Instalar+y+configurar+un+firewall+de+aplicaciones+web
Short Description
Descripción: instalar mod security...
Description
Asignatura Seguridad en Aplicaciones Online y Bases de Datos
Datos del alumno
Fecha
Apellidos: Nombre:
Actividades Trabajo: Instalación y pruebas del firewall de aplicaciones web open source: MODSECURITY Modsecurity es un WAF instalable embebido en HOST o como reverse proxy:
Figura 5. Modesecurity as reverse proxy http://adolfomaltez.wordpress.com/2011/05/29/apachereverse-proxy-modsecurity/
ModSecurity puede instalarse de forma embebida protegiendo un único servidor Apache o como proxy inverso protegiendo varios servidores web. La instalación de ModSecurity es la misma para estos dos tipos de despliegue, únicamente variará la configuración de Apache que en el caso de querer proteger varios servidores se deberá instalar en una máquina dedicada el servidor Apache con el módulo ModSecurity, configurando el servidor Apache para que actúe como proxy inverso. ModSecurity realiza un filtrado de los datos de entrada y salida al servidor web bloqueando todo el tráfico que considere malicioso según unas reglas definidas. Cada una de las peticiones realizadas al servidor web son inspeccionadas por ModSecurity para comprobar que no llegue al servidor web ningún contenido no autorizado. En este ejercicio se va a instalar, configurar y probar ModSecurity protegiendo la aplicación web Mutillidae.
1. Instalación del entorno. TEMA 2 – Actividades
Asignatura
Datos del alumno
Seguridad en Aplicaciones Online y Bases de Datos
Apellidos: Nombre:
MAQUINA ANFITRIONA 192.168.2.1
-
Fecha
ATAQUES: SQLI XSS LFI REDIRECT (loic, hoic) Descargar DDOS e instalar
Oracle
M. VIRTUAL lamp 192.168.2.3 M. VIRTUAL (mutillidae) fwmodsecurity 192.168.2.3 (mutillidae) VM
VirtualBox
desde:
http://www.oracle.com/technetwork/es/serverstorage/virtualbox/downloads/index.html -
Descargar Máquina Virtual lamp que contiene: Linux Ubuntu server + Apache + Mysql + Php (LAMP) y aplicación web php MUTILLIDAE desde: https://drive.google.com/open?id=0Bz7Tp_tMynwpTVJSZWxYS3RXOHc
-
La máquina virtual tiene dos dispositivos de red ya configurados: o o
-
Eth0: NAT Eth1: 192.168.2.3
Configurar el adaptador de red virtual de la maquina local anfitriona (adaptador de red ORACLE VM VIRTTUALBOX) con la dirección 192.168.2.1, para tener conectividad con el servidor Ubuntu de la MV (VIRTUALBOX ARCHIVO PREFERENCIAS RED):
TEMA 2 – Actividades
Asignatura Seguridad en Aplicaciones Online y Bases de Datos
Datos del alumno Apellidos: Nombre:
-
-
-
TEMA 2 – Actividades
Fecha
Asignatura Seguridad en Aplicaciones Online y Bases de Datos
-
Datos del alumno
Fecha
Apellidos: Nombre:
Se recomienda realizar una copia instantánea (snapshot) o clonar la MV lamp a otra que nombraréis fwmodsecurity. De esta última forma se tendrán dos máquinas: una sin modsecurity y otra con modsecurity instalado. Las pruebas se realizarán contra las dos máquinas por separado o en la misma máquina (opción sanpshot) activando-desactivando el firewall modsecurity.
