LUK
21-01-2008, 21:39
Las aplicaciones web construidas actualmente integran múltiples tecnologías, lo que implica presumiblemente falta de cohesión en cuanto a la seguridad.
Es muy difícil desarrollar una aplicación web razonablemente segura e imposible hacerlo totalmente segura, pero existen tecnologías que nos pueden ayudar a prevenir riesgos.
Situémonos ante un servicio web que exponemos públicamente.
No importa la seguridad de tu firewall, el diseño de tu red, la paranoia de tu sistema de detección de intrusos, ni el cifrado de tus datos.
Si hospedas una página web deberás permitir el acceso a los puertos 80/443.
http://img206.imageshack.us/img206/2848/wafox8.jpg
Por lo que deberemos pensar en proteger ese "agujero" que debemos tener
abierto inevitablemente para dar servicio web.
La seguridad a nivel de aplicación se ha convertido en el riesgo número uno para las organizaciónes hoy día. ver SANS top 20 (http://www.sans.org/top20).
Parece que la historia se repite, hace años, el firewall de red, era la panacea de la seguridad, hoy día no se concibe red o equipo sin firewall. Pero actualmente, este mismo firewall no puede dar respuesta a todos los problemas asociados a la red y a las aplicaciones que en ella se sostienen.
Para mitigar este tipo de riesgos, existe desde hace ya unos años, una tecnología diseñada para proteger los sitios web y aplicaciones vulnerables, con múltiples propósitos más allá del bloqueo de ataques.
Esta tecnología es capaz de prevenir ataques que los firewalls de red no podrían, ni los sistemas de detección de intrusos actuales serían capaces de reconocer. Estamos hablando de lo que se conoce como WAF (Web Application Firewall (http://www.cgisecurity.com/questions/webappfirewall.shtml)), ver pila Tcp/Ip (http://es.wikipedia.org/wiki/TCP/IP#Niveles_en_la_pila_TCP.2FIP).
También la puedes encontrar como "Sistema de detección de intrusos web" o "Monitor de seguridad HTTP".
Para comprender su funcionamiento y despliegue, tendríamos que revisar primero conceptos como reverse proxy (http://en.wikipedia.org/wiki/Reverse_proxy) o surrogate (http://www.faqs.org/rfcs/rfc3040.html), pero esto, esta fuera de este artículo.
Existen aplicaciones comerciales y Open Source, no nombraremos ninguna. Nos centraremos únicamente en los aspectos más importantes que poseen, -más allá del bloqueo de ataques- y la información que nos pueden proporcionar sobre que sucede realmente en nuestros sitios web.
Actualmente, ¿cuantas de las siguientes preguntas podríamos contestar?
¿Serías capaz de inspeccionar el tráfico SSL de tu sitio web?
¿Los logs de tu web contienen toda la información necesaria en caso de auditoría web?. La mayoría de aplicaciones tienen los archivos de log tipo CLF, esos no me sirven.
¿Podrías identificar defectos de aplicaciones web a través de los logs?, y poder reportarlo así al equipo de desarrollo web.
¿Y fugas de información?. Números de la seguridad social, tarjetas de crédito..
¿Y ataques y vulnerabilidades web?
Lo anterior son preguntas que podríamos responder afirmativamente si tuvieramos en nuestro sitio web un Firewall de aplicación. Pero como en todo, demasiada información se puede volver en nuestra contra, por eso, necesitamos sistemas que recopilen, analicen y nos muestren de forma clara que es lo que está ocurriendo "behind the scenes". (http://www.s21sec.com/productos.aspx?sec=34&HIVEDATA=dW2z6ApWRw1jaCdyjfQk6OrfClJJT%2FR45XtZxK8 3iE0pcMT4K134t4J%2BFbcm1zsi8heB0d1qBnB%2Fb%2B16sM% 2BEWgkYCNi5rWeBYJAcB6iGjmU%3D)
Por último, pregúntate a ti mismo: Si hubiera una vulnerabilidad en tu sitio web que está siendo explotada actualmente pero no dispones de ningún sistema para que te avise de ello, ¿cómo vas a detectar que estás siendo atacado? ¿durante cuanto tiempo continuaría el ataque hasta que algún signo externo mostrase que las cosas no funcionan bien?
¿Sabemos realmente lo que ocurre tras nuestros sitios web?, ¿poseen nuestros logs la suficiente información?
