PDF de programación - CodeSeeker - Un Firewall de Nivel 7 OpenSource

CodeSeeker – Un Firewall de Nivel 7 OpenSource

CodeSeeker – Un Firewall de Nivel 7 OpenSource

Índice
OWASP
Proyectos de la OWASP:

Desarrollo
Documentación
oPortal
VulnXML
WAS-XML
WebGoat

Demostraciones

{

Conceptos de Redes
TCP/IP
Firewalls
Tipos de Firewalls
CodeSeeker

Funcionalidades actuales
Funcionalidades futuras
Arquitectura

OWASP Top Ten

Ataques Web con WebGoat
Ataques Web típicos
Protección con CodeSeeker

CodeSeeker – Un Firewall de Nivel 7 OpenSource

OWASP (Open Web Application Security Project)

• Se crea en Septiembre de 2001.

• Surge como una idea en la lista de discusión web-app-sec.

• Mark Curphey (fundador de OWASP), entre otros, planteaban la
necesidad de disponer de un manual similar al OSSTMM de Pete Herzog
(fundador de ISECOM) pero dedicado en exclusiva a aplicaciones web.

• Su objetivo es aunar esfuerzos y ser un referente OpenSource para
ingenieros de sistemas, desarrolladores, fabricantes, proveedores y
profesionales de la seguridad.

• Ayudar a construir aplicaciones y servicios web más seguros.
• Publicar guías y herramientas para el Diseño, Desarrollo, Implantación y

Testing de aplicaciones y servicios web y de la seguridad de estas.

CodeSeeker – Un Firewall de Nivel 7 OpenSource

Proyectos de la OWASP (I)
• Se coordinan estos tipos proyectos:

Documentación

Desarrollo

oPortal

CodeSeeker – Un Firewall de Nivel 7 OpenSource

Proyectos de la OWASP (II)
• Desarrollo:
WebScarab:

Es una suite de herramientas para el análisis de aplicaciones web que incluye
detectores de vulnerabilidades, proxies para análisis de datos transmitidos, etc.

CodeSeeker:

Consiste en un Firewall e IDS “similar a los comerciales” a Nivel 7 que funciona bajo
Windows, Solaris y Linux y soporta IIS, Apache e iPlanet.

WebGoat:

Es un mini-portal de entrenamiento para realizar ataques controlados a nivel de
aplicación web. Permite simular ataques habituales que se producen explotando
deficiencias de seguridad en las aplicaciones web.

OWASP Commons Library (OCL):

Pretende ser una librería rápida, de pequeño tamaño y centrada en la seguridad.
Está programada en Java para permitir la construcción de aplicaciones web
escalables y seguras corriendo sobre un motor de servlets J2EE sin apenas consumir
recursos.

CodeSeeker – Un Firewall de Nivel 7 OpenSource

Proyectos de la OWASP (III)
• Documentación (I):

Guía de Desarrollo Seguro de Aplicaciones Web:

Esta guía, con 2 millones de descargas (v1.0), y que en su versión 2.0 será
publicada como un manual (existe una beta en PDF) está orientada a arquitectos,
desarrolladores y auditores que quieren conocer que “buenas maneras” deben
tenerse en cuenta en el desarrollo de aplicaciones web.

Testing Framework:

Proyecto que pretende documentar estrategias y técnicas que permitan testear y
analizar aplicaciones web para la búsqueda de vulnerabilidades.

OWASP Top Ten:

Es un documento inspirado en el Top 20 de SANS. Remarca los más importantes y
frecuentes problemas de seguridad que suelen darse en las aplicaciones web hoy
en día. Coming soon – The OWASP Top Ten for Java and PHP!

CodeSeeker – Un Firewall de Nivel 7 OpenSource

Proyectos de la OWASP (IV)
• Documentación (II):

Política de Seguridad Web :

Pretende ser una “plantilla” para el diseño de políticas de seguridad para
aplicaciones web.

ISO-17799 & Seguridad Web :

Este proyecto quiere documentar la forma en que la ISO17799 puede o debe ser
aplicada en el proceso de diseño, desarrollo y despliegue de aplicaciones web en
producción.

CodeSeeker – Un Firewall de Nivel 7 OpenSource

Proyectos de la OWASP (V)
• oPortal:

Un portal basado en Java y diseñado con la seguridad como principal

aspecto.

También es OpenSource, con lo que cualquiera podrá emplear el código

para crear su propio portal.

CodeSeeker – Un Firewall de Nivel 7 OpenSource

VulnXML
Web Application Security Vulnerability Description Language

El objetivo principal era unificar la definición de vulnerabilidades a
nivel de aplicación web de manera que su difusión fuese rápida y
universal.

Los advisories no sirven de nada si las empresas no pueden extraer

una protección a partir de ellos de forma directa.

Si con los advisories, al igual que con los sellos “CVE Compliant” o el
estándar del EISPP se busca normalizarlos, se emitiesen en un
formato XML universal, los sistemas de protección podrían hablar un
lenguaje universal.

El proyecto se congela tras un año. Todo el trabajo producido es
traspasado este año a OASIS, un organismo de producción de
estándares. Su sucesor será el proyecto WAS-XML.

