Análisis comparativo de un Firewall de aplicaciones web comerciales y un Open Source frente al top 10 de Owasp.

Desarrollar una aplicación web podría conllevar un gran número de riesgos informáticos inherentes, existen diferentes tipos de técnicas que han sido utilizadas para tomar provecho de este tipo de aplicaciones algunas de las más conocidas se pueden encontrar en el top OWASP 10, sin embargo día a día...

Full description

Autores:
Tipo de recurso:
Fecha de publicación:
2016
Institución:
Universidad Abierta y a Distancia UNAD
Repositorio:
Repositorio UNAD
Idioma:
spa
OAI Identifier:
oai:repository.unad.edu.co:10596/9161
Acceso en línea:
https://repository.unad.edu.co/handle/10596/9161
Palabra clave:
Vulnerabilidades Web
Firewall de aplicación web
OWASP
Riesgos Informáticos
Aplicación Web
Rights
License
Abierto (Texto Completo)
id RUNAD2_e0ad87ceeb0510b1bf7daabab4eb7223
oai_identifier_str oai:repository.unad.edu.co:10596/9161
network_acronym_str RUNAD2
network_name_str Repositorio UNAD
repository_id_str
dc.title.spa.fl_str_mv Análisis comparativo de un Firewall de aplicaciones web comerciales y un Open Source frente al top 10 de Owasp.
title Análisis comparativo de un Firewall de aplicaciones web comerciales y un Open Source frente al top 10 de Owasp.
spellingShingle Análisis comparativo de un Firewall de aplicaciones web comerciales y un Open Source frente al top 10 de Owasp.
Vulnerabilidades Web
Firewall de aplicación web
OWASP
Riesgos Informáticos
Aplicación Web
title_short Análisis comparativo de un Firewall de aplicaciones web comerciales y un Open Source frente al top 10 de Owasp.
title_full Análisis comparativo de un Firewall de aplicaciones web comerciales y un Open Source frente al top 10 de Owasp.
title_fullStr Análisis comparativo de un Firewall de aplicaciones web comerciales y un Open Source frente al top 10 de Owasp.
title_full_unstemmed Análisis comparativo de un Firewall de aplicaciones web comerciales y un Open Source frente al top 10 de Owasp.
title_sort Análisis comparativo de un Firewall de aplicaciones web comerciales y un Open Source frente al top 10 de Owasp.
dc.contributor.advisor.none.fl_str_mv González García, Salomón
dc.subject.keywords.spa.fl_str_mv Vulnerabilidades Web
Firewall de aplicación web
OWASP
Riesgos Informáticos
Aplicación Web
topic Vulnerabilidades Web
Firewall de aplicación web
OWASP
Riesgos Informáticos
Aplicación Web
description Desarrollar una aplicación web podría conllevar un gran número de riesgos informáticos inherentes, existen diferentes tipos de técnicas que han sido utilizadas para tomar provecho de este tipo de aplicaciones algunas de las más conocidas se pueden encontrar en el top OWASP 10, sin embargo día a día nuevas vulnerabilidades son encontradas y la posibilidad que un riesgo se materialicé es cada vez mayor. Por esta razón, las empresas que hacen uso de este tipo de aplicaciones deben tomar conciencia de las vulnerabilidades a las que pueden estar expuestos y establecer algún tipo de control que permita disminuir los riesgos. Los controles que se pueden llevar a cabo en una aplicación web son dos, el primero es realizar una auditoria periódica donde se hace una revisión del código y se ejecutan pruebas de sombrero blanco con el fin de encontrar algún tipo de vulnerabilidad, la segunda es implementar un firewall de aplicación web. Cada control ofrece sus ventajas y desventajas, y en el mejor de los casos lo ideal sería disponer de ambos, si bien la auditoria permitiría generar código más robusto habría una brecha de seguridad en el lapso que una nueva vulnerabilidad sea encontrada hasta el momento en que la auditoria sea realizada. Así que disponer de un WAF que esté en todo momento revisando las peticiones de los usuarios podría incrementar el nivel de seguridad. Ahora la pregunta sería, ¿Qué nivel de seguridad y confiabilidad ofrece un WAF?, históricamente los WAF empezaron a ganar popularidad luego que en el Consejo de Estándares de Seguridad (PCI-DSS) exigieran a las entidades emisoras de tarjetas de crédito realizar controles sobre las aplicaciones web bien sea por revisión del código o mediante un WAF. Hoy en día existen diferentes fabricantes dedicados al desarrollo de WAF y analizando lenguajes de programación tales como HTML, HTTPS, SOAP and XML-RPC, además permiten prevenir ataques como XSS, inyecciones de SQL, secuestro de