-
Instalar el firewall de aplicaciones web modsecurity+modevasive en la MV fwmodsecurity. NOTA: el procedimiento que se muestra a continuación utiliza las versiones de MODSECURITY (2.7.7) y de CORE RULE SET (2.2.9) correspondientes a la fecha en la que se realiza la configuración de la actividad. Es posible que si en el momento de realizar la actividad, han aparecido nuevas versiones de MODSECURITY y de CORE RULE SET, el resultado de ejecutar este procedimiento puede diferir del obtenido en el momento de configurar la actividad. Contraseña de root: root
sudo apt-get update sudo apt-get install libapache2-mod-security2 libapache2-modsecurity libapache2-mod-evasive
Para habilitar las reglas mod_security, copiar el fichero de configuración mod_security, editarlo y establecer el parámetro ‘SecRuleEngine’ a On: sudo cp /etc/modsecurity/modsecurity.conf{-recommended,} sudo nano /etc/modsecurity/modsecurity.conf SecRuleEngine On SecRequestBodyLimit 32768000 SecRequestBodyInMemoryLimit 32768000 SecResponseBodyAccess Of Las reglas modsecurity están en: /usr/share/modsecurity-crs/base_rules /usr/share/modsecurity-crs/optional_rules /usr/share/modsecurity-crs/experimental_rules
Descargar OWASP modsecurity Core Rule Set:
TEMA 2 – Actividades
Asignatura Seguridad en Aplicaciones Online y Bases de Datos
Datos del alumno
Fecha
Apellidos: Nombre:
sudo wget https://github.com/SpiderLabs/owasp-modsecurity-crs/archive/2.2.9.tar.gz gzip -d 2.2.9.tar.gz tar .xvf 2.2.9.tar sudo mv /usr/share/modsecurity-crs /usr/share/modsecurity-crs.bak sudo mv owasp-modsecurity-crs-2.2.9 /usr/share/modsecurity-crs sudo mv /usr/share/modsecurity-crs/modsecurity_crs_10_setup.conf.example /usr/share/modsecurity-crs/modsecurity_crs_10_setup.conf sudo ln -s /usr/share/modsecurity-crs/base_rules/*.conf /usr/share/modsecurity-crs/activated_rules/
Comentar líneas (carácter # al comienzo de línea) 20, 27, 29 del fichero
modsecurity_crs_35_bad_robots.conf (esto ocurre porque la versión de reglas es posterior a la de modsecurity, se podría instalar una versión de reglas más antigua o comentar las directivas siguientes que dan problemas. Este problema puede variar en función de las versiones de MODSECURITY y de REGLAS en el momento de efectuar la instalación): #SecRule REQUEST_HEADERS:User-Agent "@pmFromFile modsecurity_35_scanners.data" \ #SecRule REQUEST_HEADERS:User-Agent "@pmFromFile modsecurity_35_bad_robots.data" \ #SecRule REQUEST_HEADERS:User-Agent “(?i:?:c … \
Comentar línea: buscar la cadena dentro del fichero: “modsecurity_40_generic_attacks.conf” y comentar esa línea sudo nano /usr/share/modsecurity-crs/activated_rules/modsecurity_crs_40_generic_attacks.conf #SecRule REQUEST_COOKIES|!REQUEST_COOKIES:/__utm/|!REQUEST_COOKIES:/_pk_ref/| REQUEST_COOKIES_NAMES|ARGS_NAMES|ARGS|XML:/* "@pmFromFile modsecurity_40_generic_attacks.data" \
Comentar línea: buscar la cadena dentro del fichero: “modsecurity_50_outbound.conf” y comentar esa línea sudo nano /usr/share/modsecurity-crs/activated_rules/modsecurity_crs_50_outbound.conf #SecRule RESPONSE_BODY "!@pmFromFile modsecurity_50_outbound.data" \
Editar /etc/apache2/mods-enabled/security2.conf: sudo nano /etc/apache2/mods-enabled/security2.conf
TEMA 2 – Actividades
Asignatura
Datos del alumno
Seguridad en Aplicaciones Online y Bases de Datos
Apellidos: Nombre:
Añadir al final de security2.conf: IncludeOptional /etc/modsecurity/*.conf IncludeOptional "/usr/share/modsecurity-crs/*.conf" IncludeOptional "/usr/share/modsecurity-crs/activated_rules/*.conf"
Configurar módulo mod_evasive: Sudo nano /etc/apache2/mods-enabled/mod_evasive.conf
DOSHashTableSize 3097 DOSPageCount 10 DOSSiteCount 30 DOSPageInterval 1 DOSSiteInterval 3 DOSBlockingPeriod 3600 DOSLogDir /var/log/apache2/mod_evasive.log
