SlideShare una empresa de Scribd logo

CodeSeeker: Un firewall de Nivel 7 OpenSource. No Con Name 2003

Internet Security Auditors
Internet Security Auditors

El documento describe CodeSeeker, un firewall de nivel 7 de código abierto. Habla sobre sus funcionalidades actuales como filtrar tráfico sospechoso y generar alertas, y funcionalidades futuras como actuar como proxy. También describe proyectos de OWASP como WebGoat para realizar ataques de prueba controlados, y OWASP Top Ten que enumera los 10 tipos más comunes de vulnerabilidades web.

Tecnología
1 de 34
Descargar para leer sin conexión
CodeSeeker – Un Firewall de Nivel 7 OpenSource
CodeSeeker – Un Firewall de Nivel 7 OpenSource Índice Conceptos de Redes TCP/IP Firewalls Tipos de Firewalls CodeSeeker Funcionalidades actuales Funcionalidades futuras Arquitectura OWASP Top Ten OWASP Proyectos de la OWASP: Desarrollo Documentación oPortal VulnXML WAS-XML WebGoat Ataques Web con WebGoat Ataques Web típicos Protección con CodeSeeker {Demostraciones
CodeSeeker – Un Firewall de Nivel 7 OpenSource OWASP (Open Web Application Security Project) • Se crea en Septiembre de 2001. • Surge como una idea en la lista de discusión web-app-sec. • Mark Curphey (fundador de OWASP), entre otros, planteaban la necesidad de disponer de un manual similar al OSSTMM de Pete Herzog (fundador de ISECOM) pero dedicado en exclusiva a aplicaciones web. • Su objetivo es aunar esfuerzos y ser un referente OpenSource para ingenieros de sistemas, desarrolladores, fabricantes, proveedores y profesionales de la seguridad. • Ayudar a construir aplicaciones y servicios web más seguros. • Publicar guías y herramientas para el Diseño, Desarrollo, Implantación y Testing de aplicaciones y servicios web y de la seguridad de estas.
CodeSeeker – Un Firewall de Nivel 7 OpenSource Proyectos de la OWASP (I) • Se coordinan estos tipos proyectos: Documentación Desarrollo oPortal
CodeSeeker – Un Firewall de Nivel 7 OpenSource Proyectos de la OWASP (II) • Desarrollo: WebScarab: Es una suite de herramientas para el análisis de aplicaciones web que incluye detectores de vulnerabilidades, proxies para análisis de datos transmitidos, etc. CodeSeeker: Consiste en un Firewall e IDS “similar a los comerciales” a Nivel 7 que funciona bajo Windows, Solaris y Linux y soporta IIS, Apache e iPlanet. WebGoat: Es un mini-portal de entrenamiento para realizar ataques controlados a nivel de aplicación web. Permite simular ataques habituales que se producen explotando deficiencias de seguridad en las aplicaciones web. OWASP Commons Library (OCL): Pretende ser una librería rápida, de pequeño tamaño y centrada en la seguridad. Está programada en Java para permitir la construcción de aplicaciones web escalables y seguras corriendo sobre un motor de servlets J2EE sin apenas consumir recursos.
CodeSeeker – Un Firewall de Nivel 7 OpenSource Proyectos de la OWASP (III) • Documentación (I): Guía de Desarrollo Seguro de Aplicaciones Web: Esta guía, con 2 millones de descargas (v1.0), y que en su versión 2.0 será publicada como un manual (existe una beta en PDF) está orientada a arquitectos, desarrolladores y auditores que quieren conocer que “buenas maneras” deben tenerse en cuenta en el desarrollo de aplicaciones web. Testing Framework: Proyecto que pretende documentar estrategias y técnicas que permitan testear y analizar aplicaciones web para la búsqueda de vulnerabilidades. OWASP Top Ten: Es un documento inspirado en el Top 20 de SANS. Remarca los más importantes y frecuentes problemas de seguridad que suelen darse en las aplicaciones web hoy en día. Coming soon – The OWASP Top Ten for Java and PHP!
CodeSeeker – Un Firewall de Nivel 7 OpenSource Proyectos de la OWASP (IV) • Documentación (II): Política de Seguridad Web : Pretende ser una “plantilla” para el diseño de políticas de seguridad para aplicaciones web. ISO-17799 & Seguridad Web : Este proyecto quiere documentar la forma en que la ISO17799 puede o debe ser aplicada en el proceso de diseño, desarrollo y despliegue de aplicaciones web en producción.
CodeSeeker – Un Firewall de Nivel 7 OpenSource Proyectos de la OWASP (V) • oPortal: Un portal basado en Java y diseñado con la seguridad como principal aspecto. También es OpenSource, con lo que cualquiera podrá emplear el código para crear su propio portal.
CodeSeeker – Un Firewall de Nivel 7 OpenSource VulnXML Web Application Security Vulnerability Description Language El objetivo principal era unificar la definición de vulnerabilidades a nivel de aplicación web de manera que su difusión fuese rápida y universal. Los advisories no sirven de nada si las empresas no pueden extraer una protección a partir de ellos de forma directa. Si con los advisories, al igual que con los sellos “CVE Compliant” o el estándar del EISPP se busca normalizarlos, se emitiesen en un formato XML universal, los sistemas de protección podrían hablar un lenguaje universal. El proyecto se congela tras un año. Todo el trabajo producido es traspasado este año a OASIS, un organismo de producción de estándares. Su sucesor será el proyecto WAS-XML.
CodeSeeker – Un Firewall de Nivel 7 OpenSource WAS-XML Web Application Security XML • En Junio de 2003 OASIS continúa el trabajo de la OWASP con tres objetivos: 1. Un esquema de clasificación para vulnerabilidades web de seguridad. 2. Un modelo para proveer orientación para el tratamiento inicial de amenazas, su impacto y por ende, ratios de riesgos asociados. 3. Un esquema XML para describir las condiciones de seguridad en web que puedan ser empleadas en herramientas de análisis y protección de seguridad (escáneres de vulnerabilidades, firewalls de aplicación, sistemas de detección de intrusos, etc.)
CodeSeeker – Un Firewall de Nivel 7 OpenSource WebGoat (I) • La idea básica de WebGoat es poder probar los ataques web en un entorno quasi-real pero controlado. • Es una aplicación web con características similares a una real. • Permite opciones simples de análisis de cookies, código fuente, etc. • Permite realizar ataques en forma de “caja negra”, tal y como pasa en el mundo real. • Con una herramienta de captura de tráfico HTTP podemos estudiar fácilmente los ataques. • Conociendo estos ataques podemos entender cómo y por qué son explotados. • Es OpenSource, podemos colaborar en su mejora y en aportar nuevas ideas.
CodeSeeker – Un Firewall de Nivel 7 OpenSource WebGoat (II) • ¿Qué permite WebGoat? Conocer los conceptos básicos de HTTP Ataques de Cross Site Scripting (XSS) Ataques en procesos de Autenticación débiles Exploit de Campos Ocultos Analizar HTML para obtener información Ataques de inyección de parámetros Ataques de SQL Injection Explotar deficiencias de Seguridad entre Threads Exploit de direcciones de Email Spoofing de Cookies de Autenticación Reto
CodeSeeker – Un Firewall de Nivel 7 OpenSource Conceptos de Redes • El Modelo OSI: 7 Capas • El Modelo TCP/IP: 4 Capas
CodeSeeker – Un Firewall de Nivel 7 OpenSource TCP/IP • Paso de Datos entre capas
CodeSeeker – Un Firewall de Nivel 7 OpenSource Firewalls • Parámetros usados para el filtrado - Datos TCP: Flags - Datos IP: Dirección IP Origen Dirección IP Destino
CodeSeeker – Un Firewall de Nivel 7 OpenSource Screening Routers / Statefull Firewalls / Firewalls de Nivel 7
CodeSeeker – Un Firewall de Nivel 7 OpenSource CodeSeeker (I) • CodeSeeker surge como un producto de la empresa de Silicon Valley, Butterfly Security. Que en el 2001, la empresa cierra. • En lugar de tirar a la basura el proyecto, a finales de 2002, Gabriel Lawrence (fundador de la empresa), decide liberar el código, darle licencia GPL y convertirlo en un proyecto OpenSource. • Así, a principios de 2003 está disponible la primera versión del código fuente, en versión “pre-alpha”. • Los objetivos del proyecto: convertirse en un Firewall de Aplicación comparable a productos comerciales de Sanctum, Kavado y SpyDinamics, fabricantes de soluciones de FW de Nivel 7, pero coste 0 para que todas las empresas se puedan aprovechar de esta tecnología. • Actualmente el proyecto lleva un retraso de 6-9 meses, sobretodo debido a la poca documentación del proyecto y a que su desarrollo sobre Linux no es el más avanzado. Las expectativas de G.L. en el proyecto son grandes y ya son muchas las personas que quieren colaborar en él.
