U1 Controles Logicos - PDF Small

UNIVERSIDAD NACIONAL DE LA MATANZA
Departamento de Ingeniería e Investigaciones Tecnológicas

Seguridad y Calidad en Aplicaciones Web
Unidad N° 1: Introducción a la Seguridad
Profesor Titular: Walter R. Ureta

Profesor Ayudante: Cintia Gioia

Controles Lógicos

Controles Lógicos
Consiste en la aplicación de barreras y

procedimientos que resguarden el acceso a los
datos y sólo se permita acceder a ellos a las
personas autorizadas para hacerlo

Sistemas de
Seguridad: Firewalls

FIREWALL: Historia
● Fines de los ´80: Routers que separan redes

● 1988: DEC(Digital Equipment Corporation) presenta el iltrado de paquetes
● Principios de los 90:
o ACLs – Listas de control de accesos
o Bastion Hosts: PC con 2 placas de red
● 1991: Primer Firewall comercial
● 1993: Firewalls State-full Inspection
● 1994: Interfaces amigables

Firewall: Definición
Es un dispositivo de red que crea una separación entre redes públicas (no
confiables) y redes privadas (confiables) mediante el análisis del tráfico de red
permitiendo solamente el paso de cierto tráfico entre la red no confiable y la red
confiable.
Red Externa
No Confiable
Red Interna - Confiable

FIREWALL: Descripción básica
●
Dispositivos de defensa perimetral: separa redes.
●
Filtra tráfico dependiendo de reglas predefinidas.
●
No protege de ataques internos.
●
No protege de accesos no autorizados.
●
No protege de todos los ataques dañinos.

FIREWALL: Características
● Tipos de presentación:
● Por software: funcionan en una PC con 2 ó más NICs
● Appliances o dispositivos de hardware (cajas negras)
● Su funcionamiento básico se basa en 2 tipos de reglas:

● Todo lo que no está expresamente permitido, está
prohibido (WhiteList)
● Todo lo que no está expresamente prohibido, está
permitido (BlackList)

Referencia: VPN
Una estructura de red que con soporte lógico que permite el trafico
de información privada sobre una infraestructura de red pública
mediante el uso de criptografía.
Protocolos
● IPSec
● SSL / TLS
● PPTP, L2TP

FIREWALL: Otras características

● Funciones Perimetrales
● Escaneo de Virus
● Filtrado de Contenidos / Anti Spam
● Punto de conexión de VPNs

● VPN host a red
● VPN red a red
● Alta Disponibilidad (AD)

● Debe mantener el estado en una condición de FailOver
● Balanceo de carga de Firewalls (BCFW)

● Alta Disponibilidad, cuando se posee mas de un vínculo (agregado de ancho de banda)
● Administración Centralizada (Único punto de administración para todos los firewalls de la red)
● Defensa en profundidad (Usando múltiples tipos de firewalls para obtener los beneficios de todos
y no ser vulnerable a la debilidad de uno solo.)

Arquitectura de Red y su Seguridad
La arquitectura de Red ha evolucionado en los últimos

años desde:
●
Acceder para navegar por Internet
●
Instalar un servicio de e-mail
●
Mover datos desde el Punto A al Punto B
Hasta:
●
Hacer e-Commerce
●
Implementar sistemas B2B, C2B, CRM, SCM
Por lo tanto es IMPERATIVO asegurar la red

Evolución de la Arquitectura de Seguridad
● Un Mundo de Islas (Pre-Internet)
Empresa A Empresa B
Empresa C
● Confianza General (en los comienzos de Internet)
Empresa A Internet Empresa B


● Filtrado con Firewall
Internet
Empresa A
Router Firewall
● Presencia en Internet (DMZ´s)

● Servidor Web
● Servidor DNS
DMZ ● Servidor E-Mail
Internet Empresa A
Red Interna
Empresa A
Router Firewall
● Comunidades Virtuales (Extranets y VPN de B2B)

● Tunel VPN de Red a Red
● Extranets de Negocios
● Sistemas para compartir información (SCM)


● Trabajo Virtual / Móvil (VPN´s C2B)
● Acceso a Internet desde dial-up, banda ancha
● Muchos productos firewall tienen soporte para VPN
● Los concentradores VPN permiten la terminación de VPN en otro punto que no
sea el firewall
DMZ
Internet Empresa A
Us
ua
rio
s
Red Interna
re
Router
mo
Firewall Empresa A
Con VPN
to
s


● Centro de Hosting Web, por ejemplo: Data Centers
● Diseño Seguro: Redundancia y alta disponibilidad de ancho de banda
● Monitoreo de los estados de las conexiones

Conceptos básicos de IP
Atributos IP
- IP únicamente identifica un Host: permite filtrar tráfico.
- IP es jerárquico y permite que en una red un firewall

controle el tráfico entrante y saliente.