CodeSeeker – Un Firewall de Nivel 7 OpenSource

WAS-XML
Web Application Security XML

• En Junio de 2003 OASIS continúa el trabajo de la OWASP

con tres objetivos:

1. Un esquema de clasificación para vulnerabilidades web de

seguridad.

2. Un modelo para proveer orientación para el tratamiento inicial de

amenazas, su impacto y por ende, ratios de riesgos asociados.

3. Un esquema XML para describir las condiciones de seguridad en

web que puedan ser empleadas en herramientas de análisis y
protección de seguridad (escáneres de vulnerabilidades, firewalls de
aplicación, sistemas de detección de intrusos, etc.)

CodeSeeker – Un Firewall de Nivel 7 OpenSource

WebGoat (I)
• La idea básica de WebGoat es poder probar los ataques web en un

entorno quasi-real pero controlado.

• Es una aplicación web con características similares a una real.
• Permite opciones simples de análisis de cookies, código fuente, etc.
• Permite realizar ataques en forma de “caja negra”, tal y como pasa en el

mundo real.

• Con una herramienta de captura de tráfico HTTP podemos estudiar

fácilmente los ataques.

• Conociendo estos ataques podemos entender cómo y por qué son

explotados.

• Es OpenSource, podemos colaborar en su mejora y en aportar nuevas

ideas.

CodeSeeker – Un Firewall de Nivel 7 OpenSource

WebGoat (II)
• ¿Qué permite WebGoat?

Conocer los conceptos básicos de HTTP
Ataques de Cross Site Scripting (XSS)
Ataques en procesos de Autenticación débiles
Exploit de Campos Ocultos
Analizar HTML para obtener información
Ataques de inyección de parámetros
Ataques de SQL Injection
Explotar deficiencias de Seguridad entre Threads
Exploit de direcciones de Email
Spoofing de Cookies de Autenticación

Reto

CodeSeeker – Un Firewall de Nivel 7 OpenSource

Conceptos de Redes
• El Modelo OSI: 7 Capas

• El Modelo TCP/IP: 4 Capas

CodeSeeker – Un Firewall de Nivel 7 OpenSource

TCP/IP
• Paso de Datos entre capas

CodeSeeker – Un Firewall de Nivel 7 OpenSource

Firewalls
• Parámetros usados para el filtrado
- Datos TCP: Flags

- Datos IP: Dirección IP Origen
Dirección IP Destino

CodeSeeker – Un Firewall de Nivel 7 OpenSource

Screening Routers / Statefull Firewalls / Firewalls de Nivel 7

CodeSeeker – Un Firewall de Nivel 7 OpenSource

CodeSeeker (I)
• CodeSeeker surge como un producto de la empresa de Silicon Valley,

Butterfly Security. Que en el 2001, la empresa cierra.

• En lugar de tirar a la basura el proyecto, a finales de 2002, Gabriel
Lawrence (fundador de la empresa), decide liberar el código, darle
licencia GPL y convertirlo en un proyecto OpenSource.

• Así, a principios de 2003 está disponible la primera versión del código

fuente, en versión “pre-alpha”.

• Los objetivos del proyecto: convertirse en un Firewall de Aplicación
comparable a productos comerciales de Sanctum, Kavado
y
SpyDinamics, fabricantes de soluciones de FW de Nivel 7, pero coste 0
para que todas las empresas se puedan aprovechar de esta tecnología.

• Actualmente el proyecto lleva un retraso de 6-9 meses, sobretodo debido
a la poca documentación del proyecto y a que su desarrollo sobre Linux
no es el más avanzado. Las expectativas de G.L. en el proyecto son
grandes y ya son muchas las personas que quieren colaborar en él.

CodeSeeker – Un Firewall de Nivel 7 OpenSource

CodeSeeker (II)

CodeSeeker – Un Firewall de Nivel 7 OpenSource

CodeSeeker (III)
• Las funcionalidades actuales:
1. Permite definir políticas de seguridad asociadas a cada uno de los

servidores.

2. Existen cuatro políticas genéricas de seguridad:

• Dejar pasar todo el tráfico, logeando las URL sospechosas.
• Bloquear tráfico sospechoso basado en patrones de vulnerabilidades.
• Bloquear tráfico sospechoso basado en comportamientos genéricos.
• Bloquear todo el tráfico sospechoso.

3. Para cada una de las alertas/vulnerabilidades permite definir cuatro tipos

de acciones de notificación:
• Enviar un correo electrónico.
• Generar un evento en el syslog.
• Generar un evento en el NT Event Log.
• Loggear el evento a un fichero.

CodeSeeker – Un Firewall de Nivel 7 OpenSource

CodeSeeker (IV)

3. También permite dos opciones en la navegación (del atacante):

• Bloquear la petición con una un error configurable.
• Redigir la petición a otra URL.

4. Podemos aplicar filtros de inclusión o exclusión en el filtrado, a archivos,

carpetas o toda la web.

5. En cuanto a las herramientas de análisis:

• Ofrencen información gráfica de los ataques más detectados.
• La URL de ataques más detectados.
• Las máquinas que más alarmas han hecho saltar.
• De cada uno de los ataqu