ModSecurity i OWASP na CentOS 6 i Apache 2

• Instalacja
• Korzystanie z ModSecurity
• Modyfikowanie zestawu reguł / Wyłączanie identyfikatora reguły

ModSecurity to zapora ogniowa warstwy aplikacji WWW przeznaczona do współpracy z IIS, Apache2 i Nginx. Jest to darmowe oprogramowanie typu open source wydane na licencji Apache 2.0. ModSecurity pomaga zabezpieczyć serwer WWW, monitorując i analizując ruch w witrynie. Robi to w czasie rzeczywistym, aby wykrywać i blokować ataki na większość znanych exploitów za pomocą wyrażeń regularnych. Sam ModSecurity zapewnia ograniczoną ochronę i polega na zestawach reguł, aby zmaksymalizować ochronę.

Zestaw reguł podstawowych Open Project Application Security Project (OWASP) (CRS) to zestaw ogólnych reguł wykrywania ataków, które zapewniają podstawowy poziom ochrony dowolnej aplikacji internetowej. Zestaw reguł jest darmowy, open source i obecnie sponsorowany przez Spider Labs.

OWASP CRS zapewnia:

• Ochrona HTTP - wykrywanie naruszeń protokołu HTTP i lokalnie zdefiniowanych zasad użytkowania.
• Wyszukiwanie na czarnej liście w czasie rzeczywistym - wykorzystuje reputację stron trzecich.
• Ochrona przed odmową usługi HTTP - ochrona przed zalaniem HTTP i powolnymi atakami HTTP DoS.
• Typowa ochrona przed atakami internetowymi - wykrywanie typowych ataków bezpieczeństwa aplikacji internetowych.
• Wykrywanie automatyzacji - wykrywanie botów, robotów indeksujących, skanerów i innych złośliwych działań na powierzchni.
• Integracja ze skanowaniem AV w celu przesyłania plików - wykrywa złośliwe pliki przesłane przez aplikację internetową.
• Śledzenie wrażliwych danych - śledzi użycie karty kredytowej i blokuje wycieki.
• Ochrona przed trojanami - wykrywa konie trojańskie.
• Identyfikacja wad aplikacji - alerty o błędnych konfiguracjach aplikacji.
• Wykrywanie i ukrywanie błędów - ukrywanie komunikatów o błędach wysyłanych przez serwer.

Instalacja

Ten przewodnik pokazuje, jak zainstalować ModSecurity i zestaw reguł OWASP na CentOS 6 z uruchomionym Apache 2.

Po pierwsze, musisz upewnić się, że twój system jest aktualny.

 yum -y update

Jeśli nie zainstalowałeś Apache 2, zainstaluj go teraz.

 yum -y install httpd

Teraz musisz zainstalować pewne zależności, aby ModSecurity działał. W zależności od konfiguracji serwera niektóre lub wszystkie z tych pakietów mogą być już zainstalowane. Yum zainstaluje pakiety, których nie masz i poinformuje Cię, jeśli którykolwiek z nich jest już zainstalowany.

 yum -y install httpd-devel git gcc make libxml2 pcre-devel libxml2-devel curl-devel

Zmień katalog i pobierz kod źródłowy ze strony ModSecuity. Obecna stabilna wersja to 2.8.

 cd /opt/
 wget https://www.modsecurity.org/tarball/2.8.0/modsecurity-2.8.0.tar.gz

Wyodrębnij pakiet i przejdź do jego katalogu.

 tar xzfv modsecurity-2.8.0.tar.gz 
 cd modsecurity-2.8.0

Skonfiguruj i skompiluj kod źródłowy.

 ./configure
 make
 make install

Skopiuj domyślną konfigurację ModSecurity i plik odwzorowania Unicode do katalogu Apache.

 cp modsecurity.conf-recommended /etc/httpd/conf.d/modsecurity.conf
 cp unicode.mapping /etc/httpd/conf.d/

Skonfiguruj Apache do korzystania z ModSecurity. Można to zrobić na 2 sposoby.

 echo LoadModule security2_module modules/mod_security2.so >> /etc/httpd/conf/httpd.conf

... lub użyj edytora tekstu, takiego jak nano:

 nano /etc/httpd/conf/httpd.conf

Na dole tego pliku w osobnym wierszu dodaj:

 LoadModule security2_module modules/mod_security2.so

Możesz teraz uruchomić Apache i skonfigurować go tak, aby startował przy starcie systemu.

 service httpd start
 chkconfig httpd on

Jeśli Apache był zainstalowany przed użyciem tego przewodnika, wystarczy go ponownie uruchomić.

 service httpd restart

Możesz teraz pobrać zestaw podstawowych reguł OWASP.

 cd /etc/httpd
 git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git

Teraz skonfiguruj zestaw reguł OWASP.

