ModSecurity og OWASP á CentOS 6 og Apache 2

ModSecurity er eldveggur fyrir vefforrit sem er hannaður til að vinna með IIS, Apache2 og Nginx. Það er ókeypis, opinn hugbúnaður gefinn út undir Apache leyfi 2.0. ModSecurity hjálpar til við að tryggja vefþjóninn þinn með því að fylgjast með og greina umferð á vefsíðunni þinni. Það gerir þetta í rauntíma til að greina og loka árásir frá flestum þekktum hetjudáðum með því að nota reglulegar tjáningar. Í sjálfu sér veitir ModSecurity takmarkaða vernd og treystir á reglur til að hámarka vernd.

Open Web Application Security Project (OWASP) Core Rule Set (CRS) er sett af almennum árásarskynjunarreglum sem veita grunnvernd fyrir hvaða vefforrit sem er. Reglusettið er ókeypis, opinn uppspretta og sem stendur styrkt af Spider Labs.

OWASP CRS veitir:

• HTTP vernd - að greina brot á HTTP samskiptareglum og staðbundinni notkunarstefnu.
• Rauntíma leit á svörtum lista - notar IP orðspor þriðja aðila.
• HTTP Denial of Service Protection - vörn gegn HTTP flóðum og hægum HTTP DoS árásum.
• Algeng vefárásavörn - greinir algengar öryggisárásir á vefforritum.
• Sjálfvirkni uppgötvun - Uppgötvun vélmenna, vefskriðla, skanna og annarra skaðlegra yfirborðsvirkni.
• Samþætting við AV-skönnun fyrir skráaupphleðslu - finnur skaðlegar skrár sem hlaðið er upp í gegnum vefforritið.
• Rekja viðkvæm gögn - Rekja notkun kreditkorta og hindra leka.
• Trójuvörn - Greinir trójuhesta.
• Auðkenning forritsgalla - viðvaranir um rangar stillingar forrita.
• Villuuppgötvun og felur - Að dulbúa villuskilaboð send af þjóninum.

Uppsetning

Þessi handbók sýnir þér hvernig á að setja upp ModSecurity og OWASP reglusett á CentOS 6 sem keyrir Apache 2.

Fyrst þarftu að tryggja að kerfið þitt sé uppfært.

 yum -y update

Ef þú hefur ekki sett upp Apache 2 skaltu setja það upp núna.

 yum -y install httpd

Þú þarft nú að setja upp nokkur ósjálfstæði til að ModSecurity virki. Það fer eftir uppsetningu netþjónsins, sumir eða allir þessara pakka gætu þegar verið settir upp. Yum mun setja upp pakkana sem þú ert ekki með og láta þig vita ef einhver pakkanna er þegar uppsettur.

 yum -y install httpd-devel git gcc make libxml2 pcre-devel libxml2-devel curl-devel

Skiptu um möppu og halaðu niður kóðanum af vefsíðu ModSecuity. Núverandi stöðug útgáfa er 2.8.

 cd /opt/
 wget https://www.modsecurity.org/tarball/2.8.0/modsecurity-2.8.0.tar.gz

Dragðu út pakkann og breyttu í möppuna hans.

 tar xzfv modsecurity-2.8.0.tar.gz 
 cd modsecurity-2.8.0

Stilltu og settu saman frumkóðann.

 ./configure
 make
 make install

Afritaðu sjálfgefna ModSecurity stillingar og unicode kortlagningarskrána í Apache möppuna.

 cp modsecurity.conf-recommended /etc/httpd/conf.d/modsecurity.conf
 cp unicode.mapping /etc/httpd/conf.d/

Stilltu Apache til að nota ModSecurity. Það eru 2 leiðir til að gera þetta.

 echo LoadModule security2_module modules/mod_security2.so >> /etc/httpd/conf/httpd.conf

... eða notaðu textaritil eins og nano:

 nano /etc/httpd/conf/httpd.conf

Neðst á þeirri skrá, á sérstakri línu bætið þessu við:

 LoadModule security2_module modules/mod_security2.so

Þú getur nú ræst Apache og stillt það til að byrja við ræsingu.

 service httpd start
 chkconfig httpd on

Ef þú varst með Apache uppsett áður en þú notar þessa handbók, þá þarftu bara að endurræsa hana.

 service httpd restart

Þú getur nú halað niður OWASP kjarnareglusettinu.

 cd /etc/httpd
 git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git

Stilltu nú OWASP reglusettið.

 cd modsecurity-crs
 cp modsecurity_crs_10_setup.conf.example modsecurity_crs_10_config.conf

