Asignatura Datos del alumno Fecha

Universidad Internacional de la Rioja

Maestria en Seguridad Informática

Seguridad en Aplicaciones en Linea

M.S.C. Javier Alberto Carmona Troyo

Índice
Introducción……………………………………………………………….2
Objetivo……………………………………………………………………2
Marco Teórico …………………………………………………………….2
Instalación y preparación de máquinas virtuales con modsecurity ……….3
Configuración de Apache mod_evasive…………………………………...9
Pruebas de servidor……………………………………………………….12
Conclusiones……………………………………………………………….15
Referencias………………………………………………………………..15
Anexo A. Ataques en modo no seguro.
Anexo B. Ataque en modo seguro

La Paz, Baja California Sur, México a 08/01/2018

1
 Asignatura Datos del alumno Fecha

Introducción.
Hoy en dia, tanto la seguridad fisica como la seguridad logia de las aplicaciones web es
un tema que hay que tratar seriamente, ya que debido a la falta de cultura
organizacional en lo referente a la seguridad informática, las empresas pierden grandes
cantidades de dinero por no tener securizado sus sistemas, es decir, no hay la cultura
de seguridad adecuada para mantener la información con los parametros necesarios
para mantener la Disponibilidad, Integridad y la confidencialidad de esta. Es por ello,
que las empresas u organizaciones deben contemplar medidas de seguridad que
impidan que los atacantes informáticos entren a nuestros recursos por medio del
internet. Para ello, deben tener buen sistema de cortafuegos o firewall correctamente
configurados.
En este trabajo, se explica la configuracion de un firewall en mo seguro asi como las
pruebas necesarias para la verificacion de la fiabilidad de este con respecto a un firewall
que no se encuentre seguro.

Objetivo.
Instalar y configurar un servidor modsecure. Probar el servidor para diferentes ataques
y comprobar con respecto a un servir firewall no configurado.

Marco teorico.
Un firewall es un dispositivo de seguridad de la red que monitorea el tráfico de red
-entrante y saliente- y decide si permite o bloquea tráfico específico en función de un
conjunto definido de reglas de seguridad.
Los firewalls han constituido una primera línea de defensa en seguridad de la red
durante más de 25 años. Establecen una barrera entre las redes internas protegidas y
controladas en las que se puede confiar y redes externas que no son de confianza, como
Internet. (CISCO, 2017)
Un firewall puede ser hardware, software o ambos.
Tipos de firewall
Para comprender mejor el funcionamiento de los firewall, se presentan algunos tipos de
ellos.

Firewall proxy
Un firewall proxy, uno de los primeros tipos de dispositivos de firewall, funciona como
gateway de una red a otra para una aplicación específica. Los servidores proxy pueden
brindar funcionalidad adicional, como seguridad y almacenamiento de contenido en
caché, evitando las conexiones directas desde el exterior de la red. Sin embargo, esto
también puede tener un impacto en la capacidad de procesamiento y las aplicaciones
que pueden admitir.

Firewall de inspección activa

Un firewall de inspección activa, ahora considerado un firewall “tradicional”, permite o
bloquea el tráfico en función del estado, el puerto y el protocolo. Este firewall
monitorea toda la actividad, desde la apertura de una conexión hasta su cierre. Las
decisiones de filtrado se toman de acuerdo con las reglas definidas por el administrador

2
 Asignatura Datos del alumno Fecha

y con el contexto, lo que refiere a usar información de conexiones anteriores y paquetes

que pertenecen a la misma conexión.
Firewall de administración unificada de amenazas (UTM)
Un dispositivo UTM suele combinar en forma flexible las funciones de un firewall de
inspección activa con prevención de intrusiones y antivirus. Además, puede incluir
servicios adicionales y, a menudo, administración de la nube. Los UTM se centran en la
simplicidad y la facilidad de uso.
Firewall de próxima generación (NGFW)
Los firewalls han evolucionado más allá de la inspección activa y el filtrado simple de
paquetes. La mayoría de las empresas están implementando firewalls de próxima
generación para bloquear las amenazas modernas, como los ataques de la capa de
aplicación y el malware avanzado.
Según la definición de Gartner, Inc., un firewall de próxima generación debe incluir lo
siguiente:
 Funcionalidades de firewall estándares, como la inspección con estado.
 Prevención integrada de intrusiones.
 Reconocimiento y control de aplicaciones para ver y bloquear las aplicaciones
peligrosas.
 Rutas de actualización para incluir fuentes de información futuras.
 Técnicas para abordar las amenazas de seguridad en evolución.

