ModSecurity ja OWASP CentOS 6:ssa ja Apache 2:ssa

ModSecurity on verkkosovelluskerroksen palomuuri, joka on suunniteltu toimimaan IIS:n, Apache2:n ja Nginxin kanssa. Se on ilmainen avoimen lähdekoodin ohjelmisto, joka on julkaistu Apache-lisenssillä 2.0. ModSecurity auttaa suojaamaan verkkopalvelimesi seuraamalla ja analysoimalla verkkosivustosi liikennettä. Se tekee tämän reaaliajassa havaitakseen ja estääkseen useimpien tunnetuimpien hyväksikäyttötoimintojen hyökkäykset säännöllisten lausekkeiden avulla. ModSecurity tarjoaa yksinään rajoitetun suojan ja luottaa sääntöihin suojan maksimoimiseksi.

Open Web Application Security Project (OWASP) Core Rule Set (CRS) on joukko yleisiä hyökkäysten havaitsemissääntöjä, jotka tarjoavat perussuojauksen mille tahansa verkkosovellukselle. Sääntösarja on ilmainen, avoimen lähdekoodin, ja tällä hetkellä Spider Labsin sponsoroima.

OWASP CRS tarjoaa:

• HTTP-suojaus - havaitsee HTTP-protokollan ja paikallisesti määritellyn käyttökäytännön rikkomukset.
• Reaaliaikaiset mustan listan haut - hyödyntää kolmannen osapuolen IP-mainetta.
• HTTP Denial of Service Protection - suojaus HTTP-tulvaa ja hitaita HTTP DoS -hyökkäyksiä vastaan.
• Common Web Attack Protection – yleisten verkkosovellusten tietoturvahyökkäysten havaitseminen.
• Automation Detection - Havaitsee robotteja, indeksointirobotteja, skannereita ja muuta pinnallista haitallista toimintaa.
• Integrointi AV Scanning for File Uploads -toiminnon kanssa – havaitsee verkkosovelluksen kautta ladatut haitalliset tiedostot.
• Arkaluonteisten tietojen seuranta - Seuraa luottokorttien käyttöä ja estää vuodot.
• Troijan suojaus – Tunnistaa troijalaisia.
• Sovellusvirheiden tunnistaminen - hälytykset sovelluksen virheellisistä määrityksistä.
• Virheiden havaitseminen ja piilottaminen - Palvelimen lähettämien virheilmoitusten peittäminen.

Asennus

Tämä opas näyttää, kuinka ModSecurity- ja OWASP-säännöt asennetaan CentOS 6:een, jossa on Apache 2.

Ensin sinun on varmistettava, että järjestelmäsi on ajan tasalla.

 yum -y update

Jos et ole asentanut Apache 2:ta, asenna se nyt.

 yum -y install httpd

Sinun on nyt asennettava joitain riippuvuuksia, jotta ModSecurity toimii. Palvelimen kokoonpanosta riippuen osa tai kaikki näistä paketeista voi olla jo asennettuna. Yum asentaa paketit, joita sinulla ei ole, ja ilmoittaa sinulle, jos jokin paketeista on jo asennettu.

 yum -y install httpd-devel git gcc make libxml2 pcre-devel libxml2-devel curl-devel

Vaihda hakemistoa ja lataa lähdekoodi ModSecuity-verkkosivustolta. Nykyinen vakaa versio on 2.8.

 cd /opt/
 wget https://www.modsecurity.org/tarball/2.8.0/modsecurity-2.8.0.tar.gz

Pura paketti ja vaihda sen hakemistoon.

 tar xzfv modsecurity-2.8.0.tar.gz 
 cd modsecurity-2.8.0

Määritä ja käännä lähdekoodi.

 ./configure
 make
 make install

Kopioi oletusarvoinen ModSecurity-kokoonpano ja unicode-kartoitustiedosto Apache-hakemistoon.

 cp modsecurity.conf-recommended /etc/httpd/conf.d/modsecurity.conf
 cp unicode.mapping /etc/httpd/conf.d/

Määritä Apache käyttämään ModSecurityä. Voit tehdä tämän kahdella tavalla.

 echo LoadModule security2_module modules/mod_security2.so >> /etc/httpd/conf/httpd.conf

... tai käytä tekstieditoria, kuten nano:

 nano /etc/httpd/conf/httpd.conf

Lisää tiedoston alareunaan erilliselle riville tämä:

 LoadModule security2_module modules/mod_security2.so

Voit nyt käynnistää Apachen ja määrittää sen käynnistymään käynnistyksen yhteydessä.

 service httpd start
 chkconfig httpd on

Jos sinulla oli Apache asennettuna ennen tämän oppaan käyttöä, sinun tarvitsee vain käynnistää se uudelleen.

 service httpd restart

Voit nyt ladata OWASP-ydinsääntöjoukon.

 cd /etc/httpd
 git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git

Määritä nyt OWASP-säännöt.

