Mod Security web uygulamalarının güvenliğinin sağlanması
Gönderilme zamanı: Pzr Ağu 23, 2009 3:04 pm
Mod_Security web uygulamalarının güvenliğinin sağlanmasında kullanılabilecek bir açık kaynak kodlu saldırı önleme sistemidir.Apache ye bir modül gibi eklenip çalıştırılabilir.Mod_security kullanımının amacı web uygulamalarını bilinen ve bilinmeyen saldırı yöntemlerine karşı korumaktır.Bu yönüyle ids sistemlerine benzemektedir http trafiğini izleyip bunu verilen kurallar doğrultusunda yorumlayabilmektedir.İds sistemelerinden farkı bu saldırıları önleyebilmektedir.Sunucu ile kişi arasında bir sunucu uygulamalarının güvenlliğini sağlayan firewall görevi üstlenir gelen istekleri belirlenen kurallar dahilinde yorumlayarak gerekli işlemi gerçekleştir.
Mod_Security”nin Yetenekleri
* Slash karakterleri url lerden silinir
*Null-bytes (%00) lar silinir
* URL şifreli karakter koruması
* URL encoding onaylaması
* Unicode encoding onaylaması
* Shellcode koruması
* Her siteye ayrı kural koyabilme imkanı sağlar
* Headerların analiz eder
* Cookieleri analiz eder
* Çevre değişkenlerini analiz eder
* Sunucu değişkenlerini analiz eder
* Sayfa değişkenlerini analiz eder
* Post isteklerini analiz eder
* Script değişkenlerini analiz eder
Yapılabileceği Eylemler
* İsteğin 406 status kodu ile geri çevrilmesi
* İsteğin yönlendirilerek geri çevirilmesi
* İsteklerin loglanması
* Kurallnrın değiştirilmesi
* Kural atlama
* Belirli bir süre istek dışı kalma
* Sunucu tarafından dosya yüklenmesini engelliyebilme
* Yüklenen dosyaların kontrolü
* Antivirus-Firewall programlarına entegre edilebilme
Diğerleri
* Sunucunuzun tanımlanma bilgisini değiştirir.
* Chroot kullanım kolaylığı getirir.
* Kendi log dosyasını oluşturur .
*Kendi kurallarınızı oluşturabilirsiniz.
Dafa fazla bilgiyi kendi sitesinden alabilirsiniz .
http://www.modsecurity.org/
ve 39 sayfalık kullanım klavuzu
http://www.modsecurity.org/documentation/modsecurity-manual.pdf
Kurulum Adımları
1.)Dosyayı sunucuya indiriyoruz
Kod:
wget http://www.modsecurity.org/download/modsecurity-1.8.7.tar.gz
2.)Sıkıştırılmış arşiv dosyasını açıyoruz.
Kod:
tar zxvf modsecurity-1.8.7.tar.gz
3.)Web sunucusu olarak Apache 1.x kullanıyorsanız Apache1 klasörüne giriyorsunuz.
Kod:
cd modsecurity-1.8.7/apache1
3.)Web sunucusu olarak Apache 2.x kullanıyorsanız Apache2 klasörüne giriyorsunuz.
Kod:
cd modsecurity-1.8.7/apache1
4.)Mod_security” yi bir modül olarak derliyoruz.
Kod:
/etc/httpd/bin/apxs -cia mod_security.c
5.)httpd.conf dosyamızı olabilecek aksaklıklara karşı yedekliyoruz.
Kod:
cp /etc/httpd/conf/httpd.conf /etc/httpd/conf/httpd.conf-yedek
6.)Apache ayar dosyasını açıyoruz
Kod:
pico -w /etc/httpd/conf/httpd.conf
7.)Apache 1.x için AddModule mod_security.c yazan kısımı httpd.conf dosyası içinde buluyoruz altına aşağıdaki kural zincirini ekliyoruz
Kod:
# Turn the filtering engine On or Off
SecFilterEngine On
# Change Server: string
SecServerSignature “”
