Firewall para aplicaciones web

(ModSecurity)
Con el fin de poder detectar e impedir ataques contra aplicaciones web, el firewall para
aplicaciones web (ModSecurity) examina todas las peticiones realizadas a su servidor web
as como las respuestas del servidor de acuerdo con su conjunto de reglas. Si la
comprobacin es correcta, la peticin HTTP se transfiere al sitio web para recuperar el
contenido. De lo contrario, se llevan a cabo las acciones predefinidas.

ModSecurity se soporta tanto en Plesk para Linux como en Plesk para Windows. Este acta
como un mdulo de servidor web (Apache o IIS).

Nota: para poder utilizar el firewall para aplicaciones web (ModSecurity), los
administradores que hayan actualizado su instalacin desde Plesk 11.5 debern obtener una
nueva llave de licencia de Plesk Onyx a travs de Plesk o de su proveedor habitual.

Activacin de ModSecurity

Para activar el firewall para aplicaciones web:

1. Vaya a Herramientas y configuracin > Firewall para aplicaciones web

(ModSecurity) (en el grupo Seguridad ).

Si no puede ver este enlace, instale el componente ModSecurity en Herramientas y

configuracin > Actualizaciones > Adicin/eliminacin de componentes >
Hosting web.
2. Establezca el modo del firewall para aplicaciones web a Activado o Slo deteccin.
Cada peticin HTTP entrante y la respuesta relacionada ser verificada mediante un
conjunto de reglas. Si la comprobacin es correcta, la peticin HTTP se transferir
al sitio web para recuperar el contenido. De lo contrario, el evento ser registrado.
En el modo Slo deteccin, no se realizar ninguna otra accin. En el modo
Activado, se proporcionar la respuesta HTTP junto con un cdigo de error.

Nota: podr establecer los modos del firewall para aplicaciones web tanto a nivel de
servidor como de dominio. No obstante, el modo establecido a nivel de dominio no
podr ser superior al establecido para el servidor. Por ejemplo, si el firewall para
 aplicaciones web est en modo Slo deteccin a nivel del servidor, no podr pasarlo
a modo Activado para los dominios. nicamente se mostrarn los modos
Desactivado y Slo deteccin.

3. Seleccione el grupo de reglas que sern verificadas por el firewall para aplicaciones
web por cada peticin HTTP entrante o cargue un conjunto de reglas personalizado.
Puede escoger cualquiera de los siguientes grupos de reglas:
o Atomic Basic ModSecurity. Versin inicial gratuita de las reglas Atomic
ModSecurity rules, que se ofrecen como paquete con Plesk. Esta contiene
importantes prestaciones de seguridad y correcciones de fallos publicadas
mensualmente. Si desea conocer las reglas incluidas en este conjunto de
reglas, consulte Conjuntos de reglas de Atomic ModSecurity.
o ModSecurity Core Rule Set (CRS) de OWASP. El CRS proporciona una
proteccin genrica frente a vulnerabilidades desconocidas que suelen
encontrarse en las aplicaciones web. Este conjunto de reglas se incluye de
forma gratuita. Es conocido por ser un conjunto de reglas muy restrictivo
que requiere una configuracin adicional en el caso de usarse en entornos de
produccin. Cuando se selecciona este grupo de reglas, WordPress no
funciona de forma completa y la comparticin de archivos y el webmail no
funcionan. En su lugar, puede utilizar los conjuntos de reglas de Atomic o
Comodo.
o Conjunto de reglas de Atomic ModSecurity. La versin ms reciente de
las reglas, que incluye todas las mejoras en trminos de rendimiento,
prestaciones de seguridad nuevas y correcciones de fallos publicados
diariamente por Atomicorp GotRoot. Se trata de un conjunto de reglas
comercial totalmente soportado y recomendado para su uso en produccin.
Plesk ofrece la prestacin adicional Security Core Complete by
Atomicorp, que le permite activar esta regla en Plesk. Puede obtener esta
prestacin de la siguiente forma:
Compre el producto Security Core Complete By Atomicorp en la
tienda online de Plesk.
Si ya dispone de una licencia de Plesk, puede aadir esta prestacin
mediante el interfaz de usuario de Plesk Partner Central o a travs de
la API para partners. Si desea ms informacin al respecto, consulte
la gua avanzada del administrador.
Si dispone de una licencia de Plesk pero no tiene acceso a Plesk
Partner Central, pngase en contacto con su proveedor.

