ModSecurity و OWASP على CentOS 6 و Apache 2

• التركيب
• باستخدام ModSecurity
• تعديل مجموعة القواعد / تعطيل معرف القاعدة

ModSecurity هو جدار حماية طبقة تطبيق ويب مصمم للعمل مع IIS و Apache2 و Nginx. إنه برنامج مجاني مفتوح المصدر تم إصداره بموجب ترخيص Apache 2.0. يساعد ModSecurity على تأمين خادم الويب الخاص بك عن طريق مراقبة وتحليل حركة المرور على موقع الويب الخاص بك. وهي تفعل ذلك في الوقت الفعلي لاكتشاف الهجمات من أكثر مآثر الاستغلال المعروفة وحظرها باستخدام التعبيرات العادية. من تلقاء نفسه ، يوفر ModSecurity حماية محدودة ويعتمد على مجموعات القواعد لزيادة الحماية إلى أقصى حد.

مجموعة القواعد الأساسية (CRS) لمشروع أمان تطبيق الويب المفتوح (OWASP) هي مجموعة من القواعد العامة للكشف عن الهجمات التي توفر مستوى أساسيًا من الحماية لأي تطبيق ويب. مجموعة القواعد مجانية ومفتوحة المصدر وترعاها حاليًا Spider Labs.

يوفر OWASP CRS:

• حماية HTTP - اكتشاف انتهاكات بروتوكول HTTP وسياسة استخدام محددة محليًا.
• عمليات البحث في القائمة السوداء في الوقت الفعلي - تستخدم سمعة عنوان IP للطرف الثالث.
• حماية HTTP من رفض الخدمة - الدفاع ضد فيضان HTTP وهجمات HTTP DoS البطيئة.
• الحماية الشائعة من هجمات الويب - اكتشاف الهجمات الأمنية الشائعة على تطبيقات الويب.
• كشف الأتمتة - الكشف عن الروبوتات والزواحف والماسحات الضوئية وغيرها من الأنشطة الخبيثة على السطح.
• التكامل مع AV Scanning لتحميلات الملفات - يكتشف الملفات الضارة التي تم تحميلها من خلال تطبيق الويب.
• تتبع البيانات الحساسة - يتتبع استخدام بطاقة الائتمان ويمنع التسرب.
• حماية طروادة - يكتشف أحصنة طروادة.
• تحديد عيوب التطبيق - تنبيهات بشأن التكوينات الخاطئة للتطبيق.
• اكتشاف الأخطاء وإخفاؤها - إخفاء رسائل الخطأ المرسلة من قبل الخادم.

التركيب

يوضح لك هذا الدليل كيفية تثبيت مجموعة قواعد ModSecurity و OWASP على CentOS 6 الذي يقوم بتشغيل Apache 2.

أولاً ، تحتاج إلى التأكد من تحديث نظامك.

 yum -y update

إذا لم تقم بتثبيت Apache 2 ، فقم بتثبيته الآن.

 yum -y install httpd

تحتاج الآن إلى تثبيت بعض التبعيات لكي يعمل ModSecurity. بناءً على تكوين الخادم لديك ، قد تكون بعض هذه الحزم أو جميعها مثبتة بالفعل. ستقوم Yum بتثبيت الحزم التي لا تمتلكها وإبلاغك إذا كانت أي من الحزم مثبتة بالفعل.

 yum -y install httpd-devel git gcc make libxml2 pcre-devel libxml2-devel curl-devel

تغيير الدليل وتنزيل شفرة المصدر من موقع ModSecuity على الويب. الإصدار الثابت الحالي هو 2.8.

 cd /opt/
 wget https://www.modsecurity.org/tarball/2.8.0/modsecurity-2.8.0.tar.gz

قم باستخراج الحزمة وتغييرها إلى الدليل الخاص بها.

 tar xzfv modsecurity-2.8.0.tar.gz 
 cd modsecurity-2.8.0

تكوين وتجميع التعليمات البرمجية المصدر.

 ./configure
 make
 make install

انسخ ملف ModSecurity الافتراضي وملف تعيين unicode إلى دليل Apache.

 cp modsecurity.conf-recommended /etc/httpd/conf.d/modsecurity.conf
 cp unicode.mapping /etc/httpd/conf.d/

تكوين أباتشي لاستخدام ModSecurity. هناك طريقتان للقيام بذلك.

 echo LoadModule security2_module modules/mod_security2.so >> /etc/httpd/conf/httpd.conf

... أو استخدم محرر نصوص مثل nano:

 nano /etc/httpd/conf/httpd.conf

في الجزء السفلي من هذا الملف ، على سطر منفصل ، أضف هذا:

 LoadModule security2_module modules/mod_security2.so

يمكنك الآن بدء تشغيل Apache وتكوينه ليبدأ عند التمهيد.

 service httpd start
 chkconfig httpd on

إذا كان لديك Apache مثبتًا قبل استخدام هذا الدليل ، فأنت بحاجة فقط إلى إعادة تشغيله.

 service httpd restart

يمكنك الآن تنزيل مجموعة القواعد الأساسية لـ OWASP.

 cd /etc/httpd
 git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git

الآن تكوين مجموعة قواعد OWASP.

