ModSecurity og OWASP på CentOS 6 og Apache 2

ModSecurity er en webapplikationslag firewall designet til at fungere med IIS, Apache2 og Nginx. Det er gratis open source-software udgivet under Apache-licensen 2.0. ModSecurity hjælper med at sikre din webserver ved at overvåge og analysere din hjemmesidetrafik. Det gør dette i realtid for at opdage og blokere angreb fra de fleste kendte udnyttelser ved hjælp af regulære udtryk. ModSecurity giver i sig selv begrænset beskyttelse og er afhængig af regelsæt for at maksimere beskyttelsen.

Open Web Application Security Project (OWASP) Core Rule Set (CRS) er et sæt generiske angrebsdetektionsregler, der giver et grundlæggende beskyttelsesniveau for enhver webapplikation. Regelsættet er gratis, open source og i øjeblikket sponsoreret af Spider Labs.

OWASP CRS giver:

• HTTP-beskyttelse - opdager overtrædelser af HTTP-protokollen og en lokalt defineret brugspolitik.
• Sortlisteopslag i realtid - bruger 3. parts IP-omdømme.
• HTTP Denial of Service Protection - forsvar mod HTTP-oversvømmelser og langsomme HTTP DoS-angreb.
• Common Web Attacks Protection - registrering af almindelige webapplikationssikkerhedsangreb.
• Automatiseringsdetektion - Registrering af bots, crawlere, scannere og anden ondsindet aktivitet på overfladen.
• Integration med AV-scanning for filuploads - registrerer ondsindede filer uploadet via webapplikationen.
• Sporing af følsomme data - Sporer kreditkortbrug og blokerer lækager.
• Trojan Protection - Registrerer trojanske heste.
• Identifikation af applikationsdefekter - advarsler om applikationsfejlkonfigurationer.
• Fejlregistrering og skjul - Tilsløre fejlmeddelelser sendt af serveren.

Installation

Denne vejledning viser dig, hvordan du installerer ModSecurity og OWASP regelsæt på CentOS 6, der kører Apache 2.

Først skal du sikre dig, at dit system er opdateret.

 yum -y update

Hvis du ikke har installeret Apache 2, så installer det nu.

 yum -y install httpd

Du skal nu installere nogle afhængigheder for at ModSecurity kan fungere. Afhængigt af din serverkonfiguration er nogle eller alle disse pakker muligvis allerede installeret. Yum vil installere de pakker, du ikke har, og informere dig, hvis nogen af ​​pakkerne allerede er installeret.

 yum -y install httpd-devel git gcc make libxml2 pcre-devel libxml2-devel curl-devel

Skift bibliotek og download kildekoden fra ModSecuity-webstedet. Den nuværende stabile version er 2.8.

 cd /opt/
 wget https://www.modsecurity.org/tarball/2.8.0/modsecurity-2.8.0.tar.gz

Udpak pakken og skift til dens mappe.

 tar xzfv modsecurity-2.8.0.tar.gz 
 cd modsecurity-2.8.0

Konfigurer og kompiler kildekoden.

 ./configure
 make
 make install

Kopier standard ModSecurity-konfigurationen og unicode-tilknytningsfilen til Apache-mappen.

 cp modsecurity.conf-recommended /etc/httpd/conf.d/modsecurity.conf
 cp unicode.mapping /etc/httpd/conf.d/

Konfigurer Apache til at bruge ModSecurity. Der er 2 måder, du kan gøre dette på.

 echo LoadModule security2_module modules/mod_security2.so >> /etc/httpd/conf/httpd.conf

... eller brug en teksteditor som nano:

 nano /etc/httpd/conf/httpd.conf

I bunden af ​​den fil, på en separat linje tilføje dette:

 LoadModule security2_module modules/mod_security2.so

Du kan nu starte Apache og konfigurere den til at starte ved opstart.

 service httpd start
 chkconfig httpd on

Hvis du havde Apache installeret, før du brugte denne vejledning, skal du bare genstarte den.

 service httpd restart

Du kan nu downloade OWASP-kerneregelsættet.

 cd /etc/httpd
 git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git

Konfigurer nu OWASP-regelsættet.

 cd modsecurity-crs
 cp modsecurity_crs_10_setup.conf.example modsecurity_crs_10_config.conf