Si bien estas funcionalidades se están convirtiendo cada vez más en el estándar para la
mayoría de las empresas, los NGFW pueden hacer más.
NGFW centrado en amenazas
Estos firewalls incluyen todas las funcionalidades de un NGFW tradicional y también
brindan funciones de detección y corrección de amenazas avanzadas. Con un NGFW
centrado en amenazas, puede hacer lo siguiente: (CISCO, 2017)
 Estar al tanto de cuáles son los activos que corren mayor riesgo con
reconocimiento del contexto completo.
 Reaccionar rápidamente ante los ataques con automatización de seguridad
inteligente que establece políticas y fortalece las defensas en forma dinámica.
 Detectar mejor la actividad sospechosa o evasiva con correlación de eventos de
terminales y la red.
 Reducir significativamente el tiempo necesario desde la detección hasta la
eliminación de la amenaza con seguridad retrospectiva que monitorea
continuamente la presencia de actividad y comportamiento sospechosos,
incluso después de la inspección inicial.
 Facilitar la administración y reducir la complejidad con políticas unificadas que
brindan protección en toda la secuencia del ataque.

Instalación y preparación de máquinas virtuales con modsecurity.

Para la práctica de pruebas de firewall de aplicaciones web, se utilizó el firewall
modsecurity (modo seguro). Por un lado, se cargo el firewall sin endurecer el firewall.
Este firewall fue montado en virtual box con dos adaptadores de red. Un adaptador
para la red interna y un adaptador para la salida a internet. Asi mismo, antes de esto, se

3
 Asignatura Datos del alumno Fecha

clono el firewall para asi tener dos, uno sin endurecer y otro aplicando las técnicas de
hardening. Los pasos de la instalación de los adaptadores de muestran a continuación.
1. En archivosPreferenciasRed, se crea un adaptador tipo solo anfitrion para
que los firewall solo se reconozcan y tengan comunicación con la maquina física.

Fig.1 Creacion del adaptador de red en solo anfitrion

2. Se generan los adaptadores para cada uno de los firewall’s (solo se mostrará una
secuencia.)

En configuración, se selecciona Red para asignarle dos adaptadores a uno de los

firewalls. Adaptador 1 en Nat, Adaptador 2 en Solo anfitrion.

4
 Asignatura Datos del alumno Fecha

Fig.2 Se muestra la direccion ip de ambos adaptadores. Eth1 solo anfitrión.

3. Configuradas las tarjetas de red de ambos firewall’s se procede a levantar las
fortalezas del firewall que trabajará en modo seguro. Al llevar a cabo esta
operación, pasamos a instalar apache en modo seguro y en modo evasivo.
(Trustwave Holdings, 2018)

Fig.3 Instalacion de apache

4. Configurado las tarjetas pasamos a habilitar las reglas de modsecurity como se
indica en las notas del ejercicio.

5
 Asignatura Datos del alumno Fecha

Fig.4 Establecer parametros en modesecurity.conf

5. Se descarga según las instrucciones owasp_modsecurity y se realizan los
movimientos indicados de archivos y directorios. Se comentan las lineas
indicadas de modsecurity_crs_35_robots.conf.

Fig. 5 Descarga del core de owasp para modsecurity.

Fig. 6 Archivo descargado

6
Asignatura Datos del alumno Fecha

6. El archivo se descomprime y se mueve al directorio /usr/share/modsecurity-crs

Fig.7 listado de owasp-modsecurity en /usr/share

7. Se copia modsecurity_crs_10_setup.conf.example a
modsecurity_crs_10_setup.conf

Fig.8 Copia de archivo.

8. Se lleva a cabo un vinculo creando una liga del archivo de configuracion hacia el
directorio de reglas activadas “activated_rules”

Fig.9 Vinculo del archivo de configuracion hacia activated_rules

9. Se incluyen todas las reglas base que se encuentran en el directorio base_rules

hacia el directorio activated_rules

Fig. 10 Se incluyen los vinculos de base_rules hacia activated_rules

10. Se comentan los user_agents del la regla 35 que se encuentra en activated_rules

7
Asignatura Datos del alumno Fecha

Fig. 11 Se comentan User Agents

11. De la regla de ataques genericos, se comenta la linea indicada en las

instrucciones.

