Seguridad en aplicaciones Web Alberto Escudero Pascual

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Seguridad en aplicaciones Web Alberto Escudero Pascual aep@it46.se"

Eduardo Guzmán Fernández
hace 8 años
Vistas:

1 Seguridad en aplicaciones Web Alberto Escudero Pascual 1

2 Nuevas amenazas... Los problemas más grande de seguridad se han desplazado a capas superiores El código de la capa de aplicación es inmenso. Los servidores web y los clientes no solo sirven código sino que ejecutan código 2

3 Nuevas amenazas... En un ambiente heterogeneo con decenas de aplicaciones web es imposible saber cual va a ser el nuevo bug Solo podemos... - Prevenir - Monitorizar Este cambio de paradigma va a obligar a rediseñar los sistemas... 3

4 Índice de contenidos Cerrando la máquina (principios básicos) Acciones sobre la configuración de Apache - módulos: dosevasive, security Acciones sobre el uso de PHP y bases de datos - Presentación deparada 4

5 Algunos aspectos a considerar de antemano Quién tiene el acceso físico a la máquina? Quién tiene acceso por shell? Donde puede el usuario de Apache escribir en el sistema de ficheros? Qué lenguages de programación esta disponibles en el sistema y/o Apache? 5

Donde puede el usuario de Apache escribir en el sistema de

6 Lo super básico... Parar los servicios que no se usan, tener la máquina actualizada y configuraciones conocidas Activa logwatch y logcheck y lee los informes Revisa la integridad física de tus archivos periodicamente Instala un firewall: Ports 22, (25), 80, 443, etc. 6

y configuraciones conocidas Activa logwatch y logcheck y lee los

7 No se debe olvidar (1) Protegerse contra un ataque de SYN flood En /etc/sysctl.conf set net.ipv4.tcp_syncookies = 1 Restringe quien puede usar el cron y el at. cron.allow at.allow. chmod/chown /etc/cron* y /var/spool/cron 7

8 No se debe olvidar (2) Tener la máquina sincronizada (NTP) En el sistema de ficheros: Si es posible poner quota para apache, especialmente en /tmp y /var /var, /data, /home nosuid,nodev,rw /usr /usr/local ro (?) 8

quota para apache, especialmente en /tmp y /var /var,

9 No se debe olvidar (3) Quitar todo lo que no haga falta... Quitar las carpetas que vienen por defecto y preparar unos buenos logs de errores Si se usa un acceso por ftp (usar chroot - jaulas) 9

10 mod_dosevasive Muy facil de configurar Permite reducir los ataques por DoS Puede hacer cosas muy complejas Cuando se pide una página más de X/seg manda un error 403 Incluye la IP en una lista negra Puede actuar con el cortafuegos y mandar comandos de bloqueo. Puede actuar con syslog, mandar un e- mail etc. 10

un error 403 Incluye la IP en una lista negra Puede actuar con el cortafuegos

11 Un ejemplo... LoadModule dosevasive20_module modules/mod_dosevasive20.so <IfModule mod_dosevasive20.c> DOSHashTableSize 3097 DOSPageCount 2 DOSPageInterval 1 DOSSiteCount 50 DOSSiteInterval 1 DOSBlockingPeriod 10 DOS Notify admin@abuse.domain.orgdoslogdir "/var/log/apache/mod_dosevasive (make writable by apache only) </IfModule> 11

c> DOSHashTableSize 3097 DOSPageCount 2 DOSPageInterval 1 DOSSiteCount 50

12 mod_security La opción más segura y potente Cortafuegos a nivel de HTTP Decenas de posibilidades Se puede afinar al máximo... muy bueno si se conocen todas las applicaciones que corren en el servidor 12

13 mod_security Características Filtra antes de llegar al apache Filtra los POST y lo que va dentro del SSL Entiende el HTTP Puede monitorizar (logs) incluida la información de los POSTs Expresiones regulares a medidda para cada uno de los virtual hosts 13

Puede monitorizar (logs) incluida la información de los POSTs

14 mod_security Características Cuando detecta problemas puede filtrar, mandar correo de alarma, log etc. Puede ejecutar acciones como escanear virus en un file upload. Permite hacer chroot más facilmente sin necesidad de otros modulos o librerias. SecChrootDir /chroot/apache Puede integrarse con snort Reglas dedicadas a aplicaciones web Pueden cambiar la cabecera HTTP (identidad) sin necesidad de recompilar las fuentes 14

Permite hacer chroot más facilmente sin necesidad de otros modulos o librerias.

15 Un ejemplo de filtrado <IfModule mod_security.c> SecFilterEngine On # Prevent OS specific keywords #index.php?include=filename SecFilter /etc/passwd # Prevent path traversal (..) attacks SecFilter "\.\./" # Very crude filters to prevent SQL injection attacks SecFilter "delete[[:space:]]+from" SecFilter "insert[[:space:]]+into" SecFilter "select.+from" </IfModule> 15

$include=filename SecFilter /etc/passwd # Prevent path traversal (..) attacks SecFilter "\.$

Documentos relacionados

Manual de Configuración de Modevasive VenCERT

Manual de Configuración de Modevasive VenCERT DERECHOS DE USO La presente documentación es propiedad de la Superintendencia de Servicios de Certificación Electrónica SUSCERTE, tiene carácter privado y