Tutorial Instalasi ModSecurity pada CentOS 7
ModSecurity adalah Web Application Firewall (WAF) untuk web server Apache. Selain menyediakan kemampuan logging, ModSecurity dapat memonitor trafik HTTP secara real time dalam mendeteksi serangan. ModSecurity juga beroperasi sebagai Instrusion Detection System (IDS), memungkinkan Anda untuk bereaksi terhadap peristiwa mencurigakan yang terjadi pada sistem web Anda. Panduan ini menggunakan OWASP ModSecurity Core Rule Set (CRS) versi 3.2. Tujuan proyek OWASP adalah untuk “memberikan seperangkat aturan deteksi serangan generik yang mudah dipasang yang memberikan perlindungan tingkat dasar untuk setiap aplikasi web,” dan CRS dimaksudkan untuk “melindungi aplikasi web dari berbagai serangan dengan minimum False Alerts”. Versi CRS ini membutuhkan ModSecurity 2.8.0 atau lebih tinggi. Konfigurasi dilakukan melalui kumpulan aturan untuk mencegah serangan umum seperti SQL Injection, remote code execution. Contoh output : Restart web server : Cek versi ModSecurity yang diinstal : Contoh output : Ada beberapa file konfigurasi terkait dengan ModSecurity, antara lain : a) File Konfigurasi Utama Merupakan file konfigurasi utama untuk modul apache mod_security. b) Direktori Konfigurasi Berisi semua file konfigurasi lain untuk Apache mod_security. c) Konfigurasi Core Rule Set (CRS) Konfigurasi yang terdapat dalam file ini harus disesuaikan untuk persyaratan khusus sebelum penerapan. d) Debugging ModSecurity Rules Untuk mendebug rules mod_security dan masalah lainnya. e) File Log ModSecurity Semua permintaan yang memicu peristiwa ModSecurity (seperti yang dideteksi) atau kesalahan server dicatat (“RelevantOnly”) masuk ke file ini. Persiapan mendapatkan Core Rule Set (CRS) Masuk ke dalam direktori OWASP CRS Pada direktori CRS OWASP, ditemukan file sampel dengan aturan “crs-setup.conf.example”. Anda perlu menyalin isinya ke file baru bernama “crs-setup.conf”. Selanjutnya mengkonfigurasi Apache untuk menggunakan konfigurasi file tersebut yang dapat dilakukan dengan mengedit file konfigurasi utama ModSecurity: Dan sesuaikan konfigurasi sebagai berikut : Restart Web Server Sesuaikan file konfigurasi sendiri dalam direktori conf.d. Sesuaikan script berikut : Restart Web Server : Untuk menguji ModSecurity, dapat menggunakan file Image pada artikel : https://govcsirt.bssn.go.id/write-up-cyber-security-drill-test-sektor-pemerintah-2019-case-insiden-web-defacement/ atau Image dapat diundunh pada https://s.id/isoDrill2019 (password : dr11lbs5n2019). Testing akses shell command pada server dengan alamat IP 192.168.1.80 : Output : You don't have permission to access /index.php
on this server. Testing melakukan serangan SQL Injection : Hasil yang diharapkan : Berdasarkan pengujian diatas, ModSecurity berhasil mencegah akses illegal ataupun serangan SQL Injection. Hasil yang diharapkan : You don't have permission to access /read.php
on this server. Untuk melakukan pembatasan ijin akses terhadap sebuah halaman tertentu, perlu adanya aturan tertentu, misalkan halaman login administrator hanya dapat diakses oleh IP Address tertentu. Untuk itu perlu dibuat sebuah file yang mengimplementasikan aturan tersebut. Membuat file adminPage.conf : Masukan konfigurasi sebagai berikut :
1. Pendahuluan
2. Instalasi ModSecurity
# yum install mod_securityLoaded plugins: downloadonly, fastestmirror, priorities, protectbase
Loading mirror speeds from cached hostfile
* epel: www.gtlib.gatech.edu
* base: mirror.skiplink.com
* updates: centos.aol.com
* addons: mirror.cs.vt.edu
* extras: mirror.trouble-free.net
0 packages excluded due to repository protections
Setting up Install Process
Parsing package install arguments
Resolving Dependencies
--> Running transaction check
---> Package mod_security.x86_64 0:2.5.9-1.el5 set to be updated
--> Finished Dependency Resolution
Dependencies Resolved
================================================================
