ModSecurity en OWASP op CentOS 6 en Apache 2

• Installatie
• ModSecurity gebruiken
• Een regelset wijzigen / een regel-ID uitschakelen

ModSecurity is een firewall voor webapplicatielagen die is ontworpen om te werken met IIS, Apache2 en Nginx. Het is gratis, open-source software die is uitgebracht onder de Apache-licentie 2.0. ModSecurity helpt uw ​​webserver te beveiligen door uw websiteverkeer te volgen en te analyseren. Het doet dit in realtime om aanvallen van de meeste bekende exploits te detecteren en te blokkeren met behulp van reguliere expressies. Op zichzelf biedt ModSecurity beperkte bescherming en vertrouwt het op regelsets om de bescherming te maximaliseren.

Het Open Web Application Security Project (OWASP) Core Rule Set (CRS) is een set generieke regels voor aanvaldetectie die een basisniveau van bescherming bieden voor elke webapplicatie. De regelset is gratis, open source en wordt momenteel gesponsord door Spider Labs.

OWASP CRS biedt:

• HTTP-beveiliging - het detecteren van schendingen van het HTTP-protocol en een lokaal gedefinieerd gebruiksbeleid.
• Realtime Blacklist-zoekopdrachten - maakt gebruik van IP-reputatie van derden.
• HTTP Denial of Service Protection - verdediging tegen HTTP-overstromingen en langzame HTTP DoS-aanvallen.
• Common Web Attacks Protection - detectie van veelvoorkomende beveiligingsaanvallen op webapplicaties
• Automation Detection - Detectie van bots, crawlers, scanners en andere kwaadaardige activiteiten.
• Integratie met AV-scannen voor bestandsuploads - detecteert schadelijke bestanden die zijn geüpload via de webtoepassing.
• Gevoelige gegevens volgen - Houdt creditcardgebruik bij en blokkeert lekkages.
• Trojan Protection - Detecteert Trojaanse paarden.
• Identificatie van applicatiedefecten - waarschuwingen over verkeerde configuraties van applicaties.
• Foutdetectie en -verberging - camoufleren van door de server verzonden foutmeldingen.

Installatie

Deze gids laat zien hoe je ModSecurity en OWASP regelset installeert op CentOS 6 met Apache 2.

Eerst moet u ervoor zorgen dat uw systeem up-to-date is.

 yum -y update

Als je Apache 2 niet hebt geïnstalleerd, installeer het dan nu.

 yum -y install httpd

U moet nu enkele afhankelijkheden installeren om ModSecurity te laten werken. Afhankelijk van uw serverconfiguratie zijn sommige of al deze pakketten mogelijk al geïnstalleerd. Yum installeert de pakketten die je niet hebt en laat je weten of een van de pakketten al is geïnstalleerd.

 yum -y install httpd-devel git gcc make libxml2 pcre-devel libxml2-devel curl-devel

Wijzig de directory en download de broncode van de ModSecuity-website. De huidige stabiele versie is 2.8.

 cd /opt/
 wget https://www.modsecurity.org/tarball/2.8.0/modsecurity-2.8.0.tar.gz

Pak het pakket uit en ga naar de directory.

 tar xzfv modsecurity-2.8.0.tar.gz 
 cd modsecurity-2.8.0

Configureer en compileer de broncode.

 ./configure
 make
 make install

Kopieer de standaard ModSecurity-configuratie en het unicode-toewijzingsbestand naar de Apache-directory.

 cp modsecurity.conf-recommended /etc/httpd/conf.d/modsecurity.conf
 cp unicode.mapping /etc/httpd/conf.d/

Configureer Apache om ModSecurity te gebruiken. U kunt dit op 2 manieren doen.

 echo LoadModule security2_module modules/mod_security2.so >> /etc/httpd/conf/httpd.conf

... of gebruik een teksteditor zoals nano:

 nano /etc/httpd/conf/httpd.conf

Voeg onderaan dat bestand op een aparte regel dit toe:

 LoadModule security2_module modules/mod_security2.so

U kunt Apache nu starten en configureren om te starten bij het opstarten.

 service httpd start
 chkconfig httpd on

Als u Apache had geïnstalleerd voordat u deze handleiding gebruikte, hoeft u deze alleen opnieuw op te starten.

 service httpd restart

U kunt nu de OWASP-kernregelset downloaden.

 cd /etc/httpd
 git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git

Configureer nu de OWASP-regelset.

 cd modsecurity-crs
 cp modsecurity_crs_10_setup.conf.example modsecurity_crs_10_config.conf

