ModSecurity și OWASP pe CentOS 6 și Apache 2

• Instalare
• Utilizarea ModSecurity
• Modificarea unui set de reguli / dezactivarea unui cod de regulă

ModSecurity este un firewall cu strat de aplicații web conceput să funcționeze cu IIS, Apache2 și Nginx. Este un software gratuit, open-source, lansat sub licența Apache 2.0. ModSecurity ajută la securizarea serverului dvs. web prin monitorizarea și analizarea traficului site-ului. Face acest lucru în timp real pentru a detecta și bloca atacurile din exploatările cele mai cunoscute folosind expresii obișnuite. Pe cont propriu, ModSecurity oferă o protecție limitată și se bazează pe seturi de reguli pentru a maximiza protecția.

Setul de reguli de bază (CRS) Open Project Application Security (OWASP) este un set de reguli generice de detectare a atacurilor care oferă un nivel de protecție de bază pentru orice aplicație web. Regimul este gratuit, open-source și în prezent este sponsorizat de Spider Labs.

OWASP CRS oferă:

• Protecție HTTP - detectarea încălcărilor protocolului HTTP și a unei politici de utilizare definite local.
• Căutări în timp real la Lista neagră - folosește reputația IP a unei terțe părți.
• Protecția refuzului serviciului HTTP - apărare împotriva inundațiilor HTTP și atacuri lente DoTP HTTP.
• Protecția comună împotriva atacurilor web - detectarea atacurilor comune de securitate a aplicațiilor web.
• Detectarea automatizării - detectarea de roboți, crawlere, scanere și alte activități dăunătoare de suprafață.
• Integrare cu scanarea AV pentru încărcări de fișiere - detectează fișierele rău încărcate prin aplicația web.
• Urmărirea datelor sensibile - urmărește utilizarea cărților de credit și blochează scurgerile.
• Protectie troiana - detecteaza caii troieni.
• Identificarea defectelor aplicației - alerte cu privire la configurații greșite ale aplicației.
• Detectarea și ascunderea erorilor - disimularea mesajelor de eroare trimise de server.

Instalare

Acest ghid vă arată cum să instalați regulile ModSecurity și OWASP pe CentOS 6 care rulează Apache 2.

În primul rând, trebuie să vă asigurați că sistemul dvs. este actualizat.

 yum -y update

Dacă nu ați instalat Apache 2, atunci instalați-l acum.

 yum -y install httpd

Acum trebuie să instalați unele dependențe pentru ca ModSecurity să funcționeze. În funcție de configurația serverului dvs., este posibil ca unele sau toate aceste pachete să fie deja instalate. Yum va instala pachetele pe care nu le aveți și vă va informa dacă vreunul dintre pachete este deja instalat.

 yum -y install httpd-devel git gcc make libxml2 pcre-devel libxml2-devel curl-devel

Schimbați directorul și descărcați codul sursă de pe site-ul ModSecuity. Versiunea stabilă actuală este 2,8.

 cd /opt/
 wget https://www.modsecurity.org/tarball/2.8.0/modsecurity-2.8.0.tar.gz

Extrageți pachetul și schimbați-l în directorul său.

 tar xzfv modsecurity-2.8.0.tar.gz 
 cd modsecurity-2.8.0

Configurați și compilați codul sursă.

 ./configure
 make
 make install

Copiați configurația implicită ModSecurity și fișierul de mapare unicode în directorul Apache.

 cp modsecurity.conf-recommended /etc/httpd/conf.d/modsecurity.conf
 cp unicode.mapping /etc/httpd/conf.d/

Configurați Apache pentru a utiliza ModSecurity. Există 2 modalități prin care poți face acest lucru.

 echo LoadModule security2_module modules/mod_security2.so >> /etc/httpd/conf/httpd.conf

... sau utilizați un editor de text ca nano:

 nano /etc/httpd/conf/httpd.conf

În partea de jos a acelui fișier, pe o linie separată adăugați acest lucru:

 LoadModule security2_module modules/mod_security2.so

Acum puteți porni Apache și configurați-l pentru a începe la pornire.

 service httpd start
 chkconfig httpd on

Dacă aveți Apache instalat înainte de a utiliza acest ghid, trebuie doar să îl reporniți.

 service httpd restart

Acum puteți descărca setul de reguli de bază OWASP.

 cd /etc/httpd
 git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git

Configurați acum setul de reguli OWASP.

 cd modsecurity-crs
 cp modsecurity_crs_10_setup.conf.example modsecurity_crs_10_config.conf

