ModSecurity e OWASP no CentOS 6 e Apache 2

• Instalação
• Usando ModSecurity
• Modificando um conjunto de regras / Desabilitando um ID de regra

O ModSecurity é um firewall da camada de aplicativos da web projetado para funcionar com IIS, Apache2 e Nginx. É um software livre e de código aberto lançado sob a licença Apache 2.0. O ModSecurity ajuda a proteger seu servidor da web, monitorando e analisando o tráfego do seu site. Ele faz isso em tempo real para detectar e bloquear ataques das explorações mais conhecidas usando expressões regulares. Por si só, o ModSecurity oferece proteção limitada e depende de conjuntos de regras para maximizar a proteção.

O Conjunto de Regras Principais (CRS) do Open Web Application Security Project (OWASP) é um conjunto de regras genéricas de detecção de ataques que fornecem um nível básico de proteção para qualquer aplicativo Web. O conjunto de regras é gratuito, de código aberto e atualmente é patrocinado pela Spider Labs.

O OWASP CRS fornece:

• Proteção HTTP - detecção de violações do protocolo HTTP e de uma política de uso definida localmente.
• Pesquisas na lista negra em tempo real - utiliza reputação IP de terceiros.
• Proteção contra negação de serviço HTTP - defesa contra inundações HTTP e ataques lentos de DoS HTTP.
• Proteção comum contra ataques da Web - detecção de ataques de segurança comuns a aplicativos da Web.
• Detecção de automação - Detecção de bots, rastreadores, scanners e outras atividades maliciosas da superfície.
• Integração com o AV Scanning for Uploads de arquivos - detecta arquivos maliciosos enviados por meio do aplicativo Web.
• Rastreando Dados Sensíveis - Rastreia o uso do cartão de crédito e bloqueia vazamentos.
• Proteção contra Trojan - Detecta cavalos de Troia.
• Identificação de defeitos do aplicativo - alerta sobre configurações incorretas do aplicativo.
• Detecção e ocultação de erros - Disfarçando mensagens de erro enviadas pelo servidor.

Instalação

Este guia mostra como instalar o conjunto de regras ModSecurity e OWASP no CentOS 6 executando o Apache 2.

Primeiro, você precisa garantir que seu sistema esteja atualizado.

 yum -y update

Se você não instalou o Apache 2, instale-o agora.

 yum -y install httpd

Agora você precisa instalar algumas dependências para o ModSecurity funcionar. Dependendo da configuração do servidor, alguns ou todos esses pacotes já podem estar instalados. O Yum instalará os pacotes que você não possui e informará se algum dos pacotes já está instalado.

 yum -y install httpd-devel git gcc make libxml2 pcre-devel libxml2-devel curl-devel

Mude o diretório e faça o download do código-fonte no site ModSecuity. A versão estável atual é 2.8.

 cd /opt/
 wget https://www.modsecurity.org/tarball/2.8.0/modsecurity-2.8.0.tar.gz

Extraia o pacote e mude para seu diretório.

 tar xzfv modsecurity-2.8.0.tar.gz 
 cd modsecurity-2.8.0

Configure e compile o código fonte.

 ./configure
 make
 make install

Copie a configuração padrão do ModSecurity e o arquivo de mapeamento unicode no diretório Apache.

 cp modsecurity.conf-recommended /etc/httpd/conf.d/modsecurity.conf
 cp unicode.mapping /etc/httpd/conf.d/

Configure o Apache para usar o ModSecurity. Existem duas maneiras de fazer isso.

 echo LoadModule security2_module modules/mod_security2.so >> /etc/httpd/conf/httpd.conf

... ou use um editor de texto como o nano:

 nano /etc/httpd/conf/httpd.conf

Na parte inferior desse arquivo, em uma linha separada, adicione isto:

 LoadModule security2_module modules/mod_security2.so

Agora você pode iniciar o Apache e configurá-lo para iniciar na inicialização.

 service httpd start
 chkconfig httpd on

Se você tinha o Apache instalado antes de usar este guia, basta reiniciá-lo.

 service httpd restart

Agora você pode fazer o download do conjunto de regras principais do OWASP.

 cd /etc/httpd
 git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git

Agora configure o conjunto de regras OWASP.