Package Arch Version Repository Size
================================================================
Installing:
mod_security x86_64 2.5.9-1.el5 epel 935 k
Transaction Summary
============================================================================================================================================
Install 1 Package(s)
Update 0 Package(s)
Remove 0 Package(s)
Total download size: 935 k
Is this ok [y/N]: y
Downloading Packages:
mod_security-2.5.9-1.el5.x86_64.rpm | 935 kB 00:00
Running rpm_check_debug
Running Transaction Test
Finished Transaction Test
Transaction Test Succeeded
Running Transaction
Installing : mod_security [1/1]
Installed: mod_security.x86_64 0:2.5.9-1.el5
Complete!# /etc/init.d/httpd restart atau
# service httpd restart# yum info mod_securityLoaded plugins: fastestmirror
Loading mirror speeds from cached hostfile
* base: centos.biz.net.id
* epel: mirror.xeonbd.com
* extras: centos.biz.net.id
* updates: centos.biz.net.id
Installed Packages
Name : mod_security
Arch : x86_64
Version : 2.9.2
Release : 1.el7
Size : 980 k
Repo : installed
From repo : base
Summary : Security module for the Apache HTTP Server
URL : http://www.modsecurity.org/
License : ASL 2.0
Description : ModSecurity is an open source intrusion detection and prevention eng inefor web applications. It operates embedded into the web server, acting as a powerful umbrella - shielding web applications from attacks.
3. Konfigurasi File
# /etc/httpd/conf.d/mod_security.conf# /etc/httpd/modsecurity.d/ # /etc/httpd/modsecurity.d/
crs-setup.conf# /var/log/httpd/modsec_debug.log
# /var/log/httpd/modsec_audit.log 4. Langkah Konfigurasi ModSecurity
# mkdir /etc/httpd/crs
# cd /etc/httpd/crs
# git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git # cd /etc/httpd/crs/owasp-modsecurity-crs/# cp crs-setup.conf.example crs-setup.conf# nano /etc/httpd/conf.d/mod_security.conf# ModSecurity Core Rules Set configuration
#IncludeOptional modsecurity.d/*.conf
#IncludeOptional modsecurity.d/activated_rules/*.conf
IncludeOptional /etc/httpd/crs/owasp-modsecurity-crs/crs-setup.conf
IncludeOptional /etc/httpd/crs/owasp-modsecurity-crs/rules/*.conf# /etc/init.d/httpd restart# nano /etc/httpd/conf.d/mod_security.confSecResponseBodyAccess On# /etc/init.d/httpd restart5. ModSecurity Testing
# curl 192.168.1.80/index.php?exec=/bin/bash403 ForbiddenForbidden
# python sqlmap.py --url http://192.168.1.80/read.php?id=26 --dbs[13:24:24] [WARNING] GET parameter 'id' does not seem to be injectable
[13:24:24] [CRITICAL] all tested parameters do not appear to be injectable. Try to increase values for '--level'/'--risk' options if you wish to perform more tests. If you suspect that there is some kind of protection mechanism involved (e.g. WAF) maybe you could try to use option '--tamper' (e.g. '--tamper=space2comment')
[13:24:24] [WARNING] HTTP error codes detected during run:6. Logging ModSecurity
# tail -f /var/log/httpd/modsec_audit.log--3e883d77-A--
[29/May/2019:13:27:47 +0700] XO4mY5S34ZFW3ALy@--gwQAAAAU 192.168.1.77 45828 192.168.1.80 80
--3e883d77-B--
GET /read.php?id=26%25%27%20UNION%20ALL%20SELECT%20NULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL--%20oeaq HTTP/1.1
Accept-Encoding: gzip,deflate
Host: 192.168.1.80
Accept: */*
User-Agent: sqlmap/1.2.5.15#dev (http://sqlmap.org)
Connection: close
Cache-Control: no-cache
--3e883d77-F--
HTTP/1.1 403 Forbidden
Content-Length: 210
Connection: close
Content-Type: text/html; charset=iso-8859-1
--3e883d77-E--403 ForbiddenForbidden
7. Whitelist IP Address menggunakan ModSecurity
# touch /etc/httpd/conf.d/admminPage.conf
# nano /etc/httpd/conf.d/admminPage.conf
RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)admin(.*)$
RewriteCond %{REMOTE_ADDR} !^192\.168\.1\.65$ ## IP Addr
RewriteRule .* / [R=302,L]
<LocationMatch "/administrator">
SecRuleEngine DetectionOnly
2,597 kali dibaca | Operator Admin