ModSecurity і OWASP на CentOS 6 і Apache 2

ModSecurity — це брандмауер рівня веб-додатків, розроблений для роботи з IIS, Apache2 і Nginx. Це безкоштовне програмне забезпечення з відкритим кодом, випущене під ліцензією Apache 2.0. ModSecurity допомагає захистити ваш веб-сервер, відстежуючи та аналізуючи трафік вашого веб-сайту. Він робить це в режимі реального часу для виявлення та блокування атак з боку більшості відомих експлойтів за допомогою регулярних виразів. Сама по собі ModSecurity забезпечує обмежений захист і покладається на набори правил для максимального захисту.

Основний набір правил (CRS) Open Web Application Security Project (OWASP) — це набір загальних правил виявлення атак, які забезпечують базовий рівень захисту для будь-якого веб-додатка. Набір правил безкоштовний, з відкритим кодом і наразі спонсорується Spider Labs.

OWASP CRS забезпечує:

• Захист HTTP – виявлення порушень протоколу HTTP і локально визначеної політики використання.
• Пошук у чорному списку в реальному часі - використовує репутацію IP сторонніх розробників.
• HTTP Denial of Service Protection - захист від переповнень HTTP і повільних атак HTTP DoS.
• Захист від поширених веб-атак – виявлення поширених атак безпеки веб-додатків.
• Виявлення автоматизації – виявлення ботів, сканерів, сканерів та інших поверхневих шкідливих дій.
• Інтеграція з AV-скануванням для завантаження файлів - виявляє шкідливі файли, завантажені через веб-додаток.
• Відстеження конфіденційних даних - відстежує використання кредитної картки та блокує витоки.
• Захист від троянів - Виявляє троянських коней.
• Виявлення дефектів програми – сповіщення про неправильну конфігурацію програми.
• Виявлення та приховування помилок – маскування повідомлень про помилки, надісланих сервером.

Установка

У цьому посібнику показано, як встановити ModSecurity та набір правил OWASP на CentOS 6 під керуванням Apache 2.

По-перше, вам потрібно переконатися, що ваша система оновлена.

 yum -y update

Якщо ви не встановили Apache 2, встановіть його зараз.

 yum -y install httpd

Тепер вам потрібно встановити деякі залежності, щоб ModSecurity працював. Залежно від конфігурації вашого сервера, деякі або всі ці пакети вже можуть бути встановлені. Yum встановить пакунки, яких у вас немає, і повідомить вас, якщо якийсь із пакетів уже встановлено.

 yum -y install httpd-devel git gcc make libxml2 pcre-devel libxml2-devel curl-devel

Змініть каталог і завантажте вихідний код з веб-сайту ModSecuity. Поточна стабільна версія 2.8.

 cd /opt/
 wget https://www.modsecurity.org/tarball/2.8.0/modsecurity-2.8.0.tar.gz

Розпакуйте пакет і перейдіть до його каталогу.

 tar xzfv modsecurity-2.8.0.tar.gz 
 cd modsecurity-2.8.0

Налаштуйте та скомпілюйте вихідний код.

 ./configure
 make
 make install

Скопіюйте конфігурацію ModSecurity за замовчуванням і файл зіставлення Unicode в каталог Apache.

 cp modsecurity.conf-recommended /etc/httpd/conf.d/modsecurity.conf
 cp unicode.mapping /etc/httpd/conf.d/

Налаштуйте Apache на використання ModSecurity. Ви можете зробити це 2 способами.

 echo LoadModule security2_module modules/mod_security2.so >> /etc/httpd/conf/httpd.conf

... або скористайтеся текстовим редактором, таким як nano:

 nano /etc/httpd/conf/httpd.conf

Унизу цього файлу в окремому рядку додайте це:

 LoadModule security2_module modules/mod_security2.so

Тепер ви можете запустити Apache і налаштувати його на запуск під час завантаження.

 service httpd start
 chkconfig httpd on

Якщо у вас був встановлений Apache до використання цього посібника, вам просто потрібно його перезапустити.

 service httpd restart

Тепер ви можете завантажити основний набір правил OWASP.

 cd /etc/httpd
 git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git

Тепер налаштуйте набір правил OWASP.

 cd modsecurity-crs
 cp modsecurity_crs_10_setup.conf.example modsecurity_crs_10_config.conf