Fig. 12 Linea comentada.

8
 Asignatura Datos del alumno Fecha

12. Asi mismo, se comenta lo indicado en el regla 50 outbound

Fig. 13 Outbound Comentado. (regla 50)

Fig. 14. Comprobamos que esta en función el servicor apache en modo

seguro.

Configuración de Apache mod_evasive.

1. Anteriormente, junto con apache2 se realizó la instalación de

apache mod_evasive. (Rapid7, 2017)

Fig.15 Comando de instalación de apache mod-evasive

9
 Asignatura Datos del alumno Fecha

2. Instalado apache mod-evasive, se procede a modificar el contenido

del archivo de configuración del mismo.

Fig.16 configuración del modo evasive.

3. Realizado lo anterior, creamos el directorio que generará los

registros de log para el modo evasivo. Esto lo realizamos en el
directorio indicado en DOSLogDir y le asignamos dueño a ese
directorio.

Fig. 17 creación del directorio y asignación de dueño (root).

4. Se prueba mod_evasive con ApacheBench

Fig.18 Resultado de ab (apache Benchmark)

10
 Asignatura Datos del alumno Fecha

Se procesarón 100 envios y se rechazaron 70.

5. Se realiza una prueba mas con un test de prueba en perl que trae
consigo el mod_evasive.

Fig 19. Ejecución de la prueba y algunos resultados obtenidos.

6. Revisión de vitacoras de apache2

Fig.20 access.log se rechazan peticiones.

Fig.21 error.log Peticiones denegadas por configuración del servidor

Pruebas de servidor.

11
 Asignatura Datos del alumno Fecha

1. Se Prueba desde la máquina fisica para verificar si hay acceso

desde direccion ip.

Fig. 22. Se comprueba que no se puede accesar con IP desde otra

máquina.

Comprobamos que no hay acceso y hay que desabilitar la regla que me

impide el acceso por ip.

Fig. 23 Se comentan las reglas que impiden el acceso por IP

Ya comentada la linea probamos de nuevo con accesso por IP.

12
 Asignatura Datos del alumno Fecha

Fig. 24 Acceso al apache desde windows por medio de IP

Deshabilita la regla anterior verificamos que podamos realiz ar un ataque

por directorio transversal del tipo /../../../etc/passwd.

Fig. 25 no acceso a este tipo de ataques.

Este tipo de ataques esta bloqueado, por lo que verificamos la regla dentro del registro
log que lo impide.

Analizando el Registro modsec_audit.log verificamos que existe una regla que impide el
acceso a este tipo de ataques.

13
 Asignatura Datos del alumno Fecha

Fig.26. Se verifica la regla.

Hasta este punto, tenemos configurado nuestro firewall de aplicaciones

web

Para las pruebas y verificion del funcionamiento del firewall, se instalo

sobre windows7 dos metodos de ataque de Denegación de Servicios.
Estas herramientas son LOIC y HOIC.

Fig. 27 HOIC instalado y listo para atacar.

14
 Asignatura Datos del alumno Fecha

Fig. 28 LOIC insalado y listo para atacar.

ANEXOS. (ver anexos para referencias sobre resultados de pruebas y

ataques.

Conclusión.
La instalación de mecanismos de seguridad sobre infraestructuras web, permiten
mantener la información protegida, manteniendo así mismo, la integridad, la
disponibilidad y confidencialidad de la información.

Owasp proporciona mecanismos tal que permiten que los ataques mas comunes sobre
páginas web, sean mitigados o bloqueados por lo que por buenas prácticas debemos
voltear hacia esa comunidad.

Referencias
CISCO. (25 de 06 de 2017). CISCO. Obtenido de que es un Firewall:
https://www.cisco.com/c/es_mx/products/security/firewalls/what-is-a-
firewall.html
Rapid7. (23 de 04 de 2017). Rapid7. Obtenido de How to Configure ModEvasive with
Apache on Ubuntu Linux: https://blog.rapid7.com/2017/04/09/how-to-
configure-modevasive-with-apache-on-ubuntu-linux/
Trustwave Holdings, I. (17 de Enero de 2018). github. Obtenido de github/SpiderLabo:
https://github.com/SpiderLabs/ModSecurity/wiki/Reference-Manual

15