ModSecurity ja OWASP opsüsteemides CentOS 6 ja Apache 2

ModSecurity on veebirakenduse kihi tulemüür, mis on loodud töötama IIS-i, Apache2 ja Nginxiga. See on tasuta avatud lähtekoodiga tarkvara, mis on välja antud Apache litsentsi 2.0 alusel. ModSecurity aitab kaitsta teie veebiserverit, jälgides ja analüüsides teie veebisaidi liiklust. See teeb seda reaalajas, et tavaavaldisi kasutades tuvastada ja blokeerida enamiku tuntud ärakasutamiste rünnakud. Ainuüksi ModSecurity pakub piiratud kaitset ja tugineb kaitse maksimeerimiseks reeglistikule.

Open Web Application Security Project (OWASP) põhireeglite komplekt (CRS) on üldiste rünnakute tuvastamise reeglite kogum, mis tagab iga veebirakenduse kaitse baastaseme. Reeglikomplekt on tasuta, avatud lähtekoodiga ja praegu sponsoreerib Spider Labs.

OWASP CRS pakub:

• HTTP kaitse – HTTP-protokolli ja lokaalselt määratletud kasutuspoliitika rikkumiste tuvastamine.
• Reaalajas musta nimekirja otsingud – kasutab kolmanda osapoole IP mainet.
• HTTP teenuse keelamise kaitse – kaitse HTTP üleujutuse ja aeglaste HTTP DoS rünnakute eest.
• Common Web Attacks Protection – levinud veebirakenduste turvarünnete tuvastamine.
• Automatiseerimise tuvastamine – robotite, roomajate, skannerite ja muu pinnapealse pahatahtliku tegevuse tuvastamine.
• Integratsioon AV-skannimisega failide üleslaadimiseks – tuvastab veebirakenduse kaudu üles laaditud pahatahtlikud failid.
• Tundlike andmete jälgimine – jälgib krediitkaardi kasutamist ja blokeerib lekked.
• Trooja kaitse – tuvastab trooja hobused.
• Rakenduse defektide tuvastamine – hoiatused rakenduse valede konfiguratsioonide kohta.
• Vigade tuvastamine ja peitmine – serveri saadetud veateadete varjamine.

Paigaldamine

See juhend näitab, kuidas installida ModSecurity ja OWASP reeglistiku CentOS 6, kus töötab Apache 2.

Esiteks peate tagama, et teie süsteem on ajakohane.

 yum -y update

Kui te pole Apache 2 installinud, installige see kohe.

 yum -y install httpd

ModSecurity töötamiseks peate nüüd installima mõned sõltuvused. Sõltuvalt teie serveri konfiguratsioonist võivad mõned või kõik need paketid olla juba installitud. Yum installib paketid, mida teil pole, ja teavitab teid, kui mõni pakett on juba installitud.

 yum -y install httpd-devel git gcc make libxml2 pcre-devel libxml2-devel curl-devel

Muutke kataloogi ja laadige ModSecuity veebisaidilt alla lähtekood. Praegune stabiilne versioon on 2.8.

 cd /opt/
 wget https://www.modsecurity.org/tarball/2.8.0/modsecurity-2.8.0.tar.gz

Ekstraktige pakett ja minge selle kataloogi.

 tar xzfv modsecurity-2.8.0.tar.gz 
 cd modsecurity-2.8.0

Seadistage ja kompileerige lähtekood.

 ./configure
 make
 make install

Kopeerige ModSecurity vaikekonfiguratsiooni ja unicode'i vastendusfail Apache'i kataloogi.

 cp modsecurity.conf-recommended /etc/httpd/conf.d/modsecurity.conf
 cp unicode.mapping /etc/httpd/conf.d/

Seadistage Apache ModSecurity kasutamiseks. Saate seda teha kahel viisil.

 echo LoadModule security2_module modules/mod_security2.so >> /etc/httpd/conf/httpd.conf

... või kasutage tekstiredaktorit nagu nano:

 nano /etc/httpd/conf/httpd.conf

Lisage selle faili allossa eraldi reale see:

 LoadModule security2_module modules/mod_security2.so

Nüüd saate Apache'i käivitada ja konfigureerida käivitamisel käivituma.

 service httpd start
 chkconfig httpd on

Kui teile oli Apache installitud enne selle juhendi kasutamist, peate selle lihtsalt taaskäivitama.

 service httpd restart

Nüüd saate alla laadida OWASP-i põhireeglistiku.

 cd /etc/httpd
 git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git

Nüüd konfigureerige OWASP reeglistik.