Crear fichero de log para mod_evasive: touch /var/log/apache2/mod_evasive.log sudo chown www-data:www-data /var/log/apache2/mod_evasive.log
Cargar módulos en Apache: sudo a2enmod headers sudo a2enmod evasive sudo a2enmod security2
Reinicio de Apache2 web server: sudo service apache2 restart
Comprobar si están actives: sudo apachectl -M | grep security2 security2_module (shared)
sudo apachectl -M | grep evasive
TEMA 2 – Actividades
Fecha
Asignatura Seguridad en Aplicaciones Online y Bases de Datos
Datos del alumno
Fecha
Apellidos: Nombre:
evasive20_module (shared)
-
Instalar las herramientas HOIC, LOIC en la máquina anfitriona para realizar ataques de denegación de servicio distribuidos DDOS contra la aplicación web MUTILLIDAE situada en la MV: HOIC: http://sourceforge.net/projects/highorbitioncannon/?source=typ_redirect LOIC: http://sourceforge.net/projects/loic/
PD: los antivirus dan alerta cuando se descargan, no pasa nada, se obvia la alerta. Mas información sobre ataques y herramientas DDOS en: ATAQUES DDOS: http://resources.infosecinstitute.com/dangerous-ddos-distributed-denial-ofservice-on-the-rise/ HERRAMIENTAS DDOS: http://resources.infosecinstitute.com/dos-attacks-free-dos-attaking-tools 2. Pruebas de funcionamiento de modsecurity: Con el objetivo de comparar los efectos conseguidos mediante ataques a la aplicación mutillidae, hay que llevar a cabo las siguientes pruebas en cada una de las dos máquinas por separado (lamp, fwmodsecurity). Debido a que tienen la misma dirección IP, hay que realizar las pruebas con una sola máquina virtual arrancada: Se arranca una máquina, se pasan todas las pruebas, se monitorizan y se recogen resultados y posteriormente, se realiza la misma operación con la otra máquina. También se puede utilizar solo la máquina fwmodsecurity habilitando y deshabilitando el firewall mediante el parámetro SecRuleEngine On/Off en /etc/modsecurity/modsecurity.conf Comprobar: 1. Acceder al servidor Apache desde el navegador de la máquina local mediante la dirección IP
de la máquina Ubuntu server donde está instalado el
servidor Apache http://192.168.2.3/ . Si está correctamente instalado MODSECURITY prohibirá el acceso, ya que existe una regla que impide acceder mediante dirección IP. Solo se permite por defecto acceso mediante TEMA 2 – Actividades
Asignatura Seguridad en Aplicaciones Online y Bases de Datos
Datos del alumno
Fecha
Apellidos: Nombre:
nombres de dominio con DNS configurado. Para permitir el acceso mediante dirección IP el alumno deberá deshabilitar la regla que impide tal acceso y comprobar posteriormente que ya se permite acceder mediante dirección IP. 2.
Después de deshabilitar la regla anterior, comprobar el acceso a http://192.168.2.3/../../../etc/passwd
mediante
la
herramienta
ncat
(https://nmap.org/ncat/ , o también disponible en Kali linux) para evitar que el navegador pueda suprimir los caracteres ../. Se debería prohibir el acceso. Localizar el mensaje de LOG donde se especifica la regla que impide el acceso y mostrarlo en la memoria. Ataques: 1.
Explotar
al
menos
5
vulnerabilidades
OWASP
2013-2010-2007
manualmente o con ayuda de una herramienta como ZAP o similar (DAST): SQLI, XSS, OPEN REDIRECT, LFI… 2. Mediante las herramientas HOIC, LOIC realizar ataques de denegación de servicio distribuidos DDOS desde la máquina anfitriona a la aplicación mutillidae instalada en la máquinas virtuales. Para realizar los ataques de DDOS y que tengan éxito, es conveniente dirigirlos a aquellas partes de la aplicación que sean más vulnerables a ataques DDOS por consumir mas recursos al ser requeridas por el usuario, por ello, se debe investigar un poco la aplicación para configurar las URL,s más vulnerables y dirigir los ataques hacia ellas. Además hay que estudiar como parametrizar los ataques con cada herramienta.
