Desarrollo de un módulo de seguridad para Microsoft Server 2008/2008 R2 e IIS7/7.5 (Parte II)

Juan Antonio — Tue, 20 Apr 2010 10:09:11 GMT

Buenas a todos, continuando con la cadena de post sobre desarrollo de un módulo de seguridad para IIS7/7.5 hoy vamos a continuar explicando la arquitectura del sistema.

Nuestro objetivo en el ejemplo que os contamos será evitar que las inyecciones SQL que pueda utilizar un usuario malicioso para robar datos o penetrar en nuestro sistema, lleguen hasta la base de datos, protegiéndola de esta manera de dos posibles problemas, que puedan estar mal programadas las consultas a la base de datos y se pueda inyectar código SQL en la misma y protegiéndola de posibles ataques automatizados que podrían ralentizar su funcionamiento, frenando dichos ataques desde el módulo de seguridad instalado en el servidor web, el cual siempre es mas eficiente que la BBDD y soportará de mejor manera la sobrecarga del sistema

Para probar el módulo de seguridad vamos a simular un pequeño servicio web que desarrollaremos en ASP.NET. A continuación se muestra un resumen de las partes de las que se compondrá nuestro sistema:

Servicio Web Excel: Servicio web implementado en ASP.NET que simula una hoja de Excel, en la que los usuarios registrados desde su navegador podrán almacenar y recuperar datos en una tabla que se almacenará en una base de datos.
Metaservicio XML: Servicio Web que contendrá patrones de ataque que un hacker puede utilizar para vulnerar una base de datos. Este servicio debería ser actualizado regularmente para mantener la fortificación del sistema.
Módulo de Seguridad: Software instalado en el servidor web que colabora en las labores de protección de la Base de Datos filtrando las peticiones maliciosas.
Base de datos: Base de datos utilizada para almacenar las tablas del Servicio Web Excel y los datos de autenticación de los usuarios en el sistema.

El diagrama del sistema completo se muestra en la figura 1. Se basa en la idea de controlar desde el servidor web los accesos a una base de datos realizados por los usuarios, sin que lleguen a la base de datos, para evitar poner en peligro a la misma.

Para lograr filtrar las peticiones maliciosas antes de que lleguen a la base de datos queremos desarrollar un módulo de seguridad que se instalará en el servidor web. Este módulo se encargará de filtrar todos los contenidos de las peticiones realizadas por los usuarios al servidor.

Durante la etapa de filtrado, el módulo de seguridad comparará los patrones de ataque utilizados hasta la actualidad por hackers, obteniéndolos de un Metaservicio implementado en XML, con el contenido de las peticiones web, buscando posibles ataques a la base de datos. Obviamente no se han añadido todas las posibles inyecciones que existen, labor que sería prácticamente imposible, pero si algunas importantes para desarrollar el ejemplo. La eficiencia de los resultados en la detección dependerá en gran medida no solo de tener una base de datos de inyecciones bien actualizado, sino de la pericia del algoritmo desarrollado en el módulo, que mediante expresiones formales u otras técnicas, permita variar en gran medida las inyecciones contenidas en el Metaservicio XML para detectar las SQL Injections, pero sin filtrar otras peticiones que no conllevan ningún peligro.

Figura 1: Sistema de securización basado en la implementación de un módulo de seguridad

En el próximo post comenzaremos el desarrollo del sistema, programando el Metaservicio XML e instalándolo en nuestro IIS.

saludos!

Windows Técnico : Windows Server 2008, IIS7.5, Microsoft Server 2008 R2

Desarrollo de un módulo de seguridad para Microsoft Server 2008/2008 R2 e IIS7/7.5 (Parte II)