 cd modsecurity-crs
 cp modsecurity_crs_10_setup.conf.example modsecurity_crs_10_config.conf

Em seguida, você precisa adicionar o conjunto de regras à configuração do Apache. Novamente, podemos fazer isso de duas maneiras.

 echo Include modsecurity-crs/modsecurity_crs_10_config.conf >> /etc/httpd/conf/httpd.conf
 echo Include modsecurity-crs/base_rules/*.conf >> /etc/httpd/conf/httpd.conf

... ou com um editor de texto:

 nano /etc/httpd/conf/httpd.conf

Na parte inferior do arquivo, em linhas separadas, adicione isto:

 Include modsecurity-crs/modsecurity_crs_10_config.conf
 Include modsecurity-crs/base_rules/*.conf

Agora reinicie o Apache.

 service httpd restart

Por fim, exclua os arquivos de instalação.

 yum erase /opt/modsecurity-2.8.0
 yum erase /opt/modsecurity-2.8.0.tar.gz

Usando ModSecurity

Por padrão, o ModSecurity é executado no modo somente detecção, o que significa que ele registrará todas as quebras de regras, mas não executará nenhuma ação. Isso é recomendado para novas instalações, para que você possa assistir aos eventos gerados no log de erros do Apache. Após revisar o log, você pode decidir se alguma modificação no conjunto de regras ou desativação da regra (veja abaixo) deve ser feita antes de passar para o modo de proteção.

Para visualizar o log de erros do Apache:

 cat /var/log/httpd/error_log

A linha ModSecurity no log de erros do Apache é dividida em nove elementos. Cada elemento fornece informações sobre o motivo pelo qual o evento foi acionado.

• A primeira parte informa qual arquivo de regras acionou esse evento.
• A segunda parte informa em qual linha do arquivo de regras a regra inicia.
• O terceiro elemento informa qual regra foi acionada.
• O quarto elemento informa a revisão da regra.
• O quinto elemento contém dados especiais para fins de depuração.
• O sexto elemento define a gravidade do registro dessa gravidade do evento.
• A sétima seção descreve qual ação ocorreu e em que fase ocorreu.

Observe que alguns elementos podem estar ausentes, dependendo da configuração do seu servidor.

Para alterar o ModSecurity para o modo de proteção, abra o arquivo conf em um editor de texto:

 nano /etc/httpd/conf.d/modsecurity.conf

... e mude:

 SecRuleEngine DetectionOnly

para:

 SecRuleEngine On

Se você encontrar algum bloco quando o ModSecurity estiver em execução, será necessário identificar a regra no log de erros HTTP. O comando "tail" permite que você assista os logs em tempo real:

 tail -f /var/log/httpd/error_log

Repita a ação que causou o bloqueio enquanto observa o log.

Modificando um conjunto de regras / Desabilitando um ID de regra

A modificação de um conjunto de regras está além do escopo deste tutorial.

Para desativar uma regra específica, identifique o ID da regra que está no terceiro elemento (por exemplo [id = 200000]) e, em seguida, desative-o no arquivo de configuração do Apache:

 nano /etc/httpd/conf/httpd.conf

... adicionando o seguinte à parte inferior do arquivo com o ID da regra:

<IfModule mod_security2.c>
SecRuleRemoveById 200000
</IfModule>

Se você achar que o ModSecurity está bloqueando todas as ações do (s) seu (s) website (s), o "Conjunto de Regras Principais" provavelmente está no modo "Autônomo". Você precisa alterar isso para "Detecção colaborativa", que detecta e bloqueia apenas anomalias. Ao mesmo tempo, você pode olhar para as opções "Autônomo" e alterá-las, se desejar.

 nano /etc/httpd/modsecurity-crs/modsecurity_crs_10_config.conf

Altere "detecção" para "Autônomo".

Você também pode configurar o ModSecurity para permitir seu IP através do firewall de aplicativos da web (WAF) sem fazer logon:

 SecRule REMOTE_ADDR "@ipMatch xxx.xxx.xxx.xxx" phase:1,nolog,allow,ctl:ruleEngine=Off

... ou com o registro:

 SecRule REMOTE_ADDR "@ipMatch xxx.xxx.xxx.xxx" phase:1,nolog,allow,ctl:ruleEngine=DetectionOnly