sesión, desbordamiento de buffer, ataques de día cero entre otros. Así que con base en la anterior los WAF hoy en día tienen una gran reputación y ofrecen un alto nivel de seguridad. Teniendo en cuenta que existen tantas marcas de WAF así como beneficios a nivel seguridad, este proyecto se enfocó en evaluar las diferencias que podrían existir entre un WAF comercial frente a uno de libre de distribución, esta comparación se hizo con base en el Top 10 de OWASP donde cada una de las vulnerabilidades fue probada en cada uno de los WAF. La implementación del esquema de pruebas requirió que el WAF operará en un modo de proxy reverso de esta forma el servidor web no sufrió ningún tipo de alteración durante el desarrollo del proyecto y así garantizar unas pruebas ecuánimes. Los resultados obtenidos de la prueba han permitido evidenciar que el WAF de marca F5 dispone una plantilla de gran cantidad lenguajes de programación web que permiten implementar reglas tan granulares tanto como se especifiquen por el administrador, además dispone un consola de administración web amigable que permite identificar de forma fácil el ataque o información anómala detectada, también se observa que la herramienta dispone de esquema de aprendizaje el cual permite notificar al WAF eventos como falso positivos y aceptar parámetros que en un principio son marcados como anómalos y lo cual es modelo de seguridad positivo permitiendo tener una mayor escalabilidad. Por su parte Modsecurity ofrece una gran versatilidad para el desarrollo de nuevas firmas de ataques, su consola de administración es a través de línea de comando, y el nivel de seguridad que se ofrece es igual al proporcionado por WAF de marca F5 con base en las pruebas realizadas en este proyecto, las cuales no involucrando técnicas avanzadas de ataques web. Así que los niveles de seguridad brindados por el WAF comercial como el de libre distribución están iguales, sin embargo las diferencias radican en las funcionalidades que ofrece el WAF comercial que permite una mayor escalabilidad y mejor modelo de implementación.
publishDate 2016
dc.date.accessioned.none.fl_str_mv 2016-12-07T00:55:08Z
dc.date.available.none.fl_str_mv 2016-12-07T00:55:08Z
dc.date.created.none.fl_str_mv 2016-10-29
dc.type.spa.fl_str_mv Proyecto Aplicado o Tesis
info:eu-repo/semantics/bachelorThesis
dc.type.coar.fl_str_mv http://purl.org/coar/resource_type/c_7a1f
dc.type.spa.spa.fl_str_mv Trabajo de grado
dc.identifier.uri.none.fl_str_mv https://repository.unad.edu.co/handle/10596/9161
url https://repository.unad.edu.co/handle/10596/9161
dc.language.iso.spa.fl_str_mv spa
language spa
dc.rights.coar.fl_str_mv http://purl.org/coar/access_right/c_abf2
dc.rights.acceso.spa.fl_str_mv Abierto (Texto Completo)
rights_invalid_str_mv Abierto (Texto Completo)
http://purl.org/coar/access_right/c_abf2
dc.format.spa.fl_str_mv pdf
dc.format.mimetype.spa.fl_str_mv application/pdf
dc.coverage.spatial.spa.fl_str_mv cead_-_josé_acevedo_y_gómez
dc.publisher.spa.fl_str_mv Universidad Nacional Abierta y a Distancia UNAD
dc.source.spa.fl_str_mv instname:Universidad Nacional Abierta y a Distancia
reponame:Repositorio Institucional de la Universidad Nacional Abierta y a Distancia
instname_str Universidad Nacional Abierta y a Distancia
institution Universidad Abierta y a Distancia UNAD
reponame_str Repositorio Institucional de la Universidad Nacional Abierta y a Distancia
collection Repositorio Institucional de la Universidad Nacional Abierta y a Distancia
bitstream.url.fl_str_mv http://repository.unad.edu.co/bitstream/10596/9161/3/1022324147.pdf.jpg
http://repository.unad.edu.co/bitstream/10596/9161/1/1022324147.pdf
http://repository.unad.edu.co/bitstream/10596/9161/2/license.txt
bitstream.checksum.fl_str_mv 523be085ad02c04e764e29a6a52bef9f
2ed32dff55d389313f48af218476f6ee
e84c16672a0ddb98962c1a1dc0783420
bitstream.checksumAlgorithm.fl_str_mv MD5
MD5
MD5
repository.name.fl_str_mv Repositorio Institucional UNAD
repository.mail.fl_str_mv gescontenidos@unad.edu.co
_version_ 1814301324038111232
