El día 26 de junio de 2010 11:38, Alejandro Lengua Vega <[email protected]> escribió: > Antonio, > Y en ese contexto que opinas de la utilización de aplicaciones como > modsecurity.org.
Nuevamente todo pasa por tener bien claros los conceptos básicos. Mod security es un "firewall de aplicación" y como tal lo que hace es detectar patrones sospechosos en muchas de las variables asociadas al tráfico HTTP: - Presencia de ciertas secuencias de caracteres en las solicitudes - Cambios abruptos en la frecuencia o naturaleza de las solicitudes realizadas por una determinada dirección o familia IP - Patrones específicos previamente reconocidos como ataques a una aplicación web particular indicados adecuadamente como reglas En consecuencia no es que vaya a protegar "mágicamente" una aplicación al 100% pero si puede detener los ataques mas burdos y menos sofisticados o aquellos que son bastante genéricos y que no están aprovechando algún detalle muy particular de la aplicación. Un concepto clave que hay que entender es el de la "superficie de exposición": un servidor con 10 servicios es potencialmente más vulnerable que otro que corre solamente 1 o 2. Igualmente, una aplicación web con 10 módulos y 30 plugins es mucho mas vulnerable (potencialmente) que otra que solo tiene dos o tres (asumiendo que los componententes son de una calidad promedio, no especialmente poco seguros) y definitivamente mucho pero mucho más vulnerable que un servidor web Apache sirviendo páginas estáticas. Aún así, no se puede afirmar que ninguno de los mensionados es o puede llegar a ser "totalmente seguro". Hay formas de atacar virtualmente cualquier servicio: DNS, correo, ftp, ssh, etc y como todos estos programas son suficientemente complejos y escritos por humanos que siempre cometen (cometemos) errores siempre habrán bugs latententes. También hay que saber distinguir los ataques que van a la "plataforma" (por ejemplo, solicitudes que pudieran inyectar código máquina ejecutable en el propio intérprete de PHP o en el propio servidor web Apache a través de un buffer overflow) que los que van a la "aplicación" como los de SQL inyection, Cross-site scripting (XSS) entre otros. La respuesta corta es que cosas como mod_security ayudan, pero no son suficientes. Si me parece una buena opción y a veces una opción estrictamente necesaria si nos puede servir para proteger una "plataforma" potencialmente más vulnerable. En muchos lados ponen un Apache con mod_security como proxy frontal a servidores IIS o Tomcat. Si tienes sitios web a tu cargo así sea en Windows con IIS si te conviene aprender a usar mod_security y Apache e incluso aprender sobre las principales formas de ataques web. Así podrás reaccionar mejor u orientar a los desarrolladores de aplicaciones en tu organización. Antonio _______________________________________________ Lista de correo Linux-plug Temática: Discusión general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe) Participa suscribiéndote y escribiendo a: [email protected] Para darte de alta, de baja o hacer ajustes a tu suscripción visita: http://voip2.voip.net.pe/mailman/listinfo/linux-plug IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php http://www.linux.org.pe/listas/comportamiento.php http://www.linux.org.pe/listas/recomendaciones.php
