Universidad de Granada

Seguridad Informática - Recopilación de información relevante sobre seguridad informática para el personal de la Universidad de Granada

Inicio >> lineas de defensa

Protege tus activos web con WAF de código abierto (Open Source WAF)

por

Fuente: Geekflare.

Miles de sitios web son pirateados cada día debido a una configuración incorrecta o un código vulnerable. El servidor de seguridad de aplicaciones web (WAF) es una de las mejores maneras de proteger su sitio web de las amenazas en línea. Si su sitio web está disponible en Internet, entonces puede usar herramientas en línea para escanear un sitio web en busca de una vulnerabilidad para tener una idea de qué tan seguro es su sitio. No se preocupe si se trata de un sitio web de intranet, puede utilizar el código abierto del escáner web Nikto. El WAF comercial puede ser costoso y si está buscando la solución gratuita para proteger su sitio web con WAF, el siguiente Firewall de aplicaciones web de código abierto puede ser útil.

Lista de WAF Open Source

  • 1. ModSecurity
  • 2. IronBee
  • 3. NAXSI
  • 4. WebKnight
  • 5. Shadow Daemon
1. ModSecurity

ModSecurity de TrustWave es uno de los cortafuegos de aplicaciones web más populares y es compatible con Apache HTTP, Microsoft IIS y Nginx.

Las reglas gratuitas de ModSecurity serán útiles si está buscando la siguiente protección.

    Secuencias de comandos entre sitios
    Troyano
    Fuga de información
    inyección SQL
    Ataques web comunes
    Actividad maliciosa

ModSecurity no tiene una interfaz gráfica y si está buscando una, puede considerar el uso de WAF-FLE. Te permite almacenar, buscar y ver el evento en una consola.

2. IronBee

IronBee es un marco de seguridad para construir su propio WAF. IronBee aún no está disponible en el paquete binario, por lo que debe compilar desde la fuente y probarlo en el siguiente sistema operativo.

    CentOS
    Fedora
    Ubuntu
    OS X

Es un marco de seguridad web altamente portátil y muy liviano.

3. NAXSI

NAXSI es Nginx Anti-XSS y SQL Injection. Entonces, como puede adivinar, esto es solo para el servidor web Nginx y principalmente para protegerlo de los ataques de inyección de SQL y los scripts entre sitios.

La solicitud GET y PUT del filtro NAXSI solo y la configuración predeterminada actuarán como un firewall DROP por defecto, por lo que debe agregar la regla ACEPTAR para que funcione correctamente.

4. WebKnight

WebKnight WAF es para Microsoft IIS. Es un filtro ISAPI que protege su servidor web al bloquear las solicitudes incorrectas. WebKnight es bueno para asegurarse de lo siguiente.

    Desbordamiento de búfer
    Directorio transversal
    Codificación de caracteres
    inyección SQL
    Bloqueando robots malos
    Hotlinking
    Fuerza bruta
    Y mucho más…

En una configuración predeterminada, todas las solicitudes bloqueadas se registran y puede personalizar según sus necesidades. WebKnight 3.0 tiene una interfaz web de administración donde puede personalizar las reglas y realizar tareas de administración, incluidas las estadísticas.
5. Shadow Daemon

Shadow Daemon detecta, registra y previene ataques web al filtrar solicitudes de parámetros maliciosos. Viene con una interfaz propia donde puede realizar la administración y administrar esta WAF. Es compatible con PHP, Perl y Python framework de lenguaje.

Puede detectar los siguientes ataques.

    inyección SQL
    Inyección XML
    Inyección de código
    Inyección de comando
    XSS
    Acceso de puerta trasera
    Inclusión local / remota de archivos

El código abierto es gratuito, pero no obtiene soporte empresarial, lo que significa que necesita confiar en su experiencia y soporte comunitario. Por lo tanto, si está buscando el WAF comercial, puede consultar el siguiente.

    CloudFlare (basado en la nube)
    Incapsula (basada en la nube)
    F5 ASM
    Reglas comerciales de TrustWave ModSecurity
    SUCURI (basado en la nube)
    Herramientas Akeeba Admin (para Joomla)

Artículo completo en Geekflare

Mas información en Microsoft o CloudFlare si no deseamos código abierto.