Emilio Casbas
S21sec (http://www.s21sec.com/) Labs
Es muy difícil desarrollar una aplicación web razonablemente segura e imposible hacerlo totalmente segura, pero existen tecnologías que nos pueden ayudar a prevenir riesgos.
Situémonos ante un servicio web que exponemos públicamente.
No importa la seguridad de tu firewall, el diseño de tu red, la paranoia de tu sistema de detección de intrusos, ni el cifrado de tus datos.
Si hospedas una página web deberás permitir el acceso a los puertos 80/443.
http://img206.imageshack.us/img206/2848/wafox8.jpg
Por lo que deberemos pensar en proteger ese "agujero" que debemos tener
abierto inevitablemente para dar servicio web.
La seguridad a nivel de aplicación se ha convertido en el riesgo número uno para las organizaciónes hoy día. ver SANS top 20 (http://www.sans.org/top20).
Parece que la historia se repite, hace años, el firewall de red, era la panacea de la seguridad, hoy día no se concibe red o equipo sin firewall. Pero actualmente, este mismo firewall no puede dar respuesta a todos los problemas asociados a la red y a las aplicaciones que en ella se sostienen.
Para mitigar este tipo de riesgos, existe desde hace ya unos años, una tecnología diseñada para proteger los sitios web y aplicaciones vulnerables, con múltiples propósitos más allá del bloqueo de ataques.
Esta tecnología es capaz de prevenir ataques que los firewalls de red no podrían, ni los sistemas de detección de intrusos actuales serían capaces de reconocer. Estamos hablando de lo que se conoce como WAF (Web Application Firewall (http://www.cgisecurity.com/questions/webappfirewall.shtml)), ver pila Tcp/Ip (http://es.wikipedia.org/wiki/TCP/IP#Niveles_en_la_pila_TCP.2FIP).
También la puedes encontrar como "Sistema de detección de intrusos web" o "Monitor de seguridad HTTP".
Para comprender su funcionamiento y despliegue, tendríamos que revisar primero conceptos como reverse proxy (http://en.wikipedia.org/wiki/Reverse_proxy) o surrogate (http://www.faqs.org/rfcs/rfc3040.html), pero esto, esta fuera de este artículo.
Existen aplicaciones comerciales y Open Source, no nombraremos ninguna. Nos centraremos únicamente en los aspectos más importantes que poseen, -más allá del bloqueo de ataques- y la información que nos pueden proporcionar sobre que sucede realmente en nuestros sitios web.
Actualmente, ¿cuantas de las siguientes preguntas podríamos contestar?
¿Serías capaz de inspeccionar el tráfico SSL de tu sitio web?
¿Los logs de tu web contienen toda la información necesaria en caso de auditoría web?. La mayoría de aplicaciones tienen los archivos de log tipo CLF, esos no me sirven.
¿Podrías identificar defectos de aplicaciones web a través de los logs?, y poder reportarlo así al equipo de desarrollo web.
¿Y fugas de información?. Números de la seguridad social, tarjetas de crédito..
¿Y ataques y vulnerabilidades web?
Lo anterior son preguntas que podríamos responder afirmativamente si tuvieramos en nuestro sitio web un Firewall de aplicación. Pero como en todo, demasiada información se puede volver en nuestra contra, por eso, necesitamos sistemas que recopilen, analicen y nos muestren de forma clara que es lo que está ocurriendo "behind the scenes". (http://www.s21sec.com/productos.aspx?sec=34&HIVEDATA=dW2z6ApWRw1jaCdyjfQk6OrfClJJT%2FR45XtZxK8 3iE0pcMT4K134t4J%2BFbcm1zsi8heB0d1qBnB%2Fb%2B16sM% 2BEWgkYCNi5rWeBYJAcB6iGjmU%3D)
Por último, pregúntate a ti mismo: Si hubiera una vulnerabilidad en tu sitio web que está siendo explotada actualmente pero no dispones de ningún sistema para que te avise de ello, ¿cómo vas a detectar que estás siendo atacado? ¿durante cuanto tiempo continuaría el ataque hasta que algún signo externo mostrase que las cosas no funcionan bien?
¿Sabemos realmente lo que ocurre tras nuestros sitios web?, ¿poseen nuestros logs la suficiente información?
Emilio Casbas
S21sec (http://www.s21sec.com/) Labs