CodeSeeker – Un Firewall de Nivel 7 OpenSource CodeSeeker (II)
CodeSeeker – Un Firewall de Nivel 7 OpenSource CodeSeeker (III) • Las funcionalidades actuales: 1. Permite definir políticas de seguridad asociadas a cada uno de los servidores. 2. Existen cuatro políticas genéricas de seguridad: • Dejar pasar todo el tráfico, logeando las URL sospechosas. • Bloquear tráfico sospechoso basado en patrones de vulnerabilidades. • Bloquear tráfico sospechoso basado en comportamientos genéricos. • Bloquear todo el tráfico sospechoso. 3. Para cada una de las alertas/vulnerabilidades permite definir cuatro tipos de acciones de notificación: • Enviar un correo electrónico. • Generar un evento en el syslog. • Generar un evento en el NT Event Log. • Loggear el evento a un fichero.
CodeSeeker – Un Firewall de Nivel 7 OpenSource CodeSeeker (IV) 3. También permite dos opciones en la navegación (del atacante): • Bloquear la petición con una un error configurable. • Redigir la petición a otra URL. 4. Podemos aplicar filtros de inclusión o exclusión en el filtrado, a archivos, carpetas o toda la web. 5. En cuanto a las herramientas de análisis: • Ofrencen información gráfica de los ataques más detectados. • La URL de ataques más detectados. • Las máquinas que más alarmas han hecho saltar. • De cada uno de los ataques podremos saber la hora a la que se produjo, origen, URL, servidor en el que se produjo, etc.
CodeSeeker – Un Firewall de Nivel 7 OpenSource CodeSeeker (V) • Las funcionalidades previstas a corto plazo son: 1. Transformarlo para su funcionamiento como proxy: • Permitir que CodeSeeker funcione como un proxy, aplicando los controles de seguridad a las peticiones HTTP que pasen por él. • Convertir CodeSeeker en un terminador SSL o en túnel SSL entre cliente y servidor web empleando certificados compartidos. • Permitir que CodeSeekeer se comporte como un balanceador de carga, permitiendo repartir las peticiones a los diferentes backends por detrás de él. 2. Integrarlo con VulnXML WAS-XML • Conseguir que CodeSeeker lea y emplee las descripciones que establecerá el estándar WAS-XML de OASIS para sus reglas de filtrado y detección. • Dar a CodeSeeker la capacidad de crear reglas para la BD WAS-XML de forma dinámica a partir de tráfico sospechoso.
CodeSeeker – Un Firewall de Nivel 7 OpenSource CodeSeeker (VI) • Las funcionalidades previstas a largo plazo son: 1.Informes más flexibles y atractivos permitiendo obtener análisis a a partir de la actividad reportada. 2.Documentación de Instalación y Referencia. Ampliando el breve documento de instalación y uso que existe ahora. 3.Mejoras de rendimiento generales.
CodeSeeker – Un Firewall de Nivel 7 OpenSource CodeSeeker (VII) • Su arquitectura se basa en dos componentes: Conectores: • Son los agentes que se instalan en los servidores web. • Se encargan de capturar o bloquear el tráfico HTTP. • Por su estructura y la disposición en la pila IP, pueden parsear un ancho de banda elevado. • Debido a que están en esa posición también, son capaces de leer el tráfico SSL, ya que acceden a los datos HTTP después de su desencriptado. De esta forma no requieren certificados ni ningún otro tipo de “extra”. • Los conectores también pueden operar en entornos de balanceadores de carga sin la necesidad de distribuir el tráfico de ninguna forma especial. • Actualmente existen conectores para Windows NT, Solaris y, en versión beta, para Linux. • Están desarrollados C y C++.
CodeSeeker – Un Firewall de Nivel 7 OpenSource CodeSeeker (VII) • Los conectores se añaden como un filtro más dentro de IIS:
CodeSeeker – Un Firewall de Nivel 7 OpenSource CodeSeeker (VIII) Consolas: • Nos permiten definir, gestionar y parametrizar la políticas que se aplican en cada uno de los servidores HTTP. • Podemos monitorizar las alertas generadas, conocer qué la generó, con que datos se generó, su origen, etc. • Nos permite generar reports de análisis de la actividad. • Podemos controlar tantos conectores como queramos desde una única consola. • Es capaz de enviar información sobre esta monitorización a otras herramientas como HP OpenView o Tivoli a través de SNMP. • Están programados en Java. • Se pueden ejecutar sobre cualquier Java VM.
CodeSeeker – Un Firewall de Nivel 7 OpenSource CodeSeeker (IX) La Consola de Gestión (CMC) es el centro de definición de políticas de seguridad, análisis de ataques, etc.:
CodeSeeker – Un Firewall de Nivel 7 OpenSource OWASP Top Ten (I) • OWASP Top Ten define los diez tipos más críticos o comunes de vulnerabilidades en las aplicaciones web: Parámetros no validados: La información proveniente de los clientes web no se valida antes de ser usada por la aplicación web. Toda la información que deba ser utilizada en el servidor debe ser analizada previamente, preferiblemente por una capa o componente separado pero que centralice este filtrado. Control de acceso débil: En las aplicación existen puntos donde los usuarios se autentican para tener acceso a estas. Tras conseguir el acceso, se debe gestionar qué y qué no pueden hacer los usuarios. Esta gestión debe estar planificada, centralizada y monitorizada. Gestión de cuentas y sesiones inadecuada: Las credenciales de acceso y los tokens de sesión no se protegen. No se presta la atención adecuada en la gestión de las sesiones ya establecidas.
CodeSeeker – Un Firewall de Nivel 7 OpenSource OWASP Top Ten (II) Vulnerabilidades de Cross-Site Scripting (XSS): Las aplicaciones web pueden ser una forma de ataque indirecto hacia sus usuarios. Un ataque efectivo de XSS puede permitir robar información de la sesión, información almacenada en el ordenador del usuario y permitir la suplantación de este. Buffer Overflows: En componentes (CGIs, librerías, drivers, etc.) de aplicaciones web que están programados en lenguajes que no validan las longitudes de los datos que manejan, se pueden dar situaciones de error que hagan interrumpir o cambiar el flujo de ejecución, permitiendo que código malévolo tome el control del proceso. Vulnerabilidades que permitan inyección de comandos: Si los parámetros o datos no se analizan antes de ser usados, pueden permitir la inyección de comandos SQL, SO, script (PHP, ASP, etc.)
CodeSeeker – Un Firewall de Nivel 7 OpenSource OWASP Top Ten (III) Problemas en en tratamiento de errores: Habitualmente se producen condiciones de error, por valores incorrectos en datos de formularios, o caracteres inválidos, etc. Debe existir una capa de gestión de errores, que mantenga la estabilidad de la aplicación y que impida que se revele información sobre la lógica de la aplicación en estos errores. Uso inapropiado de criptografía: Las aplicaciones, frecuentemente emplean métodos débiles para proteger las credenciales o la información. Estas funciones, muchas veces, son simples algoritmos de codificación o de encriptación débil sin aportar protección real. Gestión Remota vía web: Muchos administradores emplean herramientas de gestión remota de servidores a través de aplicaciones web, pero estas no son configuradas de forma segura, permitiendo un acceso total a estas máquinas.
CodeSeeker – Un Firewall de Nivel 7 OpenSource OWASP Top Ten (IV) Configuración incorrecta de los servicios y aplicaciones web: Los Sistemas Operativos al igual que los servicios que están expuestos públicamente, tras su instalación, deben sufrir procesos de securización y tuning. Este proceso también debe aplicarse a las aplicaciones web que corren sobre estos servicios y se ejecutan sobre estos SSOO. Las opciones “out of the box” prácticamente siempre no implican seguridad.
CodeSeeker – Un Firewall de Nivel 7 OpenSource Algunos de los ataques del Top Ten en WebGoat • Unvalidated Parameters • Broken Access Control • Broken Account and Session Management • Cross-Site Scripting (XSS) • Command Injection Flaws: Parameter Injection SQL Injection
CodeSeeker – Un Firewall de Nivel 7 OpenSource Ataques Web típicos • Information Leaks • Unicode Characters • Hidden files • /etc/* Files Detector • cmd.exe Detector • .....
CodeSeeker – Un Firewall de Nivel 7 OpenSource Protección con CodeSeeker • Configuración de Políticas • Gestión de ataques • Tratamiento de alertas • Parametrización de los tipos de ataques. • Reports de estado. • etc...
CodeSeeker – Un Firewall de Nivel 7 OpenSource