 cd modsecurity-crs
 cp modsecurity_crs_10_setup.conf.example modsecurity_crs_10_config.conf

Następnie musisz dodać zestaw reguł do konfiguracji Apache. Ponownie możemy to zrobić na dwa sposoby.

 echo Include modsecurity-crs/modsecurity_crs_10_config.conf >> /etc/httpd/conf/httpd.conf
 echo Include modsecurity-crs/base_rules/*.conf >> /etc/httpd/conf/httpd.conf

... lub za pomocą edytora tekstu:

 nano /etc/httpd/conf/httpd.conf

W dolnej części pliku w osobnych wierszach dodaj:

 Include modsecurity-crs/modsecurity_crs_10_config.conf
 Include modsecurity-crs/base_rules/*.conf

Teraz uruchom ponownie Apache.

 service httpd restart

Na koniec usuń pliki instalacyjne.

 yum erase /opt/modsecurity-2.8.0
 yum erase /opt/modsecurity-2.8.0.tar.gz

Korzystanie z ModSecurity

Domyślnie ModSecurity działa w trybie tylko wykrywania, co oznacza, że ​​będzie rejestrować wszystkie złamania reguł, ale nie będzie podejmował żadnych działań. Jest to zalecane w przypadku nowych instalacji, aby można było oglądać zdarzenia generowane w dzienniku błędów Apache. Po przejrzeniu dziennika możesz zdecydować, czy przed przejściem do trybu ochrony powinna zostać wprowadzona jakakolwiek modyfikacja zestawu reguł lub wyłączenie reguły (patrz poniżej).

Aby wyświetlić dziennik błędów Apache:

 cat /var/log/httpd/error_log

Linia ModSecurity w dzienniku błędów Apache jest podzielona na dziewięć elementów. Każdy element zawiera informacje o tym, dlaczego zdarzenie zostało wywołane.

• Pierwsza część mówi, który plik reguł wywołał to zdarzenie.
• Druga część mówi, w której linii w pliku reguł zaczyna się reguła.
• Trzeci element mówi, która reguła została uruchomiona.
• Czwarty element mówi o zmianie reguły.
• Piąty element zawiera specjalne dane do celów debugowania.
• Szósty element określa ważność rejestrowania tego istotności zdarzenia.
• Siódma sekcja opisuje, jakie działanie miało miejsce iw jakiej fazie miało miejsce.

Pamiętaj, że niektóre elementy mogą być nieobecne w zależności od konfiguracji twojego serwera.

Aby zmienić ModSecurity na tryb ochrony, otwórz plik conf w edytorze tekstu:

 nano /etc/httpd/conf.d/modsecurity.conf

... i zmień:

 SecRuleEngine DetectionOnly

do:

 SecRuleEngine On

Jeśli napotkasz jakieś bloki podczas działania ModSecurity, musisz zidentyfikować regułę w dzienniku błędów HTTP. Polecenie „ogon” umożliwia oglądanie dzienników w czasie rzeczywistym:

 tail -f /var/log/httpd/error_log

Powtórz czynność, która spowodowała blok podczas oglądania dziennika.

Modyfikowanie zestawu reguł / Wyłączanie identyfikatora reguły

Modyfikowanie zestawu reguł wykracza poza zakres tego samouczka.

Aby wyłączyć określoną regułę, należy zidentyfikować identyfikator reguły znajdujący się w trzecim elemencie (na przykład [id = 200000]), a następnie wyłączyć go w pliku konfiguracyjnym Apache:

 nano /etc/httpd/conf/httpd.conf

... dodając następujące elementy na dole pliku o identyfikatorze reguły:

<IfModule mod_security2.c>
SecRuleRemoveById 200000
</IfModule>

Jeśli okaże się, że ModSecurity blokuje wszystkie działania w witrynie (witrynach), oznacza to, że „Zestaw podstawowych zasad” prawdopodobnie znajduje się w trybie „Samowystarczalny”. Musisz zmienić to na „Wykrywanie współpracy”, które wykrywa i blokuje tylko anomalie. Jednocześnie możesz spojrzeć na opcje „Samowystarczalne” i zmienić je, jeśli chcesz.

 nano /etc/httpd/modsecurity-crs/modsecurity_crs_10_config.conf

Zmień „wykrywanie” na „Samowystarczalne”.

Możesz także skonfigurować ModSecurity, aby zezwalał na IP przez zaporę ogniową aplikacji WWW (WAF) bez logowania:

 SecRule REMOTE_ADDR "@ipMatch xxx.xxx.xxx.xxx" phase:1,nolog,allow,ctl:ruleEngine=Off

... lub z logowaniem:

 SecRule REMOTE_ADDR "@ipMatch xxx.xxx.xxx.xxx" phase:1,nolog,allow,ctl:ruleEngine=DetectionOnly