ModSecurity a OWASP na CentOS 6 a Apache 2

ModSecurity je firewall webové aplikační vrstvy navržený pro práci s IIS, Apache2 a Nginx. Je to bezplatný software s otevřeným zdrojovým kódem vydaný pod licencí Apache 2.0. ModSecurity pomáhá zabezpečit váš webový server sledováním a analýzou návštěvnosti vašeho webu. Dělá to v reálném čase, aby detekoval a blokoval útoky z většiny známých exploitů pomocí regulárních výrazů. Samo o sobě poskytuje ModSecurity omezenou ochranu a spoléhá se na sady pravidel pro maximalizaci ochrany.

Sada základních pravidel Open Web Application Security Project (OWASP) Core Rule Set (CRS) je sada obecných pravidel detekce útoků, která poskytují základní úroveň ochrany jakékoli webové aplikaci. Sada pravidel je zdarma, s otevřeným zdrojovým kódem a v současnosti ji sponzoruje Spider Labs.

OWASP CRS poskytuje:

• Ochrana HTTP - detekce porušení protokolu HTTP a lokálně definované zásady použití.
• Vyhledávání v černé listině v reálném čase – využívá pověst IP třetích stran.
• HTTP Denial of Service Protection - obrana proti zahlcení HTTP a pomalým HTTP DoS útokům.
• Common Web Attacks Protection – detekce běžných útoků na zabezpečení webových aplikací.
• Detekce automatizace – Detekce robotů, crawlerů, skenerů a dalších povrchových škodlivých aktivit.
• Integrace s AV skenováním nahraných souborů – detekuje škodlivé soubory nahrané prostřednictvím webové aplikace.
• Sledování citlivých dat – sleduje používání kreditních karet a blokuje úniky.
• Trojan Protection - Detekuje trojské koně.
• Identifikace chyb aplikace - upozornění na chybné konfigurace aplikace.
• Detekce a skrytí chyb – maskování chybových zpráv odeslaných serverem.

Instalace

Tato příručka vám ukáže, jak nainstalovat sadu pravidel ModSecurity a OWASP na CentOS 6 se systémem Apache 2.

Nejprve se musíte ujistit, že váš systém je aktuální.

 yum -y update

Pokud jste nenainstalovali Apache 2, nainstalujte jej nyní.

 yum -y install httpd

Nyní musíte nainstalovat některé závislosti, aby ModSecurity fungovalo. V závislosti na konfiguraci vašeho serveru mohou být některé nebo všechny tyto balíčky již nainstalovány. Yum nainstaluje balíčky, které nemáte, a informuje vás, zda jsou některé balíčky již nainstalovány.

 yum -y install httpd-devel git gcc make libxml2 pcre-devel libxml2-devel curl-devel

Změňte adresář a stáhněte si zdrojový kód z webu ModSecuity. Aktuální stabilní verze je 2.8.

 cd /opt/
 wget https://www.modsecurity.org/tarball/2.8.0/modsecurity-2.8.0.tar.gz

Rozbalte balíček a přejděte do jeho adresáře.

 tar xzfv modsecurity-2.8.0.tar.gz 
 cd modsecurity-2.8.0

Nakonfigurujte a zkompilujte zdrojový kód.

 ./configure
 make
 make install

Zkopírujte výchozí konfiguraci ModSecurity a soubor mapování unicode do adresáře Apache.

 cp modsecurity.conf-recommended /etc/httpd/conf.d/modsecurity.conf
 cp unicode.mapping /etc/httpd/conf.d/

Nakonfigurujte Apache pro použití ModSecurity. Existují 2 způsoby, jak to udělat.

 echo LoadModule security2_module modules/mod_security2.so >> /etc/httpd/conf/httpd.conf

... nebo použijte textový editor jako nano:

 nano /etc/httpd/conf/httpd.conf

Na konec tohoto souboru na samostatný řádek přidejte toto:

 LoadModule security2_module modules/mod_security2.so

Nyní můžete spustit Apache a nakonfigurovat jej tak, aby se spouštěl při startu.

 service httpd start
 chkconfig httpd on

Pokud jste měli Apache nainstalovaný před použitím této příručky, stačí jej restartovat.

 service httpd restart

Nyní si můžete stáhnout sadu základních pravidel OWASP.

 cd /etc/httpd
 git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git

Nyní nakonfigurujte sadu pravidel OWASP.

