1 ModSecurity 簡介
ModSecurity是一個入侵偵測與防護(hù)引擎,它主要是用于Web 應(yīng)用程序�,所以也被稱為Web應(yīng)用程序防火墻。 它可以作為Apache Web服務(wù)器的模塊或是單獨(dú)的應(yīng)用程序來運(yùn)作。ModSecurity的功能是增強(qiáng)Web application的安全性和保護(hù)Web application以避免遭受來自已知與未知的攻擊�。
ModSecurity計劃是從2002年開始,后來由Breach Security Inc.收購���,但Breach Security Inc.允諾ModSecurity仍舊為open source�,并開放源代碼給大家使用����。最新版的ModSecurity(一個開源的Web應(yīng)用防火墻,即WAF)開始支持核心規(guī)則集(Core Rule Set����,即CRS,可用于定義旨在保護(hù)Web應(yīng)用免受零日及其他安全攻擊的規(guī)則)了����。ModSecurity團(tuán)隊發(fā)布的2.5.10 版還包含了其他一些特性,如并行文本匹配����、Geo IP解析和信用卡號檢測等�����,同時還支持內(nèi)容注入���、自動化的規(guī)則更新和腳本等內(nèi)容��??梢酝ㄟ^ModSecurity手工創(chuàng)建安全過濾器��、定義攻擊并實(shí)現(xiàn)主動的安全輸入驗(yàn)證���。此外�����,它還提供了一個面向Lua語言的新的API�,為開發(fā)者提供一個腳本平臺以實(shí)現(xiàn)用于保護(hù)Web應(yīng)用的復(fù)雜邏輯�����。
ModSecurity的運(yùn)作設(shè)計有以下的基礎(chǔ)概念:
l 讓使用者可以做任何想做的事情(Empower users to do what they want)
l 使用者設(shè)定的動作才會執(zhí)行(Don’t do anything implicitly)
l 預(yù)設(shè)是不做任何動作(Be passive)
ModSecurity的部署架構(gòu)
l 與Web Server結(jié)合 �。
l 與Apache結(jié)合部署為網(wǎng)關(guān)����,當(dāng)作一個反向代理。
總結(jié):
ModSecurity是一個Web應(yīng)用防火墻(WAF)�。當(dāng)前已經(jīng)有超過70%的攻擊發(fā)生在網(wǎng)絡(luò)應(yīng)用層,各級組織急需要能夠保證他們的系統(tǒng)安全性的幫助。WAF系統(tǒng)的部署�����,可以為web應(yīng)用增加一個外部安全層來檢測或防止攻擊�。針對一系列的攻擊,ModSecurity為web應(yīng)用提供了強(qiáng)大的保護(hù),并對HTTP流量進(jìn)行監(jiān)測和實(shí)時分析���,這些都只是很少或是根本沒有影響系統(tǒng)的基礎(chǔ)設(shè)施��。
HTTP流量記錄
web服務(wù)器已有的日志功能已經(jīng)足夠進(jìn)行訪問請求分析����,但是就web的應(yīng)用分析還有些不足����,特別是大多情況下沒辦法記錄下請求體。你的對手很清楚這一點(diǎn)�����,所以很多時候的攻擊是通過POST請求產(chǎn)生�����,并導(dǎo)致您的系統(tǒng)失明。ModSecurity充分的獲取HTTP交互中的所以內(nèi)容���,并記錄完整的請求和響應(yīng)����。其日志功能可以允許您更細(xì)致的做出判斷究竟什么是登錄的時候���,并確保相關(guān)的數(shù)據(jù)都被記錄下來�。一些請求和響應(yīng)中的某些關(guān)鍵字段可能包含敏感數(shù)據(jù)���,ModSecurity可以被配置成在記錄這些審計日志前隱藏它����。
實(shí)時監(jiān)控和攻擊檢測
除了提供記錄日志功能外�����,ModSecurity還能實(shí)時的監(jiān)控HTTP的流量以檢測攻擊����。在某些時候�,ModSecurity做為一個WEB入侵檢測工具���,可以讓你對發(fā)生在WEB系統(tǒng)上的一些可疑事件做出響應(yīng)。
攻擊防御和及時修補(bǔ)
ModSecurity能夠立即針對你的WEB應(yīng)用系統(tǒng)進(jìn)行攻擊防御�����,有三種通用的方法:
1����、消極(negative)安全模型:消極安全模型監(jiān)控那些異常的、不常用的和通用的WEB攻擊類請求���。它統(tǒng)計每個請求的有關(guān)IP地址����、應(yīng)該連接���、和用戶帳戶的異常分?jǐn)?shù)���,當(dāng)出現(xiàn)較高的異常分?jǐn)?shù)時,會記錄日志并完全的阻止訪問���。
2�、積極安全模開型:部署積極安全模型后,只有那些明確的請求被允許通過���,其它的一律禁止���。這個模式要求你對需要保護(hù)的WEB應(yīng)用要非常的了解。因此積極安全模式最好是用于那種大量訪問卻很少更新的系統(tǒng)����,這樣才能使這種模型的維護(hù)工作量降到最低。
3���、已知漏洞攻擊:其規(guī)則語言使ModSecurity成為一個理想的外部修補(bǔ)工具��,外部修補(bǔ)(有時是指虛擬修補(bǔ))可以減少機(jī)會之窗��。一些組織修補(bǔ)這些應(yīng)用的漏洞通常需要幾周的時間����,使用ModSecurity��,應(yīng)用系統(tǒng)可以從外部修補(bǔ)�,根本不用改應(yīng)用的源碼(甚至?xí)r不用去管它),可以保證你的系統(tǒng)安全直到有一個合適的補(bǔ)丁來應(yīng)用到系統(tǒng)中��。
靈活的規(guī)則引擎
靈活的規(guī)則引擎是ModSecurity的核心�,其實(shí)現(xiàn)了ModSecurity的規(guī)則語言,這是一個專用的程序語言設(shè)計的用于處理HTTP的傳輸數(shù)據(jù)����。ModSecurity規(guī)則語言被設(shè)計的簡單易用,非常的靈活:通用的操作是簡單的��,而復(fù)雜的操作也是可以實(shí)現(xiàn)的�����。經(jīng)過認(rèn)證的ModSecurity規(guī)則�����,放在ModSecurity中�����,包含了一整套規(guī)則����,它實(shí)現(xiàn)了通用目的強(qiáng)化、協(xié)議正規(guī)化和對一些通用web應(yīng)用安全問題的檢測����。大量評論認(rèn)為�����,這些規(guī)則可以用于學(xué)習(xí)研究使用�。
嵌入式模式部署
ModSecurity是一個可嵌入式的WEB應(yīng)用防火墻�����,意思就是它可以做為以apache為基礎(chǔ)的已經(jīng)提供WEB服務(wù)的WEB服務(wù)器的一部分��。這樣的部署譯意風(fēng)一些特殊的優(yōu)勢:
1����、不改變已有的網(wǎng)絡(luò)結(jié)構(gòu)。只需要花幾分鐘就可以為你的WEB服務(wù)器添加ModSecurity���,而且由于它默認(rèn)被設(shè)計為完全的被動方式��,你可以自由的逐步部署并且只使用你需要的特性��。同樣也可以根據(jù)你的需要輕松的刪除或停用它����。
2、不存在單點(diǎn)故障�����。與網(wǎng)絡(luò)設(shè)備部署方式不同��,你不會給你的系統(tǒng)帶來新的故障點(diǎn)�����。
3���、絕對支持負(fù)載均衡。因?yàn)樗郧度敕绞竭\(yùn)行在WEB服務(wù)器上�,ModSecurity會自動的利用附加的負(fù)載均衡特性。你不需要考慮負(fù)載均衡�����,除非你的系統(tǒng)本來就需要它���。
4��、極少開銷���。因?yàn)樗赪EB服務(wù)器進(jìn)程內(nèi)工作����,不會帶來網(wǎng)絡(luò)間接通信的負(fù)載�����,而且只進(jìn)行最小的分析和數(shù)據(jù)交換開銷�����。
5���、加密或壓縮內(nèi)容沒問題���。許多IDS系統(tǒng)分析SSL流量的時候很困難,但對于ModSecurity沒有麻煩�����,因?yàn)樗ぷ饔谝呀饷芎徒鈮旱臄?shù)據(jù)環(huán)節(jié)��。
基于網(wǎng)絡(luò)的部署
在基于apache的反向代理模式上ModSecurity同樣能工作的很好,我們很多客戶選擇這樣做����。在這種情形下,裝了ModSecurity的可以保護(hù)任一一種WEB服務(wù)器(即使它不是apache的)�。
可移植性