3. Mediante distintos métodos, aplicados en todas las capas de la aplicación, monitorizar el comportamiento de la aplicación y servicios en las pruebas con y sin firewall: o Comando TOP de Linux. o Log de la aplicación de mutillidae: http://192.168.2.3/mutillidae/index.php?page=show-log.php o Log de S.O. Linux /var/log/… o Log de apache/modsecurity/modevasive /var/log/apache2… o Phpmyadmin: http://192.168.2.3/mutillidae/index.php? page=phpmyadmin.php mysql estado actual.
TEMA 2 – Actividades
Asignatura Seguridad en Aplicaciones Online y Bases de Datos
Datos del alumno
Fecha
Apellidos: Nombre:
o Aplicación wireshark instalada en la máquina anfitrión para grabar estadísticas de trafico durante los ataques. Para uso de wireshark consultar: https://www.incibe.es/CERT/guias_estudios/guias/guia_wireshark o … Entregable: Se debe confeccionar una memoria explicando lo realizado, resaltando el análisis comparativo de los ataques realizados contra cada una de las máquinas, en la memoria se referenciaran pantallas, logs, capturas, etc que irán en un ANEXO al final, por tanto se debe aportar en ANEXO aparte, copias de pantallas con resultado de comandos, logs, capturas de wireshark, navegador, herramientas DDOS, etc. que demuestren la realización correcta del ejercicio. Extensión máxima de la memoria (sin contar anexos) 15 páginas, fuente Georgia 11 e interlineado 1,5. Debe contener: índice, apartados con contenido principal, conclusiones, referencias, anexo. Entregar un fichero en formato zip o rar, con la memoria + anexo.
INDICE Actividades .....................................................................................................................1 SecRuleEngine On.............................................................................................................4 Las reglas modsecurity están en:......................................................................4 Descargar OWASP modsecurity Core Rule Set:
...........................................................5
#SecRule REQUEST_HEADERS:User-Agent “(?i:?:c … \..............................................5 Comprobar si están actives:.......................................................................................6 ATAQUES DDOS:..............................................................................................................7 HERRAMIENTAS DDOS:.................................................................................................7 1.
Configuración de máquinas virtuales:.....................................................................11 1.1.
Proceso importación de máquina virtual:........................................................11
1.2.
Proceso de clonado de máquinas virtuales:.....................................................12
1.3.
Configuración de adaptador de red virtual de la máquina anfitriona:............14
1.4.
Instalación del WAF (Web Aplication Firewall) Modesecurity + Modevasive
en la máquina virtual fwmodsecurity:.........................................................................17 1.5.
Habilitación de reglas de mod_security..........................................................19
1.6.
Instalación de OWASP modsecurity Core Rule Set:.......................................22
TEMA 2 – Actividades
Asignatura Seguridad en Aplicaciones Online y Bases de Datos
2.
3.
Datos del alumno
Fecha
Apellidos: Nombre:
Instalación de las herramientas HOIC y LOIC en la máquina anfitriona:..............29 2.1.
Instalación de HOIC (High Orbit Ion Cannon):.............................................30
2.2.
Instalación de LOIC (Low Orbit Ion Cannon):...............................................30
Anexo con resultados comparativos de usar lamp (sin fwmodsecurity) o
fwmodsecurity.................................................................................................................31
TEMA 2 – Actividades
Asignatura Seguridad en Aplicaciones Online y Bases de Datos
Datos del alumno
Fecha
Apellidos: Nombre:
1. Configuración de máquinas virtuales: 1.1.
Proceso importación de máquina virtual:
Tras haber instalado Virtual Box (en mi caso no ha sido necesario por tenerlo ya instalado previamente), y después de haber descargado la máquina virtual LAMP, procedemos a importar dicha máquina virtual. Para ello, pichamos la pestaña titulada “Máquina”, y seleccionamos la opción titulada “Agregar”, tal y como puede apreciarse en la imagen siguiente:
Nos mostrará una ventana como la siguiente, donde buscaremos la ubicación del archivo a importar, lo seleccionamos, y pulsamos el botón titulado “Abrir”.
Una vez realizado esto, nos aparecerá agregada la máquina virtual, como puede apreciarse en la siguiente imagen: TEMA 2 – Actividades
Asignatura Seguridad en Aplicaciones Online y Bases de Datos
1.2.