 cd modsecurity-crs
 cp modsecurity_crs_10_setup.conf.example modsecurity_crs_10_config.conf

Dále musíte přidat sadu pravidel do konfigurace Apache. Opět to můžeme udělat dvěma způsoby.

 echo Include modsecurity-crs/modsecurity_crs_10_config.conf >> /etc/httpd/conf/httpd.conf
 echo Include modsecurity-crs/base_rules/*.conf >> /etc/httpd/conf/httpd.conf

... nebo pomocí textového editoru:

 nano /etc/httpd/conf/httpd.conf

V dolní části souboru na samostatných řádcích přidejte toto:

 Include modsecurity-crs/modsecurity_crs_10_config.conf
 Include modsecurity-crs/base_rules/*.conf

Nyní restartujte Apache.

 service httpd restart

Nakonec smažte instalační soubory.

 yum erase /opt/modsecurity-2.8.0
 yum erase /opt/modsecurity-2.8.0.tar.gz

Pomocí ModSecurity

Ve výchozím nastavení běží ModSecurity v režimu pouze zjišťování, což znamená, že zaznamená všechna porušení pravidel, ale neprovede žádnou akci. Toto se doporučuje pro nové instalace, abyste mohli sledovat události generované v protokolu chyb Apache. Po prostudování protokolu se můžete rozhodnout, zda je třeba před přechodem do ochranného režimu provést nějakou úpravu sady pravidel nebo deaktivaci pravidla (viz níže).

Chcete-li zobrazit protokol chyb Apache:

 cat /var/log/httpd/error_log

Řádek ModSecurity v protokolu chyb Apache je rozdělen do devíti prvků. Každý prvek poskytuje informace o tom, proč byla událost spuštěna.

• První část říká, který soubor pravidel spustil tuto událost.
• Druhá část říká, na jakém řádku v souboru pravidel pravidlo začíná.
• Třetí prvek vám říká, jaké pravidlo bylo spuštěno.
• Čtvrtý prvek vám říká revizi pravidla.
• Pátý prvek obsahuje speciální data pro účely ladění.
• Šestý prvek definuje závažnost protokolování závažnosti této události.
• Sedmá část popisuje, k jaké akci došlo a v jaké fázi k ní došlo.

Všimněte si, že některé prvky mohou chybět v závislosti na konfiguraci vašeho serveru.

Chcete-li změnit ModSecurity na ochranný režim, otevřete soubor conf v textovém editoru:

 nano /etc/httpd/conf.d/modsecurity.conf

...a změnit:

 SecRuleEngine DetectionOnly

na:

 SecRuleEngine On

Pokud při běhu ModSecurity narazíte na nějaké bloky, musíte pravidlo identifikovat v protokolu chyb HTTP. Příkaz „tail“ vám umožňuje sledovat protokoly v reálném čase:

 tail -f /var/log/httpd/error_log

Opakujte akci, která způsobila zablokování, a přitom sledujte protokol.

Úprava sady pravidel/deaktivace ID pravidla

Úprava sady pravidel přesahuje rozsah tohoto kurzu.

Chcete-li zakázat konkrétní pravidlo, identifikujte ID pravidla, které je ve třetím prvku (například [id=200000]) a poté jej zakážete v konfiguračním souboru Apache:

 nano /etc/httpd/conf/httpd.conf

... přidáním následujícího na konec souboru s id pravidla:

<IfModule mod_security2.c>
SecRuleRemoveById 200000
</IfModule>

Pokud zjistíte, že ModSecurity blokuje všechny akce na vašich webových stránkách, pak je „Core Rule Set“ pravděpodobně v režimu „Self-Contained“. Musíte to změnit na „Společnou detekci“, která detekuje a blokuje pouze anomálie. Zároveň se můžete podívat na možnosti „Self-Contained“ a změnit je, pokud si to přejete.

 nano /etc/httpd/modsecurity-crs/modsecurity_crs_10_config.conf

Změňte "detekci" na "Self-Contained".

Můžete také nakonfigurovat ModSecurity tak, aby umožnil vaší IP přes firewall webové aplikace (WAF) bez protokolování:

 SecRule REMOTE_ADDR "@ipMatch xxx.xxx.xxx.xxx" phase:1,nolog,allow,ctl:ruleEngine=Off

... nebo s logováním:

 SecRule REMOTE_ADDR "@ipMatch xxx.xxx.xxx.xxx" phase:1,nolog,allow,ctl:ruleEngine=DetectionOnly