ModSecurity a OWASP na CentOS 6 a Apache 2

ModSecurity je webová aplikačná vrstva firewall navrhnutá pre prácu s IIS, Apache2 a Nginx. Je to bezplatný softvér s otvoreným zdrojovým kódom vydaný pod licenciou Apache 2.0. ModSecurity pomáha zabezpečiť váš webový server monitorovaním a analýzou návštevnosti vašich webových stránok. Robí to v reálnom čase na detekciu a blokovanie útokov z väčšiny známych exploitov pomocou regulárnych výrazov. Samotný ModSecurity poskytuje obmedzenú ochranu a na maximalizáciu ochrany sa spolieha na sady pravidiel.

Súbor základných pravidiel (CRS) projektu Open Web Application Security Project (OWASP) je súbor všeobecných pravidiel zisťovania útokov, ktoré poskytujú základnú úroveň ochrany pre akúkoľvek webovú aplikáciu. Sada pravidiel je bezplatná, s otvoreným zdrojom a v súčasnosti ju sponzoruje spoločnosť Spider Labs.

OWASP CRS poskytuje:

• Ochrana HTTP – zisťovanie porušení protokolu HTTP a lokálne definovanej politiky používania.
• Vyhľadávania čiernej listiny v reálnom čase – využíva reputáciu IP adresy tretej strany.
• HTTP Denial of Service Protection - obrana proti zahlcovaniu HTTP a pomalým HTTP DoS útokom.
• Common Web Attacks Protection – detekcia bežných bezpečnostných útokov webových aplikácií.
• Detekcia automatizácie – Detekcia robotov, prehľadávačov, skenerov a iných povrchových škodlivých aktivít.
• Integrácia s AV skenovaním nahrávania súborov – deteguje škodlivé súbory nahrané cez webovú aplikáciu.
• Sledovanie citlivých údajov – sleduje používanie kreditnej karty a blokuje úniky.
• Ochrana proti trójskym koňom – Detekuje trójske kone.
• Identifikácia chýb aplikácie - upozornenia na nesprávne konfigurácie aplikácie.
• Detekcia a skrytie chýb – maskovanie chybových správ odoslaných serverom.

Inštalácia

Táto príručka vám ukáže, ako nainštalovať sadu pravidiel ModSecurity a OWASP na CentOS 6 so systémom Apache 2.

Najprv sa musíte uistiť, že váš systém je aktuálny.

 yum -y update

Ak ste nenainštalovali Apache 2, nainštalujte si ho teraz.

 yum -y install httpd

Teraz musíte nainštalovať niektoré závislosti, aby ModSecurity fungoval. V závislosti od konfigurácie vášho servera môžu byť niektoré alebo všetky tieto balíky už nainštalované. Yum nainštaluje balíky, ktoré nemáte, a bude vás informovať, ak sú už niektoré balíky nainštalované.

 yum -y install httpd-devel git gcc make libxml2 pcre-devel libxml2-devel curl-devel

Zmeňte adresár a stiahnite si zdrojový kód z webovej stránky ModSecuity. Aktuálna stabilná verzia je 2.8.

 cd /opt/
 wget https://www.modsecurity.org/tarball/2.8.0/modsecurity-2.8.0.tar.gz

Rozbaľte balík a prejdite do jeho adresára.

 tar xzfv modsecurity-2.8.0.tar.gz 
 cd modsecurity-2.8.0

Nakonfigurujte a skompilujte zdrojový kód.

 ./configure
 make
 make install

Skopírujte predvolenú konfiguráciu ModSecurity a mapovací súbor Unicode do adresára Apache.

 cp modsecurity.conf-recommended /etc/httpd/conf.d/modsecurity.conf
 cp unicode.mapping /etc/httpd/conf.d/

Nakonfigurujte Apache na používanie ModSecurity. Môžete to urobiť 2 spôsobmi.

 echo LoadModule security2_module modules/mod_security2.so >> /etc/httpd/conf/httpd.conf

... alebo použite textový editor ako nano:

 nano /etc/httpd/conf/httpd.conf

V spodnej časti tohto súboru na samostatný riadok pridajte toto:

 LoadModule security2_module modules/mod_security2.so

Teraz môžete spustiť Apache a nakonfigurovať ho tak, aby sa spustil pri štarte.

 service httpd start
 chkconfig httpd on

Ak ste mali Apache nainštalovaný pred použitím tejto príručky, stačí ho reštartovať.

 service httpd restart

Teraz si môžete stiahnuť súbor základných pravidiel OWASP.

 cd /etc/httpd
 git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git

Teraz nakonfigurujte sadu pravidiel OWASP.

 cd modsecurity-crs
 cp modsecurity_crs_10_setup.conf.example modsecurity_crs_10_config.conf