De 10.0.0.1
para 10.0.0.3
10.0.0.2
10.0.0.3
10.0.0.1

Conceptos básicos de TCP

Atributos TCP
- TCP corre sobre IP: un paquete TCP tiene más información sobre la cual
filtrar.
- Un paquete TCP contiene el número de puerto origen y destino: permite
diferenciar los servicios requeridos.
- Puerto origen: permite al cliente conectarse a más de un servidor o servicio y
después identifica el tráfico de regreso y lo relaciona con la conexión realizada.
- Relación servicio-puerto: un protocolo en un puerto determinado tiene un set de
funciones asociadas. Esto permite validar la autenticidad.
- Un paquete TCP contiene un número de secuencia y un FLAG:
●
Permite establecer y mantener una conexión.
●
Ambos extremos de la conexión confirman el número de secuencia.
●
El firewall puede monitorear una sesión y filtrar el tráfico.
Conceptos básicos de TCP

Conceptos básicos de UDP
Atributos UDP
- UDP corre sobre IP: provee menos información que TCP

- UDP contiene el número de puerto: permite filtrar tráfico e identificar
paquetes. Provee información de validación para el firewall.
- UDP no es orientado a la conexión:
●
No hace handshaking.
●
No hace confirmación de paquetes enviados.
●
No valida la conexión.
Algunos firewalls compensan esto aplicando timers y respuestas programadas.

Conceptos básicos de UDP

Protocolo TCP/UDP
65535
De 10.0.0.7:80
65535
... Para 10.0.0.1:...
443
...
80
Cliente
10.0.0.1 Servidor
... 25 10.0.0.7
0 0
De 10.0.0.1:...
Para 10.0.0.7:25
Puertos TCP/UDP
Puerto Servicio
7/tcp Protocolo Echo (Eco) Responde con eco a llamadas remotas
9/tcp Protocolo Discard Elimina cualquier dato que recibe
13/tcp Protocolo Daytime Fecha y hora actuales
17/tcp Quote of the Day (Cita del Día)
20/tcp FTP File Transfer Protocol (Protocolo de Transferencia de Ficheros) - datos
21/tcp FTP File Transfer Protocol (Protocolo de Transferencia de Ficheros) - control
22/tcp SSH, scp, SFTP
23/tcp Telnet manejo remoto de equipo, inseguro
25/tcp SMTP Simple Mail Transfer Protocol (Protocolo Simple de Transferencia de Correo)
37/tcp time (comando)
53/udp DNS Domain Name System (Sistema de Nombres de Dominio), por ejemplo BIND9
80/tcp HTTP HyperText Transfer Protocol (Protocolo de Transferencia de HiperTexto)
(WWW)
88/tcp Kerberos Agente de autenticación
110/tcp POP3 Post Office Protocol (E-mail)

Puertos TCP/UDP
Puerto Servicio
123/udp NTP Protocolo de sincronización de tiempo
137/tcp NetBIOS Servicio de nombres
138/tcp NetBIOS Servicio de envío de datagramas
139/tcp NetBIOS Servicio de sesiones
143/tcp IMAP4 Internet Message Access Protocol (E-mail)
161/tcp SNMP Simple Network Management Protocol
389/tcp LDAP Protocolo de acceso ligero a Bases de Datos
443/tcp HTTPS/SSL usado para la transferencia segura de páginas web
445/tcp Microsoft-DS (Active Directory, compartición en Windows, gusano Sasser, Agobot) o
también es usado por Microsoft-DS compartición de ficheros
1433/tcp Microsoft-SQL-Server
2049/tcp NFS Archivos del sistema de red
3306/tcp MySQL sistema de gestión de bases de datos
6881/tcp BitTorrent puerto por defecto
6969/tcp BitTorrent puerto de tracker

Firewall: NAT
Network Address Translation. Su función es traducir un conjunto de
direcciones, comúnmente privadas, a una o pocas direcciones públicas.
• RFC 1631 (1994). Resuelve el problema de la falta de IPs

• Oculta la topología de la Red
● Mantiene tablas de correspondencia
(IP privada, Puerto privado)-> (IP publica, Puerto publico)
● Todas se combinan con ACLs
● Pueden ser State-Full
• Pueden combinarse con packet inspection
– Por ejemplo, NAT específico para FTP
●No es posible establecer conexiones desde el lado público (a menos que estén
explícitamente mapeadas)