Si ya dispone de una cuenta en el sitio de Atomic, indique sus credenciales

para as activar este conjunto de reglas.

Nota: si obtiene esta prestacin adicional, en el interfaz de usuario de Plesk

podr ver Atomic Professional ModSecurity en vez de Atomic Basic
ModSecurity, lo que significa todo el conjunto de reglas de Atomic
ModSecurity.
 Si desea conocer las reglas incluidas en este conjunto de reglas, consulte
Conjuntos de reglas de Atomic ModSecurity.

Importante (en el caso de Linux): si selecciona el grupo de reglas de

Atomic, lleve a cabo el siguiente proceso para asegurarse de que
ModSecurity funcione correctamente. Ejecute el comando aum -u en el
servidor. El paquete modsecurity de Plesk ser sustituido por el del
repositorio de Atomic. A continuacin, ejecute los siguientes comandos:

plesk sbin modsecurity_ctl --disable

plesk sbin modsecurity_ctl --disable
service httpd restart
o Conjunto de reglas de Comodo ModSecurity (Linux). Se trata de un
sistema de control del trfico muy fcil de usar basado en reglas
personalizables que protege sus aplicaciones basadas en web frente a los
cada vez ms frecuentes ataques de hackers mediante el uso de una base de
datos de reglas que se actualiza de forma constante. Este conjunto de reglas
se incluye de forma gratuita. Para activarlo en Plesk, regstrese en el sitio de
Comodo e indique su nombre de usuario y contrasea para este sitio.
o Personalizado. Puede cargar un conjunto de reglas personalizado para el
firewall para aplicaciones web, como por ejemplo un paquete de prueba de
Atomic o Comodo. Se soportan los siguientes formatos: zip, tar.gz, tgz,
tar.bz2, conf.
4. Para actualizar automticamente el conjunto de reglas seleccionado, seleccione la
casilla Actualizar conjunto de reglas y seleccione el periodo de actualizacin.
5. Seleccione un conjunto de parmetros predefinido o especifique sus directivas
personalizadas para ModSecurity. Puede seleccionar los siguientes conjuntos de
parmetros predefinidos:
o Rpido, cuando el URI de la peticin HTTP y las partes de los encabezados
son analizados. Este modo es el que consume menos CPU.
o Equilibrado, cuando el URI de la peticin HTTP, los encabezados y los
datos POST de la peticin son analizados. Este modo ofrece un buen
equilibrio entre calidad y rendimiento.
o Exhaustivo, cuando se analizan todos los encabezados de la peticin HTTP,
los datos POST de esta y el contenido del cuerpo de la respuesta HTTP. Este
modo es el que consume ms recursos de CPU, si bien es el modo
recomendado en el caso de sitios que requieran medidas de seguridad
especiales. Un ejemplo de este tipo de sitios seran las tiendas online que
aceptan pagos mediante tarjeta de crdito.

Nota: para obtener un rendimiento ptimo, el firewall para aplicaciones web

requiere un servidor DNS local con el almacenamiento de solicitudes en
cach habilitado. De lo contrario, puede experimentar lentitud a la hora de
cargar sus sitios web cuando el firewall para aplicaciones web est activado.
Archivos de registro (Linux)

En Linux, ModSecurity utiliza dos ubicaciones para los registros:

El registro de auditora de ModSecurity (ubicado en

/var/log/httpd/modsec_audit.log) es muy detallado y lo utiliza el servidor
Plesk ntegro. Cuando ModSecurity detecta que se ha producido un evento, genera
una entrada en el archivo de registro de auditora. Para examinarlo, vaya
a Herramientas y configuracin > Firewall para aplicaciones web
(ModSecurity) > haga clic en el enlace Archivo comprimido de registros en la
seccin Registro de auditora de ModSecurity. Aqu podr ver los archivos de
registro de ModSecurity y las fechas en las que se modificaron; tambin podr
descargar archivos de registro.
 El registro de errores de Apache para un dominio (presente en
/var/www/vhosts/DOMAIN.TLD/logs/error_log) slo contiene informacin
resumida acerca de los errores del sitio web. Puede ver el registro de errores de un
sitio web especfico en el panel del cliente, accediendo a Sitios web y dominios >
<nombre_del_dominio> > Registros> seleccione slo Errores de Apache y
Errores de nginx en lugar de Todos los registros, a la derecha.

