Pre

Nginx — встроенная функция Waf

Обзор

ModSecurity — это брандмауэр веб-приложений (WAF) с открытым исходным кодом, который защищает веб-приложения от различных типов атак. В качестве встроенного модуля ModSecurity можно интегрировать в распространенные веб-серверы (такие как Apache, Nginx) для перехвата и блокировки вредоносных HTTP-запросов. Целью его разработки является предоставление гибкого и настраиваемого решения безопасности, которое может защитить веб-приложения от различных распространенных веб-атак, таких как внедрение SQL, межсайтовый скриптинг (XSS), подделка запросов, обход пути и т. д.

Что такое Мод Секьюрити?

• Брандмауэр веб-приложений (WAF): ModSecurity — это WAF, который можно использовать для защиты веб-приложений от различных атак, таких как внедрение SQL, межсайтовый скриптинг (XSS), удаленное включение файлов (RFI) и т. д.
• Открытый исходный код: ModSecurityда Открытый исходный code, что означает, что любой может просмотреть исходный код, изменить его и настроить в соответствии с конкретными потребностями.
• На основе Апача: Первоначальный выпуск предназначен для Apache. Разработан для веб-серверов, но теперь доступен и для других веб-серверов, таких как Nginx.
• Механизм правил: ModSecurity использует механизм правил для обнаружения и блокировки вредоносных веб-запросов. Эти правила можно корректировать и настраивать с помощью файлов конфигурации в соответствии с конкретными потребностями безопасности.

Как работает ModSecurity

1. Запросить чек: Когда веб-сервер получает HTTP-запрос, ModSecurity проверит запрос, включая заголовок запроса, тело запроса и т. д.
2. Соответствие правил: ModSecurity использует предопределенный набор правил (или собственные правила) для выявления вредоносных шаблонов в запросах. Эти правила могут обнаружить распространенные шаблоны веб-атак.
3. Блокируйте вредоносные запросы: Если запрос определен как вредоносный, ModSecurity может предпринять различные действия, такие как блокировка запроса, регистрация событий, перенаправление и т. д.
4. Проверка ответа: ModSecurity также может выполнять проверки ответов сервера, чтобы предотвратить утечку конфиденциальной информации или другие проблемы безопасности.

Основные функции и особенности

1. Обнаружение атак и защита：ModSecurityпутем анализаHTTPЗапросы и ответы,Выявляйте и блокируйте вредоносные веб-запросы,Не позволяйте злоумышленникам использовать уязвимости для атаки на веб-приложения.
2. Мониторинг и регистрация в режиме реального времени：ModSecurityМожно записывать каждыйHTTPДетали транзакции,Включая заголовки запросов, заголовки ответов, тело запроса, тело ответа и т. д.,Помогает администраторам диагностировать и анализировать потенциальные проблемы безопасности.
3. Механизм пользовательских правил：ModSecurityПредоставляет гибкий механизм правил.,Администраторы могут писать и настраивать правила безопасности в соответствии с фактическими потребностями.,Адаптироваться к различным веб-приложениям и стратегиям безопасности.
4. Анализ журналов и отчетность：ModSecurityПоддерживает вывод журналов в различные форматы.,Включает текстовый журнал、Формат JSON、и ELK (Elasticsearch、Logstash、Kibana) и другие популярные инструменты анализа журналов.
5. Масштабируемость：ModSecurityЕго можно расширить путем написания собственных скриптов и плагинов.Функция,Удовлетворение конкретных потребностей и сценариев.

Сценарии использования

• Защитите веб-приложения: ModSecurity обычно используется для защиты веб-приложений от различных веб-атак, таких как SQL-инъекция, XSS, CSRF и т. д.
• Требования соответствия: Многие стандарты соответствия, такие как PCI DSS требует внедрения WAF для защиты веб-приложений и конфиденциальных данных.
• Исследования и анализ безопасности: Функция ведения журнала ModSecurity позволяет экспертам по безопасности проверять и анализировать веб-трафик для выявления угроз и уязвимостей безопасности.

Сравнение с другими решениями безопасности

• WAF vs IDS/IPS：с традиционными системами обнаружения вторжений（IDS）илисистема предотвращения вторжений（IPS）по сравнению с,WAF больше фокусируется на защите безопасности уровня веб-приложений.,Способность глубоко анализировать HTTP-трафик и обнаруживать веб-атаки.
• ModSecurity против коммерческого WAF：Коммерческий WAF обычно предоставляет больше поддержки и технической поддержки, но стоимость относительно выше. ModSecurity как Открытый исходный кодовое решение, бесплатное и гибкое, но может потребовать дополнительной технической поддержки и конфигурации.

ModSecurity — это мощный и гибкий брандмауэр веб-приложений, который может помочь администраторам защитить веб-приложения от различных типов атак. Благодаря разумной конфигурации и настройке правил можно эффективно повысить безопасность веб-приложений и снизить риск атак.

Применение ModSecurity в Nginx

ModSecurity — это брандмауэр веб-приложений с открытым исходным кодом (WAF), используемый для защиты веб-приложений от различных атак.

Установить ModSecurity

Установить пакеты зависимостей：

sudo apt-get update
sudo apt-get install libxml2 libxml2-dev libpcre3 libpcre3-dev libapr1 libapr1-dev libaprutil1 libaprutil1-dev

Загрузите и скомпилируйте ModSecurity.：

git clone https://github.com/SpiderLabs/ModSecurity
cd ModSecurity
./build.sh
./configure
make
sudo make install

Загрузите и скомпилируйте Nginx Модуль Мод Безопасность：

git clone --depth 1 https://github.com/SpiderLabs/ModSecurity-nginx.git
cd /path/to/nginx/source
./configure --add-module=/path/to/ModSecurity-nginx
make
sudo make install

Настроить ModSecurity

Базовая конфигурация：

load_module modules/ngx_http_modsecurity_module.so;

http {
    modsecurity on;
    modsecurity_rules_file /etc/nginx/modsec/main.conf;

    server {
        location / {
            proxy_pass http://backend;
            modsecurity on;
        }
    }
}

Конфигурация правила： Использование основного набора правил OWASP (CRS) по умолчанию:

git clone https://github.com/coreruleset/coreruleset /etc/nginx/modsec/coreruleset
cp /etc/nginx/modsec/coreruleset/crs-setup.conf.example /etc/nginx/modsec/coreruleset/crs-setup.conf

Исправлять/etc/nginx/modsec/main.conf：

Include /etc/nginx/modsec/coreruleset/crs-setup.conf
Include /etc/nginx/modsec/coreruleset/rules/*.conf