Firewall: NAT
De: 10.0.0.5:4321
De: 173.1.1.4:5432
De: 10.0.0.5:4321 A: 173.194.118.174:80
A: 173.194.118.174:80
10.0.0.1
173.194.118.174
10.0.0.5
173.1.1.4
De: 173.194.118.174:80
De: 173.194.118.174:80 A: 173.1.1.4:5432
A: 173.1.1.4:5432
A: 10.0.0.5:4321

Tipos de Firewall
1. Packet filters
2. Circuit Level Gateways
3. Application Level Gateways
4. State–Full Multilayer Inspection

Referencia: Modelos OSI y TCP/IP
OSI: Open System Interconnection, Modelo de interconexión de sistemas abiertos (ISO/IEC 7498-1)

Firewall Packet Filters
●
Monitorea fuentes y destino IP de la conexión.
●
Verifica puerto de destino.
●
No verifica contenidos.
●
¿Cómo se engaña?
●
Mediante spoofing: se pueden enviar paquetes no
deseados a una red utilizando una dirección IP falsa. Se
puede detectar ruteando el tráfico.
●
Redireccionando puertos.


●
Firewalls de Filtrado de Paquetes
●
Paso/Denegación de paquetes TCP/IP basado en reglas
Internet
Red
Privada
Filtro de
Paquetes
Perímetro de seguridad

Circuit Level Gateways
●
Es un firewall que opera a nivel de la capa de sesión
del modelo OSI o la capa TCP de TCP/IP.
●
Permite conexiones a través de él, creando un circuito.
●
Permite monitorear la conexión.
●
La verificación de contenido es limitada.

Circuit Level Gateways

Application Level Gateways
●
Son conocidos con el nombre de proxies.
●
Conceptualmente son similares a los Circuit Level Gateways, con la
diferencia de que son específicos para cada aplicación/protocolo.
●
El firewall comienza una conexión en nombre del usuario.
●
Se puede filtrar la aplicación si se configura el firewall para que
espere solo cierto tráfico.
●
Como mantiene la conexión en nombre del usuario, produce una
gran carga de trabajo.
●
Las aplicaciones, ruteo, browsing y mail necesitan apuntar al firewall
ó a una IP (alias) sobre el firewall para poder conectarse.
●
Las conexiones UDP no se pueden manejar fácilmente.



● Proxy (o firewall de capa de aplicación)
● Chequeo del contenido de las aplicaciones en los paquetes. Abre los
paquetes TCP/IP.
● Realiza funciones de “proxy reverso”
Protocolos específicos
FTP Proxy
Telnet Proxy
Internet
Perímetro de seguridad
Servidor Proxy
State–Full Multilayer Inspection

●
Combina los tres tipos previos (Packet filters, Circuit Level Gateways y
Application Level Gateways).
●
Usa protocolos de control de paso de contenidos a través de reglas de
validación.
●
Utiliza algoritmos de identificación de datos y protocolos
●
Guarda una tabla de estado de conexiones que monitorea el estado de
las conexiones TCP y permite el tráfico.
●
Traduce direcciones.
●
Autentica conexiones.
●
Permite conexiones UDP a través de reglas y respuestas esperadas.
●
Permite armar VPN con datos encriptados.
Ejemplos: Cisco Pix/ASA y CHECKPOINT Firewall 1
State–Full Multilayer Inspection

Implementando un Firewall: Primeros Pasos

●
La implementación del firewall debe ser el último paso en el proceso de
análisis de riesgo.
●
Analizar los requerimientos de seguridad.
●
Determinar que productos encajan mejor en nuestro esquema.
●
Entender y comunicar el alcance de la protección brindada por el
Firewall.
●
Incluir al Firewall y su gestión como parte del programa general de
seguridad.
●
Decidir si la administración será interna o si se adoptará la opción del
outsourcing.
●
Entrenar al personal.
●
Implementar

FIREWALL: Implementación
●
Revisar los valores por defecto.
●
Configuración y cambio de accesos.
●
Planificación de servicio, definición de configuraciones y reglas.
●
Resistir las Presiones Operativas:
●
Conectividad primero, seguridad después
●
La llamada: “Tenemos un gerente que está intentando acceder a
la red desde Internet...”
●
Testing de aplicaciones nuevas: “Si funciona con estas reglas,
porque no lo dejamos asi por ahora...”
●
Capacitación, actualización y habilidad del grupo de soporte.

Conclusiones
●
El mejor firewall no es un producto, es una combinación de factores.
●
Un firewall es tan bueno como las políticas que se implementen.
●
Se justifica su existencia en la reducción del impacto y/o probabilidad de
amenazas que reduzcan el riesgo.
●
Debe ser administrado pro-activamente, revisado y actualizado
periódicamente
●
Se puede implementar una combinación de firewalls, bajo el concepto
de defensa en profundidad.
●
Los firewalls ayudan a proteger los recursos, pero son parte de un plan
de seguridad general.
●
Estar actualizado con respecto a vulnerabilidades, exploits, parches y
revisiones de seguridad.

