ModSecurity и OWASP для CentOS 6 и Apache 2

• Монтаж
• Использование ModSecurity
• Изменение набора правил / отключение идентификатора правила

ModSecurity - это межсетевой экран уровня веб-приложений, разработанный для работы с IIS, Apache2 и Nginx. Это бесплатное программное обеспечение с открытым исходным кодом, выпущенное под лицензией Apache 2.0. ModSecurity помогает защитить ваш веб-сервер, отслеживая и анализируя трафик вашего сайта. Он делает это в режиме реального времени для обнаружения и блокирования атак от большинства известных эксплойтов с использованием регулярных выражений. Сам по себе ModSecurity обеспечивает ограниченную защиту и опирается на наборы правил для максимальной защиты.

Основной набор правил (CRS) Open Security Project Project (OWASP) - это набор общих правил обнаружения атак, которые обеспечивают базовый уровень защиты для любого веб-приложения. Набор правил бесплатный, с открытым исходным кодом и в настоящее время спонсируется Spider Labs.

OWASP CRS обеспечивает:

• Защита HTTP - обнаружение нарушений протокола HTTP и локальной политики использования.
• Поиск в черном списке в режиме реального времени - использует репутацию сторонних IP.
• HTTP Denial of Service Protection - защита от HTTP-затопления и медленных HTTP-атак DoS.
• Common Web Attacks Protection - обнаружение распространенных атак безопасности веб-приложений.
• Автоматическое обнаружение - обнаружение ботов, сканеров, сканеров и других злоумышленных действий на поверхности.
• Интеграция с AV Scanning для загрузки файлов - обнаруживает вредоносные файлы, загруженные через веб-приложение.
• Отслеживание конфиденциальных данных - отслеживает использование кредитных карт и блокирует утечки.
• Троянская защита - Обнаруживает троянских коней.
• Идентификация дефектов приложения - оповещения о неправильной конфигурации приложения.
• Обнаружение и скрытие ошибок - маскировка сообщений об ошибках, отправленных сервером.

Монтаж

В этом руководстве показано, как установить наборы правил ModSecurity и OWASP в CentOS 6 под управлением Apache 2.

Во-первых, вы должны убедиться, что ваша система обновлена.

 yum -y update

Если вы не установили Apache 2, установите его сейчас.

 yum -y install httpd

Теперь вам нужно установить некоторые зависимости для работы ModSecurity. В зависимости от конфигурации вашего сервера, некоторые или все эти пакеты могут быть уже установлены. Yum установит пакеты, которых у вас нет, и сообщит вам, если какой-либо из пакетов уже установлен.

 yum -y install httpd-devel git gcc make libxml2 pcre-devel libxml2-devel curl-devel

Измените каталог и загрузите исходный код с сайта ModSecuity. Текущая стабильная версия 2.8.

 cd /opt/
 wget https://www.modsecurity.org/tarball/2.8.0/modsecurity-2.8.0.tar.gz

Распакуйте пакет и перейдите в его каталог.

 tar xzfv modsecurity-2.8.0.tar.gz 
 cd modsecurity-2.8.0

Сконфигурируйте и скомпилируйте исходный код.

 ./configure
 make
 make install

Скопируйте файл конфигурации ModSecurity по умолчанию и файл отображения Unicode в каталог Apache.

 cp modsecurity.conf-recommended /etc/httpd/conf.d/modsecurity.conf
 cp unicode.mapping /etc/httpd/conf.d/

Настройте Apache для использования ModSecurity. Есть 2 способа сделать это.

 echo LoadModule security2_module modules/mod_security2.so >> /etc/httpd/conf/httpd.conf

... или используйте текстовый редактор, такой как nano:

 nano /etc/httpd/conf/httpd.conf

В нижней части этого файла в отдельной строке добавьте:

 LoadModule security2_module modules/mod_security2.so

Теперь вы можете запустить Apache и настроить его для запуска при загрузке.

 service httpd start
 chkconfig httpd on

Если до использования этого руководства у вас был установлен Apache, вам просто нужно перезапустить его.

 service httpd restart

Теперь вы можете скачать основной набор правил OWASP.

 cd /etc/httpd
 git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git

Теперь настройте набор правил OWASP.