眾所周知,ModSecurity可以很好的工作在眾多操作系統(tǒng)上�����,已經(jīng)將它成功運(yùn)行在Linux, Windows, Solaris, FreeBSD, OpenBSD, NetBSD, AIX, Mac OS X, 和HP-UX等系統(tǒng)上��。
1.了解mod_security 配置文件
/etc/httpd/conf.d/mod_security.conf :mod_security模塊主配置文件
/etc/httpd/modsecurity.d/ – 配置文件目錄���。
/etc/httpd/modsecurity.d/modsecurity_crs_10_config.conf – 特別配置文件
/var/log/httpd/modsec_debug.log –調(diào)試文件日志。
/var/log/httpd/modsec_audit.log ModSecurity報警信息文件�����。
查看/etc/httpd/modsecurity.d/modsecurity_crs_10_config.conf 確保下面有一行:
SecRuleEngine On
2.設(shè)置mod_security
上述的步驟只是將Mod Security啟動而已���,但實(shí)際上并不會為你的web服務(wù)器做任何的防護(hù)動作�����;因此需要額外設(shè)定才會讓Mod Security發(fā)揮功能��,此部分將會對如何設(shè)定Mod Security做一個說明���。
下面開始介紹Mod Securit的四種主要的設(shè)定指令�����。
(1)一般的設(shè)定�,包括裝規(guī)則引擎(rule engineer)開啟等基本指令��,常見的設(shè)定如下:
#Basic configuration options
# 打開過濾引擎開關(guān)���。如果是Off����,那么下面這些都不起作用了���。
SecRuleEngine On
#配置是否讓ModSecurity默認(rèn)處理或緩沖請求體
SecRequestBodyAccess On
#配置ModSecurity允許的最大請求體的緩存區(qū)大小
SecResponseBodyAccess On
#配置攔截文件存儲的目錄
SecUploadDir /opt/apache-fronted/tmp/
#配置是否保存事務(wù)處理后的攔截文件
SecUploadKeepFiles Off
#配置ModSecurity允許的最大請求體的緩存區(qū)
SecRequestBodyLimit 131072
#配置ModSecurity使用內(nèi)存保存的最大請求體大小
SecRequestBodyInMemoryLimit 131072
#配置ModSecurity允許的最大請求體的緩存區(qū)大小�����,除了請求中正在傳送的文件大小�。這項(xiàng)指令便于在受到某些使用大尺寸請求進(jìn)行DoS攻擊時減少影響。提供上傳文件服務(wù)的WEB應(yīng)用必須配置SecRequestBodyLimit為一個很大的值��。由于大文件直接進(jìn)行磁盤文件存取��,不會加大內(nèi)存的消耗�����。但是�,仍然有可能有人利用超大請求體限制和發(fā)送大量大小的非上傳請求。該指令消除這一漏洞�����。
SecResponseBodyLimit 524288
(2)設(shè)定Mod Security如何執(zhí)行調(diào)試的日志部分��,常見的設(shè)定如下:
#指定ModSecurity調(diào)試日志文件的路徑
SecDebugLog logs/modsec_debug.log
#配置冗長的調(diào)試日志數(shù)據(jù)
SecDebugLogLevel 0
(3) 設(shè)定Mod Security如何執(zhí)行審計的日志部分��,常見的設(shè)定如下:
#定義主審計日志文件
SecAuditEngine RelevantOnly
SecAuditLogRelevantStatus ^5
SecAuditLogParts ABIFHZ
SecAuditLogType Serial
SecAuditLog logs/modsec_audit.log
(4) Rules
Mod Security最主要的設(shè)定部分�����,是一個以事件為基礎(chǔ)的語言����。
語法:SecRule VARIABLES OPERATOR [ACTIONS]
VARIABLES:指定哪些變量要進(jìn)行處理
