ModSecurity y OWASP en CentOS 6 y Apache 2

• Instalación
• Usando ModSecurity
• Modificar un conjunto de reglas / Deshabilitar una ID de regla

ModSecurity es un firewall de capa de aplicación web diseñado para funcionar con IIS, Apache2 y Nginx. Es un software gratuito de código abierto lanzado bajo la licencia Apache 2.0. ModSecurity ayuda a proteger su servidor web al monitorear y analizar el tráfico de su sitio web. Hace esto en tiempo real para detectar y bloquear ataques de exploits más conocidos utilizando expresiones regulares. Por sí solo, ModSecurity brinda protección limitada y se basa en conjuntos de reglas para maximizar la protección.

El conjunto de reglas básicas (CRS) del Proyecto de seguridad de aplicaciones web abiertas (OWASP) es un conjunto de reglas genéricas de detección de ataques que proporcionan un nivel básico de protección para cualquier aplicación web. El conjunto de reglas es gratuito, de código abierto y actualmente patrocinado por Spider Labs.

OWASP CRS proporciona:

• Protección HTTP: detección de violaciones del protocolo HTTP y una política de uso definida localmente.
• Búsquedas en listas negras en tiempo real: utiliza reputación de IP de terceros.
• Protección de denegación de servicio HTTP: defensa contra inundaciones HTTP y ataques DoS HTTP lentos.
• Protección de ataques web comunes: detección de ataques de seguridad de aplicaciones web comunes.
• Detección de automatización: detección de bots, rastreadores, escáneres y otras actividades maliciosas de superficie.
• Integración con el escaneo AV para cargas de archivos: detecta archivos maliciosos cargados a través de la aplicación web.
• Seguimiento de datos confidenciales: realiza un seguimiento del uso de la tarjeta de crédito y bloquea las fugas.
• Protección troyana - Detecta caballos de Troya.
• Identificación de defectos de la aplicación: alertas sobre configuraciones incorrectas de la aplicación.
• Detección y ocultación de errores: ocultando mensajes de error enviados por el servidor.

Instalación

Esta guía le muestra cómo instalar ModSecurity y el conjunto de reglas OWASP en CentOS 6 con Apache 2.

Primero, debe asegurarse de que su sistema esté actualizado.

 yum -y update

Si no ha instalado Apache 2, instálelo ahora.

 yum -y install httpd

Ahora necesita instalar algunas dependencias para que ModSecurity funcione. Dependiendo de la configuración de su servidor, algunos o todos estos paquetes ya pueden estar instalados. Yum instalará los paquetes que no tiene y le informará si alguno de los paquetes ya está instalado.

 yum -y install httpd-devel git gcc make libxml2 pcre-devel libxml2-devel curl-devel

Cambie el directorio y descargue el código fuente del sitio web ModSecuity. La versión estable actual es 2.8.

 cd /opt/
 wget https://www.modsecurity.org/tarball/2.8.0/modsecurity-2.8.0.tar.gz

Extraiga el paquete y cámbielo a su directorio.

 tar xzfv modsecurity-2.8.0.tar.gz 
 cd modsecurity-2.8.0

Configurar y compilar el código fuente.

 ./configure
 make
 make install

Copie la configuración predeterminada de ModSecurity y el archivo de mapeo Unicode en el directorio de Apache.

 cp modsecurity.conf-recommended /etc/httpd/conf.d/modsecurity.conf
 cp unicode.mapping /etc/httpd/conf.d/

Configure Apache para usar ModSecurity. Hay 2 formas de hacer esto.

 echo LoadModule security2_module modules/mod_security2.so >> /etc/httpd/conf/httpd.conf

... o use un editor de texto como nano:

 nano /etc/httpd/conf/httpd.conf

Al final de ese archivo, en una línea separada, agregue esto:

 LoadModule security2_module modules/mod_security2.so

Ahora puede iniciar Apache y configurarlo para que comience en el arranque.

 service httpd start
 chkconfig httpd on

Si tenía instalado Apache antes de usar esta guía, entonces solo necesita reiniciarlo.

 service httpd restart

Ahora puede descargar el conjunto de reglas principales de OWASP.

 cd /etc/httpd
 git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git

Ahora configure el conjunto de reglas OWASP.

