Hoe wAF – ModSecurity instellingen?

Wat is Mod Security?

‎ModSecurity‎‎, ook wel ‎‎Modsec‎‎ genoemd, is een ‎‎open-source‎‎ ‎‎web application firewall‎‎ (WAF).
Oorspronkelijk ontworpen als een module voor de ‎‎Apache HTTP-server‎‎ (webserver), is het geëvolueerd om een reeks ‎‎Hypertext Transfer Protocol-aanvraag‎‎- en responsfiltermogelijkheden te bieden, samen met andere beveiligingsfuncties op enkele verschillende platforms, waaronder ‎‎Apache HTTP Server‎‎‎ en ‎‎Nginx‎‎. Het is een ‎‎gratis software‎‎ uitgebracht onder de ‎‎Apache-licentie‎‎ 2.0.

OWASP beveiliging regels

‎De OWASP ModSecurity Core Rule Set (CRS) is een set algemene aanvalsdetectieregels voor gebruik met ‎‎ModSecurity‎‎ of compatibele webtoepassingsfirewalls.
Het CRS heeft tot doel webapplicaties zoals WordPress, Joomla, Magento en vele andere pakketten te beschermen tegen een breed scala aan hack aanvallen, met een minimum aan valse waarschuwingen.
Het CRS biedt bescherming tegen veel voorkomende aanvalscategorieën, waaronder SQL-injectie, cross-site scripting, lokale bestandsopname, enz.‎

OWASP regels
 

Modsecurity beveiliging op ons netwerk

We maken bij Mangelot Hosting ook gebruik van ModSecurity in combinatie met de aanvalsdetectieregels van OWASP, dit zorg ervoor dat onze klanten websites minder snel gehackt kunnen worden, dit komt doordat de website verzoeken worden gefilterd op bepaalde elementen uit de aanvalsdetectieregels van OWASP. Uiteraard brengt dit een veel hogere veiligheid met zich mee, maar ook een snellere website, denk bijvoorbeeld aan de vele (onterechte) verzoeken van scanners op het internet welke op zoek zijn naar beveiligingslekken in softwarepakketten. Deze worden door ModSecurity direct gefilterd en bij meerdere soortgelijke verzoeken in de blokkeerlijst geplaatst van onze firewall.

Uiteraard kan het wel eens voorkomen dat er een zogenaamde “false positive” wordt geblokkeerd op ons netwerk, het is dan voor elke klant en voor elke domeinnaam individueel mogelijk om een bepaalde beveiligingsregel te negeren in het filterproces.
Krijgt u een melding: “406 Not Acceptable”, “403 Forbidden” of “409 Conflict” op je website? Dan kan het zomaar zijn dat de beveiligingsregels je de toegang ontzeggen naar de betreffende website-URL, ben je er zeker van dat deze handeling of URL rechtmatig kan worden bezocht, dan kun je de regel uitschakelen en laten negeren in het filterproces, waarna je gewoon de website-URL kunt bezoeken, of de betreffende scripts kunt uitvoeren.

Hoe negeer ik regels van ModSecurity?

Login op uw Directadmin account, ga naar het menu geavanceerde functies, klik vervolgens op Web Applicatie Firewall.

Op de Modsecurity pagina kunt u de status zien van de “Modsecurity SecRuleEngine” desgewenst kunt u deze aan of uitzetten voor de betreffende domeinnaam door op de knop bewerken te klikken. (We raden ten zeerste aan, deze actief te laten!)

Klik achter de betreffende domeinnaam op auditlogboek. Hierna komt u in het beheer gedeelte van de geselecteerde domeinnaam.

U zit hier welke recente regels zijn getriggerd door de firewall beveiligingsregels, kies de regels die u wilt uitzonderen zorgvuldig door het IP-adres te vergelijken met die van uzelf, controleer ook de tijdstippen, en bekijk eventueel de details zorgvuldig na. indien u de regel wilt uitsluiten klik dan op uitsluiting regel.

Zodra regels zijn uitgezonderd ziet u deze terug onder “Uitgesloten Regel” het kan enkele minuten duren voordat uitzonderingen actief zijn, krijgt u weer een melding: “406 Not Acceptable”, “403 Forbidden” of “409 Conflict” op je website? een het kan ook zo zijn dat na de uitzondering een nieuwe regel wordt geactiveerd en deze ook moet worden uitgezonderd.

Was dit onderwerp nuttig voor U? Ja Nee