OPERATOR:要如何處理這些變量取得我們想要的
ACTIONS (optional):當(dāng)達(dá)到上述的處理時,要做什么動作
(5)Rule處理的階段
ModSecurity 2.x允許把規(guī)則置于下述五個階段之一:
請求頭(REQUEST_HEADERS) 階段
這個階段的規(guī)則會在apache完成請求頭的讀取后立即被執(zhí)行(post-read-request階段)����,這時,還沒有讀取請求體�����,意味著不是所有的參數(shù)都可用���。如果你必須讓規(guī)則盡早運(yùn)行���,應(yīng)把規(guī)則放在這個階段(在apache使用這個請求做某些事前),在請求體被讀取前做些事情����,從而決定是否緩存這個請求體,或者決定你將希望這個請求體如何被處理(如是否以XML格式解析或不解析)����。
請求體(REQUEST_BODY) 階段
這是通用輸入分析階段,大部分傳統(tǒng)的應(yīng)用規(guī)則不在這兒�����,這個階段你肯定能收到參數(shù)(只有讀取過請求體后),在請求體階段���,ModSecurity支持三種編碼類型����。
l application/x-www-form-urlencoded – used to transfer form data
l multipart/form-data – used for file transfers
l text/xml – used for passing XML data
大部分WEB應(yīng)用還沒有使用其它的編碼方法��。
響應(yīng)頭(RESPONSE_HEADERS) 階段
發(fā)生在響應(yīng)頭被發(fā)送到客戶端之前���,如果你想觀察響應(yīng)發(fā)生前就在這兒運(yùn)行�����,如果你想使用響應(yīng)頭來決定你是否想緩存響應(yīng)體也行�。注意一些響應(yīng)狀態(tài)碼(如404)在請求環(huán)的早期就被apache管理著����,我也無法觸發(fā)預(yù)期����。加上apache在后面的勾子上雙增加了一些響應(yīng)頭(如日期、服務(wù)器和連接信息等)���,這些我們無法觸發(fā)和審查�����。在代理配置模式下或使用phase:5(logging)工作的較好�����。
響應(yīng)體(RESPONSE_BODY) 階段
這是通用輸出分析階段����,這里你能運(yùn)行規(guī)則截斷響應(yīng)體(當(dāng)然提供緩存)。這個階段你想檢查輸出的HTML信息公布����、錯誤消息和失敗的驗(yàn)證文字。
記錄(LOGGING) 階段
在日志發(fā)生前運(yùn)行的一個階段��,放在這個階段的規(guī)則只能影響日志記錄器如何執(zhí)行���,這個階段可以檢測apache記錄的錯誤消息�,在這個階段你不能拒絕或阻斷連接��,因?yàn)樘t了,這個階段也允許檢測其它的響應(yīng)頭�,如那在phase:3或者phase:4階段中不可用的。注意在這個階段���,你應(yīng)當(dāng)小心不要繼承破壞性的動作到規(guī)則中��,這樣的情況在ModSecurity2.5.0及其以后的版本中被當(dāng)作配置錯誤��。
(6)Rules 簡介
SecRule是ModSecurity主要的指令����,用于分析數(shù)據(jù)并根據(jù)結(jié)果執(zhí)行動作����。通常規(guī)則的格式如下:
SecRule VARIABLES OPERATOR [ACTIONS]
l VARIABLES 規(guī)則中的變量
第一部分,VARIABLES描述哪個變量被檢查�,舉個例子,下述規(guī)則會拒絕URI中含有單詞dirty的事務(wù)����。
SecRule ARGS dirty
每條規(guī)則可以指定一個或多個變量
SecRule ARGS|REQUEST_HEADERS:User-Agent dirty
XPath格式是選擇操作的第三方支持格式。XPath格式僅能針對特殊變量XML使用���,只有請求體使用XML格式時可用。
SecRule XML:/xPath/Expression dirty
注意:不是所有的集合支持選擇操作格式類型�����,你需要參考各個集合的文檔來決定是否支持。
一些常見的變量:
ARGS�����、ARGS_NAMES���、ARGS_GET�、ARGS_GET_NAMES�����、ARGS_POST�����、ARGS_POST_NAMES
