Para mejorar la seguridad de nuestro servidor Plesk es recomendable activar y configurar ModSecurity. En esta serie de posts de securización de servidores VPS Linux con Plesk, después de ver como cambiar el puerto ssh de nuestro servidor , como activar Fail2Ban, o como bloquear IPs con IpTables, veremos como como instalar y configurar ModSecurity.
¿Qué es ModSecurity?
ModSecurity no es un firewall tradicional, podemos entenderlo como un firewall de aplicaciones Web. ModSecurity se inicia desde el servidor web Apache de nuestro servidor Linux. Una de sus funciones es la monitorización de todo el trafico HTTP, tanto POST como GET que se transfiere usando Apache. Junto con la monitorización se realiza un estudio en tiempo real de todo el trafico. Al configurar ModSecurity, mediante un conjunto de reglas podemos aplicar seguridad, para denegar ciertas peticiones. De esta forma nos permite evitar por ejemplo ataques de Inyección SQL así como otros tipos de ataques.
ModSecurity en Plesk
En Plesk 12 se han incluido varias funciones para mejorar la seguridad, entre las cuales destacan la integración completa de la ModSecurity. Una aplicación Open Source para el servidor web Apache. La integración nos proporciona una interfaz de configuración fácil, así como unas reglas predeterminadas que pueden ayudarnos a prevenir ataques de seguridad, ataques maliciosos y solicitudes con formato incorrecto a sus sitios web. Esta funcionalidad está accesible para todas las ediciones de Plesk 12 como «Core Security».
Instalar ModSecurity
Normalmente ModSecurity no esta instalado por defecto en Plesk. En esta guía veremos cómo realizar el proceso en Plesk 17.5. Para instalar y configurar ModSecurity seguiremos estos pasos:
Primero accederemos a en nuestro panel Plesk, a través de la IP de nuestro servidor y el puerto 8443.
https://IP_de_nuestro_Servidor:8443
Introducimos el usuario y contraseña de un usuario con privilegios de administrador.
Una hayamos accedido al panel de Plesk, pulsaremos en el menú de la izquierda en ‘Herramientas y configuración’
A continuación pulsaremos en la opción ‘Actualizaciones’
Al pulsar en Actualizaciones se nos abrirá un nuevo panel de instalación. Este es el panel de instalación de componentes y actualizaciones de Plesk.
También se puede acceder directamente a este panel con la ip del servidor y el puerto 8447, es decir https://IP_de_nuestro_Servidor:8447
Una vez dentro de este panel pulsaremos la opción ‘Adición / eliminación de componentes’
En la lista de componentes instalados buscaremos ModSecuirty:
Pulsamos en el desplegable y marcamos la opción ‘Instalar’. A continuación pulsamos el botón ‘Continuar’ para que inicie la instalación.
Veremos que el proceso arranque y aparece un log con el proceso de instalación.
Una vez completado aparecerá un mensaje indicando que la instalación ha sido correcta:
A continuación pulsamos OK y el sistema volverá al panel principal de Plesk. Ahora solo falta configurar ModSecurity para su correcto funcionamiento.
Configurar ModSecurity
A continuación configuraremos ModSecurity en nuestro servidor con Plesk.
Para ello nos dirigiremos a ‘Herramientas y configuración’ en el panel lateral izquierdo, y pulsaremos en ‘Firewall para aplicaciones web (ModSecurity)’:
A continuación podemos elegir que modo de ModSecurity queremos activar:
- Desactivado: La opción por defecto. ModSecurity esta instalado pero desactivado
- Solo detección: ModSecurity esta activo pero no realiza ninguna acción de bloqueo. Solo analiza todo el trafico y va registrándolo en un log.
- Activado: ModSecuirty esta activado y funcionando. Verifica todo el trafico y realiza acciones en función del conjunto de reglas activado.
Inicialmente activaremos la opción ‘Solo detección’ y revisaremos los logs durante unos días. De esta forma nos aseguraremos que el sistema no bloquea ninguna de las aplicaciones que usamos en nuestro servidor. Si pasados unos días observamos que no bloquea ninguna aplicación que necesitamos pasaremos al modo ‘Activado’.
En la pestaña ‘Configuración’ podemos elegir el conjunto de reglas que determinaran el nivel de seguridad del firewall.
- Atomic Basic ModSecurity: Proporciona la funcionalidad básica a nuestro firewall de aplicaciones. Creado por Atomic Corp y el que usaremos de forma más habitual. Incluye:
- Protección frente a inyección SQL.
- Protección frente a código en sitios cruzados.
- Parches virtuales limitados
- Protección frente a ataques de inclusión/inyección de archivos local
- Protección frente a inyección de comandos.
- OWASP ModSecurity: El conjunto de reglas de OWASP es mucho más restrictivo y por lo tanto suele bloquear muchas de las funciones de nuestro servidor, como puede ser el servicio de email o algunas aplicaciones web, como WordPress.
- Reglas de ModSecurity avanzadas de Atomicorp (suscripción): Es la opción más completa de las reglas de Atomic Corp. Incluye todas las prestaciones de seguridad así como mejoras a nivel de rendimiento. Se actualiza en tiempo real, pero es necesario una suscripción de pago.
- Comodo ModSecurity (suscripción): Conjunto de reglas de firewall creado y publicado por Comodo. En este caso, también es necesaria una suscripción de pago.
- Conjunto de reglas personalizado: Por último podemos crear nuestros propios conjuntos de reglas y cargarlos al firewall. Obviamente este es la funcionalidad más compleja, solo pasa usuarios expertos.
Igual que en el punto anterior, por defecto usaremos las reglas Atomic Basic ModSecurity y marcaremos la opción para que estas se actualicen diariamente.
Por ultimo es posible elegir el modo de análisis de nuestro firewall de Aplicaciones:
Por defecto usaremos la opción ‘Rápido’ para afectar lo mínimo posible al rendimiento de nuestro servidor. Una vez finalizado estos pasos, configurar ModSecurity debe de haber sido tarea fácil y todo debe funcionar correctamente.
Si esta guía para instalar y configurar ModSecurity te ha parecido util, no dudes en compartirla. Y si quieres mejorar la seguridad de tu servidor, lee el post para activar Fail2Ban en tu servidor o cambiar el puerto ssh de tu servidor.
En XpertiX somos especialistas en la administración de servidores, si quieres tener tus servidores funcionando correctamente las 24 horas no dudes en contactar con XpertiX.