Skip links

Mod Security ¿Qué es y donde es posible aplicar su uso?

Filtro o modulo de protección para aplicaciones web

Mod Security es un módulo de Apache que brinda detección y prevención de intrusos al Servidor Web Apache; también a los productos que realizan estas tareas comúnmente se los llama «Firewall de Aplicaciones».

Módulo de protección para aplicaciones web contra ataques diversos con el fin de que los sitios alojados en un servidor no se vean afectados por vulnerabilidades de terceros. Provee protección para una amplia variedad de ataques contra aplicaciones web, permitiendo el monitoreo de tráfico http y análisis en tiempo real casi sin cambios en la infraestructura de un sistema.

El funcionamiento es similar al de un Sistema de Detención de Intrusos (IDS) el cual es utilizado para analizar el tráfico de red con el fin de detectar anomalías, pero con la diferencia que este trabaja en el nivel de HTTP y lo comprende realmente muy bien.

Tiene la funcionalidad de prevenir, si encuentra peticiones con carga maliciosa puede rechazar la petición basada en las reglas que incorpora.

Sin embargo, este modulo posee una gran variedad de funcionalidades las cuales serán presentadas a continuación:

  • Filtrado de acceso: Esta función analiza el trafico web entrante donde puede detectar si los archivos presentan algún indicio de vulnerabilidad antes de entrar el servidor destino aplicando un conjunto de reglas las cuales son configuradas al gusto del administrador del servidor.
  • Técnicas Antievasión: Las rutas de acceso y los parámetros son normalizados antes del análisis para evitar técnicas de evasión.
  • Decodifica las direcciones URL.
  • Análisis Post Payload: Realiza un análisis de el contenido transmitido a través del método POST. El método POST permite que los usuarios envíen tanto archivos de texto como binarios.
  • Reemplazo de bytes nulos por espacios (%00)

Técnicas

  • Modelo de seguridad negativo: Monitorea por solicitudes anómalas, comportamientos inusuales, y aplicaciones de ataques más usadas. Mantiene registros de anomalías de cada solicitud grabando IP, cuentas de usuarios y sesiones de registro. Las solicitudes con alto grado de anomalías se rechazan completamente.
  • Modelo de Seguridad Positivo: Cuando se ejecuta, sólo las solicitudes que se reconocen como válidas son permitidas, todo lo demás se rechaza. Requiere un claro conocimiento de las aplicaciones que se pretende proteger.
  • Vulnerabilidades y Debilidades conocidas: Un problema usual en los sistemas a medida es la detección de problemas que usualmente pueden tardar mucho tiempo en ser solucionados, para ésto es ideal la característica del Mod Security de ser una aplicación externa, se puede utilizar el lenguaje propio de la herramienta para establecer reglas que remedien la situación mientras se encuentra por parte de los encargados la solución a los problemas detectados. La tarea entonces es la de reducir la ventana de oportunidades para ataques oportunistas.

Principales reglas de contenido

A fin de proporcionar protección aplicaciones web genérica, las normas básica utilizar las siguientes técnicas:

  • HTTP de protección: la detección de violaciones de los protocolos HTTP y una política de uso definidos a nivel local.
  • Web comunes los ataques de protección: la detección de la aplicación web común ataque a la seguridad.
  • Detección de automatización: detección de robots, escáneres y actividad superficial maliciosos.
  • Protección de Troya: detección de acceso a los caballos troyanos.
  • Error ocultar: disfrazar los mensajes de error enviados por el servidor.

Ventajas

  • Una de las mayores ventajas que tiene el Mod Security es la posibilidad de proteger complejas aplicaciones donde la modificación del código fuente para poder securizarlas sea difícil, se necesite mucho tiempo, sea muy caro, o simplemente no se pueda.
  • Se podrá utilizar para proteger foros, blog, wikis portales de comentarios SPAM, etc.
  • Al tener un servidor web o una aplicación que es vulnerable a cierto ataque/bug se puede protegerlo con el programa hasta que salga el parche o la actualización del mismo para solucionar el problema.
  • Es OpenSource y gratuito.
  • Fácil de configurar.
  • Eficiente.
  • Curva de aprendizaje muy rápida.
  • Se podrán evitar un alto número de ataques con un pocas líneas de configuración.
  • Se podrán crear reglas muy específicas, optimizando así el rendimiento del programa.
  • Otra de las ventajas es el hecho de ser portable, funcionando en casi todos los Sistemas Operativos conocidos.