Asignatura Datos del alumno Fecha

Seguridad en Apellidos:
Aplicaciones Online
y Bases de Datos Nombre:

Actividades

Prueba 2
Modsecurity es un WAF instalable embebido en HOST o como reverse proxy:

Modesecurity as reverse proxy.

Fuente: http://adolfomaltez.wordpress.com/2011/05/29/apache-reverse-proxy-modsecurity/

ModSecurity puede instalarse de forma embebida protegiendo un nico servidor

Apache o como proxy inverso protegiendo varios servidores web. La instalacin de
ModSecurity es la misma para estos dos tipos de despliegue, nicamente variar la
configuracin de Apache que en el caso de querer proteger varios servidores se deber
instalar en una mquina dedicada el servidor

Apache con el mdulo ModSecurity, configurando el servidor Apache para que acte
como proxy inverso. ModSecurity realiza un filtrado de los datos de entrada y salida al
servidor web bloqueando todo el trfico que considere malicioso segn unas reglas
definidas. Cada una de las peticiones realizadas al servidor web son inspeccionadas por
ModSecurity para comprobar que no llegue al servidor web ningn contenido no
autorizado. En este ejercicio se va a instalar, configurar y probar ModSecurity
protegiendo la aplicacin web Mutillidae.

TEMA 2 Actividades Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Seguridad en Apellidos:
Aplicaciones Online
y Bases de Datos Nombre:

1. Instalacin del entorno

Descarga e instala Oracle VM VirtualBox desde:

http://www.oracle.com/technetwork/es/server-storage/virtualbox/downloads/index.html

Descarga Mquina Virtual lamp que contiene: Linux Ubuntu server + Apache + Mysql
+ Php (LAMP) y aplicacin web php MUTILLIDAE desde:
https://drive.google.com/open?id=0Bz7Tp_tMynwpTVJSZWxYS3RXOHc

La mquina virtual tiene dos dispositivos de red ya configurados:

Eth0: NAT
Eth1: 192.168.2.3

Configurar el adaptador de red virtual de la maquina local anfitriona (adaptador de

red ORACLE VM VIRTTUALBOX) con la direccin 192.168.2.1, para tener
conectividad con el servidor Ubuntu de la MV (VIRTUALBOX > ARCHIVO >
PREFERENCIAS > RED):

TEMA 2 Actividades Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Seguridad en Apellidos:
Aplicaciones Online
y Bases de Datos Nombre:

TEMA 2 Actividades Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Seguridad en Apellidos:
Aplicaciones Online
y Bases de Datos Nombre:

Se recomienda realizar una copia instantnea (snapshot) o clonar la MV lamp a otra

que nombraris fwmodsecurity. De esta ltima forma se tendrn dos mquinas: una
sin modsecurity y otra con modsecurity instalado. Las pruebas se realizarn contra
las dos mquinas por separado o en la misma mquina (opcin sanpshot) activando-
desactivando el firewall modsecurity.

Instala el firewall de aplicaciones web modsecurity+modevasive en la MV

fwmodsecurity.

Nota: El procedimiento que se muestra a continuacin utiliza las versiones de

MODSECURITY (2.7.7) y de CORE RULE SET (2.2.9) correspondientes a la fecha en
la que se realiza la configuracin de la actividad. Es posible que si en el momento de
realizar la actividad, han aparecido nuevas versiones de MODSECURITY y de CORE
RULE SET, el resultado de ejecutar este procedimiento puede diferir del obtenido en
el momento de configurar la actividad.

Contrasea de root: root

sudo apt-get update

sudo apt-get install libapache2-mod-security2 libapache2-modsecurity
libapache2-mod-evasive

Para habilitar las reglas mod_security, copier el fichero de configuracin

mod_security, editarlo y establecer el parmetro SecRuleEngine a On:

sudo cp /etc/modsecurity/modsecurity.conf{-recommended,}
sudo nano /etc/modsecurity/modsecurity.conf
SecRuleEngine On

SecRequestBodyLimit 32768000
SecRequestBodyInMemoryLimit 32768000

SecResponseBodyAccess Off

Las reglas modsecurity estn en:

/usr/share/modsecurity-crs/base_rules
/usr/share/modsecurity-crs/optional_rules
/usr/share/modsecurity-crs/experimental_rules

Descargar OWASP modsecurity Core Rule Set:

