ModSecurity och OWASP på CentOS 6 och Apache 2

ModSecurity är en brandvägg för webbapplikationslager designad för att fungera med IIS, Apache2 och Nginx. Det är gratis programvara med öppen källkod som släpps under Apache-licensen 2.0. ModSecurity hjälper till att säkra din webbserver genom att övervaka och analysera din webbplatstrafik. Den gör detta i realtid för att upptäcka och blockera attacker från de flesta kända exploateringar med reguljära uttryck. På egen hand ger ModSecurity begränsat skydd och förlitar sig på regeluppsättningar för att maximera skyddet.

Open Web Application Security Project (OWASP) Core Rule Set (CRS) är en uppsättning generiska attackdetekteringsregler som ger en grundläggande skyddsnivå för alla webbapplikationer. Regeluppsättningen är gratis, öppen källkod och för närvarande sponsrad av Spider Labs.

OWASP CRS tillhandahåller:

• HTTP-skydd - upptäcker överträdelser av HTTP-protokollet och en lokalt definierad användningspolicy.
• Uppslagningar på svarta listan i realtid - använder tredje parts IP-rykte.
• HTTP Denial of Service Protection - försvar mot HTTP-översvämningar och långsamma HTTP DoS-attacker.
• Common Web Attacks Protection - upptäcker vanliga webbapplikationssäkerhetsattacker.
• Automatiseringsdetektering - Upptäcker botar, sökrobotar, skannrar och annan skadlig aktivitet på ytan.
• Integration med AV-skanning för filuppladdningar - upptäcker skadliga filer som laddats upp via webbapplikationen.
• Spåra känsliga data - Spårar kreditkortsanvändning och blockerar läckage.
• Trojanskydd - Upptäcker trojanska hästar.
• Identifiering av applikationsdefekter - varningar om applikationsfelkonfigurationer.
• Felupptäckt och gömt - Dölja felmeddelanden som skickas av servern.

Installation

Den här guiden visar hur du installerar ModSecurity och OWASP regeluppsättning på CentOS 6 som kör Apache 2.

Först måste du se till att ditt system är uppdaterat.

 yum -y update

Om du inte har installerat Apache 2, installera det nu.

 yum -y install httpd

Du måste nu installera vissa beroenden för att ModSecurity ska fungera. Beroende på din serverkonfiguration kan vissa eller alla dessa paket redan vara installerade. Yum kommer att installera de paket du inte har och informera dig om något av paketen redan är installerat.

 yum -y install httpd-devel git gcc make libxml2 pcre-devel libxml2-devel curl-devel

Byt katalog och ladda ner källkoden från ModSecuity-webbplatsen. Den nuvarande stabila versionen är 2.8.

 cd /opt/
 wget https://www.modsecurity.org/tarball/2.8.0/modsecurity-2.8.0.tar.gz

Extrahera paketet och byt till dess katalog.

 tar xzfv modsecurity-2.8.0.tar.gz 
 cd modsecurity-2.8.0

Konfigurera och kompilera källkoden.

 ./configure
 make
 make install

Kopiera standardkonfigurationen för ModSecurity och unicode-mappningsfilen till Apache-katalogen.

 cp modsecurity.conf-recommended /etc/httpd/conf.d/modsecurity.conf
 cp unicode.mapping /etc/httpd/conf.d/

Konfigurera Apache för att använda ModSecurity. Det finns 2 sätt att göra detta på.

 echo LoadModule security2_module modules/mod_security2.so >> /etc/httpd/conf/httpd.conf

... eller använd en textredigerare som nano:

 nano /etc/httpd/conf/httpd.conf

Längst ner i den filen, på en separat rad lägg till detta:

 LoadModule security2_module modules/mod_security2.so

Du kan nu starta Apache och konfigurera den att starta vid uppstart.

 service httpd start
 chkconfig httpd on

Om du hade Apache installerad innan du använder den här guiden behöver du bara starta om den.

 service httpd restart

Du kan nu ladda ner OWASPs kärnregeluppsättning.

 cd /etc/httpd
 git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git

Konfigurera nu OWASP-regeluppsättningen.

 cd modsecurity-crs
 cp modsecurity_crs_10_setup.conf.example modsecurity_crs_10_config.conf