Datos del alumno
Fecha
Apellidos: Nombre:
Proceso de clonado de máquinas virtuales:
Tras haber instalado Virtual Box (en mi caso no ha sido necesario por tenerlo ya instalado previamente), y después de haber descargado la máquina virtual LAMP, procedemos a clonarla con el nombre de FWMODSECURITY. Para ello, seleccionamos la máquina virtual a clonar (en nuestro caso “lamp”) tal y como puede apreciarse en la siguiente imagen:
Al pulsar el botón derecho del ratón, con la máquina virtual seleccionada previamente, nos aparecerá una ventana emergente como la siguiente, donde seleccionaremos la opción titulada “Clonar…”:
A continuación aparecerá una ventana como la siguiente, donde indicaremos el nombre que tendrá la nueva máquina virtual (en este caso la llamaremos “fwmodsecurity”), y pulsaremos el botón titulado “Next”:
TEMA 2 – Actividades
Asignatura Seguridad en Aplicaciones Online y Bases de Datos
Datos del alumno
Fecha
Apellidos: Nombre:
Seguidamente, nos aparecerá una ventana como la siguiente, donde deberemos especificar el tipo de clonación (dejamos la opción que tiene seleccionada por defecto, que indica “Clonación completa”), y pulsamos en botón “Clonar”.
Una vez que empiece la clonación, se mostrará una ventana como la siguiente en la que nos informa, mediante una barra de progreso, de en qué estado se encuentra el proceso de clonación:
TEMA 2 – Actividades
Asignatura Seguridad en Aplicaciones Online y Bases de Datos
Datos del alumno
Fecha
Apellidos: Nombre:
Una vez terminado, nos aparecerá la nueva máquina virtual en la lista de máquinas virtuales, tal y como puede apreciarse en la imagen siguiente:
1.3.
Configuración de adaptador de red virtual de la máquina anfitriona:
Una vez que hemos clonado la máquina virtual, lo siguiente que haremos será configurar el adaptador de red virtual de la maquina local anfitriona (adaptador de red ORACLE VM VIRTTUALBOX) con la dirección 192.168.2.1, para tener conectividad con el servidor Ubuntu de la MV. Para ello, dentro del programa Virtual Box, desplegamos el menú titulado “Archivo”, y seleccionamos la opción titulada “Preferencias…”.
Nos aparecerá una ventana como la siguiente, donde deberemos seleccionar la opción titulada “Red”, para a continuación seleccionar la pestaña titulada “Redes sólo-anfitrión”: TEMA 2 – Actividades
Asignatura Seguridad en Aplicaciones Online y Bases de Datos
Datos del alumno Apellidos: Nombre:
TEMA 2 – Actividades
Fecha
Asignatura Seguridad en Aplicaciones Online y Bases de Datos
Datos del alumno
Fecha
Apellidos: Nombre:
A continuación seleccionamos la red titulada “VirtualBox Host-Only Ethernet Adapter”, y pulsamos el botón de editar (que hemos resaltado con recuadro rojo).
Aparecerá una ventana como la siguiente, en la que seleccionaremos la pestaña titulada “Adaptador”, e introduciremos en los campos “dirección IPv4” y “Máscara de red” los valores “192.168.2.1” y “255.255.255.0” respectivamente.
Seguidamente, seleccionaremos la pestaña titulada “Servidor DHCP”, e introduciremos en los campos “Dirección del servidor”, “Máscara del servidor”, “Límite inferior de direcciones” y “Límite superior de direcciones” los valores “192.168.2.2”, “255.255.255.0”, “192.168.2.110” y “192.168.2.200” respectivamente, y pulsamos el botón titulado “Aceptar” para guardar los cambios..
Una vez introducidos dichos datos, pulsamos el botón titulado “Aceptar” para guardar los cambios realizados en las Preferencias de Red:
TEMA 2 – Actividades
Asignatura Seguridad en Aplicaciones Online y Bases de Datos
1.4.
