ModSecurity и OWASP на CentOS 6 и Apache 2

ModSecurity е защитна стена на слоя на уеб приложения, предназначена да работи с IIS, Apache2 и Nginx. Това е безплатен софтуер с отворен код, издаден под лиценз Apache 2.0. ModSecurity помага да защитите вашия уеб сървър, като наблюдава и анализира трафика на вашия уебсайт. Той прави това в реално време, за да открие и блокира атаки от повечето известни експлойти, използвайки регулярни изрази. Сама по себе си ModSecurity предоставя ограничена защита и разчита на набори от правила, за да увеличи максимално защитата.

Основният набор от правила (CRS) на проекта за защита на отворените уеб приложения (OWASP) е набор от общи правила за откриване на атаки, които осигуряват базово ниво на защита за всяко уеб приложение. Наборът от правила е безплатен, с отворен код и в момента се спонсорира от Spider Labs.

OWASP CRS предоставя:

• HTTP защита - откриване на нарушения на HTTP протокола и локално дефинирана политика за използване.
• Търсене в черен списък в реално време - използва IP репутацията на трета страна.
• HTTP Denial of Service Protection - защита срещу HTTP заливане и бавни HTTP DoS атаки.
• Защита от общи уеб атаки – откриване на често срещани атаки за сигурност на уеб приложения.
• Откриване на автоматизация – Откриване на ботове, роботи, скенери и друга повърхностна злонамерена дейност.
• Интеграция с AV сканиране за качване на файлове - открива злонамерени файлове, качени през уеб приложението.
• Проследяване на чувствителни данни - Проследява използването на кредитни карти и блокира течовете.
• Защита от троянски коне - Открива троянски коне.
• Идентифициране на дефекти в приложението – сигнали за неправилни конфигурации на приложението.
• Откриване и скриване на грешки - Прикриване на съобщения за грешки, изпратени от сървъра.

Инсталация

Това ръководство ви показва как да инсталирате ModSecurity и OWASP набор от правила на CentOS 6, работещ с Apache 2.

Първо, трябва да се уверите, че вашата система е актуална.

 yum -y update

Ако не сте инсталирали Apache 2, инсталирайте го сега.

 yum -y install httpd

Сега трябва да инсталирате някои зависимости, за да работи ModSecurity. В зависимост от конфигурацията на вашия сървър, някои или всички от тези пакети може вече да са инсталирани. Yum ще инсталира пакетите, които нямате, и ще ви информира дали някой от пакетите вече е инсталиран.

 yum -y install httpd-devel git gcc make libxml2 pcre-devel libxml2-devel curl-devel

Променете директорията и изтеглете изходния код от уебсайта на ModSecuity. Текущата стабилна версия е 2.8.

 cd /opt/
 wget https://www.modsecurity.org/tarball/2.8.0/modsecurity-2.8.0.tar.gz

Разархивирайте пакета и променете в неговата директория.

 tar xzfv modsecurity-2.8.0.tar.gz 
 cd modsecurity-2.8.0

Конфигурирайте и компилирайте изходния код.

 ./configure
 make
 make install

Копирайте конфигурацията на ModSecurity по подразбиране и файла за съпоставяне на Unicode в директорията на Apache.

 cp modsecurity.conf-recommended /etc/httpd/conf.d/modsecurity.conf
 cp unicode.mapping /etc/httpd/conf.d/

Конфигурирайте Apache да използва ModSecurity. Има 2 начина, по които можете да направите това.

 echo LoadModule security2_module modules/mod_security2.so >> /etc/httpd/conf/httpd.conf

... или използвайте текстов редактор като nano:

 nano /etc/httpd/conf/httpd.conf

В долната част на този файл на отделен ред добавете това:

 LoadModule security2_module modules/mod_security2.so

Вече можете да стартирате Apache и да го конфигурирате да стартира при стартиране.

 service httpd start
 chkconfig httpd on

Ако сте инсталирали Apache преди да използвате това ръководство, просто трябва да го рестартирате.

 service httpd restart

Вече можете да изтеглите основния набор от правила на OWASP.

 cd /etc/httpd
 git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git

Сега конфигурирайте набора от правила OWASP.

