ModSecurance و OWASP در CentOS 6 و Apache 2

• نصب و راه اندازی
• با استفاده از ModSecurance
• اصلاح یک قانون / غیرفعال کردن شناسه قانون

ModSecurance یک فایروال لایه ای با برنامه وب است که برای همکاری با IIS ، Apache2 و Nginx طراحی شده است. این نرم افزار رایگان با منبع آزاد است که تحت مجوز Apache 2.0 منتشر شده است. ModSecurance با نظارت و تجزیه و تحلیل ترافیک وب سایت شما به امنیت سرور وب کمک می کند. این کار را در زمان واقعی انجام می دهد تا حملات بیشترین بهره برداری های شناخته شده را با استفاده از عبارات منظم شناسایی و مسدود کند. به تنهایی ، ModSecurance محافظت محدودی را به شما می دهد و به حداکثر حمایت از قوانین کمک می کند.

Open Security Project Project Security (OWASP) Core Rule Set (CRS) مجموعه ای از قواعد تشخیص عمومی حمله است که سطح پایه ای از محافظت را برای هر برنامه وب فراهم می کند. این قانون رایگان ، متن باز و در حال حاضر توسط اسپایدر لابراتوار پشتیبانی می شود.

OWASP CRS فراهم می کند:

• حفاظت HTTP - تشخیص نقض پروتکل HTTP و یک خط مشی استفاده محلی تعریف شده.
• جستجوی لیست سیاه بلادرنگ - از اعتبار IP IP 3rd استفاده می کند.
• انکار HTTP از خدمات حفاظت - دفاع در برابر طغیان HTTP و حملات آهسته HTTP DoS.
• حفاظت از حملات متداول وب - شناسایی حملات امنیتی مشترک برنامه وب.
• تشخیص اتوماسیون - شناسایی ربات ها ، خزنده ها ، اسکنرها و سایر فعالیت های مخرب سطح.
• ادغام با اسکن AV برای بارگذاری پرونده - پرونده های مخرب آپلود شده از طریق برنامه وب را شناسایی می کند.
• ردیابی داده های حساس - استفاده از کارت اعتباری را ردیابی می کند و نشت را مسدود می کند.
• Trojan Protection - اسب های تروجان را تشخیص می دهد.
• شناسایی نقص برنامه - هشدارهای مربوط به تنظیمات نادرست برنامه.
• خطای تشخیص و پنهان کردن - مبدل پیام های خطا ارسال شده توسط سرور.

نصب و راه اندازی

در این راهنما چگونگی نصب ModSecurance و OWASP قوانین در CentOS 6 در حال اجرا Apache 2 نشان می دهد.

ابتدا باید از بروزرسانی سیستم خود اطمینان حاصل کنید.

 yum -y update

اگر Apache 2 را نصب نکرده اید ، اکنون آن را نصب کنید.

 yum -y install httpd

اکنون باید برخی از وابستگی ها را برای کارکرد ModSecurance نصب کنید. بسته به پیکربندی سرور شما ، ممکن است مقداری یا تمام این بسته ها نصب شوند. یام بسته هایی را که ندارید نصب می کند و در صورت نصب هر کدام از بسته ها ، به شما اطلاع می دهد.

 yum -y install httpd-devel git gcc make libxml2 pcre-devel libxml2-devel curl-devel

دایرکتوری را تغییر داده و کد منبع را از وب سایت ModSecuity بارگیری کنید. نسخه پایدار فعلی 2.8 است.

 cd /opt/
 wget https://www.modsecurity.org/tarball/2.8.0/modsecurity-2.8.0.tar.gz

بسته را استخراج کرده و به فهرست آن تغییر دهید.

 tar xzfv modsecurity-2.8.0.tar.gz 
 cd modsecurity-2.8.0

کد منبع را پیکربندی و کامپایل کنید.

 ./configure
 make
 make install

پیکربندی پیش فرض ModSecurance و پرونده نقشه برداری یونیکد را در فهرست Apache کپی کنید.

 cp modsecurity.conf-recommended /etc/httpd/conf.d/modsecurity.conf
 cp unicode.mapping /etc/httpd/conf.d/

Apache را برای استفاده از ModSecurance پیکربندی کنید. 2 روش وجود دارد که می توانید این کار را انجام دهید.

 echo LoadModule security2_module modules/mod_security2.so >> /etc/httpd/conf/httpd.conf

... یا از ویرایشگر متن مانند nano استفاده کنید:

 nano /etc/httpd/conf/httpd.conf

در پایین آن پرونده ، در یک خط جداگانه این را اضافه کنید:

 LoadModule security2_module modules/mod_security2.so

اکنون می توانید Apache را شروع کرده و آن را پیکربندی کنید تا در بوت شروع شود.

 service httpd start
 chkconfig httpd on

اگر آپاچی را قبل از استفاده از این راهنما نصب کرده بودید ، لازم است مجدداً آن را مجدداً راه اندازی کنید.

 service httpd restart

اکنون می توانید مجموعه قوانین اصلی OWASP را بارگیری کنید.

 cd /etc/httpd
 git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git

اکنون قوانین OWASP را پیکربندی کنید.

