ModSecurity i OWASP na CentOS 6 i Apache 2

ModSecurity to zapora ogniowa warstwy aplikacji WWW przeznaczona do współpracy z IIS, Apache2 i Nginx. Jest to darmowe oprogramowanie typu open source wydane na licencji Apache 2.0. ModSecurity pomaga zabezpieczyć serwer WWW, monitorując i analizując ruch w witrynie. Robi to w czasie rzeczywistym, aby wykrywać i blokować ataki na większość znanych exploitów za pomocą wyrażeń regularnych. Sam ModSecurity zapewnia ograniczoną ochronę i polega na zestawach reguł, aby zmaksymalizować ochronę.

Zestaw reguł podstawowych Open Project Application Security Project (OWASP) (CRS) to zestaw ogólnych reguł wykrywania ataków, które zapewniają podstawowy poziom ochrony dowolnej aplikacji internetowej. Zestaw reguł jest darmowy, open source i obecnie sponsorowany przez Spider Labs.

OWASP CRS zapewnia:

  • Ochrona HTTP - wykrywanie naruszeń protokołu HTTP i lokalnie zdefiniowanych zasad użytkowania.
  • Wyszukiwanie na czarnej liście w czasie rzeczywistym - wykorzystuje reputację stron trzecich.
  • Ochrona przed odmową usługi HTTP - ochrona przed zalaniem HTTP i powolnymi atakami HTTP DoS.
  • Typowa ochrona przed atakami internetowymi - wykrywanie typowych ataków bezpieczeństwa aplikacji internetowych.
  • Wykrywanie automatyzacji - wykrywanie botów, robotów indeksujących, skanerów i innych złośliwych działań na powierzchni.
  • Integracja ze skanowaniem AV w celu przesyłania plików - wykrywa złośliwe pliki przesłane przez aplikację internetową.
  • Śledzenie wrażliwych danych - śledzi użycie karty kredytowej i blokuje wycieki.
  • Ochrona przed trojanami - wykrywa konie trojańskie.
  • Identyfikacja wad aplikacji - alerty o błędnych konfiguracjach aplikacji.
  • Wykrywanie i ukrywanie błędów - ukrywanie komunikatów o błędach wysyłanych przez serwer.

Instalacja

Ten przewodnik pokazuje, jak zainstalować ModSecurity i zestaw reguł OWASP na CentOS 6 z uruchomionym Apache 2.

Po pierwsze, musisz upewnić się, że twój system jest aktualny.

 yum -y update

Jeśli nie zainstalowałeś Apache 2, zainstaluj go teraz.

 yum -y install httpd

Teraz musisz zainstalować pewne zależności, aby ModSecurity działał. W zależności od konfiguracji serwera niektóre lub wszystkie z tych pakietów mogą być już zainstalowane. Yum zainstaluje pakiety, których nie masz i poinformuje Cię, jeśli którykolwiek z nich jest już zainstalowany.

 yum -y install httpd-devel git gcc make libxml2 pcre-devel libxml2-devel curl-devel

Zmień katalog i pobierz kod źródłowy ze strony ModSecuity. Obecna stabilna wersja to 2.8.

 cd /opt/
 wget https://www.modsecurity.org/tarball/2.8.0/modsecurity-2.8.0.tar.gz

Wyodrębnij pakiet i przejdź do jego katalogu.

 tar xzfv modsecurity-2.8.0.tar.gz 
 cd modsecurity-2.8.0

Skonfiguruj i skompiluj kod źródłowy.

 ./configure
 make
 make install

Skopiuj domyślną konfigurację ModSecurity i plik odwzorowania Unicode do katalogu Apache.

 cp modsecurity.conf-recommended /etc/httpd/conf.d/modsecurity.conf
 cp unicode.mapping /etc/httpd/conf.d/

Skonfiguruj Apache do korzystania z ModSecurity. Można to zrobić na 2 sposoby.

 echo LoadModule security2_module modules/mod_security2.so >> /etc/httpd/conf/httpd.conf

... lub użyj edytora tekstu, takiego jak nano:

 nano /etc/httpd/conf/httpd.conf

Na dole tego pliku w osobnym wierszu dodaj:

 LoadModule security2_module modules/mod_security2.so

Możesz teraz uruchomić Apache i skonfigurować go tak, aby startował przy starcie systemu.

 service httpd start
 chkconfig httpd on

Jeśli Apache był zainstalowany przed użyciem tego przewodnika, wystarczy go ponownie uruchomić.