Como abrir o cerrar un puerto en el firewall de windows 10

por

Artítulo obtenido de REDES@ZONE

El cortafuegos, o firewall, de un sistema operativo es una de las aplicaciones de seguridad más esenciales que podemos tener en un ordenador. Esta aplicación se encarga de controlar el acceso a Internet de todas las aplicaciones del equipo y decide si la aplicación puede conectarse o no, y a través de qué puertos puede comunicarse a través de Internet. Si queremos usar aplicaciones de descarga (como torrent) sin problemas, o jugar online, una de las configuraciones esenciales es configurar correctamente nuestro firewall, y esto es lo que os vamos a enseñar en este artículo.

Muchas de las suites de seguridad profesionales que podemos encontrar en Internet, como ESET, Kaspersky o Bitdefender, entre otras muchas, cuentan con un completo firewall integrado que trabaja a la vez con el antivirus para proteger al usuario. Sin embargo, Windows también cuenta con su propio Firewall desde Windows XP, una herramienta de seguridad esencial que nos permite elegir cómo queremos que las aplicaciones se conecten a Internet. Este cortafuegos ha ganado, además, una gran popularidad desde la llegada de Windows 10, ya que funciona a la perfección junto con Windows Defender, el nuevo antivirus gratuito de Microsoft incluido de base en Windows 10 y que en poco tiempo se ha convertido en uno de los mejores (por no decir el mejor) en el que podemos confiar.

Normalmente el firewall de Windows no suele darnos problemas y suele saber bien qué aplicaciones permitir y cuáles bloquear. Sin embargo, si queremos que nuestra red funcione a la perfección y estar lo más seguros posible, podemos configurar su comportamiento, sobre todo para elegir los puertos a través de los cuales queremos que las aplicaciones se conecten a Internet, impidiendo que puedan comunicarse a través de los demás.

 

 

A continuación, os vamos a explicar paso a paso cómo configurar el Firewall de Windows 10 para que una aplicación de descargas (como Transmission o uTorrent), o un juego online (como Call of Duty o Fortnite) puedan conectarse a Internet a través de los puertos usados.

Antes de continuar, os recomendamos utilizar el siguiente test de puertos abiertos para comprobar que los puertos están abiertos en nuestro router, ya que si están cerrados en él de poco sirve abrirlos en el firewall de Windows. De tenerlos cerrados, antes de entrar en la configuración del cortafuegos en PC tendremos que empezar por abrirlos en nuestro propio router.

Cómo abrir los puertos en el firewall de Windows 10 (o de cualquier versión anterior)

Para abrir los puertos en este firewall, lo primero que haremos será entrar en la configuración principal del mismo. Para ello escribiremos “firewall de windows” en Cortana en nuestro Windows 10 (o llegamos a él desde el Panel de Control si usamos una versión anterior de Windows) y podremos ver la ventana de resumen de estado de este cortafuegos.

Pulsaremos sobre la opción “configuración avanzada” que aparece en el menú de la izquierda para llegar a las opciones de seguridad avanzadas.

Firewall de Windows - Tutorial abrir puertos 1

En la nueva ventana de configuración avanzada de seguridad podremos ver tres columnas. En la columna de la izquierda veremos un resumen con los tipos de reglas que podemos tener, en la parte central las reglas ya creadas y en la parte derecha las acciones que podemos hacer con estas reglas.

Firewall de Windows - Tutorial abrir puertos 2

Por un lado, tenemos las reglas de salida, es decir, las reglas que indican cómo pueden conectarse las aplicaciones al exterior, y por otro lado las reglas de entrada, reglas que definen de dónde pueden recibir conexiones de fuera las aplicaciones.

Lo ideal para tener la máxima seguridad sería crear dos reglas, una de entrada y otra de salida, bloqueando todo el tráfico que no esté definido en dichas reglas. Para ello, empezaremos creando una “regla de entrada”. Seleccionamos esta categoría en la parte izquierda y crearemos una nueva regla.

