WAF – ModSecurity instellingen

Wat is Mod Security?

‎ModSecurity‎‎, ook wel ‎‎Modsec‎‎ genoemd, is een ‎‎open-source‎‎ ‎‎web application firewall‎‎ (WAF).
Oorspronkelijk ontworpen als een module voor de ‎‎Apache HTTP-server‎‎ (webserver), is het geëvolueerd om een reeks ‎‎Hypertext Transfer Protocol-aanvraag‎‎- en responsfiltermogelijkheden te bieden, samen met andere beveiligingsfuncties op een aantal verschillende platforms, waaronder ‎‎Apache HTTP Server‎‎‎ en ‎‎Nginx‎‎. Het is een ‎‎gratis software‎‎ uitgebracht onder de ‎‎Apache licentie‎‎ 2.0.‎

OWASP beveiliging regels

‎De OWASP ModSecurity Core Rule Set (CRS) is een set algemene aanvalsdetectieregels voor gebruik met ‎‎ModSecurity‎‎ of compatibele webtoepassingsfirewalls.
Het CRS heeft tot doel webapplicaties zoals WordPress, Joomla, Magento en vele andere pakketten te beschermen tegen een breed scala aan hack aanvallen, met een minimum aan valse waarschuwingen.
Het CRS biedt bescherming tegen veel voorkomende aanvalscategorieën, waaronder SQL-injectie, cross-site scripting, lokale bestandsopname, enz.‎
OWASP regels
 

Modsecurity beveiliging op ons netwerk

Wij maken bij Mangelot Hosting ook gebruik van ModSecurity in combinatie met de aanvalsdetectieregels van OWASP, dit zorg ervoor dat onze klanten websites minder snel gehackt kunnen worden, dit komt doordat de website verzoeken worden gefilterd op bepaalde elementen uit de aanvalsdetectieregels van OWASP. Uiteraard brengt dit een veel hogere veiligheid met zich mee, maar ook een snellere website, denk bijvoorbeeld aan de vele (onterechte) verzoeken van scanners op het internet welke opzoek zijn naar beveiligingslekken in software-pakketten.
deze worden door ModSecurity direct gefilterd en bij meerdere soortgelijke verzoeken in de blokkeerlijst geplaatst van onze firewall.

Uiteraard kan het wel eens voorkomen dat er een zogenaamde “false positive” wordt geblokkeerd op ons netwerk, het is dan voor elke klant en voor elke domeinnaam individueel mogelijk om een bepaalde beveiligingsregel te negeren in het filterproces.
Krijg je een melding: “406 Not Acceptable”, “403 Forbidden” of “409 Conflict” op je website? dan kan het zomaar zijn dat de beveiligingsregels je de toegang ontzeggen naar de betreffende website URL, Ben je er zeker van dat deze handeling of URL rechtmatig kan worden bezocht, dan kun je de regel uitschakelen en laten negeren in het filterproces, waarna je gewoon de website URL kunt bezoeken, of de betreffende scripts kunt uitvoeren.

Hoe negeer ik regels van ModSecurity?

Login op je Directadmin account:
Klik linksboven op de pagina op “Domain Setup”

Directadmin Modsecurity stappen

Selecteer de betreffende domeinnaam waar de ModSecurity regels van moeten worden aangepast en klik op deze domeinnaam.

selecteer de domeinnaam voor modsecurity aanpassingen

klik daarna achter ModSecurity op de knop “modify”

Beveiligingsregels wijzigen

Voordat we de uitzondering van een beveiligingsregel kunnen toepassen dienen we eerst de betreffende regel te identificeren
klik hier voor onder “Modsec_audit.log” op 100 of 500, om zo de laatste 100 of 500 logregels van de gedetecteerde beveiliging blokkades te kunnen bekijken.

detectie regels modsec inzien

Na het klikken zie je een gedeelte van het logbestand, en de informatie regels worden weergegeven van de meest recente blokkeringen doormiddel van ModSecurity.
Informatie welke je terug kunt vinden in het logbestand zijn bijvoorbeeld: gebruikte ip-adres, tijd/datum, gebruikte methode POST/GET, bezochte link, de response van ModSEC en extra info over de gebruikte blokkeer regel.

Het belangrijkste wat voor u als klant noodzakelijk is het gedeelte “messages”, in deze blokkeer informatie staat een identificatie nummer genoemd namelijk: “ruleId” met een nummer (in het voorbeeld hieronder is dit “941100”), dit soortgelijke nummer heeft u nodig in Directadmin, met dit nummer kunt u de betreffende regel uitsluiten van het filterproces, wanneer de URL wordt bezocht.

LET OP: Zorg ervoor dat u de juiste ruleID nummers gebruikt, en geen regels uitsluit welke een mogelijk gevaar kunnen vormen voor uw website.


“messages” :
“message”: “”,
“details”:
“match”: “”,
“reference”: “”,
“ruleId”: 941100,
“file”: “”,
“data”: “”,
“severity”: “2”,
“ver”: “OWASP_CRS..”,

detectie regels modsec inzien

Vul de betreffende identificatienummer van de regel in bij “ModSecurity Skipped Rules” en druk daarna op “Add SecRuleRemoveById”
de regel wordt dan enkele minuten later geactiveerd voor uw website en domeinnaam.

Zoekwoorden: Tags , , , , , , , , ,
Was dit onderwerp nuttig voor U? Ja Nee