Firewalls Personales

Red
Personal Firewall

● Son dispositivos lógicos (software) que se instalan en
la propia terminal
● Actualmente se encuentran disponibles en la mayoría
de los sistemas operativos
● Permiten aplicar filtros a la información de red
correspondiente a cada interfaz y/o aplicación
● Pueden utilizarse como un complemento al firewall de
red, con el fin de prevenir ataques internos

TinyWall

Firewalls para Smartphones

● Suelen ser paquetes integrales de seguridad, conteniendo diferentes
funcionalidades que exceden el filtrado de red.
● Pueden ofrecer una exhaustiva protección contra virus, spyware, adware,
troyanos, gusanos, rootkits y otros tipos de códigos maliciosos.
● Proteger incluso entre actualizaciones de firmas, dado que cuentan con la
tecnología de Heurística Avanzada capaz de detectar el malware más sofisticado.
● Su motor mantiene a su casilla libre del spam vía SMS/MMS proveniente de
remitentes desconocidos o no deseados.
● Actualmente pueden incorporar funciones de rastreo, bloqueo y borrado remoto
de datos.
Productos
● ESET Mobile Security ● NoRoot Firewall
● Norton Smartphone Security ● LostNet NoRoot Firewall
● Airscanner Mobile Firewall ● Firewall Gold
● Kaspersky Mobile Security

Rastreo y gestión remota

Este tipo de software permite realizar operaciones de forma remota

sobre el equipo permitiendo el siguiente tipo de acciones:
● Rastreo del dispositivo

● Borrado de datos
● Bloqueo del dispositivo
● Obtención de información del medio (grabación de audio, vídeo),
etc..
Son aplicaciones particularmente útiles ante situaciones de pérdida y

robo.
Su funcionalidad suele estar limitada por la conectividad del equipo.

Posición global,
Imagen, sonido...
Propietario
•
Prey (Multiplataforma)
Instrucciones de
•
Cerberus bloqueo, borrado, etc.
•
Anti-robo & Find My Phone
•
Avast Anti-Theft
•
Android (Ajustes/ Seguridad / Administradores del dispositivo)

IDS - Sistema de
Detección de Intrusiones

●
Intrusión:
- Conjunto de acciones que intentan comprometer
la integridad, confidencialidad o disponibilidad de un
recurso (Anderson, 1980).
●
Sistema de Detección de Intrusiones:
- Elemento que detecta, identifica y responde a
actividades no autorizadas o anormales (Denning,
1987).

Infraestructura de IDS
Internet
Router
Firewall
Switch
Servers
IDS

Modelo de Funcionamiento General

●
Tres fases:
- Recolección de datos: Registros de auditoría, de sistemas, de
aplicaciones, de sistemas de archivos, de paquetes de red, etc.
- Análisis: de usos indebidos, de anomalías.
- Respuesta: activa, pasiva
Recolección Análisis Respuesta

de Datos
Reglas de
Comparador de seguridad
Generador
patrones de alarmas,
Fuentes de
Información informes y
Generador de Detector de acciones.
perfiles anomalias

Clasificaciones
Basados en máquinas
Basados en multi-máquinas
Fuentes de Basados en red
datos
Basados en Aplicación
Basados en objetivos
Sistemas Usos indebidos
Método de
de
Detección Anomalías
Detección
de Análisis
Intrusiones Tiempo real
Tiempo
Por lotes
Activa
Respuesta
Pasiva

Modelo de Funcionamiento: Análisis

●
Detección de usos indebidos
Modificar reglas
existentes
Detección de ¿Coincide
regla?
ataques Datos de Perfil de Estado de
auditoría sistema
conocidos ataque
Ej: Snort, Bro Información de
sincronización
Añadir reglas
●
Detección de anomalías Actualizar perfil
¿Desviación
Detección de estadística?
Datos de Perfil de Estado de
ataques no auditoría sistema ataque
conocidos
Ej: Imsafe,
Generar nuevos perfiles
Prelude
de forma dinámica

Modelo de funcionamiento: Respuesta
Pantalla
Respuesta pasiva:
- Generación de eventos.
- Envío de alerta (correo electrónico,
iles
mensaje a celular, mensaje a Notificar Correo
v
Mo
pager, etc.)
Registros de
eventos
Respuesta activa:
- Cierre de la sesión de usuario.
- Bloqueo de la conexión del intruso. Reconfigurar

Modelo de funcionamiento: Recolección de datos
HIDS (Sistema de Detección de Intrusiones de Maquina)
Registros de auditoría, Registros del sistema, Registros de

aplicaciones (Servidor Web, FTP, etc.), sistema de archivos.
Ejemplos: Tripwire, Prelude, Imsafe, GFI, LANguard, S.E.L.M .
NIDS (Sistema de Detección de Intrusiones de Red)

NNIDS (Sistema de Detección de Intrusiones de Nodo de Red)
Paquetes de red (TCP,UDP,IP,...), Posibilidad de utilizar

agentes (IDS Distribuido).
Ejemplos: Snort, Bro, Prelude, Suricata.

