ModSecurity dhe OWASP në CentOS 6 dhe Apache 2

ModSecurity është një mur zjarri i shtresës së aplikacionit në ueb, i krijuar për të punuar me IIS, Apache2 dhe Nginx. Është softuer falas, me burim të hapur i lëshuar nën licencën Apache 2.0. ModSecurity ndihmon në sigurimin e serverit tuaj të internetit duke monitoruar dhe analizuar trafikun e faqes suaj të internetit. Ai e bën këtë në kohë reale për të zbuluar dhe bllokuar sulmet nga shfrytëzimet më të njohura duke përdorur shprehje të rregullta. Më vete, ModSecurity jep mbrojtje të kufizuar dhe mbështetet në grupe rregullash për të maksimizuar mbrojtjen.

Kompleti i rregullave bazë (CRS) i Projektit të Sigurisë së Aplikacionit të Hapur të Uebit (OWASP) është një grup rregullash gjenerike për zbulimin e sulmeve që ofrojnë një nivel bazë mbrojtjeje për çdo aplikacion në internet. Seti i rregullave është falas, me burim të hapur dhe aktualisht sponsorizohet nga Spider Labs.

OWASP CRS ofron:

• Mbrojtja HTTP - zbulimi i shkeljeve të protokollit HTTP dhe një politikë përdorimi të përcaktuar në nivel lokal.
• Kërkime në listën e zezë në kohë reale - përdor reputacionin e IP të palës së tretë.
• Mbrojtja e mohimit të shërbimit HTTP - mbrojtje kundër përmbytjeve të HTTP dhe sulmeve të ngadalta të HTTP DoS.
• Mbrojtja e zakonshme e sulmeve në ueb - zbulimi i sulmeve të zakonshme të sigurisë së aplikacioneve në ueb.
• Zbulimi i automatizimit - Zbulimi i robotëve, zvarritësve, skanerëve dhe aktiviteteve të tjera me qëllim të keq sipërfaqësor.
• Integrimi me Skanimin AV për Ngarkimet e Skedarëve - zbulon skedarët me qëllim të keq të ngarkuar përmes aplikacionit në ueb.
• Ndjekja e të dhënave të ndjeshme - Gjurmon përdorimin e kartës së kreditit dhe bllokon rrjedhjet.
• Trojan Protection - Zbulon kuajt e Trojës.
• Identifikimi i defekteve të aplikacionit - sinjalizime për konfigurimin e gabuar të aplikacionit.
• Zbulimi dhe fshehja e gabimeve - maskimi i mesazheve të gabimit të dërguara nga serveri.

Instalimi

Ky udhëzues ju tregon se si të instaloni grupin e rregullave ModSecurity dhe OWASP në CentOS 6 që ekzekuton Apache 2.

Së pari, duhet të siguroheni që sistemi juaj të jetë i përditësuar.

 yum -y update

Nëse nuk e keni instaluar Apache 2, atëherë instaloni atë tani.

 yum -y install httpd

Tani duhet të instaloni disa varësi që ModSecurity të funksionojë. Në varësi të konfigurimit të serverit tuaj, disa ose të gjitha këto paketa mund të jenë tashmë të instaluara. Yum do të instalojë paketat që nuk i keni dhe do t'ju informojë nëse ndonjë nga paketat është instaluar tashmë.

 yum -y install httpd-devel git gcc make libxml2 pcre-devel libxml2-devel curl-devel

Ndryshoni drejtorinë dhe shkarkoni kodin burim nga faqja e internetit ModSecuity. Versioni aktual i qëndrueshëm është 2.8.

 cd /opt/
 wget https://www.modsecurity.org/tarball/2.8.0/modsecurity-2.8.0.tar.gz

Ekstraktoni paketën dhe kaloni në drejtorinë e saj.

 tar xzfv modsecurity-2.8.0.tar.gz 
 cd modsecurity-2.8.0

Konfiguroni dhe përpiloni kodin burimor.

 ./configure
 make
 make install

Kopjoni konfigurimin e parazgjedhur të ModSecurity dhe skedarin e hartës unicode në drejtorinë Apache.

 cp modsecurity.conf-recommended /etc/httpd/conf.d/modsecurity.conf
 cp unicode.mapping /etc/httpd/conf.d/

Konfiguro Apache për të përdorur ModSecurity. Ka 2 mënyra për ta bërë këtë.

 echo LoadModule security2_module modules/mod_security2.so >> /etc/httpd/conf/httpd.conf

... ose përdorni një redaktues teksti si nano:

 nano /etc/httpd/conf/httpd.conf

Në fund të atij skedari, në një rresht të veçantë shtoni këtë:

 LoadModule security2_module modules/mod_security2.so

Tani mund të nisni Apache dhe ta konfiguroni atë që të fillojë në nisje.

 service httpd start
 chkconfig httpd on

Nëse keni pasur Apache të instaluar përpara se të përdorni këtë udhëzues, atëherë thjesht duhet ta rinisni atë.

 service httpd restart

Tani mund të shkarkoni grupin bazë të rregullave OWASP.

 cd /etc/httpd
 git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git

Tani konfiguroni grupin e rregullave OWASP.

