Ivn Martn Valderas

INSTALACIN DE: APACHE DVWA MODSECURITY

[APACHE / DVWA / MODSECURITY] Ivn Martn Valderas

Contenido

1. Apache (Servidor Web) ....................................................................2 2. DVWA (Vulnerable Web) ..................................................................5 3. Modsecurity (Firewall de Aplicaciones Web) ..............................7

Pgina 1

1.Apache (Servidor Web)

Para Instalar Apache, vamos a utilizar un paquete llamado XAMPP que nos descargaremos del siguiente link:

http://sourceforge.net/projects/xampp/files/BETAS/xampp-linux-1.7.7.tar.gz/download

Como vemos el archivo es un tar.gz propio de Ubuntu asique lo guardamos para poder descomprimirlo ms adelante:

[APACHE / DVWA / MODSECURITY] Ivn Martn Valderas

Firefox guarda los archivos descargados en la carpeta Descargas, dentro de la Carpeta Personal:

Abrimos un Terminal y nos dirigimos a dicha carpeta:

Ahora pasamos a descomprimirlo, para ello escribimos: sudo tar xvfz xampp-linux-1.7.7.tar.gz -C /opt

Ya est listo, slo queda ejecutarlo: sudo /opt/lampp/lampp start

Nos aseguramos de tenerlo instalado correctamente abriendo un navegador web, Firefox por ejemplo y escribiendo en la barra de navegacin: localhost

Pgina 3

Podemos apagar los servicios de la misma manera que los hemos iniciado en cualquier momento mediante la orden: sudo /opt/lampp/lampp stop

[APACHE / DVWA / MODSECURITY] Ivn Martn Valderas

2.DVWA (Vulnerable Web)

Nos descargamos la Aplicacin desde el siguiente link: http://sourceforge.net/projects/dvwa/files/dvwa1.0.6.zip/download

Al descargarlo vemos que es un archivo .zip

Con lo que una vez descargado, nos dirigimos de nuevo desde la consola a la carpeta de descargas de Firefox y ejecutamos la orden unzip para descomprimir este tipo de archivos:

Una vez descargado vamos a moverlo a su sitio, dentro de la carpeta htdocs de XAMPP:

Pgina 5

Ya est todo listo sobre instalar DVWA, por lo que vamos a comprobar si est correcto. Escribimos en el navegador web: 127.0.0.1/dvwa

[APACHE / DVWA / MODSECURITY] Ivn Martn Valderas

3.Modsecurity (Firewall de Aplicaciones Web)

Descargamos e instalamos Modsecurity mediante el comando: sudo aptitude install libapache-mod-security

Creamos un directorio dentro de apache para modsecurity:

Nos cambiamos a ese directorio:

Nos descargamos las reglas desde la propia web de ModSecurity:

Descomprimimos el fichero de reglas descargado:

sudo tar xzvf modsecurity-core-rules_2.5-1.6.1.tar.gz

Pgina 7

 Borramos archivos que sern innecesarios:

sudo rm CHANGELOG LICENSE README modsecurity-core-rules_2.5-1.6.1.tar.gz

Mediante un ls podemos ver las reglas:

Ya tenemos ModSecurity instalado y las reglas descargadas, ahora toca indicarle a Apache que lea las reglas y las aplique. Para esto creamos el archivo modsecurity2.conf en /etc/apache2/conf.d con el siguiente comando:
sudo gedit /etc/apache2/conf.d/modsecurity2.conf

Con esto se nos abrir una ventana donde deberemos escribir y guardar:

De esta forma Apache leer todos los archivos .conf del directorio /etc/apache2/conf.d/modsecurity que es donde se encuentran nuestras reglas.

[APACHE / DVWA / MODSECURITY] Ivn Martn Valderas

Creamos un directorio donde alojar los logs de ModSecurity:

sudo mkdir /var/log/apache2/mod_security

Enlazamos el directorio creado en el paso anterior con el directorio en el que ModSecurity crea los logs por defecto:
sudo ln -s /var/log/apache2/mod_security/ /etc/apache2/logs

Pgina 9