 service httpd restart

Możesz teraz pobrać zestaw podstawowych reguł OWASP.

 cd /etc/httpd
 git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git

Teraz skonfiguruj zestaw reguł OWASP.

 cd modsecurity-crs
 cp modsecurity_crs_10_setup.conf.example modsecurity_crs_10_config.conf

Następnie musisz dodać zestaw reguł do konfiguracji Apache. Ponownie możemy to zrobić na dwa sposoby.

 echo Include modsecurity-crs/modsecurity_crs_10_config.conf >> /etc/httpd/conf/httpd.conf
 echo Include modsecurity-crs/base_rules/*.conf >> /etc/httpd/conf/httpd.conf

... lub za pomocą edytora tekstu:

 nano /etc/httpd/conf/httpd.conf

W dolnej części pliku w osobnych wierszach dodaj:

 Include modsecurity-crs/modsecurity_crs_10_config.conf
 Include modsecurity-crs/base_rules/*.conf

Teraz uruchom ponownie Apache.

 service httpd restart

Na koniec usuń pliki instalacyjne.

 yum erase /opt/modsecurity-2.8.0
 yum erase /opt/modsecurity-2.8.0.tar.gz

Korzystanie z ModSecurity

Domyślnie ModSecurity działa w trybie tylko wykrywania, co oznacza, że ​​będzie rejestrować wszystkie złamania reguł, ale nie będzie podejmował żadnych działań. Jest to zalecane w przypadku nowych instalacji, aby można było oglądać zdarzenia generowane w dzienniku błędów Apache. Po przejrzeniu dziennika możesz zdecydować, czy przed przejściem do trybu ochrony powinna zostać wprowadzona jakakolwiek modyfikacja zestawu reguł lub wyłączenie reguły (patrz poniżej).

Aby wyświetlić dziennik błędów Apache:

 cat /var/log/httpd/error_log

Linia ModSecurity w dzienniku błędów Apache jest podzielona na dziewięć elementów. Każdy element zawiera informacje o tym, dlaczego zdarzenie zostało wywołane.

  • Pierwsza część mówi, który plik reguł wywołał to zdarzenie.
  • Druga część mówi, w której linii w pliku reguł zaczyna się reguła.
  • Trzeci element mówi, która reguła została uruchomiona.
  • Czwarty element mówi o zmianie reguły.
  • Piąty element zawiera specjalne dane do celów debugowania.
  • Szósty element określa ważność rejestrowania tego istotności zdarzenia.
  • Siódma sekcja opisuje, jakie działanie miało miejsce iw jakiej fazie miało miejsce.

Pamiętaj, że niektóre elementy mogą być nieobecne w zależności od konfiguracji twojego serwera.

Aby zmienić ModSecurity na tryb ochrony, otwórz plik conf w edytorze tekstu:

 nano /etc/httpd/conf.d/modsecurity.conf

... i zmień:

 SecRuleEngine DetectionOnly

do:

 SecRuleEngine On

Jeśli napotkasz jakieś bloki podczas działania ModSecurity, musisz zidentyfikować regułę w dzienniku błędów HTTP. Polecenie „ogon” umożliwia oglądanie dzienników w czasie rzeczywistym:

 tail -f /var/log/httpd/error_log

Powtórz czynność, która spowodowała blok podczas oglądania dziennika.

Modyfikowanie zestawu reguł / Wyłączanie identyfikatora reguły

Modyfikowanie zestawu reguł wykracza poza zakres tego samouczka.

Aby wyłączyć określoną regułę, należy zidentyfikować identyfikator reguły znajdujący się w trzecim elemencie (na przykład [id = 200000]), a następnie wyłączyć go w pliku konfiguracyjnym Apache:

 nano /etc/httpd/conf/httpd.conf

... dodając następujące elementy na dole pliku o identyfikatorze reguły:

<IfModule mod_security2.c>
SecRuleRemoveById 200000
</IfModule>

Jeśli okaże się, że ModSecurity blokuje wszystkie działania w witrynie (witrynach), oznacza to, że „Zestaw podstawowych zasad” prawdopodobnie znajduje się w trybie „Samowystarczalny”. Musisz zmienić to na „Wykrywanie współpracy”, które wykrywa i blokuje tylko anomalie. Jednocześnie możesz spojrzeć na opcje „Samowystarczalne” i zmienić je, jeśli chcesz.

 nano /etc/httpd/modsecurity-crs/modsecurity_crs_10_config.conf

Zmień „wykrywanie” na „Samowystarczalne”.