Næst þarftu að bæta reglusettinu við Apache stillingarnar. Aftur getum við gert þetta á tvo vegu.

 echo Include modsecurity-crs/modsecurity_crs_10_config.conf >> /etc/httpd/conf/httpd.conf
 echo Include modsecurity-crs/base_rules/*.conf >> /etc/httpd/conf/httpd.conf

... eða með textaritli:

 nano /etc/httpd/conf/httpd.conf

Neðst á skránni á aðskildum línum bætið þessu við:

 Include modsecurity-crs/modsecurity_crs_10_config.conf
 Include modsecurity-crs/base_rules/*.conf

Endurræstu nú Apache.

 service httpd restart

Að lokum skaltu eyða uppsetningarskránum.

 yum erase /opt/modsecurity-2.8.0
 yum erase /opt/modsecurity-2.8.0.tar.gz

Að nota ModSecurity

Sjálfgefið er að ModSecurity keyrir í uppgötvunarham, sem þýðir að það skráir öll reglubrot en grípur ekki til aðgerða. Mælt er með þessu fyrir nýjar uppsetningar svo þú getir horft á atburðina sem myndast í Apache villuskránni. Eftir að hafa skoðað annálinn geturðu ákveðið hvort gera eigi einhverjar breytingar á reglusettinu eða slökkva á reglunni (sjá hér að neðan) áður en þú ferð í verndarstillingu.

Til að skoða Apache villuskrána:

 cat /var/log/httpd/error_log

ModSecurity línan í Apache villuskránni er skipt í níu þætti. Hver þáttur gefur upplýsingar um hvers vegna atburðurinn var settur af stað.

• Fyrsti hlutinn segir frá hvaða regluskrá kveikti á þessum atburði.
• Seinni hlutinn segir á hvaða línu í regluskránni reglan byrjar á.
• Þriðji þátturinn segir þér hvaða regla var ræst.
• Fjórði þátturinn segir þér endurskoðun reglunnar.
• Fimmti þátturinn inniheldur sérstök gögn til villuleitar.
• Sjötta þátturinn skilgreinir alvarleika skráningar alvarleika þessa atburðar.
• Sjöundi hluti lýsir hvaða aðgerð átti sér stað og í hvaða fasa hún átti sér stað.

Athugaðu að sumir þættir gætu verið fjarverandi eftir uppsetningu netþjónsins þíns.

Til að breyta ModSecurity í verndarham, opnaðu conf skrána í textaritli:

 nano /etc/httpd/conf.d/modsecurity.conf

... og breyta:

 SecRuleEngine DetectionOnly

til:

 SecRuleEngine On

Ef þú lendir í blokkum þegar ModSecurity er í gangi, þá þarftu að bera kennsl á regluna í HTTP villuskránni. Skipunin „hala“ gerir þér kleift að horfa á annálana í rauntíma:

 tail -f /var/log/httpd/error_log

Endurtaktu aðgerðina sem olli blokkuninni á meðan þú horfir á annálinn.

Að breyta reglusetti/slökkva á regluauðkenni

Breyting á reglusetti er utan gildissviðs þessa kennsluefnis.

Til að slökkva á tiltekinni reglu auðkennirðu regluauðkennið sem er í þriðja þættinum (til dæmis [id=200000]) og slökktir síðan á Apache stillingarskránni:

 nano /etc/httpd/conf/httpd.conf

... með því að bæta eftirfarandi neðst í skrána með regluauðkenninu:

<IfModule mod_security2.c>
SecRuleRemoveById 200000
</IfModule>

Ef þú kemst að því að ModSecurity lokar fyrir allar aðgerðir á vefsíðunni þinni, þá er „Kjarnareglusett“ líklega í „Self-Contained“ ham. Þú þarft að breyta þessu í "Collaborative Detection", sem greinir og lokar eingöngu á frávik. Á sama tíma geturðu skoðað "Self-Contained" valkostina og breytt þeim ef þú vilt gera það.

 nano /etc/httpd/modsecurity-crs/modsecurity_crs_10_config.conf

Breyttu „uppgötvun“ í „Sjálfstætt“.

Þú getur líka stillt ModSecurity til að leyfa IP þinn í gegnum eldvegg vefforritsins (WAF) án þess að skrá þig inn:

 SecRule REMOTE_ADDR "@ipMatch xxx.xxx.xxx.xxx" phase:1,nolog,allow,ctl:ruleEngine=Off

... eða með skráningu:

 SecRule REMOTE_ADDR "@ipMatch xxx.xxx.xxx.xxx" phase:1,nolog,allow,ctl:ruleEngine=DetectionOnly