ModSecurity ir OWASP CentOS 6 ir Apache 2

ModSecurity yra žiniatinklio programų sluoksnio ugniasienė, sukurta dirbti su IIS, Apache2 ir Nginx. Tai nemokama atvirojo kodo programinė įranga, išleista pagal Apache licenciją 2.0. ModSecurity padeda apsaugoti jūsų žiniatinklio serverį stebėdama ir analizuodama jūsų svetainės srautą. Tai daroma realiuoju laiku, kad aptiktų ir blokuotų atakas iš daugelio žinomų išnaudojimų naudojant reguliariąsias išraiškas. Pati „ModSecurity“ suteikia ribotą apsaugą ir remiasi taisyklių rinkiniais, kad padidintų apsaugą.

„Open Web Application Security Project“ (OWASP) pagrindinių taisyklių rinkinys (CRS) yra bendrųjų atakų aptikimo taisyklių rinkinys, užtikrinantis pagrindinį bet kurios žiniatinklio programos apsaugos lygį. Taisyklių rinkinys yra nemokamas, atvirojo kodo ir šiuo metu remiamas Spider Labs.

OWASP CRS suteikia:

• HTTP apsauga – HTTP protokolo ir lokaliai apibrėžtos naudojimo politikos pažeidimų aptikimas.
• Realaus laiko juodojo sąrašo peržiūros – naudojama trečiosios šalies IP reputacija.
• HTTP Denial of Service apsauga – apsauga nuo HTTP užtvindymo ir lėtų HTTP DoS atakų.
• Įprastų žiniatinklio atakų apsauga – aptinka įprastas žiniatinklio programų saugos atakas.
• Automatikos aptikimas – robotų, tikrintuvų, skaitytuvų ir kitos paviršinės kenkėjiškos veiklos aptikimas.
• Integracija su AV nuskaitymu failų įkėlimui – aptinka kenkėjiškus failus, įkeltus per žiniatinklio programą.
• Stebėti jautrius duomenis – seka kredito kortelių naudojimą ir blokuoja nutekėjimą.
• Trojos arklių apsauga – aptinka Trojos arklius.
• Programos defektų identifikavimas – įspėjimai apie netinkamas programos konfigūracijas.
• Klaidų aptikimas ir slėpimas – serverio siunčiamų klaidų pranešimų užmaskavimas.

Montavimas

Šiame vadove parodyta, kaip įdiegti „ModSecurity“ ir „OWASP“ taisyklių rinkinį „CentOS 6“, kuriame veikia „Apache 2“.

Pirmiausia turite įsitikinti, kad jūsų sistema yra atnaujinta.

 yum -y update

Jei neįdiegėte „Apache 2“, įdiekite ją dabar.

 yum -y install httpd

Dabar turite įdiegti kai kurias priklausomybes, kad „ModSecurity“ veiktų. Priklausomai nuo jūsų serverio konfigūracijos, kai kurie arba visi šie paketai jau gali būti įdiegti. Yum įdiegs paketus, kurių neturite, ir informuos jus, jei kuris nors iš paketų jau yra įdiegtas.

 yum -y install httpd-devel git gcc make libxml2 pcre-devel libxml2-devel curl-devel

Pakeiskite katalogą ir atsisiųskite šaltinio kodą iš ModSecuity svetainės. Dabartinė stabili versija yra 2.8.

 cd /opt/
 wget https://www.modsecurity.org/tarball/2.8.0/modsecurity-2.8.0.tar.gz

Ištraukite paketą ir pakeiskite jo katalogą.

 tar xzfv modsecurity-2.8.0.tar.gz 
 cd modsecurity-2.8.0

Sukonfigūruokite ir sukompiliuokite šaltinio kodą.

 ./configure
 make
 make install

Nukopijuokite numatytąją ModSecurity konfigūraciją ir unikodo susiejimo failą į Apache katalogą.

 cp modsecurity.conf-recommended /etc/httpd/conf.d/modsecurity.conf
 cp unicode.mapping /etc/httpd/conf.d/

Sukonfigūruokite „Apache“, kad naudotumėte „ModSecurity“. Yra 2 būdai, kaip tai padaryti.

 echo LoadModule security2_module modules/mod_security2.so >> /etc/httpd/conf/httpd.conf

... arba naudokite teksto rengyklę, pvz., nano:

 nano /etc/httpd/conf/httpd.conf

To failo apačioje atskiroje eilutėje pridėkite:

 LoadModule security2_module modules/mod_security2.so

Dabar galite paleisti „Apache“ ir sukonfigūruoti, kad jis būtų paleistas įkrovos metu.

 service httpd start
 chkconfig httpd on

Jei prieš naudodami šį vadovą buvote įdiegę „Apache“, tereikia jį paleisti iš naujo.

 service httpd restart

Dabar galite atsisiųsti pagrindinių OWASP taisyklių rinkinį.

 cd /etc/httpd
 git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git

Dabar sukonfigūruokite OWASP taisyklių rinkinį.

