ModSecurity e OWASP su CentOS 6 e Apache 2

• Installazione
• Utilizzando ModSecurity
• Modifica di un set di regole / Disabilitazione di un ID regola

ModSecurity è un firewall a livello di applicazione Web progettato per funzionare con IIS, Apache2 e Nginx. È un software open source gratuito rilasciato con licenza Apache 2.0. ModSecurity aiuta a proteggere il tuo server web monitorando e analizzando il traffico del tuo sito web. Lo fa in tempo reale per rilevare e bloccare gli attacchi dagli exploit più noti usando espressioni regolari. Di per sé, ModSecurity offre una protezione limitata e si basa su regole per massimizzare la protezione.

Il Set di regole di base (CRS) di Open Web Application Security Project (OWASP) è un insieme di regole di rilevamento di attacchi generici che forniscono un livello base di protezione per qualsiasi applicazione web. Il set di regole è gratuito, open source e attualmente sponsorizzato da Spider Labs.

OWASP CRS fornisce:

• Protezione HTTP: rilevamento di violazioni del protocollo HTTP e una politica di utilizzo definita localmente.
• Ricerche in blacklist in tempo reale: utilizza la reputazione IP di terze parti.
• Protezione Denial of Service HTTP: difesa contro inondazioni HTTP e attacchi HTTP DoS lenti.
• Protezione dagli attacchi Web comuni: rilevamento degli attacchi alla sicurezza delle applicazioni Web comuni.
• Rilevamento dell'automazione: rilevamento di bot, crawler, scanner e altre attività dannose superficiali.
• Integrazione con Scansione AV per caricamenti di file: rileva file dannosi caricati tramite l'applicazione Web.
• Tracciamento dei dati sensibili: tiene traccia dell'utilizzo della carta di credito e blocca le perdite.
• Protezione Trojan - Rileva i cavalli di Troia.
• Identificazione dei difetti dell'applicazione - avvisi su errate configurazioni dell'applicazione.
• Rilevamento e nascondere errori - Nascondere i messaggi di errore inviati dal server.

Installazione

Questa guida mostra come installare il set di regole ModSecurity e OWASP su CentOS 6 con Apache 2.

Innanzitutto, è necessario assicurarsi che il sistema sia aggiornato.

 yum -y update

Se non hai installato Apache 2, installalo ora.

 yum -y install httpd

Ora è necessario installare alcune dipendenze per far funzionare ModSecurity. A seconda della configurazione del server, alcuni o tutti questi pacchetti potrebbero essere già installati. Yum installerà i pacchetti che non hai e ti informerà se qualcuno dei pacchetti è già installato.

 yum -y install httpd-devel git gcc make libxml2 pcre-devel libxml2-devel curl-devel

Cambia directory e scarica il codice sorgente dal sito Web ModSecuity. L'attuale versione stabile è 2.8.

 cd /opt/
 wget https://www.modsecurity.org/tarball/2.8.0/modsecurity-2.8.0.tar.gz

Estrarre il pacchetto e passare alla sua directory.

 tar xzfv modsecurity-2.8.0.tar.gz 
 cd modsecurity-2.8.0

Configura e compila il codice sorgente.

 ./configure
 make
 make install

Copia la configurazione predefinita di ModSecurity e il file di mapping unicode nella directory Apache.

 cp modsecurity.conf-recommended /etc/httpd/conf.d/modsecurity.conf
 cp unicode.mapping /etc/httpd/conf.d/

Configura Apache per usare ModSecurity. Ci sono 2 modi in cui puoi farlo.

 echo LoadModule security2_module modules/mod_security2.so >> /etc/httpd/conf/httpd.conf

... o usa un editor di testo come nano:

 nano /etc/httpd/conf/httpd.conf

Nella parte inferiore di quel file, su una riga separata aggiungi questo:

 LoadModule security2_module modules/mod_security2.so

Ora puoi avviare Apache e configurarlo per l'avvio all'avvio.

 service httpd start
 chkconfig httpd on

Se hai installato Apache prima di utilizzare questa guida, devi solo riavviarlo.

 service httpd restart

È ora possibile scaricare il set di regole di base OWASP.

 cd /etc/httpd
 git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git

Ora configura il set di regole OWASP.

 cd modsecurity-crs
 cp modsecurity_crs_10_setup.conf.example modsecurity_crs_10_config.conf