 cd modsecurity-crs
 cp modsecurity_crs_10_setup.conf.example modsecurity_crs_10_config.conf

Далее вам нужно добавить набор правил в конфигурацию Apache. Опять же, мы можем сделать это двумя способами.

 echo Include modsecurity-crs/modsecurity_crs_10_config.conf >> /etc/httpd/conf/httpd.conf
 echo Include modsecurity-crs/base_rules/*.conf >> /etc/httpd/conf/httpd.conf

... или с помощью текстового редактора:

 nano /etc/httpd/conf/httpd.conf

Внизу файла в отдельных строках добавьте:

 Include modsecurity-crs/modsecurity_crs_10_config.conf
 Include modsecurity-crs/base_rules/*.conf

Теперь перезапустите Apache.

 service httpd restart

Наконец, удалите установочные файлы.

 yum erase /opt/modsecurity-2.8.0
 yum erase /opt/modsecurity-2.8.0.tar.gz

Использование ModSecurity

По умолчанию ModSecurity работает в режиме только обнаружения, что означает, что он регистрирует все нарушения правил, но не предпринимает никаких действий. Это рекомендуется для новых установок, чтобы вы могли наблюдать за событиями, генерируемыми в журнале ошибок Apache. После просмотра журнала вы можете решить, следует ли вносить какие-либо изменения в набор правил или отключить правило (см. Ниже), прежде чем переходить в режим защиты.

Чтобы просмотреть журнал ошибок Apache:

 cat /var/log/httpd/error_log

Строка ModSecurity в журнале ошибок Apache разбита на девять элементов. Каждый элемент предоставляет информацию о том, почему событие было вызвано.

• Первая часть сообщает, какой файл правил вызвал это событие.
• Вторая часть сообщает, с какой строки в файле правил начинается правило.
• Третий элемент говорит вам, какое правило сработало.
• Четвертый элемент говорит вам о пересмотре правила.
• Пятый элемент содержит специальные данные для целей отладки.
• Шестой элемент определяет серьезность регистрации этого серьезности события.
• Седьмой раздел описывает, какое действие произошло и на какой стадии оно произошло.

Обратите внимание, что некоторые элементы могут отсутствовать в зависимости от конфигурации вашего сервера.

Чтобы переключить ModSecurity в режим защиты, откройте файл conf в текстовом редакторе:

 nano /etc/httpd/conf.d/modsecurity.conf

... и изменить:

 SecRuleEngine DetectionOnly

чтобы:

 SecRuleEngine On

Если вы обнаружите какие-либо блоки во время работы ModSecurity, вам необходимо определить правило в журнале ошибок HTTP. Команда "tail" позволяет вам просматривать логи в режиме реального времени:

 tail -f /var/log/httpd/error_log

Повторите действие, вызвавшее блокировку, просматривая журнал.

Изменение набора правил / отключение идентификатора правила

Изменение набора правил выходит за рамки этого руководства.

Чтобы отключить определенное правило, вы определяете идентификатор правила, который находится в третьем элементе (например, [id = 200000]), а затем отключаете его в файле конфигурации Apache:

 nano /etc/httpd/conf/httpd.conf

... добавив следующее в конец файла с идентификатором правила:

<IfModule mod_security2.c>
SecRuleRemoveById 200000
</IfModule>

Если вы обнаружите, что ModSecurity блокирует все действия на вашем веб-сайте, тогда «Основной набор правил», вероятно, находится в «автономном» режиме. Вам нужно изменить это на «Совместное обнаружение», которое обнаруживает и блокирует только аномалии. В то же время, вы можете посмотреть на «Автономные» опции и изменить их, если хотите.

 nano /etc/httpd/modsecurity-crs/modsecurity_crs_10_config.conf

Измените «обнаружение» на «Автономный».

Вы также можете настроить ModSecurity, чтобы разрешить ваш IP через брандмауэр веб-приложений (WAF) без регистрации:

 SecRule REMOTE_ADDR "@ipMatch xxx.xxx.xxx.xxx" phase:1,nolog,allow,ctl:ruleEngine=Off

... или с ведением журнала:

 SecRule REMOTE_ADDR "@ipMatch xxx.xxx.xxx.xxx" phase:1,nolog,allow,ctl:ruleEngine=DetectionOnly