ModSecurity in OWASP na CentOS 6 in Apache 2

ModSecurity je požarni zid plasti spletne aplikacije, zasnovan za delo z IIS, Apache2 in Nginx. Je brezplačna odprtokodna programska oprema, izdana pod licenco Apache 2.0. ModSecurity pomaga zaščititi vaš spletni strežnik s spremljanjem in analizo prometa na vašem spletnem mestu. To počne v realnem času za odkrivanje in blokiranje napadov večine znanih zlorab z uporabo regularnih izrazov. ModSecurity sam po sebi zagotavlja omejeno zaščito in se opira na nabore pravil za čim večjo zaščito.

Nabor osnovnih pravil (CRS) Open Web Application Security Project (OWASP) je niz splošnih pravil za odkrivanje napadov, ki zagotavljajo osnovno raven zaščite za katero koli spletno aplikacijo. Nabor pravil je brezplačen, odprtokoden in trenutno sponzorira Spider Labs.

OWASP CRS zagotavlja:

• Zaščita HTTP – odkrivanje kršitev protokola HTTP in lokalno definiranega pravilnika uporabe.
• Iskanje črnih seznamov v realnem času - uporablja ugled IP tretjih oseb.
• HTTP Denial of Service Protection – obramba pred poplavami HTTP in počasnimi napadi HTTP DoS.
• Zaščita pred pogostimi spletnimi napadi - odkrivanje pogostih varnostnih napadov spletnih aplikacij.
• Zaznavanje avtomatizacije – odkrivanje botov, pajkov, skenerjev in drugih površinskih zlonamernih dejavnosti.
• Integracija z AV skeniranjem za nalaganje datotek - zazna zlonamerne datoteke, naložene prek spletne aplikacije.
• Sledenje občutljivim podatkom - Sledi uporabi kreditnih kartic in blokira uhajanje.
• Trojanska zaščita - zazna trojanske konje.
• Prepoznavanje napak v aplikaciji – opozorila o napačnih konfiguracijah aplikacije.
• Zaznavanje in skrivanje napak – prikrivanje sporočil o napakah, ki jih pošlje strežnik.

Namestitev

Ta vodnik vam pokaže, kako namestiti nabor pravil ModSecurity in OWASP na CentOS 6 z Apache 2.

Najprej morate zagotoviti, da je vaš sistem posodobljen.

 yum -y update

Če še niste namestili Apache 2, ga namestite zdaj.

 yum -y install httpd

Zdaj morate namestiti nekaj odvisnosti, da ModSecurity deluje. Odvisno od konfiguracije vašega strežnika so morda nekateri ali vsi ti paketi že nameščeni. Yum bo namestil pakete, ki jih nimate, in vas obvestil, če je kateri od paketov že nameščen.

 yum -y install httpd-devel git gcc make libxml2 pcre-devel libxml2-devel curl-devel

Spremenite imenik in prenesite izvorno kodo s spletnega mesta ModSecuity. Trenutna stabilna različica je 2.8.

 cd /opt/
 wget https://www.modsecurity.org/tarball/2.8.0/modsecurity-2.8.0.tar.gz

Ekstrahirajte paket in preklopite v njegov imenik.

 tar xzfv modsecurity-2.8.0.tar.gz 
 cd modsecurity-2.8.0

Konfigurirajte in prevedite izvorno kodo.

 ./configure
 make
 make install

Kopirajte privzeto konfiguracijo ModSecurity in datoteko za preslikavo Unicode v imenik Apache.

 cp modsecurity.conf-recommended /etc/httpd/conf.d/modsecurity.conf
 cp unicode.mapping /etc/httpd/conf.d/

Konfigurirajte Apache za uporabo ModSecurity. To lahko storite na 2 načina.

 echo LoadModule security2_module modules/mod_security2.so >> /etc/httpd/conf/httpd.conf

... ali uporabite urejevalnik besedil, kot je nano:

 nano /etc/httpd/conf/httpd.conf

Na dnu te datoteke v ločeni vrstici dodajte to:

 LoadModule security2_module modules/mod_security2.so

Zdaj lahko zaženete Apache in ga konfigurirate tako, da se zažene ob zagonu.

 service httpd start
 chkconfig httpd on

Če ste pred uporabo tega priročnika namestili Apache, ga morate samo znova zagnati.

 service httpd restart

Zdaj lahko prenesete osnovni nabor pravil OWASP.

 cd /etc/httpd
 git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git

Zdaj konfigurirajte nabor pravil OWASP.