Datos del alumno
Fecha
Apellidos: Nombre:
Instalación del WAF (Web Aplication Firewall) Modesecurity + Modevasive en la máquina virtual fwmodsecurity:
Para poder realizar la instalación del WAF, en primer lugar deberemos seleccionar la máquina virtual “fwmodsecurity”, y pulsar el botón titulado “Iniciar” (representado con una flecha verde que apunta a la derecha), tal y como puede apreciarse en la siguiente imagen:
A continuación, nos abrirá una consola de Linux (distribución Ubuntu 14.04.03 LTS), en la que nos pedirá que introduzcamos los datos de acceso, tal y como puede apreciarse en la siguiente imagen:
TEMA 2 – Actividades
Asignatura Seguridad en Aplicaciones Online y Bases de Datos
Datos del alumno
Fecha
Apellidos: Nombre:
Tras introducir por usuario “root”, y por contraseña “root”, Linux nos permitirá el acceso, como puede apreciarse en la pantalla siguiente:
Antes de instalar el WAF, deberemos ejecutar la instrucción “sudo apt-get update”, que actualizará el sistema, tal y como puede apreciarse en la pantalla siguiente:
A continuación, instalamos el WAF mediante el comando “sudo apt-get install libapache2-modsecurity2 libapache2-modsecurity libapache2-mod-evasive”, obteniendo el siguiente resultado:
TEMA 2 – Actividades
Asignatura Seguridad en Aplicaciones Online y Bases de Datos
Datos del alumno
Fecha
Apellidos: Nombre:
Como puede apreciarse en la pantalla anterior, nos pide confirmación para instalar el WAF. Pulsamos la opción s, y se ejecuta el proceso de instalación, tal y como puede apreciarse en la pantalla siguiente:
1.5.
Habilitación de reglas de mod_security
Ejecutamos las instrucciones “sudo cp /etc/modsecurity/modsecurity.conf {-recommended,}”, y “sudo nano /etc/modsecurity/modsecurity.conf”, tal y como puede apreciarse en la pantalla siguiente:
TEMA 2 – Actividades
Asignatura Seguridad en Aplicaciones Online y Bases de Datos
Datos del alumno
Fecha
Apellidos: Nombre:
Al introducir las instrucciones anteriores, nos aparecerá un editor de texto, en el que podremos configuraremos las reglas del WAF introduciendo las líneas “SecRuleEngine On”, “SecRequestBodyLimit 32768000”, “SecRequestBodyInMemoryLimit 32768000” y “SecResponseBodyAccess Off”.
Pulsando la secuencia de teclas “CTRL+O”, nos pide confirmación para guardar los cambios, tal y como se puede apreciar en la ventana siguiente:
Tras confirmar los cambios, vemos que nos informa que el fichero se ha actualizado con el texto “220 líneas escritas”, tal y como puede apreciarse en la siguiente pantalla:
TEMA 2 – Actividades
Asignatura Seguridad en Aplicaciones Online y Bases de Datos
Datos del alumno
Fecha
Apellidos: Nombre:
Pulsando la secuencia de teclas “CTRL+X”, salimos del editor de archivos, tras haberlo modificado y haber almacenado dichos cambios, como puede apreciarse en la pantalla siguiente:
TEMA 2 – Actividades
Asignatura Seguridad en Aplicaciones Online y Bases de Datos
1.6.