TEMA 2 Actividades Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Seguridad en Apellidos:
Aplicaciones Online
y Bases de Datos Nombre:

sudo git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git

sudo mv /usr/share/modsecurity-crs /usr/share/modsecurity-crs.bak
sudo mv owasp-modsecurity-crs /usr/share/modsecurity-crs
sudo mv /usr/share/modsecurity-crs/modsecurity_crs_10_setup.conf.example
/usr/share/modsecurity-crs/modsecurity_crs_10_setup.conf
sudo ln -s /usr/share/modsecurity-crs/base_rules/*.conf
/usr/share/modsecurity-crs/activated_rules/

Comentar lneas (carcter # al comienzo de lnea) 20, 27, 29 del fichero

modsecurity_crs_35_bad_robots.conf (esto ocurre porque la versin de reglas es
posterior a la de modsecurity, se podra instalar una versin de reglas ms antigua o
comentar las directivas siguientes que dan problemas. Este problema puede variar en
funcin de las versiones de MODSECURITY y de REGLAS en el momento de efectuar
la instalacin):

#SecRule REQUEST_HEADERS:User-Agent "@pmFromFile modsecurity_35_scanners.data" \

#SecRule REQUEST_HEADERS:User-Agent "@pmFromFile modsecurity_35_bad_robots.data" \
#SecRule REQUEST_HEADERS:User-Agent (?i:?:c \

Comentar lnea: buscar la cadena dentro del fichero:

modsecurity_40_generic_attacks.conf y comentar esa lnea:

sudo nano /usr/share/modsecurity-

crs/activated_rules/modsecurity_crs_40_generic_attacks.conf
#SecRule REQUEST_COOKIES|!REQUEST_COOKIES:/__utm/|!REQUEST_COOKIES:/_pk_ref/|
REQUEST_COOKIES_NAMES|ARGS_NAMES|ARGS|XML:/* "@pmFromFile
modsecurity_40_generic_attacks.data" \

Comentar lnea: buscar la cadena dentro del fichero:

modsecurity_50_outbound.conf y comentar esa lnea:
sudo nano /usr/share/modsecurity-
crs/activated_rules/modsecurity_crs_50_outbound.conf
#SecRule RESPONSE_BODY "!@pmFromFile modsecurity_50_outbound.data" \

Editar /etc/apache2/mods-enabled/security2.conf:

sudo nano /etc/apache2/mods-enabled/security2.conf

TEMA 2 Actividades Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Seguridad en Apellidos:
Aplicaciones Online
y Bases de Datos Nombre:

Aadir al final de security2.conf:

<ifmodule security2_module>
IncludeOptional /etc/modsecurity/*.conf
IncludeOptional "/usr/share/modsecurity-crs/*.conf"
IncludeOptional "/usr/share/modsecurity-crs/activated_rules/*.conf"
</IfModule>

Configurar mdulo mod_evasive:

Sudo nano /etc/apache2/mod-enabled/mod-evasive.conf

<ifmodule mod_evasive20.c>
DOSHashTableSize 3097
DOSPageCount 10
DOSSiteCount 30
DOSPageInterval 1
DOSSiteInterval 3
DOSBlockingPeriod 3600
DOSLogDir /var/log/apache2/mod_evasive.log
</ifmodule>

Crear fichero de log para mod_evasive:

touch /var/log/apache2/mod_evasive.log
sudo chown www-data:www-data /var/log/apache2/mod_evasive.log

TEMA 2 Actividades Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Seguridad en Apellidos:
Aplicaciones Online
y Bases de Datos Nombre:

Cargar mdulos en Apache:

sudo a2enmod headers

sudo a2enmod evasive
sudo a2enmod security2

Reinicio de Apache2 web server:

sudo service apache2 restart

Comprobar si estn actives:

sudo apachectl -M | grep security2
security2_module (shared)

sudo apachectl -M | grep evasive

evasive20_module (shared)

Instalar las herramientas HOIC, LOIC en la mquina anfitriona para realizar ataques
de denegacin de servicio distribuidos DDOS contra la aplicacin web MUTILLIDAE
situada en la MV:

HOIC: http://sourceforge.net/projects/highorbitioncannon/?source=typ_redirect
LOIC: http://sourceforge.net/projects/loic/

PD: Los antivirus dan alerta cuando se descargan, no pasa nada, se obvia la alerta.