Vervolgens moet u de regelset toevoegen aan de Apache-configuratie. Nogmaals, we kunnen dit op twee manieren doen.

 echo Include modsecurity-crs/modsecurity_crs_10_config.conf >> /etc/httpd/conf/httpd.conf
 echo Include modsecurity-crs/base_rules/*.conf >> /etc/httpd/conf/httpd.conf

... of met een teksteditor:

 nano /etc/httpd/conf/httpd.conf

Voeg onderaan het bestand op afzonderlijke regels dit toe:

 Include modsecurity-crs/modsecurity_crs_10_config.conf
 Include modsecurity-crs/base_rules/*.conf

Start nu Apache opnieuw.

 service httpd restart

Verwijder ten slotte de installatiebestanden.

 yum erase /opt/modsecurity-2.8.0
 yum erase /opt/modsecurity-2.8.0.tar.gz

ModSecurity gebruiken

Standaard wordt ModSecurity uitgevoerd in de modus alleen detecteren, wat betekent dat het alle regeleindes registreert maar geen actie onderneemt. Dit wordt aanbevolen voor nieuwe installaties, zodat u de gebeurtenissen in het Apache-foutenlogboek kunt bekijken. Na het bekijken van het logboek, kunt u beslissen of er een wijziging in de regelset of het uitschakelen van de regel (zie hieronder) moet worden aangebracht voordat u naar de beveiligingsmodus gaat.

Om het Apache-foutenlogboek te bekijken:

 cat /var/log/httpd/error_log

De ModSecurity-regel in het Apache-foutenlogboek is onderverdeeld in negen elementen. Elk element geeft informatie over waarom de gebeurtenis is geactiveerd.

• Het eerste deel vertelt welk regelbestand deze gebeurtenis heeft geactiveerd.
• Het tweede deel vertelt op welke regel in het regelbestand de regel begint.
• Het derde element vertelt u welke regel is geactiveerd.
• Het vierde element vertelt je de herziening van de regel.
• Het vijfde element bevat speciale gegevens voor foutopsporingsdoeleinden.
• Het zesde element definieert de log-ernst van deze gebeurtenis-ernst.
• De zevende sectie beschrijft welke actie heeft plaatsgevonden en in welke fase deze heeft plaatsgevonden.

Merk op dat sommige elementen mogelijk afwezig zijn, afhankelijk van de configuratie van uw server.

Om ModSecurity in de beschermingsmodus te veranderen, open je het conf-bestand in een teksteditor:

 nano /etc/httpd/conf.d/modsecurity.conf

... en wijzigen:

 SecRuleEngine DetectionOnly

naar:

 SecRuleEngine On

Als u blokken tegenkomt tijdens het uitvoeren van ModSecurity, moet u de regel identificeren in het HTTP-foutenlogboek. Met het commando "tail" kunt u de logs in realtime bekijken:

 tail -f /var/log/httpd/error_log

Herhaal de actie die het blok veroorzaakte terwijl je naar het logboek keek.

Een regelset wijzigen / een regel-ID uitschakelen

Het wijzigen van een regelset valt buiten het bestek van deze tutorial.

Om een ​​specifieke regel uit te schakelen, identificeert u de regel-ID in het derde element (bijvoorbeeld [id = 200000]) en schakelt u deze vervolgens uit in het Apache-configuratiebestand:

 nano /etc/httpd/conf/httpd.conf

... door het volgende onder aan het bestand toe te voegen met de regel-id:

<IfModule mod_security2.c>
SecRuleRemoveById 200000
</IfModule>

Als u merkt dat ModSecurity alle acties op uw website (s) blokkeert, staat "Core Rule Set" waarschijnlijk in de modus "Self-Contained". U moet dit wijzigen in "Collaborative Detection", die alleen afwijkingen detecteert en blokkeert. Tegelijkertijd kunt u de "Zelfstandige" opties bekijken en deze wijzigen als u dat wilt.

 nano /etc/httpd/modsecurity-crs/modsecurity_crs_10_config.conf

Wijzig "detectie" in "Zelfstandig".

U kunt ModSecurity ook configureren om uw IP door de webapplicatie-firewall (WAF) heen te laten zonder te loggen:

 SecRule REMOTE_ADDR "@ipMatch xxx.xxx.xxx.xxx" phase:1,nolog,allow,ctl:ruleEngine=Off

... of met loggen:

 SecRule REMOTE_ADDR "@ipMatch xxx.xxx.xxx.xxx" phase:1,nolog,allow,ctl:ruleEngine=DetectionOnly