În continuare, trebuie să adăugați setul de reguli la configurația Apache. Din nou, putem face acest lucru în două moduri.

 echo Include modsecurity-crs/modsecurity_crs_10_config.conf >> /etc/httpd/conf/httpd.conf
 echo Include modsecurity-crs/base_rules/*.conf >> /etc/httpd/conf/httpd.conf

... sau cu un editor de text:

 nano /etc/httpd/conf/httpd.conf

În partea de jos a fișierului pe linii separate adăugați acest lucru:

 Include modsecurity-crs/modsecurity_crs_10_config.conf
 Include modsecurity-crs/base_rules/*.conf

Acum reporniți Apache.

 service httpd restart

În cele din urmă, ștergeți fișierele de instalare.

 yum erase /opt/modsecurity-2.8.0
 yum erase /opt/modsecurity-2.8.0.tar.gz

Utilizarea ModSecurity

În mod implicit, ModSecurity rulează în modul numai de detecție, ceea ce înseamnă că va înregistra toate pauzele de regulă, dar nu va acționa. Acest lucru este recomandat pentru instalații noi, astfel încât să puteți urmări evenimentele generate în jurnalul de eroare Apache. După examinarea jurnalului, puteți decide dacă trebuie făcută orice modificare a regulii sau dezactivarea regulii (vezi mai jos) înainte de a trece la modul de protecție.

Pentru a vizualiza jurnalul de erori Apache:

 cat /var/log/httpd/error_log

Linia ModSecurity din jurnalul de erori Apache este divizată în nouă elemente. Fiecare element oferă informații despre motivul pentru care a fost declanșat evenimentul.

• Prima parte spune ce fișier de regulă a declanșat acest eveniment.
• A doua parte spune ce linie din fișierul de reguli începe regula.
• Al treilea element vă spune ce regulă a fost declanșată.
• Al patrulea element vă spune revizuirea regulii.
• Al cincilea element conține date speciale în scopuri de depanare.
• Al șaselea element definește gravitatea înregistrării a gravității acestui eveniment.
• A șaptea secțiune descrie ce acțiune a avut loc și în ce fază a avut loc.

Rețineți că unele elemente pot lipsi în funcție de configurația serverului dvs.

Pentru a schimba ModSecurity în modul de protecție, deschideți fișierul conf într-un editor de text:

 nano /etc/httpd/conf.d/modsecurity.conf

... și schimbă:

 SecRuleEngine DetectionOnly

la:

 SecRuleEngine On

Dacă întâmpinați blocuri când ModSecurity rulează, atunci trebuie să identificați regula în jurnalul de eroare HTTP. Comanda „coadă” vă permite să urmăriți jurnalele în timp real:

 tail -f /var/log/httpd/error_log

Repetați acțiunea care a determinat blocul în timp ce urmăriți jurnalul.

Modificarea unui set de reguli / dezactivarea unui cod de regulă

Modificarea unui set de reguli nu depășește scopul acestui tutorial.

Pentru a dezactiva o regulă specifică, identificați id-ul regulii care se află în al treilea element (de exemplu [id = 200000]) și apoi îl dezactivați în fișierul de configurare Apache:

 nano /etc/httpd/conf/httpd.conf

... adăugând următoarele în partea de jos a fișierului cu id-ul regulii:

<IfModule mod_security2.c>
SecRuleRemoveById 200000
</IfModule>

Dacă găsiți că ModSecurity blochează toate acțiunile de pe site-ul dvs. web, atunci „Core Rule Set” este probabil în modul „Self-Contined”. Trebuie să schimbați acest lucru în „Detectare colaborativă”, care detectează și blochează doar anomaliile. În același timp, puteți privi opțiunile „Autocontinut” și le puteți schimba dacă doriți să faceți acest lucru.

 nano /etc/httpd/modsecurity-crs/modsecurity_crs_10_config.conf

Schimbați „detectarea” în „Autocontenut”.

Puteți configura, de asemenea, ModSecurity pentru a vă permite IP-ul prin firewall-ul aplicației web (WAF) fără a vă înregistra:

 SecRule REMOTE_ADDR "@ipMatch xxx.xxx.xxx.xxx" phase:1,nolog,allow,ctl:ruleEngine=Off

... sau cu logare:

 SecRule REMOTE_ADDR "@ipMatch xxx.xxx.xxx.xxx" phase:1,nolog,allow,ctl:ruleEngine=DetectionOnly