Możesz także skonfigurować ModSecurity, aby zezwalał na IP przez zaporę ogniową aplikacji WWW (WAF) bez logowania:

 SecRule REMOTE_ADDR "@ipMatch xxx.xxx.xxx.xxx" phase:1,nolog,allow,ctl:ruleEngine=Off

... lub z logowaniem:

 SecRule REMOTE_ADDR "@ipMatch xxx.xxx.xxx.xxx" phase:1,nolog,allow,ctl:ruleEngine=DetectionOnly


Leave a Comment

Funkcjonalności warstw architektury referencyjnej Big Data

Funkcjonalności warstw architektury referencyjnej Big Data

Przeczytaj blog, aby w najprostszy sposób poznać różne warstwy w architekturze Big Data i ich funkcjonalności.

Rewolucyjne wynalazki Google, które ułatwią Twoje życie.

Rewolucyjne wynalazki Google, które ułatwią Twoje życie.

Chcesz zobaczyć rewolucyjne wynalazki Google i jak te wynalazki zmieniły życie każdego człowieka dzisiaj? Następnie czytaj na blogu, aby zobaczyć wynalazki Google.

13 komercyjnych narzędzi do ekstrakcji danych z Big Data

13 komercyjnych narzędzi do ekstrakcji danych z Big Data

13 komercyjnych narzędzi do ekstrakcji danych z Big Data

Pozostań w kontakcie dzięki aplikacji WhatsApp na komputer 24*7

Pozostań w kontakcie dzięki aplikacji WhatsApp na komputer 24*7

Whatsapp w końcu uruchomił aplikację Desktop dla użytkowników komputerów Mac i Windows. Teraz możesz łatwo uzyskać dostęp do Whatsapp z systemu Windows lub Mac. Dostępne dla Windows 8+ i Mac OS 10.9+

5 przykładów, które dowodzą, że energetyka jądrowa nie zawsze jest zła

5 przykładów, które dowodzą, że energetyka jądrowa nie zawsze jest zła

Energia jądrowa jest zawsze pogardzana, nigdy jej nie szanujemy z powodu przeszłych wydarzeń, ale nie zawsze jest zła. Przeczytaj post, aby dowiedzieć się więcej na ten temat.

Friday Essential: Co się stało z samochodami sterowanymi przez sztuczną inteligencję?

Friday Essential: Co się stało z samochodami sterowanymi przez sztuczną inteligencję?

Koncepcja autonomicznych samochodów, które wyjadą na drogi za pomocą sztucznej inteligencji, to marzenie, które mamy już od jakiegoś czasu. Ale pomimo kilku obietnic nigdzie ich nie widać. Przeczytaj ten blog, aby dowiedzieć się więcej…

Czy AI może walczyć z rosnącą liczbą ataków ransomware?

Czy AI może walczyć z rosnącą liczbą ataków ransomware?

Wzrasta liczba ataków ransomware, ale czy sztuczna inteligencja może pomóc w radzeniu sobie z najnowszym wirusem komputerowym? Czy AI jest odpowiedzią? Przeczytaj tutaj, wiedz, że sztuczna inteligencja jest zmorą lub zgubą

5 przydatnych narzędzi sztucznej inteligencji, które uproszczą Twoje życie

5 przydatnych narzędzi sztucznej inteligencji, które uproszczą Twoje życie

Sztuczna inteligencja nie jest dla ludzi nową nazwą. Ponieważ sztuczna inteligencja jest włączona do każdego strumienia, jednym z nich jest opracowywanie narzędzi zwiększających ludzką wydajność i dokładność. Skorzystaj z tych niesamowitych narzędzi uczenia maszynowego i uprość swoje codzienne zadania.

Wgląd w 26 technik analizy Big Data: część 2

Wgląd w 26 technik analizy Big Data: część 2

Zawsze potrzebujemy Big Data Analytics do efektywnego zarządzania danymi. W tym artykule omówiliśmy kilka technik analizy Big Data. Sprawdź ten artykuł.

Ataki DDOS: krótki przegląd

Ataki DDOS: krótki przegląd

Czy jesteś również ofiarą ataków DDOS i nie masz pewności co do metod zapobiegania? Przeczytaj ten artykuł, aby rozwiązać swoje pytania.