OWASP ModSecurity + Apache = Firewall HTTPD

por em 28/08/10 às 11:55 am

Servidores WEB/HTTPD de modo geral são as peças de uma infraestrutura WEB mais visados e atacados por Hackers e Crackers, sejam ataques DOS, DDOS, aproveitando-se de vulnerabilidades, SQL Injection entre outros. O velho índio (Apache) é o servidor mais utilizado em todo o mundo, cerca de 45% dos sites em todo o mundo utilizam o Apache by NetCraft, por este motivo ele é o mais atacado, tanta é a preocupação que existe uma série de documentos com boas práticas e configurações para serem implementadas antes de liberar a regra no firewall – Any TCP/HTTP 80 – WebServer/Apache.

Vocês terão sérios problemas caso não façam uma configuração adequada de segurança para o seu Apache.

Como não há segurança 100%, principalmente quando falamos do mundo Web, a OWASP desenvolveu um módulo para o Apache denominado ModSecurity, ele prove um web application firewall engine para o Apache que estiver implementando,  como demonstrado no desenho:

O ModSecurity consegue defender o seu Apache dos seguintes tipos de ataque:

  • SQL injection and Blind SQL injection.
  • Cross Site Scripting (XSS).
  • OS Command Injection and remote command access.
  • File name injection.
  • ColdFusion, PHP and ASP injection.
  • E-Mail Injection
  • HTTP Response Splitting.
  • Universal PDF XSS.
  • Trojans & Backdoors Detection – Detection of attempts to access Trojans & backdoors already installed on the system. This feature is very important in a hosting environment when some of these backdoors may be uploaded in a legitimate way and used maliciously.
  • Error Detection – Prevent application error messages and code snippets from being sent to the user. This makes attacking the server much harder and is also a last line of defense if an attack passes through
  • XML Protection – The Core Rule Set can be set to examine XML payload for most signatures.
  • Search Engine Monitoring – Log access by search engines crawlers to the web site.

A sua implementação é bem simples:

  1. Fazer o Download do Módulo no seguinte link
  2. Coloca-lo na pasta modules do seu apache
  3. Incluir as seguintes linhas no httpd.conf
  <IfModule security2_module>
               Include conf/modsecurity_crs/*.conf
               Include conf/modsecurity_crs/base_rules/*.conf
  </IfModule>

Foi disponibilizado um apache com o ModSecurity implementado na seguinte link, interessante para aqueles que desejam testar a funcionalidade deste módulo e as suas habilidades de ataques direcionadas ao Apache.

Eu irei realizar alguns testes neste novo módulo para ter uma ideia se com a sua implementação será afetada a performance ou gerará aluma incompatibilidade com outros módulos do próprio Apache.

2 Comentários para “OWASP ModSecurity + Apache = Firewall HTTPD”

  1. Roberto Vasconcelos

    05/10/2010

    Eu recomendo a quem utiliza o ModSecurity a atualizar as suas CRS (Core Rule Set) para a última versão (2.0.8) no link: http://sourceforge.net/projects/mod-security/files/modsecurity-crs/0-CURRENT/modsecurity-crs_2.0.8.zip/download

  2. Vocês já ouviram falar no Web Application Firewall (WAF) ? | Coruja de TI

    04/11/2010

    [...] sendo mundialmente empregadas, como é o caso do módulo mod_security para o Apache, o qual já comentei no [...]

Deixar um comentário