 cd modsecurity-crs
 cp modsecurity_crs_10_setup.conf.example modsecurity_crs_10_config.conf

След това трябва да добавите набора от правила към конфигурацията на Apache. Отново можем да направим това по два начина.

 echo Include modsecurity-crs/modsecurity_crs_10_config.conf >> /etc/httpd/conf/httpd.conf
 echo Include modsecurity-crs/base_rules/*.conf >> /etc/httpd/conf/httpd.conf

... или с текстов редактор:

 nano /etc/httpd/conf/httpd.conf

В долната част на файла на отделни редове добавете това:

 Include modsecurity-crs/modsecurity_crs_10_config.conf
 Include modsecurity-crs/base_rules/*.conf

Сега рестартирайте Apache.

 service httpd restart

Накрая изтрийте инсталационните файлове.

 yum erase /opt/modsecurity-2.8.0
 yum erase /opt/modsecurity-2.8.0.tar.gz

Използване на ModSecurity

По подразбиране ModSecurity работи в режим само за откриване, което означава, че ще регистрира всички прекъсвания на правилата, но няма да предприема никакви действия. Това се препоръчва за нови инсталации, за да можете да гледате събитията, генерирани в регистъра за грешки на Apache. След като прегледате дневника, можете да решите дали трябва да се направи някаква промяна в набора от правила или деактивиране на правилото (вижте по-долу), преди да преминете в режим на защита.

За да видите регистъра за грешки на Apache:

 cat /var/log/httpd/error_log

Редът ModSecurity в регистъра за грешки на Apache е разделен на девет елемента. Всеки елемент предоставя информация за това защо събитието е задействано.

• Първата част казва кой файл с правила е задействал това събитие.
• Втората част казва от кой ред във файла с правила започва правилото.
• Третият елемент ви казва кое правило е задействано.
• Четвъртият елемент ви казва ревизията на правилото.
• Петият елемент съдържа специални данни за целите на отстраняване на грешки.
• Шестият елемент дефинира сериозността на регистрирането на това събитие.
• Седмият раздел описва какво действие е настъпило и в каква фаза се е случило.

Имайте предвид, че някои елементи може да липсват в зависимост от конфигурацията на вашия сървър.

За да промените ModSecurity в режим на защита, отворете conf файла в текстов редактор:

 nano /etc/httpd/conf.d/modsecurity.conf

... и промяна:

 SecRuleEngine DetectionOnly

да се:

 SecRuleEngine On

Ако срещнете блокове, когато ModSecurity се изпълнява, тогава трябва да идентифицирате правилото в HTTP регистъра за грешки. Командата "tail" ви позволява да гледате регистрационните файлове в реално време:

 tail -f /var/log/httpd/error_log

Повторете действието, което е причинило блока, докато гледате дневника.

Промяна на набор от правила/Деактивиране на идентификатор на правило

Промяната на набор от правила е извън обхвата на този урок.

За да деактивирате конкретно правило, идентифицирате идентификатора на правилото, който е в третия елемент (например [id=200000]) и след това го деактивирате в конфигурационния файл на Apache:

 nano /etc/httpd/conf/httpd.conf

... като добавите следното в долната част на файла с идентификатора на правилото:

<IfModule mod_security2.c>
SecRuleRemoveById 200000
</IfModule>

Ако установите, че ModSecurity блокира всички действия на вашия уебсайт(ове), тогава „Наборът от основни правила“ вероятно е в „самостоятелен“ режим. Трябва да промените това на „Съвместно откриване“, което открива и блокира само аномалии. В същото време можете да разгледате опциите "Самостоятелно" и да ги промените, ако желаете.

 nano /etc/httpd/modsecurity-crs/modsecurity_crs_10_config.conf

Променете „откриване“ на „самостоятелно“.

Можете също така да конфигурирате ModSecurity да разрешава вашия IP през защитната стена на уеб приложението (WAF) без регистриране:

 SecRule REMOTE_ADDR "@ipMatch xxx.xxx.xxx.xxx" phase:1,nolog,allow,ctl:ruleEngine=Off

... или с регистриране:

 SecRule REMOTE_ADDR "@ipMatch xxx.xxx.xxx.xxx" phase:1,nolog,allow,ctl:ruleEngine=DetectionOnly