Cómo funciona el firewall de aplicaciones en Plesk

¿Cómo funciona el firewall de aplicaciones en Plesk? ¿Cuáles son sus características más destacadas? De las cosas que me gustan de Plesk es la posibilidad de pulir y perfeccionar aspectos como la seguridad de manera sencilla.

El WAF empleado es el de Modsecurity, que puede habilitarse en distintos tipos de servidores para establecer un perímetro de seguridad en torno a nuestro servidor web, aplicando reglas estandarizadas y otras personalizadas, filtrando, tamizando el tráfico http que fluya hacia nuestro web server. Destaco este producto, no solo por sus bondades intrínsecas sino por tratarse de un software de código abierto (se habilita desde Apache por lo general), que implica toda una comunidad de desarrollo y evolución constante detrás de ella.

Tabla de contenidos

¿Qué es ModSecurity?

Esto fue desarrollado en 2002 como un módulo Apache por un único autor Ivan Ristić. Alrededor de 2012 se modificó la licencia de este módulo y esto permitió que se desarrollaran módulos para servidores como NGINX e IIS. Como el módulo ModSecurity ha existido por un tiempo, ahora se han lanzado diferentes versiones para él. La última versión (al momento de escribir este blog) v3 tiene un considerable aumento de rendimiento en comparación con la versión anterior. También está disponible como módulo dinámico, lo que significa que no necesita compilar NGINX nuevamente con este módulo, sino que solo el módulo puede compilarse y conectarse al servidor web.

Consejo de configuración

Establezca el modo de firewall de la aplicación web en Activado o Detección solamente. Cada solicitud HTTP entrante y la respuesta relacionada se verificará con un conjunto de reglas. Si la verificación se realiza correctamente, la solicitud HTTP se pasará al sitio web para recuperar el contenido. Si la verificación falla, el evento se registrará. En el modo de solo detección, no se realizarán otras acciones. En el modo Activado, la respuesta HTTP recibirá un código de error.

A continuación, seleccionamos el conjunto de reglas de acuerdo con los requisitos. Aquí, incluye Atomic Basic ModSecurity, OWASP ModSecurity Core Rule Set (CRS), etc.
Por último, seleccionamos la casilla Actualizar la casilla de verificación para actualizar automáticamente el conjunto de reglas seleccionado. Y luego seleccione el período de actualización.

Reglas más conocidas

Personalmente siento predilección por OWASP pero hay personas que tienen problemas con estas reglas y su respectiva optimización. Las reglas básicas de Atomic pueden facilitarse a otro segmento de la población que usa el WAF y habrá quien defienda las normas de Comodo para el cortafuegos.

Tipos de ataque que ayuda a prevenir el WAF

Estos son solo ejemplos, un condensado ejecutivo de los tipos de ataque que ayuda a prevenir este cortafuegos en Plesk. No es una guía exhaustiva:

Ataques de inyección SQL.
Ataques de secuencias de comandos entre sitios (XSS).
Ataques de inyección de archivos locales y remotos.
Comando de ataques de inyección.
Protección de denegación del servicio

Características adicionales

Lista negras en tiempo real
Protección integral contra la evasión (no hablamos de impuestos, nos referimos a evadir el muro de seguridad).
Inteligencia de amenazas, la base de datos se alimenta regularmente y el sistema aprende rápidamente y generaliza las soluciones.
Protección maliciosa de bots.

¿Qué tipo (s) de modelos de seguridad admite ModSecurity?

Existe una idea errónea común de que ModSecurity solo se puede usar para la aplicación de políticas negativas y/o restrictivas. Este no es el caso. ModSecurity no tiene ningún modelo de seguridad predeterminado “listo para usar”. Depende del usuario (es quien siempre tiene el control, no lo olvidemos) implementar las reglas apropiadas para lograr el modelo de seguridad deseado. Dicho esto, estos son los modelos de seguridad que se emplean con mayor frecuencia:

-Modelo de seguridad negativo: busca solicitudes maliciosas y malas conocidas. Este método es efectivo para bloquear una gran cantidad de ataques automáticos, sin embargo, no es el mejor enfoque para identificar nuevos vectores de ataque. Usar demasiadas reglas negativas también puede afectar negativamente el rendimiento.

-Modelo de seguridad positivo: cuando se implementa el modelo de seguridad positivo, solo se aceptan las solicitudes que se sabe que son válidas y se rechaza todo lo demás. Este enfoque funciona mejor con aplicaciones que se usan mucho pero que rara vez se actualizan.

-Parches virtuales: su lenguaje de reglas hace de ModSecurity una herramienta de parche externa ideal. Los parches externos tienen que ver con reducir la ventana de oportunidad. El tiempo necesario para parchear las vulnerabilidades de las aplicaciones suele durar semanas en muchas organizaciones. Con ModSecurity, las aplicaciones se pueden parchear desde el exterior, sin tocar el código fuente de la aplicación (e incluso sin tener acceso a él), lo que hace que sus sistemas sean seguros hasta que se produzca un parche adecuado.

-Modelo de detección de extrusión: ModSecurity también puede monitorear los datos salientes e identificar y bloquear problemas de divulgación de información, como la filtración de mensajes de error detallados o números de la Seguridad Social o números de tarjetas de crédito.

Palabras finales

Y pudiéramos extendernos a lo largo y a lo ancho del espacio del blog, si ese fuera nuestro propósito. Pero no, en Plesk hay abundante documentación al respecto. Solo queríamos “antojarlos”, “provocarlos”, llamar la atención sobre el producto. Esperamos haberlo conseguido.