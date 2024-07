ModSecurity ist ein Open-Source-WAF-Modul, das ursprünglich von Trustwave SpiderLabs entwickelt wurde und seit Februar 2024 von verschiedenen Organisationen weitergeführt wird, vor allem durch OWASP.

Die Web Application Firewall (WAF) dient hauptsächlich dem Schutz von Webanwendungen vor Angriffen durch die Erkennung und Blockierung potenziell schädlicher HTTP-Anfragen. ModSecurity bietet Funktionen wie Echtzeit-Überwachung, Logging und eine Vielzahl von Regeln zur Angriffserkennung, die kontinuierlich aktualisiert werden.

Die Webanwendungs-Firewall unterstützt verschiedene Plattformen und Webserver, einschließlich Apache, Nginx und IIS. Ein besonders bemerkenswertes Merkmal von ModSecurity ist die Fähigkeit zur Erkennung und Abwehr von SQL-Injections, Cross-Site Scripting (XSS) und weiteren häufigen Webangriffen. Dank der umfassenden und anpassbaren Regelsets, die auch das OWASP ModSecurity Core Rule Set (CRS) umfassen, bietet ModSecurity eine flexible und leistungsfähige Lösung für die Websicherheit.

Für die Aktivierung der WAF wird der Wert bei SecRuleEngine auf On gesetzt. Standardmäßig ist hier DetectionOnly aktiv. Bei diesem Wert prüft ModSecurity zwar nach Angriffen, führt aber keinerlei Aktionen aus. Erst mit On schützt die WAF den Webserver. Als Nächstes sollte der Wert bei SecAuditLogParts auf ABCEFHJKZ gesetzt werden. Hier steht oft ABDEFHIJZ. Dieser Wert ist aber nicht richtig für den Einsatz von ModSecurity mit Apache. Danach wird die Datei gespeichert und geschlossen.

Im Anschluss erfolgt die Aktivierung des Moduls, inklusive eines Neustarts des Webservers, in diesem Beispiel von Apache:

Nach der Eingabe der IP-Adresse des Servers in der Adressleiste des Browsers öffnet sich die Webseite von Apache. Üblicherweise erreichen sie die Webseite über den Aufruf von 127.0.0.1 oder localhost.

OWASP Core Rule Set ist die Basis für den Schutz von Apache mit ModSecurity

Sobald ModSecurity aktiv ist, sollte das OWASP Core Rule Set (CRS) installiert werden. Hier sind die notwendigen Regeln enthalten, mit denen die WAF den Webserver schützt. Das Standard-Regelwerk ist kostenlos und wird von der Community gepflegt und erweitert. Natürlich kann man jederzeit weitere Regelsätze integrieren, aber der Start mit OWASP CRS ist sicherlich ein optimaler Einstieg. CRS enthält Regeln, um häufige Angriffsvektoren zu stoppen, einschließlich SQL-Injection (SQLi), Cross-Site-Scripting (XSS), Bots, Scanner und viele andere. Die Installation erfolgt mit:

sudo apt install modsecurity-crs

Die Installation ist auch manuell möglich. Dazu laden Sie das aktuelle Archiv herunter. Danach erstellen Sie einen Symlink zur Aktivierung von CRS:

sudo ln -s /usr/share/modsecurity-crs /usr/share/modsecurity-crs/activated_rules

In produktiven Umgebungen sollten Sie immer den jeweils aktuelle Regelsatz verwenden. Die jeweils aktuelle Version ist auf der oben angegebenen GitHub-Seite des Projektes zu finden. Für die Integration wechseln Sie in das Verzeichnis /etc/apache2 und erstellen das neue Verzeichnis modsecurity-crs. In dieses Verzeichnis laden Sie den aktuellen Regelsatz herunter und extrahieren das Archiv:

cd /etc/apache2



sudo mkdir modsecurity-crs



cd modsecurity-crs



wget https://github.com/coreruleset/coreruleset/archive/v4.4.0.tar.gz

tar xvf v4.4.0.tar.gz

Danach befindet sich im Verzeichnis das Unterverzeichnis mit dem Regelsatz. Darin ist auch die Beispiel-Konfigurationsdatei für die enthaltenen Regeln. Diese lässt sich mit dem folgenden Befehl durch Umbenennung aktivieren:

sudo mv crs-setup.conf.example crs-setup.conf

Innerhalb des CRS-Verzeichnisses befindet sich das Verzeichnis rules. In diesem sind wiederum die verschiedenen Regeln zu finden. Diese Dateien lassen sich jetzt in Apache integrieren, um den Webserver zu schützen:

sudo nano /etc/apache2/mods-enabled/security2.conf

In der Datei ist die Zeile zu finden, in welcher die Regeln von CRS in Apache geladen werden:

IncludeOptional /usr/share/modsecurity-crs/*.load

Um jeweils die aktuellen Regeln zu laden, wird die Datei um folgende Zeilen erweitert. Bei der Version müssen Sie natürlich darauf achten, die heruntergeladene Version der Regeln zu verwenden:

IncludeOptional /etc/apache2/modsecurity-crs/coreruleset-4.4.0/crs-setup.conf

IncludeOptional /etc/apache2/modsecurity-crs/coreruleset-4.4.0/rules/*.conf

Abbildung 3: Für die Verwendung der aktuellen OWASP-CRS-Regeln muss die Apache-Konfiguration angepasst werden.

Nach der Änderung erfolgt die Speicherung der Datei. Die Konfiguration lässt sich danach mit dem folgenden Befehl testen. Es sollte dabei kein Fehler erscheinen:

sudo apachectl configtest

Hier sollte die Meldung Syntax OK im unteren Bereich erscheinen. Es kann immer mal wieder passieren, dass eine der Regeln nicht kompatibel ist. Der einfachste Weg dies zu beheben ist das Löschen der entsprechenden Regeldatei. Danach starten Sie Apache wieder mit dem folgenden Befehl neu:

sudo systemctl restart apache2

Nach der Aktivierung schützt ModSecurity den Server bereits. Die Aktionen sind in einer eigenen Protokolldatei zu finden. Durch eine Überprüfung der Datei lassen sich die Angriffe und False Positives erkennen. Das geht zum Beispiel mit:

sudo tail -f /var/log/apache2/modsec_audit.log