Ďalej musíte pridať sadu pravidiel do konfigurácie Apache. Opäť to môžeme urobiť dvoma spôsobmi.

 echo Include modsecurity-crs/modsecurity_crs_10_config.conf >> /etc/httpd/conf/httpd.conf
 echo Include modsecurity-crs/base_rules/*.conf >> /etc/httpd/conf/httpd.conf

... alebo pomocou textového editora:

 nano /etc/httpd/conf/httpd.conf

V spodnej časti súboru na samostatné riadky pridajte toto:

 Include modsecurity-crs/modsecurity_crs_10_config.conf
 Include modsecurity-crs/base_rules/*.conf

Teraz reštartujte Apache.

 service httpd restart

Nakoniec odstráňte inštalačné súbory.

 yum erase /opt/modsecurity-2.8.0
 yum erase /opt/modsecurity-2.8.0.tar.gz

Pomocou ModSecurity

V predvolenom nastavení sa ModSecurity spúšťa v režime iba detekcie, čo znamená, že zaznamená všetky porušenia pravidiel, ale nevykoná žiadnu akciu. Toto sa odporúča pre nové inštalácie, aby ste mohli sledovať udalosti generované v protokole chýb Apache. Po prezretí denníka sa môžete rozhodnúť, či by sa pred prechodom do ochranného režimu mala vykonať akákoľvek úprava sady pravidiel alebo deaktivácia pravidla (pozri nižšie).

Ak chcete zobraziť denník chýb Apache:

 cat /var/log/httpd/error_log

Riadok ModSecurity v protokole chýb Apache je rozdelený do deviatich prvkov. Každý prvok poskytuje informácie o tom, prečo bola udalosť spustená.

• Prvá časť hovorí, ktorý súbor pravidiel spustil túto udalosť.
• Druhá časť hovorí, na ktorom riadku v súbore pravidiel pravidlo začína.
• Tretí prvok vám povie, aké pravidlo bolo spustené.
• Štvrtý prvok vám hovorí o revízii pravidla.
• Piaty prvok obsahuje špeciálne údaje na účely ladenia.
• Šiesty prvok definuje závažnosť protokolovania závažnosti tejto udalosti.
• Siedma časť popisuje, aká akcia nastala a v akej fáze k nej došlo.

Upozorňujeme, že niektoré prvky môžu chýbať v závislosti od konfigurácie vášho servera.

Ak chcete zmeniť ModSecurity na ochranný režim, otvorte súbor conf v textovom editore:

 nano /etc/httpd/conf.d/modsecurity.conf

...a zmeniť:

 SecRuleEngine DetectionOnly

komu:

 SecRuleEngine On

Ak narazíte na nejaké bloky, keď je spustený ModSecurity, musíte pravidlo identifikovať v protokole chýb HTTP. Príkaz „chvost“ vám umožňuje sledovať záznamy v reálnom čase:

 tail -f /var/log/httpd/error_log

Opakujte akciu, ktorá spôsobila zablokovanie pri sledovaní denníka.

Úprava sady pravidiel/zakázanie ID pravidla

Úprava sady pravidiel presahuje rámec tohto návodu.

Ak chcete zakázať konkrétne pravidlo, identifikujte ID pravidla, ktoré je v treťom prvku (napríklad [id=200000]) a potom ho zakážete v konfiguračnom súbore Apache:

 nano /etc/httpd/conf/httpd.conf

... pridaním nasledujúceho na koniec súboru s ID pravidla:

<IfModule mod_security2.c>
SecRuleRemoveById 200000
</IfModule>

Ak zistíte, že modul ModSecurity blokuje všetky akcie na vašich webových stránkach, potom je „Súprava základných pravidiel“ pravdepodobne v režime „Samostatný“. Musíte to zmeniť na „spoločnú detekciu“, ktorá zisťuje a blokuje iba anomálie. Zároveň sa môžete pozrieť na možnosti „Self-Contained“ a zmeniť ich, ak si to želáte.

 nano /etc/httpd/modsecurity-crs/modsecurity_crs_10_config.conf

Zmeňte "detekciu" na "Self-Contained".

Môžete tiež nakonfigurovať ModSecurity tak, aby umožnil vašej IP cez bránu firewall webovej aplikácie (WAF) bez protokolovania:

 SecRule REMOTE_ADDR "@ipMatch xxx.xxx.xxx.xxx" phase:1,nolog,allow,ctl:ruleEngine=Off

... alebo s prihlásením:

 SecRule REMOTE_ADDR "@ipMatch xxx.xxx.xxx.xxx" phase:1,nolog,allow,ctl:ruleEngine=DetectionOnly