Los sistemas de seguridad perimetral y principales vectores de ataque web (II)

Abstract

El presente proyecto tiene como objetivo el diseño de una herramienta de análisis de trazas de registros de diferentes servidores webs que se podrá utilizar con fines forenses. Para ello se ha generado un entorno virtual y se ha codificado la herramienta sobre lenguaje python. En cuanto al entorno virtual se ha generado con dos máquinas, la primera de ellas es un equipo vulnerable montado sobre un entorno "LAMP" (tecnologías Linux, apache, MySQL y PHP). La segunda de ellas es un correlador de eventos de seguridad basado en tecnología OSSIM / AlienVautl que se utilizará principalmente cómo visualizador de eventos. Adicionalmente se ha generado el motor de detección codificado en lenguaje "Python", las firmas de dicho motor se codifican de forma estructura con XML. Estas se basan en expresiones regulares en Python que detectan los vectores de intrusión web más comunes. Finalmente, se ha lanzado una batería de test de intrusión para poner a prueba la herramienta diseñada, evaluando de este modo la calidad de esta y presentando unas conclusiones finales sobre su funcionamiento.

El present projecte té com a objectiu el disseny d'una eina d'anàlisi de traces de registres de diferents servidors webs que es podrà utilitzar amb finalitats forenses. Per a això s'ha generat un entorn virtual i s'ha codificat l'eina sobre llenguatge python. Quant a l'entorn virtual s'ha generat amb dues màquines, la primera d'elles és un equip vulnerable muntat sobre un entorn "LAMP" (tecnologies Linux, apatxe, MySQL i PHP). La segona d'elles és un correlador d'esdeveniments de seguretat basat en tecnologia OSSIM / AlienVautl que s'utilitzarà principalment com visualitzador d'esdeveniments. Addicionalment s'ha generat el motor de detecció codificat en llenguatge "Python", les signatures de dita motora es codifiquen de forma estructura amb XML. Aquestes es basen en expressions regulars en Python que detecten els vectors d'intrusió web més comunes. Finalment, s'ha llançat una bateria de test d'intrusió per posar a prova l'eina dissenyada, avaluant d'aquesta manera la qualitat d'aquesta i presentant unes conclusions finals sobre el seu funcionament.

The main objective of this project is to design an analysis tool that we can use to apply forensic techniques over different web servers. With this objective, a virtual environment has been generated and the tool has been coded into the Python language. The virtual environment has been generated with two machines. The first one is a web server on "LAMP" technology (Linux, apache, MySQL and PHP), and the second one is a security information event management tool based on technology AlienVault / Ossim. Additionally, the detection engine has been encoded within the "Python¿ language. The signatures of this engine are in the structured language "XML". The signature set contains the most common intrusion patterns programmed with regular Python expressions. Finally, an intrusion test battery has been done with the objective of evaluating the detection engine. It has introduced the results of the entire job and has presented some final conclusions about the way it functions.