ModSecurity , a veces llamado Modsec , es un firewall de aplicaciones web (WAF) de código abierto . Originalmente diseñado como un módulo para el servidor Apache HTTP , que ha evolucionado para proporcionar una serie de transferencia de hipertexto Protocolo de solicitud y respuesta capacidades de filtrado junto con otras características de seguridad a través de una serie de diferentes plataformas, incluyendo Apache HTTP Server , [1] [2] Microsoft IIS y Nginx . [3] Es un software gratuito publicado bajo la licencia Apache 2.0.
Autor (es) original (es) | Ivan Ristić |
---|---|
Desarrollador (es) | Trustwave SpiderLabs |
Versión inicial | Noviembre de 2002 |
Lanzamiento estable | 3.0.4 / 13 de enero de 2020 |
Repositorio | |
Escrito en | C ++ |
Disponible en | inglés |
Licencia | Licencia Apache 2.0 |
Sitio web | modsecurity |
La plataforma proporciona un lenguaje de configuración de reglas conocido como 'SecRules' para el monitoreo, el registro y el filtrado en tiempo real de las comunicaciones del Protocolo de transferencia de hipertexto basado en reglas definidas por el usuario.
Aunque no es su única configuración, ModSecurity se implementa con mayor frecuencia para brindar protección contra clases genéricas de vulnerabilidades mediante el conjunto de reglas básicas de OWASP ModSecurity (CRS). [4] Este es un conjunto de reglas de código abierto escritas en el lenguaje SecRules de ModSecurity. El proyecto es parte de OWASP , el Proyecto de seguridad de aplicaciones web abiertas. También están disponibles varios otros conjuntos de reglas.
Para detectar amenazas, el motor ModSecurity se implementa integrado en el servidor web o como un servidor proxy frente a una aplicación web. Esto permite que el motor escanee las comunicaciones HTTP entrantes y salientes al punto final. Dependiendo de la configuración de la regla, el motor decidirá cómo se deben manejar las comunicaciones, lo que incluye la capacidad de pasar, descartar, redirigir, devolver un código de estado determinado, ejecutar un script de usuario y más.
Historia
ModSecurity fue desarrollado por primera vez por Ivan Ristić , quien escribió el módulo con el objetivo final de monitorear el tráfico de aplicaciones en el servidor HTTP Apache . La primera versión se lanzó en noviembre de 2002 y era compatible con Apache HTTP Server 1.3.x. A partir de 2004, Ivan creó Thinking Stone para continuar trabajando en el proyecto a tiempo completo. Mientras trabajaba en la versión 2.0, la reescritura de Thinking Stone fue comprada por Breach Security, una empresa de seguridad estadounidense-israelí, en septiembre de 2006. Ivan continuó con el desarrollo de la versión 2.0, que se lanzó posteriormente en el verano de 2006.
Ristić y Breach Security lanzaron otra reescritura importante, la versión 2.5, con importantes cambios sintácticos en febrero de 2008. En 2009, Ivan dejó Breach para fundar SSL Labs. Poco después de la salida de Ivan de Breach Security, Trustwave Holdings adquirió Breach en junio de 2010 y volvió a obtener la licencia de ModSecurity bajo la licencia de Apache. El desarrollo continuó y la nueva licencia permitió una integración más sencilla de ModSecurity en otros productos. Como resultado de esto, hubo una adopción constante de ModSecurity por parte de varios productos comerciales. El cambio de licencia también precipitó una migración más fácil del software. Por lo tanto, Microsoft contribuyó con un puerto IIS en agosto de 2012 y el puerto para Nginx se lanzó en Black Hat Briefings en 2012.
En 2017 se publicó la segunda edición del manual, [5] escrito por Christian Folini e Ivan Ristić. Cubre ModSecurity hasta la versión 2.9.2.
Al ser originalmente un módulo de Apache, la migración de ModSecurity a otras plataformas requería mucho tiempo y tenía altos costos de mantenimiento. Como resultado de esto, se inició una reescritura completa en diciembre de 2015. Esta nueva iteración, libmodsecurity, cambia la arquitectura subyacente, separando ModSecurity en un motor independiente que se comunica con el servidor web a través de una API. Este WAF basado en arquitectura modular, que se anunció para uso público en enero de 2018, [6] se convirtió en libmodsecurity (ModSecurity versión 3.0) y tiene conectores compatibles con Nginx y Apache.
Antiguo bloqueo del navegador Lynx
Las reglas predeterminadas que se envían con la mayoría de las distribuciones de ModSecurity son el Conjunto de reglas básicas de ModSecurity (CRS) de OWASP. [4] Estas reglas solían bloquear el navegador Lynx como una "herramienta automatizada", devolviéndole un "406 No aceptable" a menos que se cambiara su cadena de usuario-agente . [7] Esto incomoda a los usuarios con ceguera que trabajan en Lynx. Sin embargo, con el lanzamiento del Core Rule Set 3.0 (CRS3), un agente de usuario Lynx ya no activa ninguna regla. [ cita requerida ]
Referencias
- ^ "Cómo proteger su servidor Apache 2 en cuatro pasos" . Techrepublic.com . Consultado el 7 de enero de 2018 .
- ^ Shah, Shreeraj. "Asegurar los servicios web con mod_security - O'Reilly Media" . Onlamp.com . Consultado el 7 de enero de 2018 .
- ^ Lardinois, Frederic. "La última versión de NGINX Plus se centra en la seguridad" . Techcrunch.com . Consultado el 7 de enero de 2018 .
- ^ a b "Conjunto de reglas básicas de OWASP ModSecurity: la primera línea de defensa contra ataques de aplicaciones web" . Coreruleset.org . Consultado el 7 de enero de 2018 .
- ^ Manual de ModSecurity . Feistyduck.com . Consultado el 7 de enero de 2018 .
- ^ "Anuncio de ModSecurity versión 3.0" . www.trustwave.com . Consultado el 12 de septiembre de 2019 .
- ^ "¿Lynx Browser? Elimine los errores 406 no aceptables" . Walt.gregg.juneau.ak.us . Consultado el 7 de enero de 2018 . Este blog debe ser incorrecto para decir que la motivación para el bloqueo de Lynx fue detener el servidor web ejecutando un "comando de Linux", ya que el comando para invocar Lynx no comienza con una L mayúscula como lo hace la cadena de usuario-agente predeterminada (y la el bloque distingue entre mayúsculas y minúsculas).
enlaces externos
- Página web oficial
- Documentación oficial de ModSecurity
- Cómo configurar mod_security con Apache en Debian / Ubuntu
- Introducción e instalación de Linux ModSecurity
- Searchsecurity.techtarget.com