 cd modsecurity-crs
 cp modsecurity_crs_10_setup.conf.example modsecurity_crs_10_config.conf

Tada turite pridėti taisyklių rinkinį prie „Apache“ konfigūracijos. Vėlgi, tai galime padaryti dviem būdais.

 echo Include modsecurity-crs/modsecurity_crs_10_config.conf >> /etc/httpd/conf/httpd.conf
 echo Include modsecurity-crs/base_rules/*.conf >> /etc/httpd/conf/httpd.conf

... arba su teksto redaktoriumi:

 nano /etc/httpd/conf/httpd.conf

Failo apačioje atskirose eilutėse pridėkite tai:

 Include modsecurity-crs/modsecurity_crs_10_config.conf
 Include modsecurity-crs/base_rules/*.conf

Dabar iš naujo paleiskite „Apache“.

 service httpd restart

Galiausiai ištrinkite diegimo failus.

 yum erase /opt/modsecurity-2.8.0
 yum erase /opt/modsecurity-2.8.0.tar.gz

Naudojant ModSecurity

Pagal numatytuosius nustatymus „ModSecurity“ veikia tik aptikimo režimu, o tai reiškia, kad registruos visus taisyklių pažeidimus, bet nesiims jokių veiksmų. Tai rekomenduojama naujiems diegimams, kad galėtumėte žiūrėti įvykius, sugeneruotus „Apache“ klaidų žurnale. Peržiūrėję žurnalą, galite nuspręsti, ar prieš pereinant į apsaugos režimą reikia atlikti kokius nors taisyklių rinkinio pakeitimus arba išjungti taisyklę (žr. toliau).

Norėdami peržiūrėti „Apache“ klaidų žurnalą:

 cat /var/log/httpd/error_log

ModSecurity eilutė Apache klaidų žurnale yra suskaidyta į devynis elementus. Kiekviename elemente pateikiama informacija apie tai, kodėl įvykis buvo suaktyvintas.

• Pirmoje dalyje nurodoma, koks taisyklės failas suaktyvino šį įvykį.
• Antroji dalis nurodo, nuo kurios taisyklės failo eilutės prasideda taisyklė.
• Trečiasis elementas nurodo, kokia taisyklė buvo suaktyvinta.
• Ketvirtasis elementas nurodo taisyklės peržiūrą.
• Penktame elemente yra specialūs duomenys, skirti derinimo tikslams.
• Šeštasis elementas apibrėžia šio įvykio rimtumo registravimo sunkumą.
• Septintajame skyriuje aprašoma, koks veiksmas ir kokioje fazėje jis įvyko.

Atminkite, kad kai kurių elementų gali nebūti, atsižvelgiant į jūsų serverio konfigūraciją.

Norėdami pakeisti ModSecurity į apsaugos režimą, atidarykite conf failą teksto rengyklėje:

 nano /etc/httpd/conf.d/modsecurity.conf

... ir pakeisti:

 SecRuleEngine DetectionOnly

į:

 SecRuleEngine On

Jei susiduriate su blokais, kai veikia „ModSecurity“, turite nustatyti taisyklę HTTP klaidų žurnale. Komanda „uodega“ leidžia žiūrėti žurnalus realiuoju laiku:

 tail -f /var/log/httpd/error_log

Žiūrėdami žurnalą pakartokite veiksmą, kuris sukėlė blokavimą.

Taisyklių rinkinio keitimas / taisyklės ID išjungimas

Taisyklių rinkinio keitimas nepatenka į šios mokymo programos taikymo sritį.

Norėdami išjungti konkrečią taisyklę, nustatykite taisyklės ID, esantį trečiajame elemente (pvz., [id=200000]), tada išjunkite jį Apache konfigūracijos faile:

 nano /etc/httpd/conf/httpd.conf

... failo apačioje pridedant taisyklę ID:

<IfModule mod_security2.c>
SecRuleRemoveById 200000
</IfModule>

Jei pastebite, kad „ModSecurity“ blokuoja visus veiksmus jūsų svetainėje (-ėse), „Pagrindinių taisyklių rinkinys“ tikriausiai veikia „Savarankiškai“. Turite tai pakeisti į „Bendradarbiavimo aptikimas“, kuris aptinka ir blokuoja tik anomalijas. Tuo pačiu metu galite peržiūrėti parinktis „Savarankis“ ir, jei norite, jas pakeisti.

 nano /etc/httpd/modsecurity-crs/modsecurity_crs_10_config.conf

Pakeiskite „aptikimą“ į „Savarankiškas“.

Taip pat galite sukonfigūruoti „ModSecurity“, kad jūsų IP būtų leidžiama per žiniatinklio programos ugniasienę (WAF) neprisijungdami:

 SecRule REMOTE_ADDR "@ipMatch xxx.xxx.xxx.xxx" phase:1,nolog,allow,ctl:ruleEngine=Off

... arba su medienos ruoša:

 SecRule REMOTE_ADDR "@ipMatch xxx.xxx.xxx.xxx" phase:1,nolog,allow,ctl:ruleEngine=DetectionOnly