Recomendados

Cortafuegos para tu pc
Cortafuegos para tu pcCortafuegos para tu pc
Cortafuegos para tu pcOscaripag
 
Firewalls open source
Firewalls open sourceFirewalls open source
Firewalls open sourceOsitoooooo
 
Actividad 5 seguridad informatica
Actividad 5 seguridad informaticaActividad 5 seguridad informatica
Actividad 5 seguridad informaticaJESSIKADG86
 
Seguridad en cisco firewall by ro ckberto
Seguridad en cisco firewall by ro ckbertoSeguridad en cisco firewall by ro ckberto
Seguridad en cisco firewall by ro ckbertoRoberto Flores
 
Firewall y seguridad de internet
Firewall y seguridad de internetFirewall y seguridad de internet
Firewall y seguridad de internetKandoloria
 
Actividad 6 seguridad informatica
Actividad 6 seguridad informaticaActividad 6 seguridad informatica
Actividad 6 seguridad informaticaJESSIKADG86
 
Firewall
FirewallFirewall
FirewallMiguel Guamán Bravo
 
Que es un firewall y su función
Que es un firewall y su funciónQue es un firewall y su función
Que es un firewall y su funciónConsuelo Sandoval
 

Recomendados

Cortafuegos para tu pc
Cortafuegos para tu pcCortafuegos para tu pc
Cortafuegos para tu pcOscaripag
 
Firewalls open source
Firewalls open sourceFirewalls open source
Firewalls open sourceOsitoooooo
 
Actividad 5 seguridad informatica
Actividad 5 seguridad informaticaActividad 5 seguridad informatica
Actividad 5 seguridad informaticaJESSIKADG86
 
Seguridad en cisco firewall by ro ckberto
Seguridad en cisco firewall by ro ckbertoSeguridad en cisco firewall by ro ckberto
Seguridad en cisco firewall by ro ckbertoRoberto Flores
 
Firewall y seguridad de internet
Firewall y seguridad de internetFirewall y seguridad de internet
Firewall y seguridad de internetKandoloria
 
Actividad 6 seguridad informatica
Actividad 6 seguridad informaticaActividad 6 seguridad informatica
Actividad 6 seguridad informaticaJESSIKADG86
 
Firewall
FirewallFirewall
FirewallMiguel Guamán Bravo
 
Que es un firewall y su función
Que es un firewall y su funciónQue es un firewall y su función
Que es un firewall y su funciónConsuelo Sandoval
 