Recursos adicionales (I)

● Escáner de vulnerabilidades :
Realizan comprobaciones de seguridad o ataques contra sistemas para
encontrar fallos.
Ej: SAINT, NESSUS, CIS (Cerberus Internet Scanner), VEGA
● Honeypot (Sistema trampa), Honeynet (Red trampa)

Es un recurso que simula ser un objetivo real, el cual se espera que sea
atacado o comprometido. Los principales objetivos son el distraer a los
atacantes y obtener información sobre el ataque y el atacante.
Su valor reside en atraer al intruso a usar este recurso trampa especialmente
preparado para tal fin.
Ej: Honeyd, BackOfficer Friendly, Honeywall, Specter.
● Padded Cell (Célula de aislamiento)

Sistema en que se redirige el tráfico no deseado a una “zona aislada”.
Ej: Bait and Switch.

Recursos adicionales (II)

●
Comprobadores de integridad
Herramientas que aplican algoritmos de cifrado, como funciones
resumen (Hash) sobre archivos para detectar cambios en los mismos.
Ej: Tripwire, Hashdeep
●
IPS (Sistemas de Prevención de Intrusiones)
Resultado de la combinación de IDS + Firewall.
Identifican el curso de un ataque y lo bloquean antes de que suceda.
Ej: IntruShield, Hogwash, Radware, Storm watch. ISS, Juniper,
Tipping Point (3Com), Cisco, Suricata, etc.
●
Site para descargar los ataques característicos:
http://www.iss.net/security_center/reference/vuln/

Referencia: Función de Hash
Se define como una función o método no

reversible para generar un valor que represente
de manera casi unívoca a un dato.
0010101010101010
Información de entrada Función Información de salida

de tamaño variable De Hash de tamaño fijo y reducido

Sniffers

Sniffers

Productos para hacer Sniffing

●
Un sniffer es un programa de captura de las tramas de red.
Generalmente se usa para gestionar la red con una finalidad
docente, aunque también puede ser utilizado con fines
maliciosos.
●
Existen sniffers para Redes Ethernet (LAN) y algunos de
ellos son: Ethereal ,WinPcap, Ettercap, TCPDump,
WinDump, WinSniffer, Hunt, Darkstat, Traffic-vis, etc.
●
Para Redes Inalámbricas (wireless): Kismet, Network
Stumbler, etc.

Implementación de Sniffers en la red interna
HUB
Sniffer

Implementación de Sniffers en la red interna
Sniffer

Nuevos Dispositivos de
Seguridad

Dispositivos UTM
Son firewalls de red que manejan diferentes servicios en un
mismo equipo. Algunos de ellos son:
● Función de un firewall de inspección de paquetes
● Función de VPN (para hacer túneles o redes privadas)
● Antispam (para evitar los correos no deseados o spam)
● Antiphishing (evitar el robo de información)
● Antispyware
● Filtrado de contenidos (para el bloqueo de sitios no
permitidos mediante categorías)

● Antivirus de perímetro (evitar la infección de virus
informáticos en computadoras clientes y servidores)

● Detección/Prevención de Intrusos (IDS/IPS)

Dispositivos UTM
● Los dispositivos UTM (Unified Threat Management) son
soluciones centrales y fáciles de instalar.
● Funcionan en forma de sistemas de control de acceso a redes.
● Los proveedores de networking y seguridad (Symantec, Cisco,
Microsoft, Checkpoint y Juniper, entre otros), están desarrollando
soluciones UTM.
● Algunos UTMs examinan los paquetes desde la capa uno a la
siete (del modelo OSI), pero sólo una vez. Así se puede
implementar una solución de seguridad en tiempo real sin afectar
a la performance de la red.
● Los UTM se pueden integrar con toda la infraestructura legacy
utilizando SOA (Service Oriented Architecture) y otras
arquitecturas extensibles.

