externos

[editar] Historia

Ivan Ristic especialista en seguridad web, creó ModSecurity™ en el año 2002. Abordó el desarrollo de esta aplicación luego de haber utilizado durante un año y medio SNORT para monitorear tráfico Web y luego de llegar a la conclusión de que necesitaba una herramienta que le permitiera especificar reglas más complejas y la capacidad de realizar acciones relacionadas específicamente con el trafico HTTP ^[2].

En Setiembre del 2006 Breach Security adquirió Thinking Stone y ModSecurity™. [Por más información, ver Breach Acquires ModSecurity Open Source Vendor Thinking Stone].

A mediados de noviembre del 2006 se lanzó al mercado la versión 2.0 de ModSecurity™.

[editar] Funcionamiento

ModSecurity™ es una herramienta para detección y prevención de intrusos para aplicaciones Web.

El módulo cuenta con diversas funcionalidades ^[3]:

Filtrado de Peticiones: Los pedidos HTTP entrantes son analizados por el módulo mod_security antes de pasarlos al Servidor Web Apache, a su vez, estos pedidos son comparados contra un conjunto de reglas predefinidas para realizar las acciones correspondientes. Para realizar este filtrado se pueden utilizar expresiones regulares, permitiendo que el proceso sea flexible.
Técnicas Anti-evasión: Las rutas y los parámetros son normalizados antes del análisis para evitar técnicas de evasión.

Elimina múltiple barras (//)
Elimina directorios referenciados por si mismos (./)
Se trata de igual manera la \ y la / en Windows.
Decodificación de URL
Reemplazo de bytes nulos por espacios (%00)

Comprensión del protocolo HTTP: Al comprender el protocolo HTTP, ModSecurity™ puede realizar filtrados específicos y granulares.
Análisis Post Payload: Intercepta y analiza el contenido transmitido a través del método POST.
Log de Auditoría: Es posible dejar traza de auditoría para un posterior análisis Forense.
Filtrado HTTPS: Al estar embebido como módulo, tiene acceso a los datos después de que estos hayan sido descifrados.
Verificación de rango de Byte: Permite detectar y bloquear shellcodes, limitando el rango de los bytes.

[editar] Versión 2.x

Funcionalidades incorporadas en la versión 2.x ^[4]:

Cinco fases de procesamiento, incluyendo: encabezados del pedido (request headers), cuerpo del pedido (request body), encabezados de respuesta (response headers), cuerpo de respuesta (response body) y almacenamiento en bitácora (logging).
Opciones de transformación por regla.
Variables transaccionales.
Persistencia de datos (utilizado en seguimientos de direcciones IP, sesiones de aplicación, y usuarios de aplicación).
Soporte para ranking de anomalías y correlación básica de eventos (los contadores pueden ser automáticamente decrementados con el paso del tiempo, las variables pueden expirar).
Soporte para aplicaciones Web y IDs de sesión.
Soporte para XML (parseo, validación, XPath).