Firewall presentaciones exposicion
Firewall presentaciones exposicionFirewall presentaciones exposicion
Firewall presentaciones exposicionJONNATAN TORO
 
Ataques y debilidades comunes
Ataques y debilidades comunesAtaques y debilidades comunes
Ataques y debilidades comunesClaudia Perez Vilchis
 
Firewall presentacion Niver
Firewall presentacion NiverFirewall presentacion Niver
Firewall presentacion NiverNiver Daniel Navarro Garrido
 
Firewalls
FirewallsFirewalls
FirewallsEugenia Nuñez
 
Exposicion de avira equipo 6 ecec
Exposicion de avira equipo 6 ececExposicion de avira equipo 6 ecec
Exposicion de avira equipo 6 ececDavid Juarez
 
Avira AntiVir - Manual de Instalación
Avira AntiVir - Manual de InstalaciónAvira AntiVir - Manual de Instalación
Avira AntiVir - Manual de InstalaciónJesús Edgar Flores Contreras
 
Firewall (Corta Fuegos)
Firewall (Corta Fuegos)Firewall (Corta Fuegos)
Firewall (Corta Fuegos)Charxavier_00
 
Firewall
FirewallFirewall
Firewallguajiro27
 
Presentacion antivirus Avira
Presentacion antivirus AviraPresentacion antivirus Avira
Presentacion antivirus Aviraarym
 
M5S1
M5S1M5S1
M5S1DanielGaleana8
 
Presentacion antivirus avira
Presentacion antivirus aviraPresentacion antivirus avira
Presentacion antivirus avirahumbert78
 
Actividad 1 Firewall (FortiGate)
Actividad 1 Firewall (FortiGate)Actividad 1 Firewall (FortiGate)
Actividad 1 Firewall (FortiGate)Yeider Fernandez
 
Ug firewall & dmz
Ug firewall & dmzUg firewall & dmz
Ug firewall & dmzJuan Barahona
 
El firewall
El firewallEl firewall
El firewallDayanaVega10
 
Verdin diego
Verdin diegoVerdin diego
Verdin diegoDiegoBAhumada
 
Extensiones remotas seguras en Elastix
Extensiones remotas seguras en ElastixExtensiones remotas seguras en Elastix
Extensiones remotas seguras en ElastixPaloSanto Solutions
 
ANTIVIRUS
ANTIVIRUSANTIVIRUS
ANTIVIRUSJulio Cesar Medina Rodriguez
 
Antivirus
AntivirusAntivirus
AntivirusESPE
 
Software en la actualidad
Software en la actualidadSoftware en la actualidad
Software en la actualidadRaelyx Cordero
 
Implementación de Cloud Computing con Software Libre y medidas de seguridad p...
Implementación de Cloud Computing con Software Libre y medidas de seguridad p...Implementación de Cloud Computing con Software Libre y medidas de seguridad p...
Implementación de Cloud Computing con Software Libre y medidas de seguridad p...campus party
 
La necesidad de construir software seguro. IBM Software Summit #Start013
La necesidad de construir software seguro. IBM Software Summit #Start013La necesidad de construir software seguro. IBM Software Summit #Start013
La necesidad de construir software seguro. IBM Software Summit #Start013Internet Security Auditors
 
Open Web Application Security Project OWASP
Open Web Application Security Project OWASPOpen Web Application Security Project OWASP
Open Web Application Security Project OWASPEdwardZarate2
 

Más contenido relacionado

La actualidad más candente

Firewall presentaciones exposicion
Firewall presentaciones exposicionFirewall presentaciones exposicion
Firewall presentaciones exposicionJONNATAN TORO
 
Exposicion de avira equipo 6 ecec
Exposicion de avira equipo 6 ececExposicion de avira equipo 6 ecec
Exposicion de avira equipo 6 ececDavid Juarez
 
Firewall (Corta Fuegos)
Firewall (Corta Fuegos)Firewall (Corta Fuegos)
Firewall (Corta Fuegos)Charxavier_00
 
Presentacion antivirus Avira
Presentacion antivirus AviraPresentacion antivirus Avira
Presentacion antivirus Aviraarym
 
Presentacion antivirus avira
Presentacion antivirus aviraPresentacion antivirus avira
Presentacion antivirus avirahumbert78
 
Actividad 1 Firewall (FortiGate)
Actividad 1 Firewall (FortiGate)Actividad 1 Firewall (FortiGate)
Actividad 1 Firewall (FortiGate)Yeider Fernandez
 
Extensiones remotas seguras en Elastix
Extensiones remotas seguras en ElastixExtensiones remotas seguras en Elastix
Extensiones remotas seguras en ElastixPaloSanto Solutions
 
Antivirus
AntivirusAntivirus
AntivirusESPE
 

La actualidad más candente (18)

Firewall presentaciones exposicion
Firewall presentaciones exposicionFirewall presentaciones exposicion
Firewall presentaciones exposicion
 
Ataques y debilidades comunes
Ataques y debilidades comunesAtaques y debilidades comunes
Ataques y debilidades comunes
 
Firewall presentacion Niver
Firewall presentacion NiverFirewall presentacion Niver
Firewall presentacion Niver
 
Firewalls
FirewallsFirewalls
Firewalls
 
Exposicion de avira equipo 6 ecec
Exposicion de avira equipo 6 ececExposicion de avira equipo 6 ecec
Exposicion de avira equipo 6 ecec
 
Avira AntiVir - Manual de Instalación
Avira AntiVir - Manual de InstalaciónAvira AntiVir - Manual de Instalación
Avira AntiVir - Manual de Instalación
 
Firewall (Corta Fuegos)
Firewall (Corta Fuegos)Firewall (Corta Fuegos)
Firewall (Corta Fuegos)
 
Firewall
FirewallFirewall
Firewall
 
Presentacion antivirus Avira
Presentacion antivirus AviraPresentacion antivirus Avira
Presentacion antivirus Avira
 
M5S1
M5S1M5S1
M5S1
 
Presentacion antivirus avira
Presentacion antivirus aviraPresentacion antivirus avira
Presentacion antivirus avira
 
Actividad 1 Firewall (FortiGate)
Actividad 1 Firewall (FortiGate)Actividad 1 Firewall (FortiGate)
Actividad 1 Firewall (FortiGate)
 
Ug firewall & dmz
Ug firewall & dmzUg firewall & dmz
Ug firewall & dmz
 
El firewall
El firewallEl firewall
El firewall
 
Verdin diego
Verdin diegoVerdin diego
Verdin diego
 
Extensiones remotas seguras en Elastix
Extensiones remotas seguras en ElastixExtensiones remotas seguras en Elastix
Extensiones remotas seguras en Elastix
 