Dispositivos UTM
Usualmente los encontraremos configurados con los siguientes
modos:
Modo proxy
Hacen uso de proxies para procesar y redirigir todo el tráfico
interno. El firewall UTM hace de cliente y de servidor, y es el
intermediario indirecto de las comunicaciones desde y hacia el
internet (o otras redes).
Modo Transparente
No redirigen ningún paquete que pase por la línea, simplemente lo
procesan y son capaces de analizar en tiempo real los paquetes.
Este modo, como es de suponer, requiere de unas altas
prestaciones hardware pero es la mejor alternativa de UTM.

Dispositivos UTM

NGFW - Next Generation Firewalls
● La Nueva Generación de Firewalls se basa en la inspección profunda de

paquetes, sumada a las tecnologías para evitar intrusiones y de firewalls
tradicionales.
● El producto ideal es el que combinaría capacidades de firewall a nivel de la red

con inspección profunda de paquetes y pueda ir incorporando nuevas
características para resolver nuevas amenazas.
● Los mayores desafíos a la seguridad se originan en: administración de

configuración de la red empresarial; ejecutivos senior que no aplican políticas;
el uso de parches como política de actualización; y por último el alto
movimiento de los entornos, con su tráfico elevado y complejo en las redes.

¿Que es un Web Application Firewall o WAF?
La idea principal al desarrollar una aplicación web, es que,

sea disponible desde cualquier lugar y que todo el mundo
pueda acceder a ella. Este es el gran factor diferenciador
respecto a las aplicaciones de escritorio.
Al ser empleadas por más usuarios, son más dispuestas a
sufrir ataques, aunque la idea es construir aplicaciones
tolerantes a fallos y sin vulnerabilidades, por diferentes
razones (en las que no entraremos) no siempre pasa eso.
El WAF solo es una herramienta complementaria y no

pretende sustituir las medidas de protección que el
desarrollador tiene que llevar a cabo al programar una
aplicación.
Se trata de un dispositivo físico o lógico que analiza el

tráfico web (entre el servidor web y la WAN), los datos
recibidos por parte del usuario y protege de diferentes
ataques web como: SQL Injection, Cross Site Scripting,
Remote and Local File Inclusion, , Buffer Overflows, Cookie
Poisoning, etc. Este dispositivo, trata de proteger de los
ataques dirigidos al servidor web que los IDS/IPS no nos
pueden defender.

Servidor Web
Apache
Modulo
WAF
HTTP Aplicación
Web
Cliente Web


Beneficios de un WAF

Los Pros y Contras de los Modelos de Seguridad
Dentro de los WAF respecto al Modelo de Seguridad se

distinguen:
A) Modelo de Seguridad Positiva: Los WAF que siguen el

modelo de seguridad positiva deniegan por defecto todas las
transacciones y solamente acepta las que identifica como
seguras o válidas. Para determinar si una transacción es
segura, consulta una una serie de reglas que se definen
previamente, ya sea, por el auto-aprendizaje de la aplicación
o configuradas manualmente.

●
A simple vista, parece ser la solución idónea, pero si nuestra
aplicación está sujeta a cambios en el diseño o
funcionamiento este modelo de seguridad puede volverse
difícil de mantener. Otras ventajas de este modelo es que
no dependen de ningún tipo de actualizaciones y nos
protegen de ataques desconocidos, como desventaja,
son más propensos a detectar falsos positivos y
necesitan un proceso de aprendizaje, para saber como
funciona la aplicación.

B) Modelo de Seguridad Negativa: En este modelo de

seguridad, el WAF acepta todas las transacciones y
solamente deniega las que detecta como una posible
amenaza o un ataque. Contrastando con el anterior, no es
muy preciso y depende de actualizaciones y bases de firmas
de posibles ataques.
A pesar de las desventajas arriba citadas, los WAF que

siguen este modelo no precisan de muchos ajustes y suelen
ser fáciles de administrar.

¿Que tipo de ataques puede bloquear?
Este aspecto puede variar dependiendo del fabricante del

equipo, aunque, la mayoría detectan los ataques más
comunes.
Puede detectar un posible buffer overflow analizando las
variables que lleguen por GET o POST. Por ejemplo, si el
valor de una variable es superior a 150 caracteres, el WAF
podría detectar la transacción como maliciosa y denegarla.
Para los ataques de Cross Site Scripting y SQL Injection, el

WAF vigila que los valores pasados tanto por GET como por
POST, no contengan valores como "SELECT FROM,
UNION, CONCAT, <script >, %, etc.

¿Que tipo de ataques puede bloquear?
●
El factor negativo, es que, si nuestra aplicación utiliza
caracteres que el WAF tenga en su "lista negra", denegará
las peticiones de los usuarios, en este caso hay dos
soluciones: rediseñar el funcionamiento de la aplicación o
configurar el WAF para que ignore dichos caracteres.
Algunos WAF también monitorizan las respuestas del

servidor, por ejemplo, si en una respuesta, que el servidor
web envía al usuario se detectan cadenas que pueden ser
identificadas como cuentas bancarias, el WAF lo puede
detectar como un posible ataque y denegar la respuesta.

