Mod Security: Más seguridad en tu web

2 comentarios · 1.086 lecturas · seguridad

Mod Security es un módulo para Apache que se encarga de proporcionarle un nivel de seguridad adicional a nuestro servidor web muy potente y personalizable.

modsecurity mod security apache modsecurity2 seguridad servidor web

Funciona como una barrera entre la red (y/o Internet) y nuestro servidor web, donde mediante un conjunto de reglas podemos establecer una serie de acciones (bloquear, informar en un registro, ignorar, etc...) para eventos de todo tipo.

Es especialmente potente, por tres razones:

  • Posee un nivel de personalización muy amplio.
  • Funciona en una capa previa al servidor web, bloqueando los accesos antes de llegar a procesarse en el servidor web.
  • Permite el uso de expresiones regulares en su conjunto de reglas.

Preparación y compilación de mod_security

Antes de comenzar, tenemos que asegurarnos de estar utilizando Apache en su versión 2.x o superior, ya que mod_security2 funciona bajo estas versiones.

  1. Instalar libxml2: Si no está instalado, necesitaremos este paquete, ya que mod_security lo utiliza para el procesamiento de ficheros XML. En la versión 2.1 de mod_security es opcional, pero recomiendan instalar el paquete, ya que en el futuro será necesario de forma obligatoria.
  2. Descargar mod_security2: Nos descargamos los fuentes de mod_security2 y el conjunto de reglas por defecto. Verificar en la página de descarga la versión más nueva de la rama 2.1.x.
  3. Configurar Makefile: Descomprimimos el paquete mod_security y hacemos un cat Makefile | grep "top_dir " para comprobar si en esta ruta se encuentran los módulos y los scripts build. Si no es así, editamos el Makefile y cambiamos la ruta por la nuestra (/usr/lib/httpd, /usr/share/apache2, ...).
  4. Compilación: Escribiendo make dentro de apache2, comenzamos a compilar. Esperamos a que termine el proceso, fijandonos que no ocurra ningún error.

Instalación y configuración de modsecurity

Listo. Ya tenemos el ModSecurity eficientemente compilado para nuestra máquina. Sólo nos queda instalarlo.

  1. Instalación del módulo: Ahora toca detener el Apache para permitirnos hacer la instalación del módulo, usualmente basta con escribir /etc/init.d/apache stop. Entonces escribimos make install. Se habrá creado un módulo en la carpeta modules de la ruta top_dir del punto 3, llamado mod_security2.so.
  2. Configuración del apache: Ahora solo tenemos que cargar los módulos en nuestro servidor web. Para ello vamos al fichero de configuración (generalmente se encuentra en /etc/httpd o /etc/apache2 con el nombre httpd.conf o apache2.conf) y buscamos las lineas con las instrucciones LoadModule. Si hemos instalado el libxml2 añadimos la linea LoadFile /usr/lib/libxml2.so y posteriormente la linea LoadModule security2_module modules/mod_security2.so.
  3. Comprobar mod_unique_id: ModSecurity también necesita tener cargado el módulo mod_unique_id, que en muchos casos viene instalado pero no activo. Para ello también añadimos (si no está) la linea LoadModule unique_id_module modules/mod_unique_id.so antes de las anteriores.
  4. Conjunto de reglas: En la ruta donde se encuentra el fichero httpd.conf (o apache2.conf) hacemos un mkdir modsecurity y editamos de nuevo el fichero httpd.conf, para incluir al final la linea: Include modsecurity/*.conf. Sólo haría falta copiar los ficheros de reglas deseados (o crearlos) dentro de modsecurity.

Es bastante importante seguir las instrucciones anteriores para evitar mensajes de errores como "Invalid command 'SecRuleEngine', perhaps mis-spelled or defined by a module not included in the server configuration" o similares.

Arrancamos de nuevo el servidor Apache con un /etc/init.d/httpd start. Notar que en el paquete de conjunto de reglas de mod_security vienen varios: (configuración base, violaciones de protocolo, políticas HTTP, inyecciones SQL, inyecciones XSS, robots scrappers, etc...), incluir los que el administrador considere necesario, ya que hemos incluído todos los ficheros .conf que tengamos en la carpeta.