ANTIVIRUS
ANTIVIRUSANTIVIRUS
ANTIVIRUS
 
Antivirus
AntivirusAntivirus
Antivirus
 

Similar a CodeSeeker: Un firewall de Nivel 7 OpenSource. No Con Name 2003

Software en la actualidad
Software en la actualidadSoftware en la actualidad
Software en la actualidadRaelyx Cordero
 
Implementación de Cloud Computing con Software Libre y medidas de seguridad p...
Implementación de Cloud Computing con Software Libre y medidas de seguridad p...Implementación de Cloud Computing con Software Libre y medidas de seguridad p...
Implementación de Cloud Computing con Software Libre y medidas de seguridad p...campus party
 
La necesidad de construir software seguro. IBM Software Summit #Start013
La necesidad de construir software seguro. IBM Software Summit #Start013La necesidad de construir software seguro. IBM Software Summit #Start013
La necesidad de construir software seguro. IBM Software Summit #Start013Internet Security Auditors
 
Open Web Application Security Project OWASP
Open Web Application Security Project OWASPOpen Web Application Security Project OWASP
Open Web Application Security Project OWASPEdwardZarate2
 
Desarrollo de una aplicación Web para organizar Eventos Deportivos
Desarrollo de una aplicación Web para organizar Eventos DeportivosDesarrollo de una aplicación Web para organizar Eventos Deportivos
Desarrollo de una aplicación Web para organizar Eventos DeportivosAdrian Alonso Vega
 
Internet y Navegador
Internet y NavegadorInternet y Navegador
Internet y NavegadorOmar Gómez
 
VC4NM73 EQ#4-W8,U5,T4
VC4NM73 EQ#4-W8,U5,T4VC4NM73 EQ#4-W8,U5,T4
VC4NM73 EQ#4-W8,U5,T4luigiHdz
 
Introducción a la Plataforma para Móviles Android
Introducción a la Plataforma para Móviles AndroidIntroducción a la Plataforma para Móviles Android
Introducción a la Plataforma para Móviles AndroidEduardo Lazo Cisneros
 
Arquitectura 63583.pptx
Arquitectura 63583.pptxArquitectura 63583.pptx
Arquitectura 63583.pptxlvaroTorres26
 
seguridad de las aplicaciones web en el internet
seguridad de las aplicaciones web en el internetseguridad de las aplicaciones web en el internet
seguridad de las aplicaciones web en el internetssuser948499
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticawalteraguero
 
Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Alonso Caballero
 
herramientas tecnológicas
herramientas tecnológicasherramientas tecnológicas
herramientas tecnológicasGerardo Linares
 
Open stack vs open nebula
Open stack vs open nebulaOpen stack vs open nebula
Open stack vs open nebulaRobert Araujo
 
Presentacion de integracion continua (lima agile)
Presentacion de integracion continua (lima agile)Presentacion de integracion continua (lima agile)
Presentacion de integracion continua (lima agile)Gustavo Veliz
 
Actividad No. 1.10 Análisis de vulnerabilidades con VEGA en Kali Linux
Actividad No. 1.10 Análisis de vulnerabilidades con VEGA en Kali LinuxActividad No. 1.10 Análisis de vulnerabilidades con VEGA en Kali Linux
Actividad No. 1.10 Análisis de vulnerabilidades con VEGA en Kali LinuxFrancisco Medina
 
Vc4 nm73 eq#4-w8,u5,t4
Vc4 nm73 eq#4-w8,u5,t4Vc4 nm73 eq#4-w8,u5,t4
Vc4 nm73 eq#4-w8,u5,t417oswaldo
 
Lenguaje de programación java
Lenguaje de programación javaLenguaje de programación java
Lenguaje de programación javanigthfox31
 

Similar a CodeSeeker: Un firewall de Nivel 7 OpenSource. No Con Name 2003 (20)

Software en la actualidad
Software en la actualidadSoftware en la actualidad
Software en la actualidad
 
Implementación de Cloud Computing con Software Libre y medidas de seguridad p...
Implementación de Cloud Computing con Software Libre y medidas de seguridad p...Implementación de Cloud Computing con Software Libre y medidas de seguridad p...
Implementación de Cloud Computing con Software Libre y medidas de seguridad p...
 
La necesidad de construir software seguro. IBM Software Summit #Start013
La necesidad de construir software seguro. IBM Software Summit #Start013La necesidad de construir software seguro. IBM Software Summit #Start013
La necesidad de construir software seguro. IBM Software Summit #Start013
 
Open Web Application Security Project OWASP
Open Web Application Security Project OWASPOpen Web Application Security Project OWASP
Open Web Application Security Project OWASP
 
Desarrollo de una aplicación Web para organizar Eventos Deportivos
Desarrollo de una aplicación Web para organizar Eventos DeportivosDesarrollo de una aplicación Web para organizar Eventos Deportivos
Desarrollo de una aplicación Web para organizar Eventos Deportivos
 
Internet y Navegador
Internet y NavegadorInternet y Navegador
Internet y Navegador
 
VC4NM73 EQ#4-W8,U5,T4
VC4NM73 EQ#4-W8,U5,T4VC4NM73 EQ#4-W8,U5,T4
VC4NM73 EQ#4-W8,U5,T4
 
Introducción a la Plataforma para Móviles Android
Introducción a la Plataforma para Móviles AndroidIntroducción a la Plataforma para Móviles Android
Introducción a la Plataforma para Móviles Android
 
Arquitectura 63583.pptx
Arquitectura 63583.pptxArquitectura 63583.pptx
Arquitectura 63583.pptx
 
seguridad de las aplicaciones web en el internet
seguridad de las aplicaciones web en el internetseguridad de las aplicaciones web en el internet
seguridad de las aplicaciones web en el internet
 
Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0
 
Aplicaciones en red ppt
Aplicaciones en red pptAplicaciones en red ppt
Aplicaciones en red ppt
 
herramientas tecnológicas
herramientas tecnológicasherramientas tecnológicas
herramientas tecnológicas
 
Open stack vs open nebula
Open stack vs open nebulaOpen stack vs open nebula
Open stack vs open nebula
 
Presentacion de integracion continua (lima agile)
Presentacion de integracion continua (lima agile)Presentacion de integracion continua (lima agile)
Presentacion de integracion continua (lima agile)
 