spelling González García, SalomónPiedrahita Villarraga, Elkin Mauriciocead_-_josé_acevedo_y_gómez2016-12-07T00:55:08Z2016-12-07T00:55:08Z2016-10-29https://repository.unad.edu.co/handle/10596/9161Desarrollar una aplicación web podría conllevar un gran número de riesgos informáticos inherentes, existen diferentes tipos de técnicas que han sido utilizadas para tomar provecho de este tipo de aplicaciones algunas de las más conocidas se pueden encontrar en el top OWASP 10, sin embargo día a día nuevas vulnerabilidades son encontradas y la posibilidad que un riesgo se materialicé es cada vez mayor. Por esta razón, las empresas que hacen uso de este tipo de aplicaciones deben tomar conciencia de las vulnerabilidades a las que pueden estar expuestos y establecer algún tipo de control que permita disminuir los riesgos. Los controles que se pueden llevar a cabo en una aplicación web son dos, el primero es realizar una auditoria periódica donde se hace una revisión del código y se ejecutan pruebas de sombrero blanco con el fin de encontrar algún tipo de vulnerabilidad, la segunda es implementar un firewall de aplicación web. Cada control ofrece sus ventajas y desventajas, y en el mejor de los casos lo ideal sería disponer de ambos, si bien la auditoria permitiría generar código más robusto habría una brecha de seguridad en el lapso que una nueva vulnerabilidad sea encontrada hasta el momento en que la auditoria sea realizada. Así que disponer de un WAF que esté en todo momento revisando las peticiones de los usuarios podría incrementar el nivel de seguridad. Ahora la pregunta sería, ¿Qué nivel de seguridad y confiabilidad ofrece un WAF?, históricamente los WAF empezaron a ganar popularidad luego que en el Consejo de Estándares de Seguridad (PCI-DSS) exigieran a las entidades emisoras de tarjetas de crédito realizar controles sobre las aplicaciones web bien sea por revisión del código o mediante un WAF. Hoy en día existen diferentes fabricantes dedicados al desarrollo de WAF y analizando lenguajes de programación tales como HTML, HTTPS, SOAP and XML-RPC, además permiten prevenir ataques como XSS, inyecciones de SQL, secuestro de sesión, desbordamiento de buffer, ataques de día cero entre otros. Así que con base en la anterior los WAF hoy en día tienen una gran reputación y ofrecen un alto nivel de seguridad. Teniendo en cuenta que existen tantas marcas de WAF así como beneficios a nivel seguridad, este proyecto se enfocó en evaluar las diferencias que podrían existir entre un WAF comercial frente a uno de libre de distribución, esta comparación se hizo con base en el Top 10 de OWASP donde cada una de las vulnerabilidades fue probada en cada uno de los WAF. La implementación del esquema de pruebas requirió que el WAF operará en un modo de proxy reverso de esta forma el servidor web no sufrió ningún tipo de alteración durante el desarrollo del proyecto y así garantizar unas pruebas ecuánimes. Los resultados obtenidos de la prueba han permitido evidenciar que el WAF de marca F5 dispone una plantilla de gran cantidad lenguajes de programación web que permiten implementar reglas tan granulares tanto como se especifiquen por el administrador, además dispone un consola de administración web amigable que permite identificar de forma fácil el ataque o información anómala detectada, también se observa que la herramienta dispone de esquema de aprendizaje el cual permite notificar al WAF eventos como falso positivos y aceptar parámetros que en un principio son marcados como anómalos y lo cual es modelo de seguridad positivo permitiendo tener una mayor escalabilidad. Por su parte Modsecurity ofrece una gran versatilidad para el desarrollo de nuevas firmas de ataques, su consola de administración es a través de línea de comando, y el nivel de seguridad que se ofrece es igual al proporcionado por WAF de marca F5 con base en las pruebas realizadas en este proyecto, las cuales no involucrando técnicas avanzadas de ataques web. Así que los niveles de seguridad brindados por el WAF comercial como el de libre distribución están iguales, sin embargo las diferencias radican en las funcionalidades que ofrece el WAF comercial que permite una mayor escalabilidad y mejor modelo de implementación.Developing a web application could entail a large number of inherent computer risks, there are different types of techniques that have been used to take advantage of these types of applications some of the best known can be found in the top OWASP 10, however day by day New vulnerabilities are encountered and the possibility that a risk materialized is increasing. For this reason, companies that use this type of applications must be aware of the vulnerabilities to which they may be exposed and establish