Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



26.05.2020

Cloud Native Universe

Jako patron medialny zapraszamy programistów wdrażających lub integrujących się z dowolną...
26.03.2020

Koniec certyfikatów...

MCSA, MCSD i MCSA
26.03.2020

Odświeżony OS

FortiOS 6.4
26.03.2020

Bezpieczeństwo w chmurze

Cisco SecureX
26.03.2020

Modernizacja IT

Nowości w VMware Tanzu
26.03.2020

Krytyczne zagrożenie dla...

Nowa groźna podatność
26.03.2020

Laptopy dla wymagających

Nowe ThinkPady T, X i L
26.03.2020

Serwerowe ARM-y

Ampere Altra
26.03.2020

Energooszczędny monitor

Philips 243B1

ModSecurity – Zwiększanie bezpieczeństwa aplikacji serwerowych

Data publikacji: 02-02-2015 Autor: Grzegorz Adamowicz

ModSecurity to, według dokumentacji, Web Application Firewall, czyli zapora dla aplikacji WWW. W zależności od konfiguracji najlepiej użyć opisu: zapora przeciw podejrzanym akcjom lub moduł IPS/IDS. Typowe systemy IDS mają jednak zwykle problem z analizowaniem szyfrowanego ruchu (SSL), natomiast ModSecurity jest pozbawiony tej wady, gdyż działa jako moduł serwera i analizuje ruch, który nie jest zaszyfrowany.

Moduł ModSecurity pozwala przede wszystkim na monitorowanie i analizę w czasie rzeczywistym zapytań www. Jest też w stanie wykryć i zablokować sporą ilość znanych ataków, dzięki czemu potencjalnie groźne zapytania nawet nie dotrą do naszej aplikacji. To jednak niejedyny tryb, w którym może działać.

Oprócz ochrony samej aplikacji ModSecurity oferuje logowanie ruchu i audytowanie wszystkich działań klientów. Szczególnie przydatne jest logowanie ciała zapytań POST, które są najczęściej stosowane przez atakujących. Głównie dlatego, że serwery www bez ModSecurity nie tworzą dziennika tego typu zapytań.

Starsza wersja ModSecurity (1.x) działała wyłącznie z serwerem Apache, aktualna wersja (2.x) może być już używana z IIS, Nginx oraz Apache.

> Mechanizm definicji reguł

ModSecurity jest wyposażony w wewnętrzny język służący do definicji reguł HTTP. Dzięki temu można w prosty sposób opisać interesujące nas zapytania, tak by je później zablokować lub na nie zezwolić, zależnie od wybranej konfiguracji.

Reguły, które dostarczane są razem z modułem, zawierają często spotykane błędy w aplikacjach, walidacje protokołu HTTP i ogólne reguły służące do utwardzania bezpieczeństwa, takie jak wykrywanie prób SQL Injection, Cross-site Scripting (XSS) i innych. Oto przykładowa reguła wykrywająca próby wstrzykiwania zapytań SQL:

SecRule REQUEST_COOKIES|!REQUEST_COOKIES:/__utm/|
!REQUEST_COOKIES:/_pk_ref/|REQUEST_COOKIES_NAMES|
ARGS_NAMES |ARGS|XML:/* "(/*!?|*/|[';]--|--[srn

vf]|(?:-- [^-]*?-)|([^-&])#.*?[srnvf]|;?\x00)"

"phase:2,rev:'2',ver:'OWASP_CRS/2.2.9',maturity:
'8',accuracy:'8', id:'981231',t:none,t:urlDecodeUni,

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

prenumerata Numer niedostępny Spis treści

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"