Actividad No. 1.10 Análisis de vulnerabilidades con VEGA en Kali Linux
Actividad No. 1.10 Análisis de vulnerabilidades con VEGA en Kali LinuxActividad No. 1.10 Análisis de vulnerabilidades con VEGA en Kali Linux
Actividad No. 1.10 Análisis de vulnerabilidades con VEGA en Kali Linux
 
Vc4 nm73 eq#4-w8,u5,t4
Vc4 nm73 eq#4-w8,u5,t4Vc4 nm73 eq#4-w8,u5,t4
Vc4 nm73 eq#4-w8,u5,t4
 
Lenguaje de programación java
Lenguaje de programación javaLenguaje de programación java
Lenguaje de programación java
 

Más de Internet Security Auditors

Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoInternet Security Auditors
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaInternet Security Auditors
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Internet Security Auditors
 
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsProblemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsInternet Security Auditors
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosInternet Security Auditors
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOInternet Security Auditors
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaInternet Security Auditors
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)Internet Security Auditors
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?Internet Security Auditors
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCIInternet Security Auditors
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Internet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Internet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesInternet Security Auditors
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Internet Security Auditors
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...Internet Security Auditors
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidInternet Security Auditors
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.Internet Security Auditors
 

Más de Internet Security Auditors (20)

Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimiento
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
 
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsProblemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional Datos
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPO
 
PCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del CumplimientoPCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del Cumplimiento
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?
 
PCI DSS en la Nube
PCI DSS en la NubePCI DSS en la Nube
PCI DSS en la Nube
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
 
CIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINTCIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINT
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.
 

Último

FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx241522327
 
Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1ivanapaterninar
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxAlexander López
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOnarvaezisabella21
 
certificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdfcertificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdfFernandoOblitasVivan
 
Documentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosDocumentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosAlbanyMartinez7
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfedepmariaperez
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúCEFERINO DELGADO FLORES
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
tarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzztarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzzAlexandergo5
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxazmysanros90
 
Presentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia ArtificialPresentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia Artificialcynserafini89
 
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docxTALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docxobandopaula444
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxtjcesar1
 
CommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 TestcontainersCommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 TestcontainersIván López Martín
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxAlexander López
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfjeondanny1997
 
Los Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesLos Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesEdomar AR
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptchaverriemily794
 

Último (20)

FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx
 
Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
 
certificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdfcertificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdf
 
Documentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosDocumentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos Juridicos
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdf
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 
tarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzztarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzz
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptx
 
Presentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia ArtificialPresentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia Artificial
 
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docxTALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
 
CommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 TestcontainersCommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 Testcontainers
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
 
Los Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesLos Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, Aplicaciones
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
 