Proceso de Aprendizaje
Supongamos que tenemos una aplicación que muestra los productos de un catálogo
y para mostrar un producto, se realiza la siguiente petición:
GET http://sitepath.com/show_article.php?id=15
La aplicación de por si sola, creará una regla que especifique que el valor de esa
variable es numérica. Si se realiza la siguiente petición:
GET http://sitepath.com/show_article.php?id=15' or 1=1 –
El WAF detectará una anomalía y tomará las medidas necesarias, que suelen ser, la
denegación de la petición o el redireccionamiento a una página previamente
configurada, como un error 404.

¿Que riesgos implica emplear un WAF?
Si no está configurados correctamente, pueden detectar muchos

falsos positivos, por tanto, muchas transacciones denegadas y
pérdida de capital por parte de la empresa.
La mayoría necesitan adaptación y configuración ante nuevos

cambios en el funcionamiento de la aplicación.
Pueden introducir un cierto retardo en las transferencias, por tanto,

clientes insatisfechos y jefes molestos. Para atenuar este factor
negativo, se pueden implementar aceleradores SSL (es un
dispositivo hardware que se encarga de la capa de protección SSL,
quita carga al servidor web), usar webchache, comprimir los
datos HTML, CSS y JS al enviarlos al navegador.
Modos de Funcionamiento
Pueden funcionar en modo bridge, router, proxy o plugin. Disponibles

tanto como Hardware como Software.
Un ejemplo bastante conocido de WAF a nivel software es

mod_security, un plugin de Apache que se encarga de la seguridad en
las transferencias. La mayoría, por no decir todos, disponen de
funciones de registro o logs, donde almacena los sucesos ocurridos.
Una característica bastante interesante es la denegación de peticiones

provenientes de diferentes lugares geográficos, por ejemplo, es
probable que a nuestro personal de marketing no le interese recibir
visitas a la web de ventas de la compañía provenientes de Asia Oriental
y deciden denegar toda petición proveniente de ese continente.

WAF - Mod security
Es un firewall de aplicaciones web modular y embebible

distribuido bajo licencia Apache. Provee un marco
configurable para el seguimiento y detección de ataques a
aplicaciones; su popularidad ha hecho que otras
organizaciones como la OWASP (Open Web Application
Security Project) desarrollen reglas para este producto.
Historia
● Creado en el año 2002 por Ivan Ristic
● En Septiembre del 2006 Breach Security compra Thinking
Stone y Mod Security
● En Noviembre del 2006 se presenta la versión 2.0
● En Junio del 2012 TrustWave adquiere Breach Security

Apache Request Cycle - ModSecurity
Fases de Procesamiento -
ModSecurity 2.X
● Request headers
(REQUEST_HEADERS)
● Request body
(REQUEST_BODY)
● Response headers
(RESPONSE_HEADERS)
● Response body
(RESPONSE_BODY)
● Logging (LOGGING)

Productos WAF
● Trustwave SpiderLabs - ModSecurity ● Barracuda Networks - Application Firewall

● Qualys - Ironbee ● BinarySec - Application Firewall
● AQTronix - WebKnight ● Cisco - ACE Web Application Firewall
● Art of defence - Hyperguard ● Citrix - Application Firewall
● Trustwave - WebDefend Web Application ● eEye Digital Security - SecureIIS
Firewall ● F5 - Application Security Manager
● Deny All - rWeb ● Forum Systems - Xwall, Sentry
● Fortify Software - Defender ● mWEbscurity - webApp.secure
● Imperva - SecureSphere™ ● Privacyware - ThreatSentry IIS Web Applicati
● Bayshore Networks - Application Protecti on Firewall
on Platform ● Protegrity - Defiance TMS - Web Application F
● Port80 Software - ServerDefender VP irewall
● Armorlogic - Profense ● Xtradyne - Application Firewalls

Impacto en la organización

Impacto en la organización
Factores a considerar en el impacto de la seguridad en la organización y sus

procesos:
● Cambios en lo que respecta a los riesgos para la seguridad a través del tiempo
● Políticas de seguridad corporativa
● Evaluación y tratamiento del riesgo
● Políticas de control de accesos
● Gestión de la continuidad del negocio
● Procedimientos de cumplimiento de políticas
● Manejo de las comunicaciones y de las operaciones
● Administración de los incidentes en Seguridad de la Información
● Protocolos para la gestión de los activos
● Adquisición, desarrollo y mantenimiento de los sistemas de información
● Seguridad física y ambiental
● Organización de la Seguridad de la Información
● Integración de la Seguridad de la Información
http://www.bligoo.com/media/users/1/50369/files/cisco_security_index_may08.pdf
Plan de concientización del personal
Posters de concientización y otras ayudas:

http://stopthinkconnect.org/tips-and-advice/spanish-tips-and-advice/
http://nativeintelligence.com/posters/posters.asp