En la primera ventana que nos aparecerá seleccionaremos la opción “Personalizada” para poder crear una regla concreta por aplicación y puerto.

Firewall de Windows - Tutorial abrir puertos 3

Continuamos en este asistente y lo siguiente que tendremos que hacer será elegir la ruta del programa al que queremos definir el acceso a Internet. En nuestro caso, por ejemplo, vamos a usar un juego de Steam.

Firewall de Windows - Tutorial abrir puertos 4

En el siguiente paso elegiremos los puertos a través de los cuales la aplicación seleccionada puede recibir tráfico de Internet. Para ello elegiremos el tipo de puerto (los más comunes serán TCP y UDP), así como el puerto remoto y el puerto local al que queremos dar acceso. Salvo en configuraciones concretas o si tenemos reenvíos de puertos en nuestro router, los puertos locales y remotos serán los mismos.

Firewall de Windows - Tutorial abrir puertos 5

En el siguiente paso vamos a poder elegir las direcciones IP, locales y remotas, a las que se podrá conectar la aplicación. Si sabemos la IP del servidor podemos introducirla aquí para que solo dicha IP pueda conectarse con la aplicación. Esto es ya bastante concreto, por lo que, salvo en casos concretos, podemos dejar que cualquier IP pueda enviar tráfico para no tener problemas.

Firewall de Windows - Tutorial abrir puertos 6

En el siguiente punto vamos a elegir si queremos que dicha regla sea para permitir el tráfico o para denegar ese tráfico concreto, permitiendo lo demás. En nuestro caso es para permitir dicho tráfico, por lo que elegimos dicha opción y continuamos.

Firewall de Windows - Tutorial abrir puertos 7

Los dos pasos siguientes son muy simples. Lo único que debemos hacer es especificar si queremos que la regla se aplique en redes públicas, privadas o dentro de un dominio (dejaremos marcadas las 3 casillas) y daremos un nombre para identificar la red.

Ya tendremos la regla de entrada (el tráfico de fuera que puede llegar a la aplicación) creada. Como la aplicación como tal también debe conectarse con el exterior, en el siguiente paso vamos a crear una regla de salida. Seleccionamos el apartado de “reglas de salida” y seguiremos los mismos pasos que en el punto anterior, pero teniendo en cuenta los puertos y las IPs de salida, es decir, puertos a través de los cuales la aplicación puede salir a Internet.

Una vez creadas y guardadas las dos reglas ya podemos empezar a usar nuestra aplicación o juego para ver cómo puede conectarse a Internet sin problemas en función de las reglas que hayamos creado.

En caso de experimentar algún tipo de problema en la conexión de la aplicación (o de otras) y sospechar que puede ser por un problema de compatibilidad con las reglas que acabamos de crear, desde la lista de reglas del Firewall de Windows podemos deshabilitar la regla, desde las opciones que aparecen al pulsar sobre ella con el botón derecho, para comprobar si realmente el problema es de ella, en cuyo caso habría que afinar, seguramente, el tema de puertos.

Otras formas más sencillas de crear reglas en el Firewall de Windows

Aunque funciona bien, el Firewall de Windows no es precisamente uno de los programas más intuitivos y sencillos del sistema operativo, es una herramienta de seguridad bastante compleja que incluso puede dar miedo a algunos usuarios sin muchos conocimientos.

Por suerte, algunos desarrolladores han creado diferentes aplicaciones que nos permiten configurar fácilmente el propio cortafuegos de Windows, aplicaciones mucho más intuitivas desde las que crear y administrar las reglas que queramos.

Una de estas aplicaciones es Windows Firewall Control (comprada hace unos meses por Malwarebytes) o Simplewall, una aplicación de código abierto que nos permite configurar reglas en el cortafuegos de Windows de la forma más rápida y sencilla posible.

¿Sueles crear a menudo reglas en el Firewall de Windows para controlar las conexiones de las aplicaciones?

Consejos seguridad para evitar vulnerabilidades habituales – Desarrollo/servicios WEB

por

 

 

 

 

Hoy os dejo una serie de consejos a tener en cuenta en el desarrollo y en servicios web en general para evitar las vulnerabilidades mas habituales. Es un poco mas técnico que las publicaciones anteriores. Espero que sea de utilidad.

