Mostrar el registro sencillo del ítem
Análisis comparativo de un Firewall de aplicaciones web comerciales y un Open Source frente al top 10 de Owasp.
| dc.contributor.advisor | González García, Salomón | |
| dc.coverage.spatial | cead_-_josé_acevedo_y_gómez | spa |
| dc.creator | Piedrahita Villarraga, Elkin Mauricio | |
| dc.date.accessioned | 2016-12-07T00:55:08Z | |
| dc.date.available | 2016-12-07T00:55:08Z | |
| dc.date.created | 2016-10-29 | |
| dc.identifier.uri | https://repository.unad.edu.co/handle/10596/9161 | |
| dc.description.abstract | Desarrollar una aplicación web podría conllevar un gran número de riesgos informáticos inherentes, existen diferentes tipos de técnicas que han sido utilizadas para tomar provecho de este tipo de aplicaciones algunas de las más conocidas se pueden encontrar en el top OWASP 10, sin embargo día a día nuevas vulnerabilidades son encontradas y la posibilidad que un riesgo se materialicé es cada vez mayor. Por esta razón, las empresas que hacen uso de este tipo de aplicaciones deben tomar conciencia de las vulnerabilidades a las que pueden estar expuestos y establecer algún tipo de control que permita disminuir los riesgos. Los controles que se pueden llevar a cabo en una aplicación web son dos, el primero es realizar una auditoria periódica donde se hace una revisión del código y se ejecutan pruebas de sombrero blanco con el fin de encontrar algún tipo de vulnerabilidad, la segunda es implementar un firewall de aplicación web. Cada control ofrece sus ventajas y desventajas, y en el mejor de los casos lo ideal sería disponer de ambos, si bien la auditoria permitiría generar código más robusto habría una brecha de seguridad en el lapso que una nueva vulnerabilidad sea encontrada hasta el momento en que la auditoria sea realizada. Así que disponer de un WAF que esté en todo momento revisando las peticiones de los usuarios podría incrementar el nivel de seguridad. Ahora la pregunta sería, ¿Qué nivel de seguridad y confiabilidad ofrece un WAF?, históricamente los WAF empezaron a ganar popularidad luego que en el Consejo de Estándares de Seguridad (PCI-DSS) exigieran a las entidades emisoras de tarjetas de crédito realizar controles sobre las aplicaciones web bien sea por revisión del código o mediante un WAF. Hoy en día existen diferentes fabricantes dedicados al desarrollo de WAF y analizando lenguajes de programación tales como HTML, HTTPS, SOAP and XML-RPC, además permiten prevenir ataques como XSS, inyecciones de SQL, secuestro de sesión, desbordamiento de buffer, ataques de día cero entre otros. Así que con base en la anterior los WAF hoy en día tienen una gran reputación y ofrecen un alto nivel de seguridad. Teniendo en cuenta que existen tantas marcas de WAF así como beneficios a nivel seguridad, este proyecto se enfocó en evaluar las diferencias que podrían existir entre un WAF comercial frente a uno de libre de distribución, esta comparación se hizo con base en el Top 10 de OWASP donde cada una de las vulnerabilidades fue probada en cada uno de los WAF. La implementación del esquema de pruebas requirió que el WAF operará en un modo de proxy reverso de esta forma el servidor web no sufrió ningún tipo de alteración durante el desarrollo del proyecto y así garantizar unas pruebas ecuánimes. Los resultados obtenidos de la prueba han permitido evidenciar que el WAF de marca F5 dispone una plantilla de gran cantidad lenguajes de programación web que permiten implementar reglas tan granulares tanto como se especifiquen por el administrador, además dispone un consola de administración web amigable que permite identificar de forma fácil el ataque o información anómala detectada, también se observa que la herramienta dispone de esquema de aprendizaje el cual permite notificar al WAF eventos como falso positivos y aceptar parámetros que en un principio son marcados como anómalos y lo cual es modelo de seguridad positivo permitiendo tener una mayor escalabilidad. Por su parte Modsecurity ofrece una gran versatilidad para el desarrollo de nuevas firmas de ataques, su consola de administración es a través de línea de comando, y el nivel de seguridad que se ofrece es igual al proporcionado por WAF de marca F5 con base en las pruebas realizadas en este proyecto, las cuales no involucrando técnicas avanzadas de ataques web. Así que los niveles de seguridad brindados por el WAF comercial como el de libre distribución están iguales, sin embargo las diferencias radican en las funcionalidades que ofrece el WAF comercial que permite una mayor escalabilidad y mejor modelo de implementación. | spa |
| dc.format | spa | |
| dc.format.mimetype | application/pdf | spa |