CodeSeeker: Un firewall de Nivel 7 OpenSource. No Con Name 2003

  • 1. CodeSeeker – Un Firewall de Nivel 7 OpenSource
  • 2. CodeSeeker – Un Firewall de Nivel 7 OpenSource Índice Conceptos de Redes TCP/IP Firewalls Tipos de Firewalls CodeSeeker Funcionalidades actuales Funcionalidades futuras Arquitectura OWASP Top Ten OWASP Proyectos de la OWASP: Desarrollo Documentación oPortal VulnXML WAS-XML WebGoat Ataques Web con WebGoat Ataques Web típicos Protección con CodeSeeker {Demostraciones
  • 3. CodeSeeker – Un Firewall de Nivel 7 OpenSource OWASP (Open Web Application Security Project) • Se crea en Septiembre de 2001. • Surge como una idea en la lista de discusión web-app-sec. • Mark Curphey (fundador de OWASP), entre otros, planteaban la necesidad de disponer de un manual similar al OSSTMM de Pete Herzog (fundador de ISECOM) pero dedicado en exclusiva a aplicaciones web. • Su objetivo es aunar esfuerzos y ser un referente OpenSource para ingenieros de sistemas, desarrolladores, fabricantes, proveedores y profesionales de la seguridad. • Ayudar a construir aplicaciones y servicios web más seguros. • Publicar guías y herramientas para el Diseño, Desarrollo, Implantación y Testing de aplicaciones y servicios web y de la seguridad de estas.
  • 4. CodeSeeker – Un Firewall de Nivel 7 OpenSource Proyectos de la OWASP (I) • Se coordinan estos tipos proyectos: Documentación Desarrollo oPortal
  • 5. CodeSeeker – Un Firewall de Nivel 7 OpenSource Proyectos de la OWASP (II) • Desarrollo: WebScarab: Es una suite de herramientas para el análisis de aplicaciones web que incluye detectores de vulnerabilidades, proxies para análisis de datos transmitidos, etc. CodeSeeker: Consiste en un Firewall e IDS “similar a los comerciales” a Nivel 7 que funciona bajo Windows, Solaris y Linux y soporta IIS, Apache e iPlanet. WebGoat: Es un mini-portal de entrenamiento para realizar ataques controlados a nivel de aplicación web. Permite simular ataques habituales que se producen explotando deficiencias de seguridad en las aplicaciones web. OWASP Commons Library (OCL): Pretende ser una librería rápida, de pequeño tamaño y centrada en la seguridad. Está programada en Java para permitir la construcción de aplicaciones web escalables y seguras corriendo sobre un motor de servlets J2EE sin apenas consumir recursos.
  • 6. CodeSeeker – Un Firewall de Nivel 7 OpenSource Proyectos de la OWASP (III) • Documentación (I): Guía de Desarrollo Seguro de Aplicaciones Web: Esta guía, con 2 millones de descargas (v1.0), y que en su versión 2.0 será publicada como un manual (existe una beta en PDF) está orientada a arquitectos, desarrolladores y auditores que quieren conocer que “buenas maneras” deben tenerse en cuenta en el desarrollo de aplicaciones web. Testing Framework: Proyecto que pretende documentar estrategias y técnicas que permitan testear y analizar aplicaciones web para la búsqueda de vulnerabilidades. OWASP Top Ten: Es un documento inspirado en el Top 20 de SANS. Remarca los más importantes y frecuentes problemas de seguridad que suelen darse en las aplicaciones web hoy en día. Coming soon – The OWASP Top Ten for Java and PHP!
  • 7. CodeSeeker – Un Firewall de Nivel 7 OpenSource Proyectos de la OWASP (IV) • Documentación (II): Política de Seguridad Web : Pretende ser una “plantilla” para el diseño de políticas de seguridad para aplicaciones web. ISO-17799 & Seguridad Web : Este proyecto quiere documentar la forma en que la ISO17799 puede o debe ser aplicada en el proceso de diseño, desarrollo y despliegue de aplicaciones web en producción.
  • 8. CodeSeeker – Un Firewall de Nivel 7 OpenSource Proyectos de la OWASP (V) • oPortal: Un portal basado en Java y diseñado con la seguridad como principal aspecto. También es OpenSource, con lo que cualquiera podrá emplear el código para crear su propio portal.
  • 9. CodeSeeker – Un Firewall de Nivel 7 OpenSource VulnXML Web Application Security Vulnerability Description Language El objetivo principal era unificar la definición de vulnerabilidades a nivel de aplicación web de manera que su difusión fuese rápida y universal. Los advisories no sirven de nada si las empresas no pueden extraer una protección a partir de ellos de forma directa. Si con los advisories, al igual que con los sellos “CVE Compliant” o el estándar del EISPP se busca normalizarlos, se emitiesen en un formato XML universal, los sistemas de protección podrían hablar un lenguaje universal. El proyecto se congela tras un año. Todo el trabajo producido es traspasado este año a OASIS, un organismo de producción de estándares. Su sucesor será el proyecto WAS-XML.
  • 10. CodeSeeker – Un Firewall de Nivel 7 OpenSource WAS-XML Web Application Security XML • En Junio de 2003 OASIS continúa el trabajo de la OWASP con tres objetivos: 1. Un esquema de clasificación para vulnerabilidades web de seguridad. 2. Un modelo para proveer orientación para el tratamiento inicial de amenazas, su impacto y por ende, ratios de riesgos asociados. 3. Un esquema XML para describir las condiciones de seguridad en web que puedan ser empleadas en herramientas de análisis y protección de seguridad (escáneres de vulnerabilidades, firewalls de aplicación, sistemas de detección de intrusos, etc.)
  • 11. CodeSeeker – Un Firewall de Nivel 7 OpenSource WebGoat (I) • La idea básica de WebGoat es poder probar los ataques web en un entorno quasi-real pero controlado. • Es una aplicación web con características similares a una real. • Permite opciones simples de análisis de cookies, código fuente, etc. • Permite realizar ataques en forma de “caja negra”, tal y como pasa en el mundo real. • Con una herramienta de captura de tráfico HTTP podemos estudiar fácilmente los ataques. • Conociendo estos ataques podemos entender cómo y por qué son explotados. • Es OpenSource, podemos colaborar en su mejora y en aportar nuevas ideas.
  • 12. CodeSeeker – Un Firewall de Nivel 7 OpenSource WebGoat (II) • ¿Qué permite WebGoat? Conocer los conceptos básicos de HTTP Ataques de Cross Site Scripting (XSS) Ataques en procesos de Autenticación débiles Exploit de Campos Ocultos Analizar HTML para obtener información Ataques de inyección de parámetros Ataques de SQL Injection Explotar deficiencias de Seguridad entre Threads Exploit de direcciones de Email Spoofing de Cookies de Autenticación Reto
  • 13. CodeSeeker – Un Firewall de Nivel 7 OpenSource Conceptos de Redes • El Modelo OSI: 7 Capas • El Modelo TCP/IP: 4 Capas
  • 14. CodeSeeker – Un Firewall de Nivel 7 OpenSource TCP/IP • Paso de Datos entre capas
  • 15. CodeSeeker – Un Firewall de Nivel 7 OpenSource Firewalls • Parámetros usados para el filtrado - Datos TCP: Flags - Datos IP: Dirección IP Origen Dirección IP Destino
  • 16. CodeSeeker – Un Firewall de Nivel 7 OpenSource Screening Routers / Statefull Firewalls / Firewalls de Nivel 7
  • 17. CodeSeeker – Un Firewall de Nivel 7 OpenSource CodeSeeker (I) • CodeSeeker surge como un producto de la empresa de Silicon Valley, Butterfly Security. Que en el 2001, la empresa cierra. • En lugar de tirar a la basura el proyecto, a finales de 2002, Gabriel Lawrence (fundador de la empresa), decide liberar el código, darle licencia GPL y convertirlo en un proyecto OpenSource. • Así, a principios de 2003 está disponible la primera versión del código fuente, en versión “pre-alpha”. • Los objetivos del proyecto: convertirse en un Firewall de Aplicación comparable a productos comerciales de Sanctum, Kavado y SpyDinamics, fabricantes de soluciones de FW de Nivel 7, pero coste 0 para que todas las empresas se puedan aprovechar de esta tecnología. • Actualmente el proyecto lleva un retraso de 6-9 meses, sobretodo debido a la poca documentación del proyecto y a que su desarrollo sobre Linux no es el más avanzado. Las expectativas de G.L. en el proyecto son grandes y ya son muchas las personas que quieren colaborar en él.
  • 18. CodeSeeker – Un Firewall de Nivel 7 OpenSource CodeSeeker (II)