 cd modsecurity-crs
 cp modsecurity_crs_10_setup.conf.example modsecurity_crs_10_config.conf

Më pas, duhet të shtoni grupin e rregullave në konfigurimin e Apache. Përsëri ne mund ta bëjmë këtë në dy mënyra.

 echo Include modsecurity-crs/modsecurity_crs_10_config.conf >> /etc/httpd/conf/httpd.conf
 echo Include modsecurity-crs/base_rules/*.conf >> /etc/httpd/conf/httpd.conf

... ose me një redaktues teksti:

 nano /etc/httpd/conf/httpd.conf

Në fund të skedarit në rreshta të veçantë shtoni këtë:

 Include modsecurity-crs/modsecurity_crs_10_config.conf
 Include modsecurity-crs/base_rules/*.conf

Tani rinisni Apache.

 service httpd restart

Më në fund, fshini skedarët e instalimit.

 yum erase /opt/modsecurity-2.8.0
 yum erase /opt/modsecurity-2.8.0.tar.gz

Duke përdorur ModSecurity

Si parazgjedhje, ModSecurity funksionon në modalitetin vetëm për zbulim, që do të thotë se do të regjistrojë të gjitha prishjet e rregullave, por nuk do të ndërmarrë asnjë veprim. Kjo rekomandohet për instalime të reja në mënyrë që të mund të shikoni ngjarjet e krijuara në regjistrin e gabimeve të Apache. Pas shqyrtimit të regjistrit, mund të vendosni nëse duhet të bëhet ndonjë modifikim në grupin e rregullave ose çaktivizimi i rregullit (shih më poshtë) përpara se të kaloni në modalitetin e mbrojtjes.

Për të parë regjistrin e gabimeve të Apache:

 cat /var/log/httpd/error_log

Linja ModSecurity në regjistrin e gabimeve Apache është e ndarë në nëntë elementë. Secili element jep informacion se përse u shkaktua ngjarja.

• Pjesa e parë tregon se çfarë skedari rregullash shkaktoi këtë ngjarje.
• Pjesa e dytë tregon se në cilën rresht në skedarin e rregullave fillon rregulli.
• Elementi i tretë ju tregon se cili rregull u aktivizua.
• Elementi i katërt ju tregon rishikimin e rregullit.
• Elementi i pestë përmban të dhëna speciale për qëllime korrigjimi.
• Elementi i gjashtë përcakton ashpërsinë e regjistrimit të kësaj ashpërsie të ngjarjes.
• Seksioni i shtatë përshkruan se çfarë veprimi ka ndodhur dhe në cilën fazë ka ndodhur.

Vini re se disa elementë mund të mungojnë në varësi të konfigurimit të serverit tuaj.

Për të ndryshuar ModSecurity në modalitetin e mbrojtjes, hapni skedarin konf në një redaktues teksti:

 nano /etc/httpd/conf.d/modsecurity.conf

... dhe ndryshoni:

 SecRuleEngine DetectionOnly

te:

 SecRuleEngine On

Nëse hasni ndonjë bllok kur ModSecurity po funksionon, atëherë duhet të identifikoni rregullin në regjistrin e gabimeve HTTP. Komanda "bisht" ju lejon të shikoni regjistrat në kohë reale:

 tail -f /var/log/httpd/error_log

Përsëriteni veprimin që shkaktoi bllokimin ndërsa shikoni regjistrin.

Modifikimi i një grupi rregullash / çaktivizimi i një ID-je rregullore

Modifikimi i një grupi rregullash është përtej qëllimit të këtij tutoriali.

Për të çaktivizuar një rregull specifik, identifikoni ID-në e rregullit që është në elementin e tretë (për shembull [id=200000]) dhe më pas çaktivizoni atë në skedarin e konfigurimit të Apache:

 nano /etc/httpd/conf/httpd.conf

... duke shtuar sa vijon në fund të skedarit me id-në e rregullit:

<IfModule mod_security2.c>
SecRuleRemoveById 200000
</IfModule>

Nëse zbuloni se ModSecurity po bllokon të gjitha veprimet në uebsajtin tuaj, atëherë "Set i rregullave thelbësore" është ndoshta në modalitetin "Self-Contained". Ju duhet ta ndryshoni këtë në "Zbulim bashkëpunues", i cili zbulon dhe bllokon vetëm anomalitë. Në të njëjtën kohë, ju mund të shikoni opsionet "Self-Contained" dhe t'i ndryshoni ato nëse dëshironi ta bëni këtë.

 nano /etc/httpd/modsecurity-crs/modsecurity_crs_10_config.conf

Ndrysho "zbulimin" në "I vetëpërmbajtur".

Ju gjithashtu mund të konfiguroni ModSecurity për të lejuar IP-në tuaj përmes murit të zjarrit të aplikacionit në internet (WAF) pa u regjistruar:

 SecRule REMOTE_ADDR "@ipMatch xxx.xxx.xxx.xxx" phase:1,nolog,allow,ctl:ruleEngine=Off

... ose me prerje:

 SecRule REMOTE_ADDR "@ipMatch xxx.xxx.xxx.xxx" phase:1,nolog,allow,ctl:ruleEngine=DetectionOnly