 cd modsecurity-crs
 cp modsecurity_crs_10_setup.conf.example modsecurity_crs_10_config.conf

Nato morate v konfiguracijo Apache dodati nabor pravil. Ponovno lahko to storimo na dva načina.

 echo Include modsecurity-crs/modsecurity_crs_10_config.conf >> /etc/httpd/conf/httpd.conf
 echo Include modsecurity-crs/base_rules/*.conf >> /etc/httpd/conf/httpd.conf

... ali z urejevalnikom besedil:

 nano /etc/httpd/conf/httpd.conf

Na dnu datoteke v ločenih vrsticah dodajte to:

 Include modsecurity-crs/modsecurity_crs_10_config.conf
 Include modsecurity-crs/base_rules/*.conf

Zdaj znova zaženite Apache.

 service httpd restart

Na koncu izbrišite namestitvene datoteke.

 yum erase /opt/modsecurity-2.8.0
 yum erase /opt/modsecurity-2.8.0.tar.gz

Uporaba ModSecurity

ModSecurity privzeto deluje v načinu samo za zaznavanje, kar pomeni, da bo zabeležil vse kršitve pravil, vendar ne bo ukrepal. To je priporočljivo za nove namestitve, tako da si lahko ogledate dogodke, ustvarjene v dnevniku napak Apache. Po pregledu dnevnika se lahko odločite, ali je treba narediti kakršno koli spremembo nabora pravil ali onemogočiti pravilo (glejte spodaj), preden se premaknete v zaščitni način.

Za ogled dnevnika napak Apache:

 cat /var/log/httpd/error_log

Vrstica ModSecurity v dnevniku napak Apache je razdeljena na devet elementov. Vsak element zagotavlja informacije o tem, zakaj se je dogodek sprožil.

• Prvi del pove, katera datoteka pravil je sprožila ta dogodek.
• Drugi del pove, v kateri vrstici v datoteki pravil se pravilo začne.
• Tretji element vam pove, katero pravilo je bilo sproženo.
• Četrti element vam pove revizijo pravila.
• Peti element vsebuje posebne podatke za namene odpravljanja napak.
• Šesti element definira resnost beleženja resnosti tega dogodka.
• Sedmi razdelek opisuje, katero dejanje se je zgodilo in v kateri fazi se je zgodilo.

Upoštevajte, da so nekateri elementi morda odsotni, odvisno od konfiguracije vašega strežnika.

Če želite spremeniti ModSecurity v zaščitni način, odprite datoteko conf v urejevalniku besedil:

 nano /etc/httpd/conf.d/modsecurity.conf

... in spremeni:

 SecRuleEngine DetectionOnly

za:

 SecRuleEngine On

Če naletite na kakršne koli bloke, ko se izvaja ModSecurity, morate določiti pravilo v dnevniku napak HTTP. Ukaz "tail" vam omogoča ogled dnevnikov v realnem času:

 tail -f /var/log/httpd/error_log

Ponovite dejanje, ki je povzročilo blokado, medtem ko gledate dnevnik.

Spreminjanje nabora pravil/onemogočanje ID-ja pravila

Spreminjanje nabora pravil je izven obsega te vadnice.

Če želite onemogočiti določeno pravilo, določite ID pravila, ki je v tretjem elementu (na primer [id=200000]) in ga nato onemogočite v konfiguracijski datoteki Apache:

 nano /etc/httpd/conf/httpd.conf

... tako, da na dno datoteke z ID-jem pravila dodate naslednje:

<IfModule mod_security2.c>
SecRuleRemoveById 200000
</IfModule>

Če ugotovite, da ModSecurity blokira vsa dejanja na vaših spletnih mestih, potem je "Nabor osnovnih pravil" verjetno v "samostojnem" načinu. To morate spremeniti v "Collaborative Detection", ki zazna in blokira samo anomalije. Hkrati si lahko ogledate možnosti "Samodejno" in jih spremenite, če to želite.

 nano /etc/httpd/modsecurity-crs/modsecurity_crs_10_config.conf

Spremenite "detection" v "Self-Contained".

ModSecurity lahko tudi konfigurirate tako, da dovoli vaš IP prek požarnega zidu spletne aplikacije (WAF) brez beleženja:

 SecRule REMOTE_ADDR "@ipMatch xxx.xxx.xxx.xxx" phase:1,nolog,allow,ctl:ruleEngine=Off

... ali z beleženjem:

 SecRule REMOTE_ADDR "@ipMatch xxx.xxx.xxx.xxx" phase:1,nolog,allow,ctl:ruleEngine=DetectionOnly