  • Asegurar que en la generación de cookies se activan las opciones HttpOnly y secure.

CVE-2012-0053

www.owasp.org/index.php/HttpOnly

https://www.owasp.org/index.php/SecureFlag

  • Devolver con el contenido de la página las opciones X-Frame en la cabecera HTTP. Esto previene que el contenido de la página sea mostrado por otro sitio utilizando las etiquetas HTML frame o iframe.

La mayoría de los navegadores modernos soportan las opciones X-Frame en la cabecera. Se debe asegurar que estén establecidas en todas las páginas que devuelva el sitio (si se espera que la página se enmarque desde páginas del mismo servidor se puede utilizar la opción SAMEORIGIN, o si nunca debe ser enmarcada desde ninguna página debería utilizarse DENY. La opción ALLOW-FROM permite especificar que sitios pueden poner la página en un frame)

CWE:693

https://es.wikipedia.org/wiki/Clickjacking

http://blogs.msdn.com/b/ieinternals/archive/2010/03/30/combating-clickjacking-with-x-frame-options.aspx

https://www.owasp.org/index.php/Clickjacking_Defense_Cheat_Sheet

https://blog.veracode.com/2014/03/guidelines-for-setting-security-headers/

  • Asegurarse de que el filtro XSS del navegador está activado, configurando la opción X-XSS-Protection a 1. Esta opción esta soportada actualmente en los navegadores Internet Explorer, Chrome y Safari.

https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet

https://blog.veracode.com/2014/03/guidelines-for-setting-security-headers/

  • Utilizar explícitamente TLS y quitar el soporte de SSL v2 o v3

https://wiki.mozilla.org/Security/Server_Side_TLS

http://en.wikipedia.org/wiki/Transport_Layer_Security#SSL_3.0

http://en.wikipedia.org/wiki/HTTP_Secure

http://support.microsoft.com/kb/187498

  • Especificar un conjunto de caracteres bien definido, como UTF-8, en la cabecera o el cuerpo de la respuesta.

https://www.owasp.org/index.php/OWASP_Top_Ten_Cheat_Sheet

 

Como evitar ataques de fuerza bruta en linux

por

Hoy empiezo una serie de publicaciones referentes a las lineas de defensea en los sistemas. Medidas que podemos y debemos adoptar para hacer nuestros equipos mas seguros. Apareceran todas bajo la etiqueta “lineas de defensa”.

En esta primera publicación vamos a ver como los ataques de fuerza bruta producidos en los sistemas con servidores SSH.

¿Qué es un ataque de fuerza bruta?

Los ataques de fuerza bruta funcionan probando cada combinación posible que el usuario podría usar como contraseña y luego la prueba para ver si es la contraseña correcta. Para ver si la contraseña es correcta o no, verifica si hay errores en la respuesta del servidor.

A medida que aumenta la longitud de la contraseña, la cantidad de tiempo utilizada para encontrar la contraseña correcta también aumenta rápidamente. Eso significa que las contraseñas cortas son bastante fáciles de descifrar.

¿Cómo protegerse de este ataque?

Los métodos más recomendados que debe usar para protegerse de este ataque son:

  • Ejecute SSH en un puerto no estándar. (Aparte de 22). Editar sshd_config cambiar Port 22 por Port 9122, por ejemplo. NO OLVIDAR REINICIAR SERVICIO.
  • Bloquear el inicio de sesión SSH para el usuario root. Modificar la variable de PermitRootLogin yes a PermitRootLogin no en el archivo de configuración de SSH. Este está ubicado normalmente en sshd_config
    • Reiniciar el servicio para aplicar los cambios.
      Para CentOS:
      # /etc/init.d/sshd restart 
      Para Debian:
      # /etc/init.d/ssh restart

Entonces, ¿qué aprendimos de todo esto? Nunca use una contraseña débil, en serio nunca use contraseñas débiles. Lea Autenticación de dos factores, protegiendo sus cuentas de los hackers

Y, por otro lado, hemos aprendido cómo puede usar diferentes herramientas para probar y explotar este problema.