 cd modsecurity-crs
 cp modsecurity_crs_10_setup.conf.example modsecurity_crs_10_config.conf

Seuraavaksi sinun on lisättävä sääntöjoukko Apache-kokoonpanoon. Jälleen voimme tehdä tämän kahdella tavalla.

 echo Include modsecurity-crs/modsecurity_crs_10_config.conf >> /etc/httpd/conf/httpd.conf
 echo Include modsecurity-crs/base_rules/*.conf >> /etc/httpd/conf/httpd.conf

... tai tekstieditorilla:

 nano /etc/httpd/conf/httpd.conf

Lisää tiedoston alareunaan eri riveille tämä:

 Include modsecurity-crs/modsecurity_crs_10_config.conf
 Include modsecurity-crs/base_rules/*.conf

Käynnistä nyt Apache uudelleen.

 service httpd restart

Poista lopuksi asennustiedostot.

 yum erase /opt/modsecurity-2.8.0
 yum erase /opt/modsecurity-2.8.0.tar.gz

ModSecurityn käyttö

Oletuksena ModSecurity toimii vain tunnistustilassa, mikä tarkoittaa, että se kirjaa kaikki sääntökatkot mutta ei ryhdy toimiin. Tätä suositellaan uusille asennuksille, jotta voit katsella Apache-virhelokissa luotuja tapahtumia. Tarkasteltuasi lokia, voit päättää, pitäisikö sääntöjoukkoa muuttaa tai sääntö poistaa käytöstä (katso alla) ennen suojaustilaan siirtymistä.

Apache-virhelokin tarkasteleminen:

 cat /var/log/httpd/error_log

Apache-virhelokin ModSecurity-rivi on jaettu yhdeksään elementtiin. Jokainen elementti antaa tietoa siitä, miksi tapahtuma käynnistyi.

• Ensimmäinen osa kertoo, mikä sääntötiedosto käynnisti tämän tapahtuman.
• Toinen osa kertoo, millä rivillä sääntötiedostossa sääntö alkaa.
• Kolmas elementti kertoo, mikä sääntö käynnistettiin.
• Neljäs elementti kertoo säännön päivityksen.
• Viides elementti sisältää erityisiä tietoja virheenkorjaustarkoituksiin.
• Kuudes elementti määrittää tämän tapahtuman vakavuuden kirjaamisen vakavuuden.
• Seitsemäs osa kuvaa, mitä toimintaa tapahtui ja missä vaiheessa se tapahtui.

Huomaa, että jotkin elementit saattavat puuttua palvelimesi kokoonpanosta riippuen.

Voit muuttaa ModSecurityn suojaustilaan avaamalla conf-tiedoston tekstieditorissa:

 nano /etc/httpd/conf.d/modsecurity.conf

... ja muuta:

 SecRuleEngine DetectionOnly

vastaanottajalle:

 SecRuleEngine On

Jos kohtaat estoja ModSecurityn ollessa käynnissä, sinun on tunnistettava sääntö HTTP-virhelokista. "Tail"-komennon avulla voit katsella lokeja reaaliajassa:

 tail -f /var/log/httpd/error_log

Toista eston aiheuttanut toimenpide samalla kun katsot lokia.

Sääntöjoukon muokkaaminen/sääntötunnuksen poistaminen käytöstä

Sääntöjoukon muokkaaminen ei kuulu tämän opetusohjelman piiriin.

Jos haluat poistaa tietyn säännön käytöstä, määritä sääntötunnus, joka on kolmannessa elementissä (esimerkiksi [id=200000]) ja poista se sitten Apache-määritystiedostosta:

 nano /etc/httpd/conf/httpd.conf

... lisäämällä tiedoston alaosaan sääntötunnuksella:

<IfModule mod_security2.c>
SecRuleRemoveById 200000
</IfModule>

Jos huomaat, että ModSecurity estää kaikki toiminnot verkkosivustollasi, "Core Rule Set" on luultavasti "Self-Contained"-tilassa. Sinun on vaihdettava tämä "Yhteiskäyttöön", joka havaitsee ja estää vain poikkeamat. Samalla voit tarkastella "Self-Contained" -vaihtoehtoja ja muuttaa niitä, jos haluat tehdä niin.

 nano /etc/httpd/modsecurity-crs/modsecurity_crs_10_config.conf

Muuta "tunnistus" arvoksi "Self-Contained".

Voit myös määrittää ModSecurityn sallimaan IP-osoitteesi verkkosovelluksen palomuurin (WAF) läpi kirjautumatta:

 SecRule REMOTE_ADDR "@ipMatch xxx.xxx.xxx.xxx" phase:1,nolog,allow,ctl:ruleEngine=Off

... tai kirjauksella:

 SecRule REMOTE_ADDR "@ipMatch xxx.xxx.xxx.xxx" phase:1,nolog,allow,ctl:ruleEngine=DetectionOnly