Plan de concientización del personal

Bibliografía recomendada
NIST Special Publication SP 800-41

Guideline on Firewalls and Firewall Policy
January 2002
http://csrc.nist.gov/publications/nistpubs/800-41/sp800-41.pdf
NIST Special Publication AP 800-94

Guideline on Intrusion Detection and Prevention (IDP) Systems
August 2006
http://csrc.nist.gov/publications/drafts/Draft-SP800-94.pdf
NIST Interagency Report IR-7007

An overview of issues in Testing Intrusion Detection Systems
July 2003
http://csrc.nist.gov/publications/nistir/nistir-7007.pdf

Bibliografía recomendada
NIST Special Publication 800-31

Intrusion Detection Systems
November 2001
NIST Special Publication 800-54

Border Gateway Protocol Security
September 2006
Lista de puertos IANA

Service Name and Transport Protocol Port Number Registry
http://www.iana.org/assignments/service-names-port-numbers/service-
names-port-numbers.xhtml

U1 Controles Logicos - PDF Small

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

U1 Controles Logicos - PDF Small

Enviado por

Direitos autorais:

Formatos disponíveis

UNIVERSIDAD NACIONAL DE LA MATANZA

Departamento de Ingeniería e Investigaciones Tecnológicas

UNIVERSIDAD NACIONAL DE LA MATANZA

Seguridad y Calidad en Aplicaciones Web

Unidad N° 1: Introducción a la Seguridad

Profesor Titular: Walter R. Ureta

Seguridad y Calidad en Aplicaciones Web

Seguridad y Calidad en Aplicaciones Web

Consiste en la aplicación de barreras y

Seguridad y Calidad en Aplicaciones Web

Seguridad y Calidad en Aplicaciones Web

● Fines de los ´80: Routers que separan redes

Seguridad y Calidad en Aplicaciones Web

Red Interna - Confiable

Seguridad y Calidad en Aplicaciones Web

FIREWALL: Descripción básica

Seguridad y Calidad en Aplicaciones Web

● Appliances o dispositivos de hardware (cajas negras)

● Su funcionamiento básico se basa en 2 tipos de reglas:

Seguridad y Calidad en Aplicaciones Web

Seguridad y Calidad en Aplicaciones Web

FIREWALL: Otras características

● Filtrado de Contenidos / Anti Spam

● Punto de conexión de VPNs

● VPN red a red

● Alta Disponibilidad (AD)

● Balanceo de carga de Firewalls (BCFW)

Seguridad y Calidad en Aplicaciones Web

Arquitectura de Red y su Seguridad

La arquitectura de Red ha evolucionado en los últimos

Por lo tanto es IMPERATIVO asegurar la red

Seguridad y Calidad en Aplicaciones Web

Evolución de la Arquitectura de Seguridad

● Un Mundo de Islas (Pre-Internet)

● Confianza General (en los comienzos de Internet)

Empresa A Internet Empresa B

Seguridad y Calidad en Aplicaciones Web

Evolución de la Arquitectura de Seguridad

● Presencia en Internet (DMZ´s)

Evolución de la Arquitectura de Seguridad

● Comunidades Virtuales (Extranets y VPN de B2B)

Seguridad y Calidad en Aplicaciones Web

Evolución de la Arquitectura de Seguridad

Seguridad y Calidad en Aplicaciones Web

Evolución de la Arquitectura de Seguridad

Seguridad y Calidad en Aplicaciones Web

- IP únicamente identifica un Host: permite filtrar tráfico.

- IP es jerárquico y permite que en una red un firewall

Seguridad y Calidad en Aplicaciones Web

Seguridad y Calidad en Aplicaciones Web

Seguridad y Calidad en Aplicaciones Web

Conceptos básicos de TCP

Conceptos básicos de TCP

Seguridad y Calidad en Aplicaciones Web

Conceptos básicos de UDP

- UDP corre sobre IP: provee menos información que TCP

Algunos firewalls compensan esto aplicando timers y respuestas programadas.

Seguridad y Calidad en Aplicaciones Web

Conceptos básicos de UDP

Seguridad y Calidad en Aplicaciones Web

Seguridad y Calidad en Aplicaciones Web

Seguridad y Calidad en Aplicaciones Web

• RFC 1631 (1994). Resuelve el problema de la falta de IPs