| dc.language.iso | spa | spa |
| dc.publisher | Universidad Nacional Abierta y a Distancia UNAD | spa |
| dc.source | instname:Universidad Nacional Abierta y a Distancia | spa |
| dc.source | reponame:Repositorio Institucional de la Universidad Nacional Abierta y a Distancia | spa |
| dc.title | Análisis comparativo de un Firewall de aplicaciones web comerciales y un Open Source frente al top 10 de Owasp. | spa |
| dc.type | Proyecto aplicado | spa |
| dc.type | info:eu-repo/semantics/bachelorThesis | spa |
| dc.subject.keywords | Vulnerabilidades Web | spa |
| dc.subject.keywords | Firewall de aplicación web | spa |
| dc.subject.keywords | OWASP | spa |
| dc.subject.keywords | Riesgos Informáticos | spa |
| dc.subject.keywords | Aplicación Web | spa |
| dc.description.abstractenglish | Developing a web application could entail a large number of inherent computer risks, there are different types of techniques that have been used to take advantage of these types of applications some of the best known can be found in the top OWASP 10, however day by day New vulnerabilities are encountered and the possibility that a risk materialized is increasing. For this reason, companies that use this type of applications must be aware of the vulnerabilities to which they may be exposed and establish some type of control to reduce risks. The controls that can be performed in a web application are two, the first is to perform a periodic audit where the code is checked and white hat tests are run in order to find some kind of vulnerability, the second is to implement A web application firewall. Each control offers its advantages and disadvantages, and in the best case the ideal would be to have both, although the audit would allow to generate more robust code would have a security gap in the time that a new vulnerability is found until the moment in which The audit is performed. So having a WAF that is at all times reviewing the requests of users could increase the level of security. Now the question would be, what level of security and reliability does a WAF ?, WAF historically began to gain popularity after the PCI-DSS required credit card issuers to perform checks on The web applications either by revision of the code or by means of a WAF. Nowadays there are different manufacturers dedicated to the development of WAF and analyzing programming languages such as HTML, HTTPS, SOAP and XML-RPC, besides they can prevent attacks like XSS, SQL injections, session hijacking, buffer overflow, day attacks Zero among others. So based on the above the WAFs today have a great reputation and offer a high level of security. Considering that there are so many WAF marks as well as security benefits, this project focused on evaluating the differences that could exist between a commercial WAF versus a free-distribution one, this comparison was based on the Top 10 of OWASP where each of the vulnerabilities was tested in each of the WAFs. The implementation of the test scheme required that the WAF will operate in a reverse proxy mode in this way the web server did not suffer any type of alteration during the development of the project and thus ensure fair tests. The results obtained from the test have made it possible to show that the WAF F5 brand has a large number of web programming languages that allow the implementation of such granular rules as specified by the administrator, and has a friendly web management console that allows the identification It is also observed that the tool has a learning scheme which allows to notify the WAF events as false positives and to accept parameters that are initially marked as anomalous and which is a positive security model Allowing greater scalability. On the other hand, Modsecurity offers a great versatility for the development of new signatures of attacks, its console of administration is through line of command, and the level of security that is offered is equal to the one provided by WAF of mark F5 based on the Tests carried out in this project, which do not involve advanced techniques of web attacks. So the security levels offered by the commercial WAF as the free distribution are the same, however the differences lie in the functionality offered by the commercial WAF that allows a greater scalability and better implementation model. | spa |
| dc.type.hasVersion | info:eu-repo/semantics/acceptedVersion | spa |
| dc.type.spa | Trabajo de grado | spa |
| dc.rights.accesRights | info:eu-repo/semantics/openAccess | spa |
| dc.rights.acceso | Abierto (Texto Completo) | spa |
Ficheros en el ítem
Este ítem aparece en la(s) siguiente(s) colección(ones)
-
Seguridad informática [631]