Successivamente, è necessario aggiungere il set di regole alla configurazione di Apache. Ancora una volta possiamo farlo in due modi.

 echo Include modsecurity-crs/modsecurity_crs_10_config.conf >> /etc/httpd/conf/httpd.conf
 echo Include modsecurity-crs/base_rules/*.conf >> /etc/httpd/conf/httpd.conf

... o con un editor di testo:

 nano /etc/httpd/conf/httpd.conf

Nella parte inferiore del file su righe separate aggiungi questo:

 Include modsecurity-crs/modsecurity_crs_10_config.conf
 Include modsecurity-crs/base_rules/*.conf

Ora riavvia Apache.

 service httpd restart

Infine, elimina i file di installazione.

 yum erase /opt/modsecurity-2.8.0
 yum erase /opt/modsecurity-2.8.0.tar.gz

Utilizzando ModSecurity

Per impostazione predefinita, ModSecurity viene eseguito in modalità di solo rilevamento, il che significa che registrerà tutte le interruzioni delle regole ma non eseguirà alcuna azione. Questo è raccomandato per le nuove installazioni in modo da poter guardare gli eventi generati nel registro degli errori di Apache. Dopo aver esaminato il registro, è possibile decidere se è necessario apportare modifiche al set di regole o disabilitare la regola (vedere di seguito) prima di passare alla modalità di protezione.

Per visualizzare il registro degli errori di Apache:

 cat /var/log/httpd/error_log

La riga ModSecurity nel log degli errori di Apache è suddivisa in nove elementi. Ogni elemento fornisce informazioni sul motivo per cui l'evento è stato attivato.

• La prima parte indica quale file di regole ha attivato questo evento.
• La seconda parte indica su quale riga nel file della regola inizia la regola.
• Il terzo elemento indica quale regola è stata attivata.
• Il quarto elemento ti dice la revisione della regola.
• Il quinto elemento contiene dati speciali per scopi di debug.
• Il sesto elemento definisce la gravità della registrazione di questa gravità dell'evento.
• La settima sezione descrive quale azione è avvenuta e in quale fase è avvenuta.

Si noti che alcuni elementi potrebbero essere assenti a seconda della configurazione del server.

Per modificare ModSecurity in modalità di protezione, aprire il file conf in un editor di testo:

 nano /etc/httpd/conf.d/modsecurity.conf

... e cambia:

 SecRuleEngine DetectionOnly

per:

 SecRuleEngine On

Se si verificano blocchi durante l'esecuzione di ModSecurity, è necessario identificare la regola nel registro errori HTTP. Il comando "tail" ti consente di guardare i log in tempo reale:

 tail -f /var/log/httpd/error_log

Ripeti l'azione che ha causato il blocco mentre guardavi il registro.

Modifica di un set di regole / Disabilitazione di un ID regola

La modifica di un set di regole va oltre lo scopo di questo tutorial.

Per disabilitare una regola specifica, si identifica l'id della regola che si trova nel terzo elemento (ad esempio [id = 200000]) e quindi lo si disabilita nel file di configurazione di Apache:

 nano /etc/httpd/conf/httpd.conf

... aggiungendo quanto segue in fondo al file con l'id della regola:

<IfModule mod_security2.c>
SecRuleRemoveById 200000
</IfModule>

Se trovi che ModSecurity sta bloccando tutte le azioni sui tuoi siti Web, allora "Set di regole di base" è probabilmente in modalità "Autosufficiente". È necessario modificarlo in "Rilevamento collaborativo", che rileva e blocca solo le anomalie. Allo stesso tempo, puoi guardare le opzioni "Autocontenute" e cambiarle se lo desideri.

 nano /etc/httpd/modsecurity-crs/modsecurity_crs_10_config.conf

Cambia "rilevamento" in "Autosufficiente".

È inoltre possibile configurare ModSecurity per consentire il proprio IP attraverso il firewall dell'applicazione Web (WAF) senza effettuare la registrazione:

 SecRule REMOTE_ADDR "@ipMatch xxx.xxx.xxx.xxx" phase:1,nolog,allow,ctl:ruleEngine=Off

... o con registrazione:

 SecRule REMOTE_ADDR "@ipMatch xxx.xxx.xxx.xxx" phase:1,nolog,allow,ctl:ruleEngine=DetectionOnly