  • 19. CodeSeeker – Un Firewall de Nivel 7 OpenSource CodeSeeker (III) • Las funcionalidades actuales: 1. Permite definir políticas de seguridad asociadas a cada uno de los servidores. 2. Existen cuatro políticas genéricas de seguridad: • Dejar pasar todo el tráfico, logeando las URL sospechosas. • Bloquear tráfico sospechoso basado en patrones de vulnerabilidades. • Bloquear tráfico sospechoso basado en comportamientos genéricos. • Bloquear todo el tráfico sospechoso. 3. Para cada una de las alertas/vulnerabilidades permite definir cuatro tipos de acciones de notificación: • Enviar un correo electrónico. • Generar un evento en el syslog. • Generar un evento en el NT Event Log. • Loggear el evento a un fichero.
  • 20. CodeSeeker – Un Firewall de Nivel 7 OpenSource CodeSeeker (IV) 3. También permite dos opciones en la navegación (del atacante): • Bloquear la petición con una un error configurable. • Redigir la petición a otra URL. 4. Podemos aplicar filtros de inclusión o exclusión en el filtrado, a archivos, carpetas o toda la web. 5. En cuanto a las herramientas de análisis: • Ofrencen información gráfica de los ataques más detectados. • La URL de ataques más detectados. • Las máquinas que más alarmas han hecho saltar. • De cada uno de los ataques podremos saber la hora a la que se produjo, origen, URL, servidor en el que se produjo, etc.
  • 21. CodeSeeker – Un Firewall de Nivel 7 OpenSource CodeSeeker (V) • Las funcionalidades previstas a corto plazo son: 1. Transformarlo para su funcionamiento como proxy: • Permitir que CodeSeeker funcione como un proxy, aplicando los controles de seguridad a las peticiones HTTP que pasen por él. • Convertir CodeSeeker en un terminador SSL o en túnel SSL entre cliente y servidor web empleando certificados compartidos. • Permitir que CodeSeekeer se comporte como un balanceador de carga, permitiendo repartir las peticiones a los diferentes backends por detrás de él. 2. Integrarlo con VulnXML WAS-XML • Conseguir que CodeSeeker lea y emplee las descripciones que establecerá el estándar WAS-XML de OASIS para sus reglas de filtrado y detección. • Dar a CodeSeeker la capacidad de crear reglas para la BD WAS-XML de forma dinámica a partir de tráfico sospechoso.
  • 22. CodeSeeker – Un Firewall de Nivel 7 OpenSource CodeSeeker (VI) • Las funcionalidades previstas a largo plazo son: 1.Informes más flexibles y atractivos permitiendo obtener análisis a a partir de la actividad reportada. 2.Documentación de Instalación y Referencia. Ampliando el breve documento de instalación y uso que existe ahora. 3.Mejoras de rendimiento generales.
  • 23. CodeSeeker – Un Firewall de Nivel 7 OpenSource CodeSeeker (VII) • Su arquitectura se basa en dos componentes: Conectores: • Son los agentes que se instalan en los servidores web. • Se encargan de capturar o bloquear el tráfico HTTP. • Por su estructura y la disposición en la pila IP, pueden parsear un ancho de banda elevado. • Debido a que están en esa posición también, son capaces de leer el tráfico SSL, ya que acceden a los datos HTTP después de su desencriptado. De esta forma no requieren certificados ni ningún otro tipo de “extra”. • Los conectores también pueden operar en entornos de balanceadores de carga sin la necesidad de distribuir el tráfico de ninguna forma especial. • Actualmente existen conectores para Windows NT, Solaris y, en versión beta, para Linux. • Están desarrollados C y C++.
  • 24. CodeSeeker – Un Firewall de Nivel 7 OpenSource CodeSeeker (VII) • Los conectores se añaden como un filtro más dentro de IIS:
  • 25. CodeSeeker – Un Firewall de Nivel 7 OpenSource CodeSeeker (VIII) Consolas: • Nos permiten definir, gestionar y parametrizar la políticas que se aplican en cada uno de los servidores HTTP. • Podemos monitorizar las alertas generadas, conocer qué la generó, con que datos se generó, su origen, etc. • Nos permite generar reports de análisis de la actividad. • Podemos controlar tantos conectores como queramos desde una única consola. • Es capaz de enviar información sobre esta monitorización a otras herramientas como HP OpenView o Tivoli a través de SNMP. • Están programados en Java. • Se pueden ejecutar sobre cualquier Java VM.
  • 26. CodeSeeker – Un Firewall de Nivel 7 OpenSource CodeSeeker (IX) La Consola de Gestión (CMC) es el centro de definición de políticas de seguridad, análisis de ataques, etc.:
  • 27. CodeSeeker – Un Firewall de Nivel 7 OpenSource OWASP Top Ten (I) • OWASP Top Ten define los diez tipos más críticos o comunes de vulnerabilidades en las aplicaciones web: Parámetros no validados: La información proveniente de los clientes web no se valida antes de ser usada por la aplicación web. Toda la información que deba ser utilizada en el servidor debe ser analizada previamente, preferiblemente por una capa o componente separado pero que centralice este filtrado. Control de acceso débil: En las aplicación existen puntos donde los usuarios se autentican para tener acceso a estas. Tras conseguir el acceso, se debe gestionar qué y qué no pueden hacer los usuarios. Esta gestión debe estar planificada, centralizada y monitorizada. Gestión de cuentas y sesiones inadecuada: Las credenciales de acceso y los tokens de sesión no se protegen. No se presta la atención adecuada en la gestión de las sesiones ya establecidas.
  • 28. CodeSeeker – Un Firewall de Nivel 7 OpenSource OWASP Top Ten (II) Vulnerabilidades de Cross-Site Scripting (XSS): Las aplicaciones web pueden ser una forma de ataque indirecto hacia sus usuarios. Un ataque efectivo de XSS puede permitir robar información de la sesión, información almacenada en el ordenador del usuario y permitir la suplantación de este. Buffer Overflows: En componentes (CGIs, librerías, drivers, etc.) de aplicaciones web que están programados en lenguajes que no validan las longitudes de los datos que manejan, se pueden dar situaciones de error que hagan interrumpir o cambiar el flujo de ejecución, permitiendo que código malévolo tome el control del proceso. Vulnerabilidades que permitan inyección de comandos: Si los parámetros o datos no se analizan antes de ser usados, pueden permitir la inyección de comandos SQL, SO, script (PHP, ASP, etc.)
  • 29. CodeSeeker – Un Firewall de Nivel 7 OpenSource OWASP Top Ten (III) Problemas en en tratamiento de errores: Habitualmente se producen condiciones de error, por valores incorrectos en datos de formularios, o caracteres inválidos, etc. Debe existir una capa de gestión de errores, que mantenga la estabilidad de la aplicación y que impida que se revele información sobre la lógica de la aplicación en estos errores. Uso inapropiado de criptografía: Las aplicaciones, frecuentemente emplean métodos débiles para proteger las credenciales o la información. Estas funciones, muchas veces, son simples algoritmos de codificación o de encriptación débil sin aportar protección real. Gestión Remota vía web: Muchos administradores emplean herramientas de gestión remota de servidores a través de aplicaciones web, pero estas no son configuradas de forma segura, permitiendo un acceso total a estas máquinas.
  • 30. CodeSeeker – Un Firewall de Nivel 7 OpenSource OWASP Top Ten (IV) Configuración incorrecta de los servicios y aplicaciones web: Los Sistemas Operativos al igual que los servicios que están expuestos públicamente, tras su instalación, deben sufrir procesos de securización y tuning. Este proceso también debe aplicarse a las aplicaciones web que corren sobre estos servicios y se ejecutan sobre estos SSOO. Las opciones “out of the box” prácticamente siempre no implican seguridad.
  • 31. CodeSeeker – Un Firewall de Nivel 7 OpenSource Algunos de los ataques del Top Ten en WebGoat • Unvalidated Parameters • Broken Access Control • Broken Account and Session Management • Cross-Site Scripting (XSS) • Command Injection Flaws: Parameter Injection SQL Injection
  • 32. CodeSeeker – Un Firewall de Nivel 7 OpenSource Ataques Web típicos • Information Leaks • Unicode Characters • Hidden files • /etc/* Files Detector • cmd.exe Detector • .....
  • 33. CodeSeeker – Un Firewall de Nivel 7 OpenSource Protección con CodeSeeker • Configuración de Políticas • Gestión de ataques • Tratamiento de alertas • Parametrización de los tipos de ataques. • Reports de estado. • etc...
  • 34. CodeSeeker – Un Firewall de Nivel 7 OpenSource