Archivos de registro (Windows)

En Windows, los registros de auditora de ModSecurity son especficos para cada dominio
y se encuentran en %plesk_dir%\ModSecurity\vhosts\<domain's GUID>\logs, donde
%plesk_dir% es el directorio de instalacin predeterminado de Plesk.

Desactivacin de reglas

Un sitio web puede dejar de funcionar tal y como era de esperar una vez cambiado el modo
del firewall para aplicaciones web de Desactivado a Activado o Slo deteccin. En el
registro de errores del sitio web encontrar este tipo de cdigos de error como 403, 404 o
500 y estos desaparecern una vez haya vuelto a cambiar el modo del firewall para
aplicaciones web a Slo deteccin o Desactivado. En este caso, examine el registro de
auditora de ModSecurity para ver lo que est sucediendo. Puede desactivar reglas de
seguridad que sean demasiado restrictivas o ajustar el sitio web.

Para descubrir el motivo por el que la peticin HTTP no pudo completarse para un sitio
web:

1. Examine el archivo del registro de auditora para el sitio web.

En Plesk para Linux puede usar el IU de Plesk para ver el registro haciendo clic
en Herramientas y configuracin > Firewall para aplicaciones web
(ModSecurity) y haciendo clic en el enlace Archivo de registro de ModSecurity
para descargar el registro de auditora y abrirlo en una nueva ventana del navegador.

2. Use la combinacin de teclas de bsqueda (Ctrl+F en la mayora de navegadores

web) para encontrar los eventos del sitio web (el nombre de dominio) que han
causado los problemas. Por ejemplo, your_domain.tld. El navegador destacar
entradas como HOST: your_domain.tld. En las tres lneas anteriores a la entrada
destacada, busque una cadena de texto como --eece5138-B--. Los ocho smbolos
que aparecen entre guiones (en nuestro ejemplo, eece5138) constituyen la ID del
evento desencadenado por la peticin HTTP.
3. Busque otras entradas con el mismo ID de evento. Busque cualquier entrada con la
letra H detrs del ID del evento (en nuestro ejemplo, eece5138-H--). Esta entrada
contiene el ID y la descripcin de la regla de seguridad desencadenada durante la
comprobacin de la peticin HTTP. El ID de la regla de seguridad es un nmero
 entero entrecomillado que empieza por 3 y que muestra el id de prefijo entre
corchetes. Por ejemplo, [id "340003"].
4. En el evento, busque la ID de la regla de seguridad usando la subcadena [id "3.
Este ID puede usarse cuando desactive reglas.

Para desactivar una regla:

1. Vaya a Herramientas y configuracin > Firewall para aplicaciones web

(ModSecurity).
2. En la seccin Desactivar reglas de seguridad, seleccione la regla por su ID (como
por ejemplo 340003), por una etiqueta (como por ejemplo CVE-2011-4898) o por
una expresin regular (como por ejemplo XSS) y haga clic en ACEPTAR.

Notas para nginx y ModSecurity (Linux)

En Linux, ModSecurity es un mdulo para Apache. Como consecuencia, este slo verifica
peticiones HTTP que lleguen a Apache. Apache puede complementarse con otro servidor
web - nginx. Si activa la opcin Procesar PHP mediante nginx del servidor web nginx
para el contenido dinmico de su sitio web (en la configuracin de Apache y nginx para un
sitio web), el firewall para aplicaciones web no podr verificar las peticiones HTTP, ya que
estas nunca llegarn a Apache. En el caso del contenido esttico, si se selecciona la opcin
Servir archivos estticos directamente mediante nginx, las peticiones HTTP no llegarn
a Apache, por lo que estas no sern verificadas por ModSecurity.

Notas sobre la actualizacin (Linux)

Estos consejos le sern tiles si tiene ModSecurity instalado en el servidor antes de

actualizar a Plesk Onyx:

Plesk instalar su propio paquete de ModSecurity. No obstante, durante la

comprobacin previa a la actualizacin, Plesk Installer le preguntar si est de
acuerdo con que se instale el paquete de ModSecurity sobre la instalacin ya
existente.
Se conservar la configuracin existente de ModSecurity. Sin embargo, dado que
existen multitud de distribuciones y configuraciones de ModSecurity, resulta difcil
predecir qu conflictos pueden surgir entre las configuraciones nuevas y las
antiguas. Para evitar problemas, guarde la configuracin existente y desinstale
ModSecurity antes de actualizar a Plesk Onyx (o antes de instalar el paquete
ModSecurity de Plesk).