ModSecurity, a webalkalmazás-szintű tűzfal (WAF) - Blog | Versanus

ModSecurity, a webalkalmazás-szintű tűzfal (WAF)

|

Versanus Kft.
Versanus Kft.

A webalkalmazások, honlapok ki vannak téve rosszindulatú támadásoknak, amelyek az ismert biztonsági réseket használják ki. Gyakoriak az SQL-injektálásos és a webhelyek közötti, parancsprogramot alkalmazó támadások. Az ilyen támadások megelőzése, illetve megakadályozása az alkalmazás kódjában is fontos, de kihívást jelenthet. Itt nyújthat segítséget egy webalkalmazási tűzfal, angolul web application firewall, röviden WAF. Ilyen megoldás a cPanelbe épített ModSecurity.


A ModSecurityt eredetileg az Apache HTTP kiszolgáló moduljaként tervezték. A nyílt forráskódú elérhetősége miatt a világ egyik legnépszerűbb webes alkalmazás tűzfala lett, és mivel önálló motorként fut, a webszerverrel API-n keresztül kommunikál, így ma már könnyebben implementálható, így használni lehet Microsoft féle IIS-en és Nginx-en is.  

A ModSecurity tehát egy tűzfal megoldás, ami kontrollálja a bemenetet, a kimenetet és/vagy a hozzáférést egy alkalmazáshoz vagy szolgáltatáshoz, például egy cPanel webtárhelyre telepített WordPresshez. A fenyegetések észlelése érdekében a ModSecurity beágyazódik a webszerver elé, azaz minden forgalom átmegy rajta mielőtt a weboldal betöltődne.

Előnye, hogy nem kell a forráskódhoz nyúlni a védelem használatáért, a működése tárhely szintű, így megvéd minden mögé telepített weboldalt.

A ModSecurity többek között a következő gyakori internetes biztonsági rések ellen nyújt védelmet:

      • SQL-injektálás elleni védelem
      • Webhelyek közötti, parancsprogramot alkalmazó támadások elleni védelem
      • Gyakori webes támadások (például parancsinjektálás, HTTP-kéréscsempészet, HTTP-válaszfelosztás éstávolifájl-beszúrásos támadás) elleni védelem
      • HTTP protokoll megsértése elleni védelem
      • Robotprogramok, webbejárók és képolvasók elleni védelem
      • Alkalmazások (pl. Apache, IIS stb.) gyakori konfigurációs hibáinak észlelése
      • Null byte támadások megelőzése
      • Szerver azonosító maszkolása
      • stb.

Be- és kikapcsolás

Tárhelyeinken a ModSecurity alapból aktív, azaz, ha létrehozunk Önnek egy cPanel fiókot akkor bekapcsolt állapotba kerül rajta ez a védelem. A cPanel felületen belépve a Biztonság nevű dobozban található. A ModSecurity ikonra kattintva megjelenik egy lista a tárhelyen szereplő domain nevekkel, és jelöli, melyiknél van bekapcsolva és melyiknél kikapcsolva. Itt Ön is aktiválhatja vagy inaktiválhatja.


 

Mintakód wordPress brute force védelemhez

A WordPress jelenleg a világ egyik legismertebb, legelterjedtebb rendszere, amivel szinte bármilyen webes jelenlét kiépíthető. Éppen ezért nagy figyelem is van rajta, valamint a telepíthető pluginok sebezhetőségein. Alapértelmezett esetben a WordPress admin oldalának és a beléptetésnek nincs sok védelme, ezért érdemes arra ráerősíteni.

Ha az alábbi kódot beírja a .htaccess fájlba, majd feltölti a WordPress gyökér mappájába, akkor kitiltja a kéretlenül belépni próbálkozót 5 percre, abban az esetben, ha 3 perc alatt 10-nél többször próbál belépni a WordPress wp-login.php url-en keresztül:

SecAction phase:1,nolog,pass,initcol:ip=%{REMOTE_ADDR},initcol:user=%{REMOTE_ADDR}

# React if block flag has been set.
SecRule user:bf_block "@gt 0" "deny,status:401,log,msg:'ip address blocked for 5 minutes, more than 10 login attempts in 3 minutes.'"
# Setup Tracking. On a successful login, a 302 redirect is performed, a 200 indicates login failed.
SecRule RESPONSE_STATUS "^302" "phase:5,t:none,nolog,pass,setvar:ip.bf_counter=0"
SecRule RESPONSE_STATUS "^200" "phase:5,chain,t:none,nolog,pass,setvar:ip.bf_counter=+1,deprecatevar:ip.bf_counter=1/180"
SecRule ip:bf_counter "@gt 10" "t:none,setvar:user.bf_block=1,expirevar:user.bf_block=300,setvar:ip.bf_counter=0"

Akkor érdemes használni, ha a cPanel tárhelyen be van kapcsolva a ModSecurity és nem használ az oldal egyéb eljárást a wp-login.php védelmére.

Iratkozzon fel hírlevelünkre Adja meg nevét és e-mail címét.