CentOS 6 및 Apache 2의 ModSecurity 및 OWASP

• 설치
• ModSecurity 사용
• 규칙 세트 수정 / 규칙 ID 비활성화

ModSecurity는 IIS, Apache2 및 Nginx와 함께 작동하도록 설계된 웹 응용 프로그램 계층 방화벽입니다. Apache 라이센스 2.0에 따라 공개 된 무료 오픈 소스 소프트웨어입니다. ModSecurity는 웹 사이트 트래픽을 모니터링하고 분석하여 웹 서버를 보호합니다. 정규 표현식을 사용하여 가장 많이 알려진 익스플로잇의 공격을 실시간으로 탐지하고 차단합니다. 자체적으로 ModSecurity는 제한적인 보호 기능을 제공하고 규칙 세트를 사용하여 보호 기능을 최대화합니다.

OWASP (Open Web Application Security Project) CRS (Core Rule Set)는 모든 웹 응용 프로그램에 대한 기본 수준의 보호 기능을 제공하는 일반적인 공격 탐지 규칙 집합입니다. 규칙 세트는 무료이며 오픈 소스이며 현재 Spider Labs가 후원합니다.

OWASP CRS는 다음을 제공합니다.

• HTTP 보호-HTTP 프로토콜 및 로컬로 정의 된 사용 정책 위반을 감지합니다.
• 실시간 블랙리스트 조회-타사 IP 평판을 사용합니다.
• HTTP 서비스 거부 보호-HTTP 플러딩 및 느린 HTTP DoS 공격에 대한 방어.
• 일반적인 웹 공격 보호-일반적인 웹 응용 프로그램 보안 공격을 탐지합니다.
• 자동화 탐지-봇, 크롤러, 스캐너 및 기타 표면 악성 활동 탐지
• 파일 업로드를위한 AV 스캔과 통합-웹 응용 프로그램을 통해 업로드 된 악성 파일을 탐지합니다.
• 민감한 데이터 추적-신용 카드 사용을 추적하고 유출을 차단합니다.
• 트로이 목마 보호-트로이 목마를 탐지합니다.
• 응용 프로그램 결함 식별-응용 프로그램 잘못 구성에 대한 경고.
• 오류 감지 및 숨기기-서버에서 보낸 오류 메시지를 위장합니다.

설치

이 안내서는 Apache 2를 실행하는 CentOS 6에 ModSecurity 및 OWASP 규칙 세트를 설치하는 방법을 보여줍니다.

먼저 시스템이 최신 상태인지 확인해야합니다.

 yum -y update

Apache 2를 설치하지 않은 경우 지금 설치하십시오.

 yum -y install httpd

이제 ModSecurity가 작동하려면 일부 종속성을 설치해야합니다. 서버 구성에 따라 이러한 패키지 중 일부 또는 전부가 이미 설치되어있을 수 있습니다. Yum은 가지고 있지 않은 패키지를 설치하고 패키지가 이미 설치되어 있는지 알려줍니다.

 yum -y install httpd-devel git gcc make libxml2 pcre-devel libxml2-devel curl-devel

ModSecuity 웹 사이트에서 디렉토리를 변경하고 소스 코드를 다운로드하십시오. 현재 안정 버전은 2.8입니다.

 cd /opt/
 wget https://www.modsecurity.org/tarball/2.8.0/modsecurity-2.8.0.tar.gz

패키지를 추출하고 해당 디렉토리로 변경하십시오.

 tar xzfv modsecurity-2.8.0.tar.gz 
 cd modsecurity-2.8.0

소스 코드를 구성하고 컴파일하십시오.

 ./configure
 make
 make install

기본 ModSecurity 구성 및 유니 코드 맵핑 파일을 Apache 디렉토리로 복사하십시오.

 cp modsecurity.conf-recommended /etc/httpd/conf.d/modsecurity.conf
 cp unicode.mapping /etc/httpd/conf.d/

ModSecurity를 ​​사용하도록 Apache를 구성하십시오. 이를 수행 할 수있는 두 가지 방법이 있습니다.

 echo LoadModule security2_module modules/mod_security2.so >> /etc/httpd/conf/httpd.conf

... 또는 nano와 같은 텍스트 편집기를 사용하십시오.

 nano /etc/httpd/conf/httpd.conf

해당 파일의 맨 아래에 별도의 줄에 다음을 추가하십시오.

