ModSecurity dan OWASP pada CentOS 6 dan Apache 2

• Instalasi
• Menggunakan ModSecurity
• Mengubah Aturan / Menonaktifkan ID Aturan

ModSecurity adalah firewall lapisan aplikasi web yang dirancang untuk bekerja dengan IIS, Apache2 dan Nginx. Ini gratis, perangkat lunak sumber terbuka dirilis di bawah lisensi Apache 2.0. ModSecurity membantu mengamankan server web Anda dengan memantau dan menganalisis lalu lintas situs web Anda. Ini dilakukan secara real-time untuk mendeteksi dan memblokir serangan dari eksploitasi yang paling dikenal menggunakan ekspresi reguler. Sendiri, ModSecurity memberikan perlindungan terbatas dan mengandalkan aturan untuk memaksimalkan perlindungan.

Proyek Rule Core (RW) Proyek Keamanan Aplikasi Web Terbuka (ATS) adalah seperangkat aturan deteksi serangan generik yang memberikan tingkat perlindungan dasar untuk aplikasi web apa pun. Aturan ini gratis, open-source, dan saat ini disponsori oleh Spider Labs.

OWASP CRS menyediakan:

• Perlindungan HTTP - mendeteksi pelanggaran protokol HTTP dan kebijakan penggunaan yang ditentukan secara lokal.
• Pencarian Blacklist Real-time - memanfaatkan reputasi IP Pihak Ketiga.
• HTTP Denial of Service Protection - pertahanan terhadap flooding HTTP dan memperlambat serangan DoS HTTP.
• Common Web Attacks Protection - mendeteksi serangan keamanan aplikasi web umum.
• Deteksi Otomatis - Mendeteksi bot, perayap, pemindai, dan aktivitas jahat permukaan lainnya.
• Integrasi dengan AV Scanning for File Uploads - mendeteksi file berbahaya yang diunggah melalui aplikasi web.
• Melacak Data Sensitif - Melacak penggunaan kartu kredit dan memblokir kebocoran.
• Perlindungan Trojan - Mendeteksi kuda trojan.
• Identifikasi Cacat Aplikasi - peringatan tentang kesalahan konfigurasi aplikasi.
• Deteksi dan Sembunyi Kesalahan - Menyamarkan pesan kesalahan yang dikirim oleh server.

Instalasi

Panduan ini menunjukkan kepada Anda bagaimana menginstal ModSecurity dan OWASP aturan pada CentOS 6 menjalankan Apache 2.

Pertama, Anda perlu memastikan bahwa sistem Anda mutakhir.

 yum -y update

Jika Anda belum menginstal Apache 2, maka instal sekarang.

 yum -y install httpd

Anda sekarang perlu menginstal beberapa dependensi agar ModSecurity berfungsi. Tergantung pada konfigurasi server Anda, beberapa atau semua paket ini mungkin sudah diinstal. Yum akan menginstal paket yang tidak Anda miliki dan memberi tahu Anda jika ada paket yang sudah diinstal.

 yum -y install httpd-devel git gcc make libxml2 pcre-devel libxml2-devel curl-devel

Ubah direktori dan unduh kode sumber dari situs web ModSecuity. Versi stabil saat ini adalah 2.8.

 cd /opt/
 wget https://www.modsecurity.org/tarball/2.8.0/modsecurity-2.8.0.tar.gz

Ekstrak paket dan ubah ke direktori.

 tar xzfv modsecurity-2.8.0.tar.gz 
 cd modsecurity-2.8.0

Konfigurasikan dan kompilasi kode sumber.

 ./configure
 make
 make install

Salin konfigurasi ModSecurity default dan file pemetaan unicode ke direktori Apache.

 cp modsecurity.conf-recommended /etc/httpd/conf.d/modsecurity.conf
 cp unicode.mapping /etc/httpd/conf.d/

Konfigurasikan Apache untuk menggunakan ModSecurity. Ada 2 cara yang bisa Anda lakukan ini.

 echo LoadModule security2_module modules/mod_security2.so >> /etc/httpd/conf/httpd.conf

... atau gunakan editor teks seperti nano:

 nano /etc/httpd/conf/httpd.conf

Di bagian bawah file itu, pada baris terpisah tambahkan ini:

 LoadModule security2_module modules/mod_security2.so

Anda sekarang dapat memulai Apache dan mengkonfigurasinya untuk mulai saat boot.

 service httpd start
 chkconfig httpd on

Jika Anda telah menginstal Apache sebelum menggunakan panduan ini, maka Anda hanya perlu me-restart itu.

 service httpd restart

Anda sekarang dapat mengunduh set aturan inti OWASP.

 cd /etc/httpd
 git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git

Sekarang konfigurasikan OWASP ruleset.