 cd modsecurity-crs
 cp modsecurity_crs_10_setup.conf.example modsecurity_crs_10_config.conf

A continuación, debe agregar el conjunto de reglas a la configuración de Apache. Nuevamente podemos hacer esto de dos maneras.

 echo Include modsecurity-crs/modsecurity_crs_10_config.conf >> /etc/httpd/conf/httpd.conf
 echo Include modsecurity-crs/base_rules/*.conf >> /etc/httpd/conf/httpd.conf

... o con un editor de texto:

 nano /etc/httpd/conf/httpd.conf

Al final del archivo en líneas separadas agregue esto:

 Include modsecurity-crs/modsecurity_crs_10_config.conf
 Include modsecurity-crs/base_rules/*.conf

Ahora reinicia Apache.

 service httpd restart

Finalmente, elimine los archivos de instalación.

 yum erase /opt/modsecurity-2.8.0
 yum erase /opt/modsecurity-2.8.0.tar.gz

Usando ModSecurity

De forma predeterminada, ModSecurity se ejecuta en modo de solo detección, lo que significa que registrará todos los saltos de reglas pero no tomará ninguna medida. Esto se recomienda para nuevas instalaciones para que pueda ver los eventos generados en el registro de errores de Apache. Después de revisar el registro, puede decidir si se debe realizar alguna modificación en el conjunto de reglas o deshabilitar la regla (consulte a continuación) antes de pasar al modo de protección.

Para ver el registro de errores de Apache:

 cat /var/log/httpd/error_log

La línea ModSecurity en el registro de errores de Apache se divide en nueve elementos. Cada elemento proporciona información sobre por qué se activó el evento.

• La primera parte dice qué archivo de reglas desencadenó este evento.
• La segunda parte indica en qué línea del archivo de reglas comienza la regla.
• El tercer elemento te dice qué regla se activó.
• El cuarto elemento te dice la revisión de la regla.
• El quinto elemento contiene datos especiales para fines de depuración.
• El sexto elemento define la gravedad del registro de esta gravedad del evento.
• La séptima sección describe qué acción ocurrió y en qué fase ocurrió.

Tenga en cuenta que algunos elementos pueden estar ausentes dependiendo de la configuración de su servidor.

Para cambiar ModSecurity al modo de protección, abra el archivo conf en un editor de texto:

 nano /etc/httpd/conf.d/modsecurity.conf

... y cambio:

 SecRuleEngine DetectionOnly

a:

 SecRuleEngine On

Si encuentra algún bloqueo cuando ModSecurity se está ejecutando, debe identificar la regla en el registro de errores de HTTP. El comando "cola" le permite ver los registros en tiempo real:

 tail -f /var/log/httpd/error_log

Repita la acción que causó el bloqueo mientras mira el registro.

Modificar un conjunto de reglas / Deshabilitar una ID de regla

La modificación de un conjunto de reglas está más allá del alcance de este tutorial.

Para deshabilitar una regla específica, identifique la identificación de la regla que está en el tercer elemento (por ejemplo [id = 200000]) y luego deshabilítela en el archivo de configuración de Apache:

 nano /etc/httpd/conf/httpd.conf

... agregando lo siguiente al final del archivo con el ID de la regla:

<IfModule mod_security2.c>
SecRuleRemoveById 200000
</IfModule>

Si encuentra que ModSecurity está bloqueando todas las acciones en su (s) sitio (s) web, entonces "Core Rule Set" probablemente esté en modo "Autónomo". Debe cambiar esto a "Detección colaborativa", que detecta y bloquea solo las anomalías. Al mismo tiempo, puede ver las opciones "Autocontenidas" y cambiarlas si lo desea.

 nano /etc/httpd/modsecurity-crs/modsecurity_crs_10_config.conf

Cambie "detección" a "autocontenido".

También puede configurar ModSecurity para permitir su IP a través del firewall de la aplicación web (WAF) sin iniciar sesión:

 SecRule REMOTE_ADDR "@ipMatch xxx.xxx.xxx.xxx" phase:1,nolog,allow,ctl:ruleEngine=Off

... o con el registro:

 SecRule REMOTE_ADDR "@ipMatch xxx.xxx.xxx.xxx" phase:1,nolog,allow,ctl:ruleEngine=DetectionOnly