Därefter måste du lägga till regeluppsättningen till Apache-konfigurationen. Återigen kan vi göra detta på två sätt.

 echo Include modsecurity-crs/modsecurity_crs_10_config.conf >> /etc/httpd/conf/httpd.conf
 echo Include modsecurity-crs/base_rules/*.conf >> /etc/httpd/conf/httpd.conf

... eller med en textredigerare:

 nano /etc/httpd/conf/httpd.conf

Längst ner i filen på separata rader lägg till detta:

 Include modsecurity-crs/modsecurity_crs_10_config.conf
 Include modsecurity-crs/base_rules/*.conf

Starta nu om Apache.

 service httpd restart

Ta slutligen bort installationsfilerna.

 yum erase /opt/modsecurity-2.8.0
 yum erase /opt/modsecurity-2.8.0.tar.gz

Använder ModSecurity

Som standard körs ModSecurity i endast detekteringsläge, vilket innebär att det loggar alla regelbrott men inte vidtar några åtgärder. Detta rekommenderas för nya installationer så att du kan se händelserna som genereras i Apache-felloggen. Efter att ha granskat loggen kan du bestämma om någon modifiering av regeluppsättningen eller inaktivering av regeln (se nedan) ska göras innan du går till skyddsläge.

Så här visar du Apache-felloggen:

 cat /var/log/httpd/error_log

ModSecurity-raden i Apache-felloggen är uppdelad i nio element. Varje element ger information om varför händelsen utlöstes.

• Den första delen berättar vilken regelfil som utlöste denna händelse.
• Den andra delen berättar vilken rad i regelfilen regeln börjar på.
• Det tredje elementet berättar vilken regel som utlöstes.
• Det fjärde elementet talar om revideringen av regeln.
• Det femte elementet innehåller speciella data för felsökningsändamål.
• Det sjätte elementet definierar loggningsallvarligheten för denna händelse.
• Det sjunde avsnittet beskriver vilken åtgärd som inträffade och i vilken fas den inträffade.

Observera att vissa element kan saknas beroende på konfigurationen av din server.

För att ändra ModSecurity till skyddsläge, öppna conf-filen i en textredigerare:

 nano /etc/httpd/conf.d/modsecurity.conf

... och ändra:

 SecRuleEngine DetectionOnly

till:

 SecRuleEngine On

Om du stöter på några block när ModSecurity körs, måste du identifiera regeln i HTTP-felloggen. Kommandot "tail" låter dig titta på loggarna i realtid:

 tail -f /var/log/httpd/error_log

Upprepa åtgärden som orsakade blockeringen medan du tittar på loggen.

Ändra en regeluppsättning/inaktivera ett regel-ID

Att ändra en regeluppsättning ligger utanför den här handledningens omfattning.

För att inaktivera en specifik regel, identifierar du regel-id:t som finns i det tredje elementet (till exempel [id=200000]) och inaktiverar det sedan i Apache-konfigurationsfilen:

 nano /etc/httpd/conf/httpd.conf

... genom att lägga till följande längst ner i filen med regel-id:

<IfModule mod_security2.c>
SecRuleRemoveById 200000
</IfModule>

Om du upptäcker att ModSecurity blockerar alla åtgärder på din(a) webbplats(er), är "Core Rule Set" förmodligen i "Self-Contained"-läge. Du måste ändra detta till "Collaborative Detection", som endast upptäcker och blockerar avvikelser. Samtidigt kan du titta på "Self-Contained" alternativen och ändra dem om du vill göra det.

 nano /etc/httpd/modsecurity-crs/modsecurity_crs_10_config.conf

Ändra "detektion" till "Self-Contained".

Du kan också konfigurera ModSecurity för att tillåta din IP genom webbapplikationens brandvägg (WAF) utan att logga:

 SecRule REMOTE_ADDR "@ipMatch xxx.xxx.xxx.xxx" phase:1,nolog,allow,ctl:ruleEngine=Off

... eller med loggning:

 SecRule REMOTE_ADDR "@ipMatch xxx.xxx.xxx.xxx" phase:1,nolog,allow,ctl:ruleEngine=DetectionOnly