WAF – ModSecurity instellingen

‎ModSecurity‎‎, ook wel ‎‎Modsec‎‎ genoemd, is een ‎‎open-source‎‎ ‎‎web application firewall‎‎ (WAF).
Oorspronkelijk ontworpen als een module voor de ‎‎Apache HTTP-server‎‎ (webserver), is het geëvolueerd om een reeks ‎‎Hypertext Transfer Protocol-aanvraag‎‎- en responsfiltermogelijkheden te bieden, samen met andere beveiligingsfuncties op een aantal verschillende platforms, waaronder ‎‎Apache HTTP Server‎‎‎ en ‎‎Nginx‎‎. Het is een ‎‎gratis software‎‎ uitgebracht onder de ‎‎Apache licentie‎‎ 2.0.‎

Wij maken bij Mangelot Hosting ook gebruik van ModSecurity in combinatie met de aanvalsdetectieregels van OWASP, dit zorg ervoor dat onze klanten websites minder snel gehackt kunnen worden, dit komt doordat de website verzoeken worden gefilterd op bepaalde elementen uit de aanvalsdetectieregels van OWASP. Uiteraard brengt dit een veel hogere veiligheid met zich mee, maar ook een snellere website, denk bijvoorbeeld aan de vele (onterechte) verzoeken van scanners op het internet welke opzoek zijn naar beveiligingslekken in software-pakketten.
deze worden door ModSecurity direct gefilterd en bij meerdere soortgelijke verzoeken in de blokkeerlijst geplaatst van onze firewall.

Uiteraard kan het wel eens voorkomen dat er een zogenaamde “false positive” wordt geblokkeerd op ons netwerk, het is dan voor elke klant en voor elke domeinnaam individueel mogelijk om een bepaalde beveiligingsregel te negeren in het filterproces.
Krijg je een melding: “406 Not Acceptable”, “403 Forbidden” of “409 Conflict” op je website? dan kan het zomaar zijn dat de beveiligingsregels je de toegang ontzeggen naar de betreffende website URL, Ben je er zeker van dat deze handeling of URL rechtmatig kan worden bezocht, dan kun je de regel uitschakelen en laten negeren in het filterproces, waarna je gewoon de website URL kunt bezoeken, of de betreffende scripts kunt uitvoeren.

Login op je Directadmin account:
Klik linksboven op de pagina op “Domain Setup”

Selecteer de betreffende domeinnaam waar de ModSecurity regels van moeten worden aangepast en klik op deze domeinnaam.

klik daarna achter ModSecurity op de knop “modify”

Voordat we de uitzondering van een beveiligingsregel kunnen toepassen dienen we eerst de betreffende regel te identificeren
klik hier voor onder “Modsec_audit.log” op 100 of 500, om zo de laatste 100 of 500 logregels van de gedetecteerde beveiliging blokkades te kunnen bekijken.

Na het klikken zie je een gedeelte van het logbestand, en de informatie regels worden weergegeven van de meest recente blokkeringen doormiddel van ModSecurity.
Informatie welke je terug kunt vinden in het logbestand zijn bijvoorbeeld: gebruikte ip-adres, tijd/datum, gebruikte methode POST/GET, bezochte link, de response van ModSEC en extra info over de gebruikte blokkeer regel.

Het belangrijkste wat voor u als klant noodzakelijk is het gedeelte “messages”, in deze blokkeer informatie staat een identificatie nummer genoemd namelijk: “ruleId” met een nummer (in het voorbeeld hieronder is dit “941100”), dit soortgelijke nummer heeft u nodig in Directadmin, met dit nummer kunt u de betreffende regel uitsluiten van het filterproces, wanneer de URL wordt bezocht.

“messages” :
“message”: “”,
“details”:
“match”: “”,
“reference”: “”,
“ruleId”: 941100,
“file”: “”,
“data”: “”,
“severity”: “2”,
“ver”: “OWASP_CRS..”,

Vul de betreffende identificatienummer van de regel in bij “ModSecurity Skipped Rules” en druk daarna op “Add SecRuleRemoveById”
de regel wordt dan enkele minuten later geactiveerd voor uw website en domeinnaam.

Zoekwoorden: Tags 403, 403 Forbidden, 406, 406 Not Acceptable, 409, 409 Conflict, beveiliging, ModSec, Modsecurity, WAF