AUTH_TYPE
REQBODY_PROCESSOR�、REQBODY_PROCESSOR_ERROR
FILES、FILES_NAMES�、FILE_SIZES
REMOTE_ADDR、REMOTE_HOST���、REMOTE_PORT
REQUEST_BODY�����、REQUEST_COOKIES�����、REQUEST_COOKIES_NAMES���、REQUEST_FILENAME
RESPONSE_BODY
Rule中的變量部分可以一個以上���, 以”|”來區(qū)隔即可,如果設(shè)定的規(guī)則超過多行��,則可用”\”來進(jìn)行分隔���。
l OPERATOR
第二部分�����,OPERATOR描述如何進(jìn)行檢查�����。OPERATOR是正則表達(dá)式(Regular Expression)���,但其實(shí)ModSecurity提供不少可用的OPERATOR,利用”@”即可指定要用何種OPERATOR�����,例如SecRule REQUEST_URI “@rx iii”���。
以下是一些范例:
SecRule REMOTE_ADDR “^192\.168\.1\.101$”
REMOTE_ADDR:指定變量對象為遠(yuǎn)程聯(lián)機(jī)的IP地址
“^192\.168\.1\.101$”:針對上述的變量進(jìn)行比對����,如果非192.168.1.101����,則符合,可指定要做何種動作
SecRule ARGS “@validateUtf8Encoding”
ARGS:指定變數(shù)為http傳遞的參數(shù)
“@validateUtf8Encoding”:指定OPERATOR為對這些參數(shù)進(jìn)行Utf8編碼進(jìn)行檢查
SecRule FILES_TMPNAMES “@inspectFile /path/to/inspect_script.pl”
FILES_TMPNAMES:指定變量為上傳檔案的暫存名稱
“@inspectFile /path/to/inspect_script.pl”:指定利用inspect_script.pl檔案的語法來檢查上傳檔案
l ACTIONS
第三部分可選的�����,ACTIONS���,描述當(dāng)操作進(jìn)行成功的匹配一個變量時具體怎么做���。指定如果VARIABLE有符合OPERATOR的情況時�,要執(zhí)行何種動作��。ACTIONS主要區(qū)分為五種型態(tài):
(1)Disruptive actions (中斷目前的處理)
deny�����、drop����、redirect、proxy�����、pause…
(2)Non-disruptive actions (改變狀態(tài))
Append���、auditlog�����、exec…
(3)Flow actions (改變規(guī)則流動)
allow��、chain����、pass、skip…
(4)Meta-data actions (包含規(guī)則的metadata)
id�、rev、severity�、msg��、phase��、log, nolog�����、…
(5)Data actions (可放置內(nèi)容給其它action用)
capture���、status��、t����、xmlns…
5 使用例子
SecRule REQBODY_PROCESSOR_ERROR “!@eq 0“ “phase:2,log,deny,msg:’Failed to parse request body.’,severity:2“
說明:
REQBODY_PROCESSOR_ERROR:指定針對request body發(fā)生的進(jìn)程發(fā)生的錯誤的代碼
“!@eq 0“:當(dāng)不等于0時����,即有錯誤發(fā)生時
處理動作 “phase:2,log,deny,msg:’Failed to parse request body.’,severity:2“
phase:2:由于對象為request body����,因此指定在phase:2進(jìn)行
log:當(dāng)情況符合(發(fā)生錯誤)��,將錯誤記錄
deny:將這個處理拒絕
msg:’Failed to parse request body’:網(wǎng)頁上并顯示出這樣的錯誤訊息
