МодСецурити и ОВАСП на ЦентОС 6 и Апацхе 2

МодСецурити је заштитни зид слоја веб апликације дизајниран за рад са ИИС-ом, Апацхе2 и Нгинк-ом. То је бесплатан софтвер отвореног кода објављен под лиценцом Апацхе 2.0. МодСецурити помаже да се обезбеди ваш веб сервер праћењем и анализом саобраћаја на вашој веб локацији. То ради у реалном времену да би открио и блокирао нападе већине познатих експлоатација користећи регуларне изразе. Сам по себи, МодСецурити пружа ограничену заштиту и ослања се на скупове правила да би максимизирао заштиту.

Основни скуп правила (ЦРС) Опен Веб Апплицатион Сецурити Пројецт (ОВАСП) је скуп генеричких правила за откривање напада која пружају основни ниво заштите за било коју веб апликацију. Скуп правила је бесплатан, отвореног кода и тренутно га спонзорише Спидер Лабс.

ОВАСП ЦРС обезбеђује:

• ХТТП заштита – откривање кршења ХТТП протокола и локално дефинисане политике коришћења.
• Проналажење црне листе у реалном времену - користи ИП репутацију треће стране.
• ХТТП заштита од ускраћивања услуге – одбрана од ХТТП поплаве и спорих ХТТП ДоС напада.
• Заштита од уобичајених веб напада – откривање уобичајених безбедносних напада веб апликација.
• Детекција аутоматизације – откривање ботова, претраживача, скенера и других површинских злонамерних активности.
• Интеграција са АВ скенирањем за отпремање датотека – открива злонамерне датотеке отпремљене преко веб апликације.
• Праћење осетљивих података – Прати употребу кредитних картица и блокира цурење.
• Заштита од тројанаца – открива тројанске коње.
• Идентификација дефеката апликације – упозорења о погрешним конфигурацијама апликације.
• Откривање и скривање грешака – Прикривање порука о грешци које шаље сервер.

Инсталација

Овај водич вам показује како да инсталирате МодСецурити и ОВАСП скуп правила на ЦентОС 6 који користи Апацхе 2.

Прво, морате осигурати да је ваш систем ажуриран.

 yum -y update

Ако нисте инсталирали Апацхе 2, инсталирајте га сада.

 yum -y install httpd

Сада морате да инсталирате неке зависности да би МодСецурити радио. У зависности од конфигурације вашег сервера, неки или сви ови пакети су можда већ инсталирани. Иум ће инсталирати пакете које немате и обавестиће вас да ли је неки од пакета већ инсталиран.

 yum -y install httpd-devel git gcc make libxml2 pcre-devel libxml2-devel curl-devel

Промените директоријум и преузмите изворни код са веб локације МодСецуити. Тренутна стабилна верзија је 2.8.

 cd /opt/
 wget https://www.modsecurity.org/tarball/2.8.0/modsecurity-2.8.0.tar.gz

Распакујте пакет и промените његов директоријум.

 tar xzfv modsecurity-2.8.0.tar.gz 
 cd modsecurity-2.8.0

Конфигуришите и компајлирајте изворни код.

 ./configure
 make
 make install

Копирајте подразумевану МодСецурити конфигурацију и датотеку за мапирање Уницоде-а у Апацхе директоријум.

 cp modsecurity.conf-recommended /etc/httpd/conf.d/modsecurity.conf
 cp unicode.mapping /etc/httpd/conf.d/

Конфигуришите Апацхе да користи МодСецурити. Постоје 2 начина на које то можете учинити.

 echo LoadModule security2_module modules/mod_security2.so >> /etc/httpd/conf/httpd.conf

... или користите уређивач текста као што је нано:

 nano /etc/httpd/conf/httpd.conf

На дну те датотеке, у посебном реду додајте ово:

 LoadModule security2_module modules/mod_security2.so

Сада можете покренути Апацхе и конфигурисати га да се покреће при покретању.

 service httpd start
 chkconfig httpd on

Ако сте имали инсталиран Апацхе пре коришћења овог водича, потребно је само да га поново покренете.

 service httpd restart

Сада можете преузети основни скуп правила ОВАСП-а.

 cd /etc/httpd
 git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git

Сада конфигуришите ОВАСП скуп правила.

