En un artículo anterior explicamos como instalar ModSecurity paso a paso. Sin embargo, pueden asaltarnos varias dudas antes de decidirnos a instalarlo como por ejemplo: ¿por qué lo necesito?, ¿para qué me sirve? o ya lo instalé pero ¿cómo puedo saber si funciona?
Pues para intentar contestar a estas preguntas está este artículo. Por supuesto, partimos de la base de que contamos con un servidor que tiene instalados Apache y PHP5 pero no ModSecurity. Para las la realización de las pruebas usaremos curl y Firefox.
¿Te atreves a probar ModSecurity?
Preparación
- Para una de las pruebas necesitamos crear un archivo de texto en nuestro servidor. Por lo que ejecutamos el siguiente comando:
sudo nano /var/www/inseguro.phpY escribimos el siguiente contenido:
<? $archivo_secreto = $_GET['archivo_secreto'];
include ($archivo_secreto);
?>
Este archivo PHP lo usaremos para que nos muestre el archivo que le pasemos como parámetro.
- Si estamos trabajando con un servidor de pruebas y no dispone de un nombre de dominio, deberemos asignarle un nombre porque cuando instalemos ModSecurity no podremos acceder a él usando la dirección IP. ModSecurity no nos lo permitirá.
Por lo tanto editamos el archivo /etc/hosts con el siguiente comando:sudo nano /etc/hostsY añadimos, debajo de la línea 127.0.0.1 localhost, la línea roja con el nombre servidor o el que se quiera (será el que usemos para acceder a él).
127.0.0.1 localhost
127.0.1.1 servidor
...
Ahora ya estamos en condiciones de probar el funcionamiento de ModSecurity.
Sin ModSecurity
En esta sección vamos a ver qué ocurre cuando trabajamos con nuestro servidor sin tener instalado ModSecurity con dos ejemplos en los que se vulnera la seguridad del sistema. Aunque antes de empezar probamos a acceder al nuestro servidor web. En cualquier servidor web tecleamos la dirección del servidor: http://servidor.
Accedemos al servidor usando un navegador
Una vez que hemos comprobado el acceso a nuestro servidor web comenzamos con las pruebas:
- La primera prueba consiste en obtener toda la información sobre nuestro servidor web. Para esto usamos el siguiente comando:
curl -i http://servidorGracias a este curl obtendremos la información real de nuestro servidor, que es justo lo que necesitaría cualquier atacante para intentar acceder a nuestro sitio web. Como muestra la captura de pantalla, mi servidor está ejecutando Apache 2.2.11 sobre Ubuntu y PHP 5.2.6-3ubuntu4.1 con Suhosin-Patch (un sistema de protección para PHP).
Ejecutamos curl -i http://servidor
- La segunda prueba consiste en ejecutar el archivo inseguro.php que habíamos creado en el servidor pasándole como parámetro /etc/passwd. Es decir, desde una navegador accedemos a la siguiente dirección:
http://servidor/inseguro.php?archivo_secreto=/etc/passwdEl resultado es el listado del archivo /etc/passwd que contiene, entre otras cosas, los nombres de todos los usuarios del sistema. Otra información también bastante valiosa para cualquier atacante.
Accedemos al archivo inseguro.php desde el navegador
El mismo resultado lo obtenemos al ejecutar en un terminal el siguiente comando:
curl -i "http://servidor/inseguro.php?archivo_secreto=/etc/passwd"
Accedemos a inseguro.php usando curl
Con ModSecurity
En esta sección se supone que tenemos instalado ModSecurity en nuestro servidor. Y vamos a repetir las pruebas anteriores para observar los nuevos resultados.
- Volvemos a ejecutar la primera prueba que consistía simplemente en pedirle información a nuestro servidor usando curl con el siguiente comando:
curl -i http://servidorY podemos ver la siguiente información:
Obtenemos información del servidor a través de curl
El trabajo de ModSecurity lo apreciamos desde el primer momento porque la información que obtenemos es completamente falsa. ModSecurity nos hace creer que el servidor web es Apache 2.2.0 (en vez de 2.2.11) y está montado sobre Fedora (en vez de Ubuntu).
- Repetimos la segunda prueba ahora con ModSecurity y accedemos al archivo inseguro.php con el parámetro /etc/passwd. Es decir, tecleamos en el navegador la siguiente dirección:
http://servidor/inseguro.php?archivo_secreto=/etc/passwdObteniendo el siguiente resultado:
Accedemos al archivo inseguro.php desde el navegador
En esta ocasión, en lugar de ver todos los nombres de usuario del sistema, leemos el mensaje “Method Not Implemented“.
El mismo resultado lo obtenemos al ejecutar en un terminal el siguiente comando:
curl -i "http://servidor/inseguro.php?archivo_secreto=/etc/passwd"
Accedemos a inseguro.php con curl
Espero que este par de ejemplos sean suficientes para mostrar la utilidad de ModSecurity. Un imprescindible para nuestro servidor web.
Fuente: Shadows of epiphany
Artículos relacionados:
Excelente eres mi idolo muy buena fuente de informacion.
Saludos…
hola he seguido sus blocks, pero ninguno ha funcionado para ubuntu 9.10 y yo quiero instalar moodle. me pueden apoyar gracias