Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



20.07.2020

Baramundi

Pomoc w czasie pandemii.
20.07.2020

Stop infekcjom

CloudGuard
17.07.2020

Analiza zagrożeń

Kaspersky Threat Attribution Engine
17.07.2020

Strażnik danych

QGD-1602P
16.07.2020

Dysk przemysłowy

Transcend MTE352T
16.07.2020

Połączenie sił

Fugaku
16.07.2020

Brama bezpieczeństwa

Check Point 1570R
23.06.2020

PLNOG Online

PLNOG Online
23.06.2020

Nowe zagrożenie

Ramsay

ModSecurity – Zwiększanie bezpieczeństwa aplikacji serwerowych

Data publikacji: 02-02-2015 Autor: Grzegorz Adamowicz

ModSecurity to, według dokumentacji, Web Application Firewall, czyli zapora dla aplikacji WWW. W zależności od konfiguracji najlepiej użyć opisu: zapora przeciw podejrzanym akcjom lub moduł IPS/IDS. Typowe systemy IDS mają jednak zwykle problem z analizowaniem szyfrowanego ruchu (SSL), natomiast ModSecurity jest pozbawiony tej wady, gdyż działa jako moduł serwera i analizuje ruch, który nie jest zaszyfrowany.

Moduł ModSecurity pozwala przede wszystkim na monitorowanie i analizę w czasie rzeczywistym zapytań www. Jest też w stanie wykryć i zablokować sporą ilość znanych ataków, dzięki czemu potencjalnie groźne zapytania nawet nie dotrą do naszej aplikacji. To jednak niejedyny tryb, w którym może działać.

Oprócz ochrony samej aplikacji ModSecurity oferuje logowanie ruchu i audytowanie wszystkich działań klientów. Szczególnie przydatne jest logowanie ciała zapytań POST, które są najczęściej stosowane przez atakujących. Głównie dlatego, że serwery www bez ModSecurity nie tworzą dziennika tego typu zapytań.

Starsza wersja ModSecurity (1.x) działała wyłącznie z serwerem Apache, aktualna wersja (2.x) może być już używana z IIS, Nginx oraz Apache.

> Mechanizm definicji reguł

ModSecurity jest wyposażony w wewnętrzny język służący do definicji reguł HTTP. Dzięki temu można w prosty sposób opisać interesujące nas zapytania, tak by je później zablokować lub na nie zezwolić, zależnie od wybranej konfiguracji.

Reguły, które dostarczane są razem z modułem, zawierają często spotykane błędy w aplikacjach, walidacje protokołu HTTP i ogólne reguły służące do utwardzania bezpieczeństwa, takie jak wykrywanie prób SQL Injection, Cross-site Scripting (XSS) i innych. Oto przykładowa reguła wykrywająca próby wstrzykiwania zapytań SQL:

SecRule REQUEST_COOKIES|!REQUEST_COOKIES:/__utm/|
!REQUEST_COOKIES:/_pk_ref/|REQUEST_COOKIES_NAMES|
ARGS_NAMES |ARGS|XML:/* "(/*!?|*/|[';]--|--[srn

vf]|(?:-- [^-]*?-)|([^-&])#.*?[srnvf]|;?\x00)"

"phase:2,rev:'2',ver:'OWASP_CRS/2.2.9',maturity:
'8',accuracy:'8', id:'981231',t:none,t:urlDecodeUni,

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

prenumerata Numer niedostępny Spis treści

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"