 cd modsecurity-crs
 cp modsecurity_crs_10_setup.conf.example modsecurity_crs_10_config.conf

Selanjutnya, Anda perlu menambahkan aturan ke konfigurasi Apache. Sekali lagi kita dapat melakukan ini dengan dua cara.

 echo Include modsecurity-crs/modsecurity_crs_10_config.conf >> /etc/httpd/conf/httpd.conf
 echo Include modsecurity-crs/base_rules/*.conf >> /etc/httpd/conf/httpd.conf

... atau dengan editor teks:

 nano /etc/httpd/conf/httpd.conf

Di bagian bawah file pada baris terpisah, tambahkan ini:

 Include modsecurity-crs/modsecurity_crs_10_config.conf
 Include modsecurity-crs/base_rules/*.conf

Sekarang restart Apache.

 service httpd restart

Akhirnya, hapus file instalasi.

 yum erase /opt/modsecurity-2.8.0
 yum erase /opt/modsecurity-2.8.0.tar.gz

Menggunakan ModSecurity

Secara default, ModSecurity berjalan dalam mode deteksi saja, yang berarti akan mencatat semua pemutusan aturan tetapi tidak akan mengambil tindakan. Ini direkomendasikan untuk instalasi baru sehingga Anda dapat menonton acara yang dihasilkan di log kesalahan Apache. Setelah meninjau log, Anda dapat memutuskan apakah ada modifikasi pada set aturan atau menonaktifkan aturan (lihat di bawah) harus dilakukan sebelum pindah ke mode proteksi.

Untuk melihat log kesalahan Apache:

 cat /var/log/httpd/error_log

Garis ModSecurity di log kesalahan Apache dipecah menjadi sembilan elemen. Setiap elemen memberikan informasi tentang mengapa acara itu dipicu.

• Bagian pertama memberi tahu file aturan apa yang memicu acara ini.
• Bagian kedua memberi tahu baris apa dalam file aturan yang aturannya dimulai.
• Elemen ketiga memberi tahu Anda aturan apa yang dipicu.
• Elemen keempat memberi tahu Anda revisi aturan.
• Elemen kelima berisi data khusus untuk keperluan debugging.
• Elemen keenam mendefinisikan keparahan logging dari keparahan acara ini.
• Bagian ketujuh menjelaskan tindakan apa yang terjadi dan pada fase apa itu terjadi.

Perhatikan bahwa beberapa elemen mungkin tidak ada bergantung pada konfigurasi server Anda.

Untuk mengubah ModSecurity ke mode proteksi, buka file conf di editor teks:

 nano /etc/httpd/conf.d/modsecurity.conf

... dan ubah:

 SecRuleEngine DetectionOnly

untuk:

 SecRuleEngine On

Jika Anda menemukan blok saat ModSecurity sedang berjalan, maka Anda perlu mengidentifikasi aturan di log kesalahan HTTP. Perintah "tail" memungkinkan Anda untuk menonton log secara real-time:

 tail -f /var/log/httpd/error_log

Ulangi tindakan yang menyebabkan blok saat menonton log.

Mengubah Aturan / Menonaktifkan ID Aturan

Memodifikasi suatu aturan berada di luar cakupan tutorial ini.

Untuk menonaktifkan aturan tertentu, Anda mengidentifikasi id aturan yang ada di elemen ketiga (misalnya [id = 200000]) dan kemudian menonaktifkannya di file konfigurasi Apache:

 nano /etc/httpd/conf/httpd.conf

... dengan menambahkan berikut ini ke bagian bawah file dengan id aturan:

<IfModule mod_security2.c>
SecRuleRemoveById 200000
</IfModule>

Jika Anda menemukan ModSecurity memblokir semua tindakan di situs web Anda, maka "Core Rule Set" mungkin dalam mode "Self-Contained". Anda perlu mengubahnya ke "Deteksi Kolaboratif", yang mendeteksi dan memblokir anomali saja. Pada saat yang sama, Anda dapat melihat opsi "Cukup" dan mengubahnya jika Anda ingin melakukannya.

 nano /etc/httpd/modsecurity-crs/modsecurity_crs_10_config.conf

Ubah "deteksi" menjadi "Mandiri".

Anda juga dapat mengonfigurasi ModSecurity untuk memungkinkan IP Anda melalui firewall aplikasi web (WAF) tanpa masuk:

 SecRule REMOTE_ADDR "@ipMatch xxx.xxx.xxx.xxx" phase:1,nolog,allow,ctl:ruleEngine=Off

... atau dengan pencatatan:

 SecRule REMOTE_ADDR "@ipMatch xxx.xxx.xxx.xxx" phase:1,nolog,allow,ctl:ruleEngine=DetectionOnly