Datos del alumno
Fecha
Apellidos: Nombre:
Instalación de OWASP modsecurity Core Rule Set:
Ejecutamos la instrucción “sudo wget https://github.com/SpiderLabs/owaspmodsecurity-crs/archive/2.2.9.tar.gz gzip -d 2.2.9.tar.gz tar .xvf 2.2.9.tar , tal y como puede apreciarse en la ventana siguiente:
Seguidamente, hacemos copia de seguridad del archivo “/usr/share/modsecurity-crs” mediante el comando “sudo mv /usr/share/modsecurity-crs /usr/share/modsecuritycrs.bak”, y reemplazamos el archivo “/usr/share/modsecurity-crs” con el archivo “owasp-modsecurity-crs” mediante el comando “sudo mv owasp-modsecurity-crs /usr/share/modsecurity-crs”, tal y como puede apreciarse en la pantalla siguiente:
A continuación establecemos enlaces entre los archivos “.conf” de la carpeta “/usr/share/modsecurity-crs/base_rules” con los de la carpeta “/usr/share/modsecuritycrs/activated_rules/”, tal y como puede apreciarse en la siguiente pantalla:
TEMA 2 – Actividades
Asignatura Seguridad en Aplicaciones Online y Bases de Datos
Datos del alumno
Fecha
Apellidos: Nombre:
Accedemos al directorio “/usr/share/modsecurity-crs/base_rules/” mediante el comando “cd /usr/share/modsecurity-crs/base_rules/”, tal y como puede apreciarse en la pantalla siguiente:
Editamos el archivo “modsecurity_crs_35_bad_robots.conf” mediante el comando “nano modsecurity-crs_35_bad_robots.conf”, tal y como puede apreciarse en la pantalla siguiente:
Comentamos las líneas que empiezan con “SecRule REQUEST_HEADERS:UserAgent”, precediendo a dichas líneas con el carácter “#”, tal y como puede apreciarse en la siguiente pantalla:
Pulsando la secuencia de teclas “CTRL+O”, nos pide confirmación para guardar los cambios, tal y como se puede apreciar en la ventana siguiente:
TEMA 2 – Actividades
Asignatura Seguridad en Aplicaciones Online y Bases de Datos
Datos del alumno
Fecha
Apellidos: Nombre:
Tras confirmar los cambios, vemos que nos informa que el fichero se ha actualizado con el texto “30 líneas escritas”, tal y como puede apreciarse en la siguiente pantalla:
Pulsando la secuencia de teclas “CTRL+X”, salimos del editor de archivos, tras haberlo modificado y haber almacenado dichos cambios, como puede apreciarse en la pantalla siguiente:
TEMA 2 – Actividades
Asignatura Seguridad en Aplicaciones Online y Bases de Datos
Datos del alumno
Fecha
Apellidos: Nombre:
Accedemos al directorio “/usr/share/modsecurity-crs/activated_rules/” mediante el comando “cd /usr/share/modsecurity-crs/activated_rules/”, tal y como puede apreciarse en la pantalla siguiente:
Editamos el archivo “modsecurity_40_generic_attacks.conf” mediante el comando “nano modsecurity_40_generic_attacks.conf”, tal y como puede apreciarse en la pantalla siguiente:
Comentamos las líneas que empiezan con “SecRule REQUEST_COOKIES|! REQUEST_COOKIES”, precediendo a dichas líneas con el carácter “#”, tal y como puede apreciarse en la siguiente pantalla:
Pulsando la secuencia de teclas “CTRL+O”, nos pide confirmación para guardar los cambios, tal y como se puede apreciar en la ventana siguiente:
Tras confirmar los cambios, vemos que nos informa que el fichero se ha actualizado con el texto “238 líneas escritas”, tal y como puede apreciarse en la siguiente pantalla:
TEMA 2 – Actividades
Asignatura Seguridad en Aplicaciones Online y Bases de Datos
Datos del alumno
Fecha
Apellidos: Nombre:
Pulsando la secuencia de teclas “CTRL+X”, salimos del editor de archivos, tras haberlo modificado y haber almacenado dichos cambios, como puede apreciarse en la pantalla siguiente:
Editamos el archivo “modsecurity_50_outboud.conf” mediante el comando “nano modsecurity_50_outboud.conf”, comentamos la línea ‘SecRule RESPONSE_BODY ! @pmFromFile modsecurity_50_outbound.data (precediéndola del carácter #), salvamos los cambios y salimos del editor (Sólo he puesto la captura de pantalla de la modificación, ya que el resto de pantallas son similares a las mencionadas anteriormente):
Accedemos al directorio “/etc/apache2/mods-enabled/” mediante el comando “cd /etc/apache2/mods-enabled/”, y editamos el archivo “security2.conf” mediante el comando “nano security2.conf”, tal y como puede apreciarse en la pantalla siguiente:
TEMA 2 – Actividades
Asignatura Seguridad en Aplicaciones Online y Bases de Datos
Datos del alumno
Fecha
Apellidos: Nombre:
Añadimos líneas al final del archivo, tal y como puede apreciarse en la siguiente pantalla (las líneas que hemos insertado, son las que se encuentran enmarcadas en recuadro de color rojo), salvamos los cambios y salimos del editor (Sólo he puesto la captura de pantalla de la modificación, ya que el resto de pantallas son similares a las mencionadas anteriormente):
Y editamos el archivo “mod-evasive.conf” mediante el comando “nano modevasive.conf””, tal y como puede apreciarse en la pantalla siguiente:
Añadimos líneas al final del archivo, tal y como puede apreciarse en la siguiente pantalla (las líneas que hemos insertado, son las que se encuentran enmarcadas en recuadro de color rojo), salvamos los cambios y salimos del editor (Sólo he puesto la captura de pantalla de la modificación, ya que el resto de pantallas son similares a las mencionadas anteriormente):
TEMA 2 – Actividades
Asignatura Seguridad en Aplicaciones Online y Bases de Datos
Datos del alumno
Fecha
Apellidos: Nombre:
Como en el enunciado de la práctica no queda claro si el archivo se llama “modevasive.conf” o “mod_evasive.conf”, y no existe dicho ningún archivo con ese nombre, lo he creado con el nombre “mod-evasive.conf” y luego lo he creado como “mod_evasive.conf” a partir del archivo anterior mediante el comando de copia de archivos “cp”, tal y como puede apreciarse en la pantalla siguiente:
A continuación, damos permisos de lectura, escritura y ejecución para todos los usuarios, a los archivos “mod-evasive.conf” y “mod_evasive.conf”, mediante la instrucción “chmod 777 mod?evasive.conf”, tal y como puede apreciarse en la pantalla siguiente:
Enlazamos los archivos “mod-evasive.conf” y “mod_evasive.conf” creados anteriormente en la carpeta “/etc/apache2/mods-enabled” con la carpeta “/etc/apache2/mods-available” mediante el comando “ln”, tal y como puede apreciarse en la pantalla siguiente:
Accedemos al directorio “/var/log/apache2/” mediante el comando “cd /var/log/apache2/”, y creamos el archivo “mod_evasive.log” mediante los comandos “touch” y “chown”, tal y como puede apreciarse en la pantalla siguiente:
Reiniciamos el servicio apache2 mediante el comando “service apache2 restart”, y cargamos los módulos de apache “headers”, “evasive” y “security2” mediante el comando “sudo a2enmod”, tal y como puede apreciarse en la pantalla siguiente:
TEMA 2 – Actividades
Asignatura Seguridad en Aplicaciones Online y Bases de Datos
Datos del alumno
Fecha
Apellidos: Nombre:
Reiniciamos el servicio apache2 mediante el comando “sudo service apache2 restart”, y comprobamos que los módulos “headers”, “evasive” y “security” se han cargado correctamente, mediante el comando “sudo apachectl –M”, tal y como puede apreciarse en la pantalla siguiente (Si están bien cargados, deberemos observar que aparecen “headers_module (shared)”, “evasive20_module (shared), y security2_module (shared)):
2. Instalación de las herramientas HOIC y LOIC en la máquina anfitriona:
TEMA 2 – Actividades
Asignatura Seguridad en Aplicaciones Online y Bases de Datos
2.1.
Datos del alumno
Fecha
Apellidos: Nombre:
Instalación de HOIC (High Orbit Ion Cannon):
Descargamos la herramienta HOIC, que nos bajará el archivo “HOIC.zip”, lo extraemos, y ha estará completada la instalación y, por tanto, lista para su uso, tal y como puede apreciarse en la imagen siguiente:
2.2.
Instalación de LOIC (Low Orbit Ion Cannon):
Al intentar descargar la herramienta LOIC, el antivirus bloque impide su descarga porque la identifica como una amenaza para el sistema, pues, según él, está infectada con el virus “Evo-gen [Susp]”, tal y como puede apreciarse en las siguientes imágenes:
TEMA 2 – Actividades
Asignatura Seguridad en Aplicaciones Online y Bases de Datos
Datos del alumno Apellidos: Nombre:
3. Anexo con resultados comparativos de usar lamp (sin fwmodsecurity) o fwmodsecurity sudo
TEMA 2 – Actividades
Fecha
View more...
Comments