Descripción general
Ahora que más del 70 % de todos los ataques se llevan a cabo a nivel de aplicaciones web, las organizaciones necesitan toda la ayuda que puedan obtener para proteger sus sistemas.
Los firewalls de aplicaciones web se implementan para establecer una capa de seguridad externa que aumenta el nivel de protección, detecta y previene ataques antes de que lleguen a los programas de software basados en la web.
ModSecurity es una aplicación de firewall basada en web (o WAF) de código abierto compatible con diferentes servidores web: Apache, Nginx e IIS.
Uso
El módulo está configurado para proteger las aplicaciones web de diversos ataques. ModSecurity admite un motor de reglas flexible para realizar operaciones tanto simples como complejas. Viene con un conjunto de reglas básicas (CRS) que tiene varias reglas para:
- secuencias de comandos entre sitios web
- malos agentes de usuario
- inyección SQL
- troyanos
- secuestro de sesión
- otras hazañas
Errores más comunes
El error más común provocado por una regla mod_security en nuestros servidores compartidos es 403 Prohibido:
Simplemente indica que no tiene permiso para acceder a/en el servidor. Dependiendo del enlace exacto donde obtenga el error, la ruta puede variar.
ModSecurity funciona en segundo plano y cada solicitud de página se compara con varias reglas para filtrar aquellas solicitudes que parecen maliciosas. Estos pueden ser los que se han ejecutado para explotar vulnerabilidades en el software de su sitio web con el único objetivo de piratear el sitio.
A veces, debido a una codificación deficiente del sitio web, mod_security puede determinar incorrectamente que una determinada solicitud es maliciosa, cuando en realidad es legítima. Cuando sucede, aún recibe un error 403.
NOTA: Además del error 403 Prohibido, también puede recibir errores 404 No encontrado o 500 Error interno del servidor.
Cuando contactarnos
Una vez que se haya topado con el problema activado por mod_security, la única forma de evitar el bloqueo es incluir esta regla en la lista blanca del servidor.
Algunos pasos simples para detectar el bloque mod_security son los siguientes:
- Obtiene uno de los errores especificados en el frontend o backend de su sitio web al realizar ciertas acciones/solicitudes: 403 Prohibido, 500 Error interno del servidor, 404 No encontrado.
- La forma de reproducir el error suele ser la misma todo el tiempo (en la medida en que mod_security solo bloquea una determinada actividad).
- El resto de funciones del frontend/backend de su sitio web siguen siendo normales.
NOTA: Si las reglas mod_security se activan con demasiada frecuencia en su(s) sitio(s) web, el firewall del servidor bloqueará la dirección IP correspondiente (desde la que se envían esas solicitudes). Esto resultará en que su cuenta de cPanel no esté disponible en absoluto desde esta IP.
Las reglas de ModSecurity solo pueden incluirse en la lista blanca de nuestro equipo de soporte. También es posible desactivar mod_security y la cuenta por completo, pero debes comprender los riesgos una vez que el módulo especificado esté desactivado.
¡Eso es todo!
¿Necesita ayuda? Contacta con nuestro
Facebook Comments
Disqus