some type of control to reduce risks. The controls that can be performed in a web application are two, the first is to perform a periodic audit where the code is checked and white hat tests are run in order to find some kind of vulnerability, the second is to implement A web application firewall. Each control offers its advantages and disadvantages, and in the best case the ideal would be to have both, although the audit would allow to generate more robust code would have a security gap in the time that a new vulnerability is found until the moment in which The audit is performed. So having a WAF that is at all times reviewing the requests of users could increase the level of security. Now the question would be, what level of security and reliability does a WAF ?, WAF historically began to gain popularity after the PCI-DSS required credit card issuers to perform checks on The web applications either by revision of the code or by means of a WAF. Nowadays there are different manufacturers dedicated to the development of WAF and analyzing programming languages ​​such as HTML, HTTPS, SOAP and XML-RPC, besides they can prevent attacks like XSS, SQL injections, session hijacking, buffer overflow, day attacks Zero among others. So based on the above the WAFs today have a great reputation and offer a high level of security. Considering that there are so many WAF marks as well as security benefits, this project focused on evaluating the differences that could exist between a commercial WAF versus a free-distribution one, this comparison was based on the Top 10 of OWASP where each of the vulnerabilities was tested in each of the WAFs. The implementation of the test scheme required that the WAF will operate in a reverse proxy mode in this way the web server did not suffer any type of alteration during the development of the project and thus ensure fair tests. The results obtained from the test have made it possible to show that the WAF F5 brand has a large number of web programming languages ​​that allow the implementation of such granular rules as specified by the administrator, and has a friendly web management console that allows the identification It is also observed that the tool has a learning scheme which allows to notify the WAF events as false positives and to accept parameters that are initially marked as anomalous and which is a positive security model Allowing greater scalability. On the other hand, Modsecurity offers a great versatility for the development of new signatures of attacks, its console of administration is through line of command, and the level of security that is offered is equal to the one provided by WAF of mark F5 based on the Tests carried out in this project, which do not involve advanced techniques of web attacks. So the security levels offered by the commercial WAF as the free distribution are the same, however the differences lie in the functionality offered by the commercial WAF that allows a greater scalability and better implementation model.pdfapplication/pdfspaUniversidad Nacional Abierta y a Distancia UNADinstname:Universidad Nacional Abierta y a Distanciareponame:Repositorio Institucional de la Universidad Nacional Abierta y a DistanciaAnálisis comparativo de un Firewall de aplicaciones web comerciales y un Open Source frente al top 10 de Owasp.Proyecto Aplicado o Tesisinfo:eu-repo/semantics/bachelorThesisTrabajo de gradohttp://purl.org/coar/resource_type/c_7a1fVulnerabilidades WebFirewall de aplicación webOWASPRiesgos InformáticosAplicación WebAbierto (Texto Completo)http://purl.org/coar/access_right/c_abf2THUMBNAIL1022324147.pdf.jpg1022324147.pdf.jpgIM Thumbnailimage/jpeg4177http://repository.unad.edu.co/bitstream/10596/9161/3/1022324147.pdf.jpg523be085ad02c04e764e29a6a52bef9fMD53ORIGINAL1022324147.pdf1022324147.pdfAnálisis comparativo de un Firewall de aplicaciones web comerciales y un Open Source frente al top 10 de Owaspapplication/pdf5023469http://repository.unad.edu.co/bitstream/10596/9161/1/1022324147.pdf2ed32dff55d389313f48af218476f6eeMD51LICENSElicense.txtlicense.txttext/plain; charset=utf-84481http://repository.unad.edu.co/bitstream/10596/9161/2/license.txte84c16672a0ddb98962c1a1dc0783420MD5210596/9161oai:repository.unad.edu.co:10596/91612020-08-26 15:59:54.313Repositorio Institucional UNADgescontenidos@unad.edu.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