severity:2:將此狀況列為嚴(yán)重程度為2
6 (ModSecurity Core Rules) 核心規(guī)則內(nèi)容
ModSecurity是一個WEB應(yīng)用防火墻引擎��,自身所提供的保護(hù)非常少�。為了變得更有用些,ModSecurity必須啟用規(guī)則配置����。為了讓用戶能夠充分利用ModSecurity離開方塊,Breach Security, Inc.為ModSecurity 2.x提供了一套免費(fèi)的認(rèn)證規(guī)則集�����。和入侵檢測及防御系統(tǒng)不一樣����,它們依賴于具體的簽名過的已知漏洞,而這一核心規(guī)則卻是為從網(wǎng)絡(luò)應(yīng)用中發(fā)現(xiàn)的不知名的漏洞提供一般的保護(hù)��,通常這些漏洞大多數(shù)情況下都是自定義編碼的����。這一核心規(guī)則有了大量的評論��,從而使得這些能夠被用來做ModSecurity的部署向?qū)?�。最新的核心?guī)則可能通過ModeSecurity的站點(diǎn)找到-http://www.modsecurity.org/projects/rules�。
核心規(guī)則內(nèi)容
為了提供一般WEB應(yīng)用保護(hù)�,核心規(guī)則使用以下技術(shù):
l HTTP保護(hù) – HTTP協(xié)議正規(guī)劃檢測,并啟用本地有效策略
l 一般WEB攻擊保護(hù) – 檢測一般WEB應(yīng)用的安全攻擊
l 自動檢測 – 檢測機(jī)器人����、爬蟲���、掃描器和其它的表面惡意行動
l 木馬檢測 – 檢測木馬程序進(jìn)入
l 過失隱藏 – 偽裝服務(wù)器發(fā)出錯誤消息
8 開源的ModSecurity與那些商業(yè)產(chǎn)品相比的不同之處
硬件設(shè)備對比軟件方案:ModSecurity是一個軟件Web 應(yīng)用防火墻引擎����,本質(zhì)上是個Apache模塊�����。這意味著它是嵌入在目標(biāo)Web服務(wù)器當(dāng)中的���,而并非部署在單獨(dú)的設(shè)備中�����。然而����,我們也可以將Apache配置成一個反向代理并達(dá)到類似的目的,但要知道ModSecurity本身并不會處理這個方面�。軟件WAF方案的優(yōu)勢:有些情況需要進(jìn)行大規(guī)模的部署,在這種情況下����,將 WAF分布在目標(biāo)Web服務(wù)器當(dāng)中要比從垂直方向上增加外部硬件設(shè)備實(shí)際的多。嵌入式部署的另一個好處是無需再去處理SSL解碼了����,因?yàn)閃eb服務(wù)器會進(jìn)行預(yù)處理并將數(shù)據(jù)回傳給ModSecurity。軟件WAF方案也并非完美無缺��,其缺點(diǎn)如下:
· 可能無法將新的軟件加到Web服務(wù)器當(dāng)中���。
· 會使用到本地資源��。
· 反應(yīng)時間的影響——很多商業(yè)WAF設(shè)備可以在Sniff模式下進(jìn)行非線性部署���,這樣就無法評估在線性情況下對HTTP事務(wù)的訪問所需的反應(yīng)時間了。商業(yè)與開源產(chǎn)品高級功能對比:ModSecurity擁有一個高級的規(guī)則語言和Lua API以編寫復(fù)雜邏輯。我們既可以創(chuàng)建消極安全規(guī)則(尋找已知的壞輸入)��,也可以創(chuàng)建積極安全規(guī)則(只允許已知的好輸入)以規(guī)定輸入驗(yàn)證的防護(hù)類型�����。這種方式的主要限制在于ModSecurity無法自動化創(chuàng)建這些規(guī)則���,所以必須手工創(chuàng)建�。但只在以下兩種場合之一才行:
A.如果Web應(yīng)用不經(jīng)常變化
B.響應(yīng)攻擊掃描報告��,在這種情況下可以使用目標(biāo)的積極安全規(guī)則
如果將ModSecurity作為一個對已知問題的虛擬修補(bǔ)方案���,那么它就不太適合于B了。高端的商業(yè)WAF都具有自動化的學(xué)習(xí)和分析機(jī)制以創(chuàng)建這些積極安全規(guī)則��,同時還能夠從客戶端與Web應(yīng)用之間的交互中進(jìn)行學(xué)習(xí)����。
該文章在 2024/7/5 18:20:59 編輯過
400 186 1886