Далі вам потрібно додати набір правил до конфігурації Apache. Знову ж таки, ми можемо зробити це двома способами.

 echo Include modsecurity-crs/modsecurity_crs_10_config.conf >> /etc/httpd/conf/httpd.conf
 echo Include modsecurity-crs/base_rules/*.conf >> /etc/httpd/conf/httpd.conf

... або за допомогою текстового редактора:

 nano /etc/httpd/conf/httpd.conf

Унизу файлу в окремих рядках додайте це:

 Include modsecurity-crs/modsecurity_crs_10_config.conf
 Include modsecurity-crs/base_rules/*.conf

Тепер перезапустіть Apache.

 service httpd restart

Нарешті, видаліть інсталяційні файли.

 yum erase /opt/modsecurity-2.8.0
 yum erase /opt/modsecurity-2.8.0.tar.gz

Використання ModSecurity

За замовчуванням ModSecurity працює в режимі лише виявлення, що означає, що він реєструє всі порушення правил, але не вживає жодних дій. Це рекомендовано для нових інсталяцій, щоб ви могли переглядати події, згенеровані в журналі помилок Apache. Після перегляду журналу ви можете вирішити, чи потрібно вносити будь-які зміни в набір правил або вимкнути правило (див. нижче), перш ніж перейти в режим захисту.

Щоб переглянути журнал помилок Apache:

 cat /var/log/httpd/error_log

Рядок ModSecurity у журналі помилок Apache розбитий на дев’ять елементів. Кожен елемент надає інформацію про те, чому подія була ініційована.

• Перша частина розповідає, який файл правил ініціював цю подію.
• Друга частина розповідає, з якого рядка у файлі правил починається правило.
• Третій елемент повідомляє, яке правило було запущено.
• Четвертий елемент повідомляє про перегляд правила.
• П'ятий елемент містить спеціальні дані для налагодження.
• Шостий елемент визначає серйозність реєстрації цієї події.
• У сьомому розділі описано, яка дія відбулася і на якій фазі вона відбулася.

Зауважте, що деякі елементи можуть бути відсутні в залежності від конфігурації вашого сервера.

Щоб змінити ModSecurity на режим захисту, відкрийте файл conf у текстовому редакторі:

 nano /etc/httpd/conf.d/modsecurity.conf

... і змінити:

 SecRuleEngine DetectionOnly

до:

 SecRuleEngine On

Якщо ви зіткнулися з будь-якими блоками під час роботи ModSecurity, вам потрібно визначити правило в журналі помилок HTTP. Команда «хвіст» дозволяє переглядати журнали в режимі реального часу:

 tail -f /var/log/httpd/error_log

Повторіть дію, яка спричинила блокування, під час перегляду журналу.

Змінення набору правил/вимкнення ідентифікатора правила

Змінення набору правил виходить за рамки цього підручника.

Щоб вимкнути конкретне правило, ви визначаєте ідентифікатор правила, який знаходиться в третьому елементі (наприклад, [id=200000]), а потім вимикаєте його у файлі конфігурації Apache:

 nano /etc/httpd/conf/httpd.conf

..., додавши наступне в нижню частину файлу з ідентифікатором правила:

<IfModule mod_security2.c>
SecRuleRemoveById 200000
</IfModule>

Якщо ви виявите, що ModSecurity блокує всі дії на вашому веб-сайті(ах), то "Основний набір правил", ймовірно, перебуває в "автономному" режимі. Вам потрібно змінити цей параметр на «Спільне виявлення», яке виявляє та блокує лише аномалії. У той же час ви можете переглянути параметри «Автономний» і змінити їх, якщо хочете.

 nano /etc/httpd/modsecurity-crs/modsecurity_crs_10_config.conf

Змініть «виявлення» на «Автономний».

Ви також можете налаштувати ModSecurity, щоб дозволити ваш IP через брандмауер веб-програми (WAF) без реєстрації:

 SecRule REMOTE_ADDR "@ipMatch xxx.xxx.xxx.xxx" phase:1,nolog,allow,ctl:ruleEngine=Off

... або з журналом:

 SecRule REMOTE_ADDR "@ipMatch xxx.xxx.xxx.xxx" phase:1,nolog,allow,ctl:ruleEngine=DetectionOnly