# Only allow bytes from this range
SecFilterForceByteRange 1 255
# This setting should be set to On only if the Web site is
# using the Unicode encoding. Otherwise it may interfere with
# the normal Web site operation.
SecFilterCheckUnicodeEncoding Off
# The audit engine works independently and
# can be turned On of Off on the per-server or
# on the per-directory basis. “On” will log everything,
# “DynamicOrRelevant” will log dynamic requests or violations,
# and “RelevantOnly” will only log policy violations
SecAuditEngine RelevantOnly
# The name of the audit log file
SecAuditLog logs/audit_log
# Should mod_security inspect POST payloads
SecFilterScanPOST On
# Action to take by default
SecFilterDefaultAction “deny,log,status:403″
## ## ## ## ## ## ## ## ## ##
## ## ## ## ## ## ## ## ## ##
# Require HTTP_USER_AGENT and HTTP_HOST in all requests
# SecFilterSelective “HTTP_USER_AGENT|HTTP_HOST” “^$”
# Require Content-Length to be provided with
# every POST request
SecFilterSelective REQUEST_METHOD “^POST$” chain
SecFilterSelective HTTP_Content-Length “^$”
# Don”t accept transfer encodings we know we don”t handle
# (and you don”t need it anyway)
SecFilterSelective HTTP_Transfer-Encoding “!^$”
# Protecting from XSS attacks through the PHP session cookie
SecFilterSelective ARG_PHPSESSID “!^[0-9a-z]*$”
SecFilterSelective COOKIE_PHPSESSID “!^[0-9a-z]*$”
SecFilter “viewtopic\.php\?” chain
SecFilter “chr\(([0-9]{1,3})\)” “deny,log”
##########Eklenenler####################
#Directory traversal
SecFilter “\.\./”
# Weaker XSS protection but allows common HTML tags
SecFilter “
Mod_Security”nin Yetenekleri
* Slash karakterleri url lerden silinir
*Null-bytes (%00) lar silinir
* URL şifreli karakter koruması
* URL encoding onaylaması
* Unicode encoding onaylaması
* Shellcode koruması
* Her siteye ayrı kural koyabilme imkanı sağlar
* Headerların analiz eder
* Cookieleri analiz eder
* Çevre değişkenlerini analiz eder
* Sunucu değişkenlerini analiz eder
* Sayfa değişkenlerini analiz eder
* Post isteklerini analiz eder
* Script değişkenlerini analiz eder
Yapılabileceği Eylemler
* İsteğin 406 status kodu ile geri çevrilmesi
* İsteğin yönlendirilerek geri çevirilmesi
* İsteklerin loglanması
* Kurallnrın değiştirilmesi
* Kural atlama
* Belirli bir süre istek dışı kalma
* Sunucu tarafından dosya yüklenmesini engelliyebilme
* Yüklenen dosyaların kontrolü
* Antivirus-Firewall programlarına entegre edilebilme
Diğerleri
* Sunucunuzun tanımlanma bilgisini değiştirir.
* Chroot kullanım kolaylığı getirir.
* Kendi log dosyasını oluşturur .
*Kendi kurallarınızı oluşturabilirsiniz.
Dafa fazla bilgiyi kendi sitesinden alabilirsiniz .
http://www.modsecurity.org/
ve 39 sayfalık kullanım klavuzu
http://www.modsecurity.org/documentation/modsecurity-manual.pdf
Kurulum Adımları
1.)Dosyayı sunucuya indiriyoruz
Kod:
wget http://www.modsecurity.org/download/modsecurity-1.8.7.tar.gz
2.)Sıkıştırılmış arşiv dosyasını açıyoruz.
Kod:
tar zxvf modsecurity-1.8.7.tar.gz
3.)Web sunucusu olarak Apache 1.x kullanıyorsanız Apache1 klasörüne giriyorsunuz.
Kod:
cd modsecurity-1.8.7/apache1
3.)Web sunucusu olarak Apache 2.x kullanıyorsanız Apache2 klasörüne giriyorsunuz.
Kod:
cd modsecurity-1.8.7/apache1
4.)Mod_security” yi bir modül olarak derliyoruz.
Kod:
/etc/httpd/bin/apxs -cia mod_security.c
5.)httpd.conf dosyamızı olabilecek aksaklıklara karşı yedekliyoruz.
Kod:
cp /etc/httpd/conf/httpd.conf /etc/httpd/conf/httpd.conf-yedek
6.)Apache ayar dosyasını açıyoruz
Kod:
pico -w /etc/httpd/conf/httpd.conf
7.)Apache 1.x için AddModule mod_security.c yazan kısımı httpd.conf dosyası içinde buluyoruz altına aşağıdaki kural zincirini ekliyoruz
Kod:
# Turn the filtering engine On or Off
SecFilterEngine On
# Change Server: string
SecServerSignature “”
# Only allow bytes from this range
SecFilterForceByteRange 1 255
# This setting should be set to On only if the Web site is
# using the Unicode encoding. Otherwise it may interfere with
# the normal Web site operation.
SecFilterCheckUnicodeEncoding Off
# The audit engine works independently and
# can be turned On of Off on the per-server or
# on the per-directory basis. “On” will log everything,
# “DynamicOrRelevant” will log dynamic requests or violations,
# and “RelevantOnly” will only log policy violations
SecAuditEngine RelevantOnly
# The name of the audit log file
SecAuditLog logs/audit_log
# Should mod_security inspect POST payloads
SecFilterScanPOST On
# Action to take by default
SecFilterDefaultAction “deny,log,status:403″
## ## ## ## ## ## ## ## ## ##
## ## ## ## ## ## ## ## ## ##
# Require HTTP_USER_AGENT and HTTP_HOST in all requests
# SecFilterSelective “HTTP_USER_AGENT|HTTP_HOST” “^$”
# Require Content-Length to be provided with
# every POST request
SecFilterSelective REQUEST_METHOD “^POST$” chain
SecFilterSelective HTTP_Content-Length “^$”
# Don”t accept transfer encodings we know we don”t handle
# (and you don”t need it anyway)
SecFilterSelective HTTP_Transfer-Encoding “!^$”
# Protecting from XSS attacks through the PHP session cookie
SecFilterSelective ARG_PHPSESSID “!^[0-9a-z]*$”
SecFilterSelective COOKIE_PHPSESSID “!^[0-9a-z]*$”
SecFilter “viewtopic\.php\?” chain
SecFilter “chr\(([0-9]{1,3})\)” “deny,log”
##########Eklenenler####################
#Directory traversal
SecFilter “\.\./”
# Weaker XSS protection but allows common HTML tags
SecFilter “