 cd modsecurity-crs
 cp modsecurity_crs_10_setup.conf.example modsecurity_crs_10_config.conf

بعد ذلك ، تحتاج إلى إضافة مجموعة القواعد إلى تكوين Apache. مرة أخرى يمكننا القيام بذلك بطريقتين.

 echo Include modsecurity-crs/modsecurity_crs_10_config.conf >> /etc/httpd/conf/httpd.conf
 echo Include modsecurity-crs/base_rules/*.conf >> /etc/httpd/conf/httpd.conf

... أو مع محرر نصوص:

 nano /etc/httpd/conf/httpd.conf

في الجزء السفلي من الملف على أسطر منفصلة ، أضف هذا:

 Include modsecurity-crs/modsecurity_crs_10_config.conf
 Include modsecurity-crs/base_rules/*.conf

أعد تشغيل Apache الآن.

 service httpd restart

أخيرًا ، احذف ملفات التثبيت.

 yum erase /opt/modsecurity-2.8.0
 yum erase /opt/modsecurity-2.8.0.tar.gz

باستخدام ModSecurity

بشكل افتراضي ، يتم تشغيل ModSecurity في وضع الكشف فقط ، مما يعني أنه سيتم تسجيل جميع فواصل القواعد ولكن لن يتخذ أي إجراء. يوصى بهذا لعمليات التثبيت الجديدة حتى تتمكن من مشاهدة الأحداث التي تم إنشاؤها في سجل أخطاء Apache. بعد مراجعة السجل ، يمكنك تحديد ما إذا كان يجب إجراء أي تعديل على مجموعة القواعد أو تعطيل القاعدة (انظر أدناه) قبل الانتقال إلى وضع الحماية.

لعرض سجل أخطاء Apache:

 cat /var/log/httpd/error_log

ينقسم سطر ModSecurity في سجل أخطاء Apache إلى تسعة عناصر. يوفر كل عنصر معلومات حول سبب تشغيل الحدث.

• يخبر الجزء الأول عن ملف القاعدة الذي تسبب في هذا الحدث.
• يوضح الجزء الثاني أي سطر في ملف القاعدة تبدأ القاعدة عليه.
• يخبرك العنصر الثالث بالقاعدة التي تم تشغيلها.
• يخبرك العنصر الرابع بمراجعة القاعدة.
• يحتوي العنصر الخامس على بيانات خاصة لأغراض التصحيح.
• يحدد العنصر السادس شدة التسجيل لشدة هذا الحدث.
• يصف القسم السابع الإجراء الذي حدث وفي أي مرحلة حدث.

لاحظ أن بعض العناصر قد تكون غائبة اعتمادًا على تكوين الخادم الخاص بك.

لتغيير ModSecurity إلى وضع الحماية ، افتح ملف conf في محرر نصوص:

 nano /etc/httpd/conf.d/modsecurity.conf

... والتغيير:

 SecRuleEngine DetectionOnly

إلى:

 SecRuleEngine On

إذا واجهت أي كتل أثناء تشغيل ModSecurity ، فأنت بحاجة إلى تحديد القاعدة في سجل أخطاء HTTP. يتيح لك الأمر "tail" مشاهدة السجلات في الوقت الفعلي:

 tail -f /var/log/httpd/error_log

كرر الإجراء الذي تسبب في الكتلة أثناء مشاهدة السجل.

تعديل مجموعة القواعد / تعطيل معرف القاعدة

تعديل مجموعة قواعد خارج نطاق هذا البرنامج التعليمي.

لتعطيل قاعدة معينة ، يمكنك تحديد معرف القاعدة الموجود في العنصر الثالث (على سبيل المثال [id = 200000]) ثم تعطيله في ملف تكوين Apache:

 nano /etc/httpd/conf/httpd.conf

... عن طريق إضافة ما يلي إلى أسفل الملف بمعرف القاعدة:

<IfModule mod_security2.c>
SecRuleRemoveById 200000
</IfModule>

إذا وجدت أن ModSecurity يحظر جميع الإجراءات على موقعك (مواقعك) ، فمن المحتمل أن تكون "مجموعة القواعد الأساسية" في وضع "الاكتفاء الذاتي". تحتاج إلى تغيير هذا إلى "الكشف التعاوني" ، الذي يكتشف ويحظر الحالات الشاذة فقط. في الوقت نفسه ، يمكنك إلقاء نظرة على خيارات "الاكتفاء الذاتي" وتغييرها إذا كنت ترغب في ذلك.

 nano /etc/httpd/modsecurity-crs/modsecurity_crs_10_config.conf

تغيير "الكشف" إلى "مكتفية ذاتيا".

يمكنك أيضًا تكوين ModSecurity للسماح بعنوان IP الخاص بك من خلال جدار حماية تطبيق الويب (WAF) بدون تسجيل:

 SecRule REMOTE_ADDR "@ipMatch xxx.xxx.xxx.xxx" phase:1,nolog,allow,ctl:ruleEngine=Off

... أو مع تسجيل:

 SecRule REMOTE_ADDR "@ipMatch xxx.xxx.xxx.xxx" phase:1,nolog,allow,ctl:ruleEngine=DetectionOnly