 cd modsecurity-crs
 cp modsecurity_crs_10_setup.conf.example modsecurity_crs_10_config.conf

Järgmisena peate lisama reeglistiku Apache konfiguratsiooni. Jällegi saame seda teha kahel viisil.

 echo Include modsecurity-crs/modsecurity_crs_10_config.conf >> /etc/httpd/conf/httpd.conf
 echo Include modsecurity-crs/base_rules/*.conf >> /etc/httpd/conf/httpd.conf

... või tekstiredaktoriga:

 nano /etc/httpd/conf/httpd.conf

Lisage faili allossa eraldi ridadele see:

 Include modsecurity-crs/modsecurity_crs_10_config.conf
 Include modsecurity-crs/base_rules/*.conf

Nüüd taaskäivitage Apache.

 service httpd restart

Lõpuks kustutage installifailid.

 yum erase /opt/modsecurity-2.8.0
 yum erase /opt/modsecurity-2.8.0.tar.gz

ModSecurity kasutamine

Vaikimisi töötab ModSecurity ainult tuvastamise režiimis, mis tähendab, et see logib kõik reeglite katkestused, kuid ei võta midagi ette. Seda soovitatakse uute installide puhul, et saaksite vaadata Apache'i vealogis genereeritud sündmusi. Pärast logi ülevaatamist saate otsustada, kas enne kaitserežiimile üleminekut tuleks reeglikomplekti muuta või reeglit keelata (vt allpool).

Apache vealogi vaatamiseks toimige järgmiselt.

 cat /var/log/httpd/error_log

ModSecurity rida Apache vealogis on jagatud üheksaks elemendiks. Iga element annab teavet selle kohta, miks sündmus käivitati.

• Esimene osa ütleb, milline reeglifail selle sündmuse käivitas.
• Teine osa ütleb, milliselt realt reeglifailis reegel algab.
• Kolmas element ütleb teile, milline reegel käivitati.
• Neljas element ütleb teile reegli muutmise.
• Viies element sisaldab silumiseks spetsiaalseid andmeid.
• Kuues element määrab selle sündmuse tõsiduse logimise raskusastme.
• Seitsmes jaotis kirjeldab, mis tegevus toimus ja millises faasis see toimus.

Pange tähele, et olenevalt teie serveri konfiguratsioonist võivad mõned elemendid puududa.

ModSecurity muutmiseks kaitserežiimile avage tekstiredaktoris conf-fail:

 nano /etc/httpd/conf.d/modsecurity.conf

... ja muuda:

 SecRuleEngine DetectionOnly

kellele:

 SecRuleEngine On

Kui ModSecurity töötamise ajal ilmnevad blokeeringud, peate reegli tuvastama HTTP vealogis. Käsk "saba" võimaldab teil logisid reaalajas vaadata:

 tail -f /var/log/httpd/error_log

Korrake logi vaatamise ajal toimingut, mis blokeeringu põhjustas.

Reeglikomplekti muutmine/reegli ID keelamine

Reeglikomplekti muutmine ei kuulu selle õpetuse raamesse.

Konkreetse reegli keelamiseks tuvastage kolmandas elemendis olev reegli ID (näiteks [id=200000]) ja seejärel keelake see Apache konfiguratsioonifailis:

 nano /etc/httpd/conf/httpd.conf

... lisades reegli ID-ga faili allossa järgmise:

<IfModule mod_security2.c>
SecRuleRemoveById 200000
</IfModule>

Kui leiate, et ModSecurity blokeerib kõik toimingud teie veebisaidil (veebisaitidel), siis on põhireeglikomplekt tõenäoliselt režiimis "Iseasuv". Peate muutma selle valikuks "Koostöö tuvastamine", mis tuvastab ja blokeerib ainult kõrvalekaldeid. Samal ajal saate vaadata valikuid "Isesulguv" ja neid soovi korral muuta.

 nano /etc/httpd/modsecurity-crs/modsecurity_crs_10_config.conf

Muutke "tuvastus" väärtuseks "Iseseisev".

Samuti saate konfigureerida ModSecurity nii, et see lubaks oma IP-d läbi veebirakenduse tulemüüri (WAF) logimata:

 SecRule REMOTE_ADDR "@ipMatch xxx.xxx.xxx.xxx" phase:1,nolog,allow,ctl:ruleEngine=Off

... või logimisega:

 SecRule REMOTE_ADDR "@ipMatch xxx.xxx.xxx.xxx" phase:1,nolog,allow,ctl:ruleEngine=DetectionOnly