Dernæst skal du tilføje regelsættet til Apache-konfigurationen. Igen kan vi gøre dette på to måder.

 echo Include modsecurity-crs/modsecurity_crs_10_config.conf >> /etc/httpd/conf/httpd.conf
 echo Include modsecurity-crs/base_rules/*.conf >> /etc/httpd/conf/httpd.conf

... eller med en teksteditor:

 nano /etc/httpd/conf/httpd.conf

I bunden af ​​filen på separate linjer tilføjes dette:

 Include modsecurity-crs/modsecurity_crs_10_config.conf
 Include modsecurity-crs/base_rules/*.conf

Genstart nu Apache.

 service httpd restart

Til sidst skal du slette installationsfilerne.

 yum erase /opt/modsecurity-2.8.0
 yum erase /opt/modsecurity-2.8.0.tar.gz

Brug af ModSecurity

Som standard kører ModSecurity kun i detektionstilstand, hvilket betyder, at det vil logge alle regelbrud, men ikke foretager sig noget. Dette anbefales til nye installationer, så du kan se de hændelser, der genereres i Apache-fejlloggen. Efter at have gennemgået loggen, kan du beslutte, om der skal foretages ændringer i regelsættet eller deaktivering af reglen (se nedenfor), før du går til beskyttelsestilstand.

Sådan får du vist Apache-fejlloggen:

 cat /var/log/httpd/error_log

ModSecurity-linjen i Apache-fejlloggen er opdelt i ni elementer. Hvert element giver information om, hvorfor hændelsen blev udløst.

• Den første del fortæller, hvilken regelfil der udløste denne hændelse.
• Anden del fortæller hvilken linje i regelfilen reglen starter på.
• Det tredje element fortæller dig, hvilken regel der blev udløst.
• Det fjerde element fortæller dig revisionen af ​​reglen.
• Det femte element indeholder specielle data til fejlretningsformål.
• Det sjette element definerer logningsgraden af ​​denne hændelsesgrad.
• Det syvende afsnit beskriver, hvilken handling der fandt sted, og i hvilken fase den fandt sted.

Bemærk, at nogle elementer kan være fraværende afhængigt af konfigurationen af ​​din server.

For at ændre ModSecurity til beskyttelsestilstand skal du åbne conf-filen i en teksteditor:

 nano /etc/httpd/conf.d/modsecurity.conf

... og ændre:

 SecRuleEngine DetectionOnly

til:

 SecRuleEngine On

Hvis du støder på blokeringer, når ModSecurity kører, skal du identificere reglen i HTTP-fejlloggen. Kommandoen "hale" giver dig mulighed for at se logfilerne i realtid:

 tail -f /var/log/httpd/error_log

Gentag handlingen, der forårsagede blokeringen, mens du ser loggen.

Ændring af et regelsæt/deaktivering af et regel-id

Ændring af et regelsæt ligger uden for denne øvelses omfang.

For at deaktivere en specifik regel, identificerer du regel-id'et, som er i det tredje element (for eksempel [id=200000]) og deaktiverer det derefter i Apache-konfigurationsfilen:

 nano /etc/httpd/conf/httpd.conf

... ved at tilføje følgende til bunden af ​​filen med regel-id'et:

<IfModule mod_security2.c>
SecRuleRemoveById 200000
</IfModule>

Hvis du opdager, at ModSecurity blokerer alle handlinger på din(e) hjemmeside(r), så er "Core Rule Set" sandsynligvis i "Selvstændig" tilstand. Du skal ændre dette til "Collaborative Detection", som kun registrerer og blokerer uregelmæssigheder. Samtidig kan du se på "Self-Contained" mulighederne og ændre dem, hvis du ønsker det.

 nano /etc/httpd/modsecurity-crs/modsecurity_crs_10_config.conf

Skift "detektion" til "Selvforsynet".

Du kan også konfigurere ModSecurity til at tillade din IP gennem webapplikationens firewall (WAF) uden at logge:

 SecRule REMOTE_ADDR "@ipMatch xxx.xxx.xxx.xxx" phase:1,nolog,allow,ctl:ruleEngine=Off

... eller med logning:

 SecRule REMOTE_ADDR "@ipMatch xxx.xxx.xxx.xxx" phase:1,nolog,allow,ctl:ruleEngine=DetectionOnly