 cd modsecurity-crs
 cp modsecurity_crs_10_setup.conf.example modsecurity_crs_10_config.conf

در مرحله بعد ، شما باید خط تنظیمات را به پیکربندی Apache اضافه کنید. باز هم می توانیم از دو طریق این کار را انجام دهیم.

 echo Include modsecurity-crs/modsecurity_crs_10_config.conf >> /etc/httpd/conf/httpd.conf
 echo Include modsecurity-crs/base_rules/*.conf >> /etc/httpd/conf/httpd.conf

... یا با یک ویرایشگر متن:

 nano /etc/httpd/conf/httpd.conf

در انتهای پرونده روی خطوط جداگانه این را اضافه کنید:

 Include modsecurity-crs/modsecurity_crs_10_config.conf
 Include modsecurity-crs/base_rules/*.conf

اکنون آپاچی را مجدداً راه اندازی کنید.

 service httpd restart

در آخر ، فایلهای نصب را حذف کنید.

 yum erase /opt/modsecurity-2.8.0
 yum erase /opt/modsecurity-2.8.0.tar.gz

با استفاده از ModSecurance

به طور پیش فرض ، ModSecurance در حالت تشخیص فقط اجرا می شود ، این بدان معناست که همه معافیت های قانون را ثبت می کند اما هیچ اقدامی نخواهد کرد. این برای نصبهای جدید توصیه می شود ، بنابراین می توانید وقایع ایجاد شده در گزارش خطای Apache را تماشا کنید. پس از بررسی لاگ ، می توانید قبل از انتقال به حالت محافظت ، تصمیم بگیرید که آیا تغییراتی در خط مقررات یا غیرفعال کردن قانون (مشاهده زیر) وجود دارد.

برای مشاهده گزارش خطای Apache:

 cat /var/log/httpd/error_log

خط ModSecurance در گزارش خطای Apache به نه عنصر شکسته می شود. هر عنصر اطلاعاتی در مورد چرایی وقوع این رویداد ارائه می دهد.

• بخش اول می گوید که چه پرونده ای از این رویداد موجب شده است.
• قسمت دوم می گوید چه قاعده ای در پرونده قاعده شروع می شود.
• عنصر سوم به شما می گوید که چه حکمی باعث شده است.
• عنصر چهارم تجدید نظر در قانون را به شما می گوید.
• عنصر پنجم شامل داده های ویژه برای اهداف اشکال زدایی است.
• عنصر ششم شدت گزارش گیری از شدت این رویداد را مشخص می کند.
• بخش هفتم توضیح می دهد که چه عملی رخ داده است و در چه مرحله ای اتفاق افتاده است.

توجه داشته باشید که بسته به پیکربندی سرور شما ممکن است برخی از عناصر وجود نداشته باشد.

برای تغییر ModSecurance در حالت protection ، پرونده conf را در ویرایشگر متن باز کنید:

 nano /etc/httpd/conf.d/modsecurity.conf

... و تغییر دهید:

 SecRuleEngine DetectionOnly

به:

 SecRuleEngine On

اگر هنگام اجرای ModSecurance با هرگونه بلوکی مواجه شدید ، باید این قاعده را در ورود به سیستم خطای HTTP مشخص کنید. دستور "دم" به شما امکان می دهد تا گزارش ها را در زمان واقعی مشاهده کنید:

 tail -f /var/log/httpd/error_log

تکرار عملی که باعث شد بلاک در حین تماشای سیاهه ایجاد شود.

اصلاح یک قانون / غیرفعال کردن شناسه قانون

اصلاح یک خط مقدم فراتر از محدوده این آموزش است.

برای غیرفعال کردن یک قانون خاص ، شما آیین نامه ای را که در عنصر سوم موجود است (به عنوان مثال [id = 200000]) شناسایی می کنید و سپس آن را در پرونده پیکربندی Apache غیرفعال می کنید:

 nano /etc/httpd/conf/httpd.conf

... با افزودن موارد زیر به زیر پرونده با شناسه قانون:

<IfModule mod_security2.c>
SecRuleRemoveById 200000
</IfModule>

اگر متوجه شدید ModSecurance تمام اقدامات را در وب سایت (های) خود مسدود می کند ، "مجموعه اصلی قانون" احتمالاً در حالت "خود محتوا" است. شما باید این مورد را به "تشخیص مشارکتی" تغییر دهید ، که فقط ناهنجاری ها را تشخیص داده و مسدود می کند. در عین حال ، می توانید گزینه های "Self-Contained" را جستجو کرده و در صورت تمایل ، آنها را تغییر دهید.

 nano /etc/httpd/modsecurity-crs/modsecurity_crs_10_config.conf

"کشف" را به "خود محتوا" تغییر دهید.

همچنین می توانید ModSecurance را پیکربندی کنید تا IP خود را از طریق فایروال برنامه وب (WAF) بدون ورود به سیستم اجازه دهید:

 SecRule REMOTE_ADDR "@ipMatch xxx.xxx.xxx.xxx" phase:1,nolog,allow,ctl:ruleEngine=Off

... یا با ورود به سیستم:

 SecRule REMOTE_ADDR "@ipMatch xxx.xxx.xxx.xxx" phase:1,nolog,allow,ctl:ruleEngine=DetectionOnly