Servidores WEB/HTTPD de modo geral são as peças de uma infraestrutura WEB mais visados e atacados por Hackers e Crackers, sejam ataques DOS, DDOS, aproveitando-se de vulnerabilidades, SQL Injection entre outros. O velho índio (Apache) é o servidor mais utilizado em todo o mundo, cerca de 45% dos sites em todo o mundo utilizam o Apache by NetCraft, por este motivo ele é o mais atacado, tanta é a preocupação que existe uma série de documentos com boas práticas e configurações para serem implementadas antes de liberar a regra no firewall – Any TCP/HTTP 80 – WebServer/Apache.
Vocês terão sérios problemas caso não façam uma configuração adequada de segurança para o seu Apache.
Como não há segurança 100%, principalmente quando falamos do mundo Web, a OWASP desenvolveu um módulo para o Apache denominado ModSecurity, ele prove um web application firewall engine para o Apache que estiver implementando, como demonstrado no desenho:
O ModSecurity consegue defender o seu Apache dos seguintes tipos de ataque:
- SQL injection and Blind SQL injection.
- Cross Site Scripting (XSS).
- OS Command Injection and remote command access.
- File name injection.
- ColdFusion, PHP and ASP injection.
- E-Mail Injection
- HTTP Response Splitting.
- Universal PDF XSS.
- Trojans & Backdoors Detection – Detection of attempts to access Trojans & backdoors already installed on the system. This feature is very important in a hosting environment when some of these backdoors may be uploaded in a legitimate way and used maliciously.
- Error Detection – Prevent application error messages and code snippets from being sent to the user. This makes attacking the server much harder and is also a last line of defense if an attack passes through
- XML Protection – The Core Rule Set can be set to examine XML payload for most signatures.
- Search Engine Monitoring – Log access by search engines crawlers to the web site.
A sua implementação é bem simples:
- Fazer o Download do Módulo no seguinte link
- Coloca-lo na pasta modules do seu apache
- Incluir as seguintes linhas no httpd.conf
<IfModule security2_module>
Include conf/modsecurity_crs/*.conf
Include conf/modsecurity_crs/base_rules/*.conf
</IfModule>
Foi disponibilizado um apache com o ModSecurity implementado na seguinte link, interessante para aqueles que desejam testar a funcionalidade deste módulo e as suas habilidades de ataques direcionadas ao Apache.
Eu irei realizar alguns testes neste novo módulo para ter uma ideia se com a sua implementação será afetada a performance ou gerará aluma incompatibilidade com outros módulos do próprio Apache.
Roberto Vasconcelos
5 out 2010Eu recomendo a quem utiliza o ModSecurity a atualizar as suas CRS (Core Rule Set) para a última versão (2.0.8) no link: http://sourceforge.net/projects/mod-security/files/modsecurity-crs/0-CURRENT/modsecurity-crs_2.0.8.zip/download