Ms informacin sobre ataques y herramientas DDOS en:

Ataques DDOS:
http://resources.infosecinstitute.com/dangerous-ddos-distributed-denial-of-
service-on-the-rise/
Herramientas DDOS:
http://resources.infosecinstitute.com/dos-attacks-free-dos-attaking-tools

TEMA 2 Actividades Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Seguridad en Apellidos:
Aplicaciones Online
y Bases de Datos Nombre:

2. Pruebas de funcionamiento de modsecurity:

Con el objetivo de comparar los efectos conseguidos mediante ataques a la aplicacin

mutillidae, hay que llevar a cabo las siguientes pruebas en cada una de las
dos mquinas por separado (lamp, fwmodsecurity). Debido a que tienen la
misma direccin IP, hay que realizar las pruebas con una sola mquina virtual
arrancada.

Se arranca una mquina, se pasan todas las pruebas, se monitorizan y se recogen

resultados; y, posteriormente, se realiza la misma operacin con la otra mquina. Tambin
se puede utilizar solo la mquina fwmodsecurity habilitando y deshabilitando el firewall
mediante el parmetro SecRuleEngine On/Off en /etc/modsecurity/modsecurity.conf

Comprobar:

Accede al servidor Apache desde el navegador de la mquina local mediante la

direccin IP de la mquina Ubuntu server donde est instalado el servidor Apache
(http://192.168.2.3/). Si est correctamente instalado MODSECURITY prohibir el
acceso, ya que existe una regla que impide acceder mediante direccin IP. Solo se
permite por defecto acceso mediante nombres de dominio con DNS configurado.
Para permitir el acceso mediante direccin IP el alumno deber deshabilitar la regla
que impide tal acceso y comprobar posteriormente que ya se permite acceder
mediante direccin IP.

Despus de deshabilitar la regla anterior, comprobar el acceso a

http://192.168.2.3/../../../etc/passwd mediante la herramienta ncat
(https://nmap.org/ncat/, o tambin disponible en Kali linux) para evitar que el
navegador pueda suprimir los caracteres ../. Se debera prohibir el acceso. Localizar
el mensaje de LOG donde se especifica la regla que impide el acceso y mostrarlo en
la memoria.

Ataques

TEMA 2 Actividades Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Seguridad en Apellidos:
Aplicaciones Online
y Bases de Datos Nombre:

Explota al menos 5 vulnerabilidades OWASP 2013-2010-2007 manualmente o con

ayuda de una herramienta como ZAP o similar (DAST): SQLI, XSS, OPEN
REDIRECT, LFI
Mediante las herramientas HOIC y LOIC realiza ataques de denegacin de
servicio distribuidos DDOS desde la mquina anfitriona a la aplicacin
mutillidae instalada en las mquinas virtuales. Para realizar los ataques de DDOS
y que tengan xito, es conveniente dirigirlos a aquellas partes de la aplicacin que
sean ms vulnerables a ataques DDOS por consumir ms recursos al ser requeridas
por el usuario. Por ello, se debe investigar un poco la aplicacin para configurar las
URLs ms vulnerables y dirigir los ataques hacia ellas. Adems, hay que estudiar
como parametrizar los ataques con cada herramienta.

Mediante distintos mtodos como aplicados en todas las capas de la aplicacin monitorizar
el comportamiento de la aplicacin y servicios en las pruebas con y sin firewall:
o Comando TOP de Linux.
o Log de la aplicacin de mutillidae:
http://192.168.2.3/mutillidae/index.php?page=show-log.php
o Log de S.O. Linux /var/log/
o Log de apache/modsecurity/modevasive /var/log/apache2
o Phpmyadmin: http://192.168.2.3/mutillidae/index.php?page=phpmyadmin.
mysql estado actual.
o Aplicacin wireshark instalada en la mquina anfitrin para grabar estadsticas
de trfico durante los ataques. Para uso de wireshark consultar:
https://www.incibe.es/CERT/guias_estudios/guias/guia_wireshark
o

Entregable

Se debe confeccionar una memoria explicando lo realizado, resaltando el anlisis

comparativo de los ataques realizados contra cada una de las mquinas, en la memoria
se referenciaran pantallas, logs, capturas, etc. que irn en un ANEXO al final, por tanto
se debe aportar en ANEXO aparte, copias de pantallas con resultado de
comandos, logs, capturas de wireshark, navegador, herramientas DDOS, etc. que
demuestren la realizacin correcta del ejercicio.

TEMA 2 Actividades Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Seguridad en Apellidos:
Aplicaciones Online
y Bases de Datos Nombre:

Extensin mxima: (sin contar anexos) 15 pginas (fuente Georgia 11 e interlineado

1,5). Debe contener: ndice, apartados con contenido principal, conclusiones,
referencias y anexo.

Entrega un fichero en formato Zip o Rar, con la memoria + anexo.

TEMA 2 Actividades Universidad Internacional de La Rioja (UNIR)