 LoadModule security2_module modules/mod_security2.so

이제 Apache를 시작하고 부팅시 시작되도록 구성 할 수 있습니다.

 service httpd start
 chkconfig httpd on

이 안내서를 사용하기 전에 Apache를 설치 한 경우 다시 시작하면됩니다.

 service httpd restart

이제 OWASP 핵심 규칙 세트를 다운로드 할 수 있습니다.

 cd /etc/httpd
 git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git

이제 OWASP 규칙 세트를 구성하십시오.

 cd modsecurity-crs
 cp modsecurity_crs_10_setup.conf.example modsecurity_crs_10_config.conf

다음으로 규칙 세트를 Apache 구성에 추가해야합니다. 다시 우리는 두 가지 방법으로 이것을 할 수 있습니다.

 echo Include modsecurity-crs/modsecurity_crs_10_config.conf >> /etc/httpd/conf/httpd.conf
 echo Include modsecurity-crs/base_rules/*.conf >> /etc/httpd/conf/httpd.conf

... 또는 텍스트 편집기로 :

 nano /etc/httpd/conf/httpd.conf

별도의 줄에있는 파일의 맨 아래에 다음을 추가하십시오.

 Include modsecurity-crs/modsecurity_crs_10_config.conf
 Include modsecurity-crs/base_rules/*.conf

이제 Apache를 다시 시작하십시오.

 service httpd restart

마지막으로 설치 파일을 삭제하십시오.

 yum erase /opt/modsecurity-2.8.0
 yum erase /opt/modsecurity-2.8.0.tar.gz

ModSecurity 사용

기본적으로 ModSecurity는 탐지 전용 모드로 실행되므로 모든 규칙 위반을 기록하지만 아무런 조치도 취하지 않습니다. 새로운 설치에 권장되므로 Apache 오류 로그에서 생성 된 이벤트를 볼 수 있습니다. 로그를 검토 한 후 보호 모드로 이동하기 전에 규칙 세트를 수정하거나 규칙을 비활성화 (아래 참조)해야하는지 여부를 결정할 수 있습니다.

Apache 오류 로그를 보려면

 cat /var/log/httpd/error_log

Apache 오류 로그의 ModSecurity 줄은 9 가지 요소로 나뉩니다. 각 요소는 이벤트가 트리거 된 이유에 대한 정보를 제공합니다.

• 첫 번째 부분은이 이벤트를 트리거 한 룰 파일을 알려줍니다.
• 두 번째 부분은 규칙 파일에서 규칙이 시작되는 행을 알려줍니다.
• 세 번째 요소는 어떤 규칙이 트리거되었는지 알려줍니다.
• 네 번째 요소는 규칙의 개정을 알려줍니다.
• 다섯 번째 요소에는 디버깅 목적으로 사용되는 특수 데이터가 포함되어 있습니다.
• 여섯 번째 요소는이 이벤트 심각도의 로깅 심각도를 정의합니다.
• 일곱 번째 섹션에서는 어떤 동작이 발생했으며 어떤 단계에서 발생했는지 설명합니다.

서버 구성에 따라 일부 요소가 없을 수 있습니다.

ModSecurity를 ​​보호 모드��� 변경하려면 텍스트 편집기에서 conf 파일을여십시오.

 nano /etc/httpd/conf.d/modsecurity.conf

... 및 변경 :

 SecRuleEngine DetectionOnly

에:

 SecRuleEngine On

ModSecurity가 실행 중일 때 차단이 발생하면 HTTP 오류 로그에서 규칙을 식별해야합니다. "tail"명령을 사용하면 실시간으로 로그를 볼 수 있습니다.

 tail -f /var/log/httpd/error_log

로그를 보면서 블록을 일으킨 작업을 반복하십시오.

규칙 세트 수정 / 규칙 ID 비활성화

규칙 세트 수정은이 학습서의 범위를 벗어납니다.

특정 규칙을 비활성화하려면 세 번째 요소 (예 : [id = 200000])에있는 규칙 ID를 식별 한 다음 Apache 구성 파일에서 비활성화하십시오.

 nano /etc/httpd/conf/httpd.conf

규칙 ID를 사용하여 파일 맨 아래에 다음을 추가하여

<IfModule mod_security2.c>
SecRuleRemoveById 200000
</IfModule>

ModSecurity가 웹 사이트의 모든 작업을 차단하고 있으면 "핵심 규칙 세트"가 "자체 포함"모드 일 수 있습니다. 이상을 탐지하고 차단하는 "협업 탐지"로 변경해야합니다. 동시에 "자체 포함"옵션을보고 원하는 경우 변경할 수 있습니다.

 nano /etc/httpd/modsecurity-crs/modsecurity_crs_10_config.conf

"감지"를 "자체 포함"으로 변경하십시오.

로깅없이 웹 애플리케이션 방화벽 (WAF)을 통해 IP를 허용하도록 ModSecurity를 ​​구성 할 수도 있습니다.

 SecRule REMOTE_ADDR "@ipMatch xxx.xxx.xxx.xxx" phase:1,nolog,allow,ctl:ruleEngine=Off

... 또는 로깅 :

 SecRule REMOTE_ADDR "@ipMatch xxx.xxx.xxx.xxx" phase:1,nolog,allow,ctl:ruleEngine=DetectionOnly