 cd modsecurity-crs
 cp modsecurity_crs_10_setup.conf.example modsecurity_crs_10_config.conf

Затим морате да додате скуп правила у Апацхе конфигурацију. Опет то можемо учинити на два начина.

 echo Include modsecurity-crs/modsecurity_crs_10_config.conf >> /etc/httpd/conf/httpd.conf
 echo Include modsecurity-crs/base_rules/*.conf >> /etc/httpd/conf/httpd.conf

... или помоћу уређивача текста:

 nano /etc/httpd/conf/httpd.conf

На дну датотеке у одвојеним редовима додајте ово:

 Include modsecurity-crs/modsecurity_crs_10_config.conf
 Include modsecurity-crs/base_rules/*.conf

Сада поново покрените Апацхе.

 service httpd restart

На крају, избришите инсталационе датотеке.

 yum erase /opt/modsecurity-2.8.0
 yum erase /opt/modsecurity-2.8.0.tar.gz

Коришћење МодСецурити

Подразумевано, МодСецурити ради у режиму само за откривање, што значи да ће евидентирати све кршења правила, али неће предузети ништа. Ово се препоручује за нове инсталације тако да можете гледати догађаје генерисане у Апацхе евиденцији грешака. Након прегледа евиденције, можете одлучити да ли треба извршити било какву модификацију скупа правила или онемогућавање правила (погледајте испод) пре преласка у заштитни режим.

Да бисте видели Апацхе дневник грешака:

 cat /var/log/httpd/error_log

МодСецурити линија у Апацхе дневнику грешака подељена је на девет елемената. Сваки елемент пружа информације о томе зашто је догађај покренут.

• Први део говори која датотека правила је покренула овај догађај.
• Други део говори на ком реду у датотеци правила правило почиње.
• Трећи елемент вам говори које је правило покренуто.
• Четврти елемент вам говори о ревизији правила.
• Пети елемент садржи посебне податке за потребе отклањања грешака.
• Шести елемент дефинише озбиљност евидентирања озбиљности овог догађаја.
• Седми одељак описује која се радња догодила и у којој фази се догодила.

Имајте на уму да неки елементи могу бити одсутни у зависности од конфигурације вашег сервера.

Да бисте променили МодСецурити у режим заштите, отворите цонф датотеку у уређивачу текста:

 nano /etc/httpd/conf.d/modsecurity.conf

... и промените:

 SecRuleEngine DetectionOnly

до:

 SecRuleEngine On

Ако наиђете на било какве блокове када је МодСецурити покренут, онда морате да идентификујете правило у ХТТП евиденцији грешака. Команда "реп" вам омогућава да гледате евиденцију у реалном времену:

 tail -f /var/log/httpd/error_log

Поновите радњу која је изазвала блокаду док гледате дневник.

Измена скупа правила/онемогућавање ИД-а правила

Измена скупа правила је ван оквира овог упутства.

Да бисте онемогућили одређено правило, идентификујете ИД правила који се налази у трећем елементу (на пример [ид=200000]), а затим га онемогућите у Апацхе конфигурационој датотеци:

 nano /etc/httpd/conf/httpd.conf

... додавањем следећег на дно датотеке са ИД-ом правила:

<IfModule mod_security2.c>
SecRuleRemoveById 200000
</IfModule>

Ако установите да МодСецурити блокира све радње на вашим веб локацијама, онда је „Сет основних правила“ вероватно у „самосталном“ режиму. Морате ово да промените у „Колаборативна детекција“, која открива и блокира само аномалије. Истовремено, можете погледати опције „Самостално“ и променити их ако то желите.

 nano /etc/httpd/modsecurity-crs/modsecurity_crs_10_config.conf

Промените „детекцију“ у „Самостално“.

Такође можете да конфигуришете МодСецурити да дозволи ваш ИП преко заштитног зида веб апликације (ВАФ) без евидентирања:

 SecRule REMOTE_ADDR "@ipMatch xxx.xxx.xxx.xxx" phase:1,nolog,allow,ctl:ruleEngine=Off

... или са евидентирањем:

 SecRule REMOTE_ADDR "@ipMatch xxx.xxx.xxx.xxx" phase:1,nolog,allow,ctl:ruleEngine=DetectionOnly