Reglas para ModSecurity

Las reglas de este programa son muy potentes y haría falta otro artículo para explicar como construirlas, pero un ejemplo muy básico sería el siguiente:

SecRule REQUEST_HEADERS:User-Agent "larbin_2.6.3" "log,drop"

La directiva SecRule crea una regla que examina las cabeceras, más concretamente la ID del navegador (el User Agent) para comprobar si casa con larbin_2.6.3 (¡Ojo! Esto es una expresión regular). Si es así, avisamos al módulo para que informe en el registro (log) y descarte el acceso (drop).

Por último, si estás interesado en crear tu propio conjunto de reglas, añado algunos enlaces de referencia, ya que si estabas manejando la posibilidad de basarte en los conjutos de reglas por defecto, aviso que las expresiones regulares que utilizan tienen un nivel un poco sofisticado:

vim regexp modsecurity

Enlaces de interés:


Dejar comentario (2) · Escrito el 25-Feb-2008 · Ver menciones
Recomendar por correo · Meneame · Añadir a del.icio.us

Compresion HTTP al vuelo

8 comentarios · 4.530 lecturas · mundo web

Hoy me he decidido a hacer algo que desde hace algún tiempo quería dedicarle unos minutos. Una vez leí en una web que recopilan datos y hacen estadísticas sobre servidores web que casi un 80% de los servidores no usan técnicas de compresión al vuelo en sus servidores.

Sin embargo, la idea es bien sencilla:

compresion datos http

En la primera imágen podemos ver como suelen actuar la mayoría de los servidores. El cliente realiza una petición al servidor web, el cuál le responde enviandole la página web. Pongamos como ejemplo que la página ocupa 50 Kb.

Muchos webmasters se preocupan por el gasto de ancho de banda que puede consumir su servidor web (u otros servicios), ya que no es infinito y el gasto que se consuma en cualquier momento, limitará el ancho de banda disponible para otros navegantes.

En cambio, en la segunda imágen que vemos, lo que ocurre es que, al hacer la petición el cliente, el servidor web se encarga de comprimir esos datos antes de enviarlos, encargandose el navegador del cliente de descomprimirlos antes de mostrarlos. En algunos casos, este sistema puede ahorrar... ¡¡hasta un 70% de ancho de banda!!

Técnicamente, recordar que el Apache 1.3 usa el módulo mod_gzip para la compresión de datos, pero el Apache 2.0 realiza la compresión a través de otro módulo, el mod_deflate.

A todos los que tengáis servidor propio, os recomiendo echarle un vistazo a este sistema, en algunos casos puede sugerir un ahorro de ancho de banda realmente considerable:

  • URL: Emezeta.COM
  • Antes: 27.215 (27Kb) Despues: 8.833 (8Kb) (Reducción al: 32%)
  • URL: Estadísticas Febrero 2005
  • Antes: 136.454 (136Kb) Despues: 4.534 (4Kb) (Reducción al: 3%)
  • URL: Diccionario canario
  • Antes: 1.202 (1Kb) Despues: 417 (0'4Kb) (Reducción al: 34%)

Para obtener estos datos solo tenemos que modificar la forma en que Apache crea nuestros logs con la ayuda del módulo mod_log_config. Eso sí, habrá que tener en cuenta los posibles efectos secundarios, que aunque datan de hace bastante tiempo, nunca está de más saberlo.


Dejar comentario (8) · Escrito el 13-Feb-2005 · Ver menciones
Recomendar por correo · Meneame · Añadir a del.icio.us

Páginas: 1 ... ... 1


Artículo de http://www.emezeta.com/

6 consultas efectuadas / Página generada en 0.032 segundos

Programado íntegramente por José Román (Manz) en XHTML y CSS estándar.

Sindicado bajo Feed RSS. Contenido bajo licencia Creative Commons

Estadísticas de visitas · Términos y condiciones · Contacto · Publicidad · Preguntas frecuentes (FAQ)