Apache - mod_security

Защита информации, сетевая безопасность, уязвимости

Модератор: Rostov114

Apache - mod_security

Сообщение Lundil » 09 мар 2008, 09:11

На интересный модуль наткнулся недавно к Apache, с его помощью можно решить некоторые проблемы безопасности сервера в том числе и DOS атаки (частично). Есть модули под Linux и Windows. Кому интересно (думаю об этом в последнее время начали думать побольше народа..) смотрите на их сайте Офф-сайт
Страница скачиваний

пример конфига
Код: Выделить всёРазвернуть
<IfModule mod_security.c>
    SecFilterEngine On
    SecFilterCheckURLEncoding On
    SecFilterForceByteRange 0 255

    SecFilterSelective "HTTP_USER_AGENT|HTTP_HOST" "^$" redirect:http://lleo.aha.ru/na/
    SecFilterSelective "HTTP_USER_AGENT" "spider" redirect:http://lleo.aha.ru/na/
    SecFilterSelective "HTTP_USER_AGENT" "PTX$" redirect:http://lleo.aha.ru/na/
    SecFilterSelective "HTTP_USER_AGENT" "copi" redirect:http://lleo.aha.ru/na/
    SecFilterSelective "HTTP_USER_AGENT" "webdav" redirect:http://lleo.aha.ru/na/
    SecFilterSelective "HTTP_USER_AGENT" "winhtt" redirect:http://lleo.aha.ru/na/
    SecFilterSelective "HTTP_USER_AGENT" "yournam" redirect:http://lleo.aha.ru/na/
    SecFilterSelective "HTTP_USER_AGENT" "telepor" redirect:http://lleo.aha.ru/na/
    SecFilterSelective "HTTP_USER_AGENT" "copy" redirect:http://lleo.aha.ru/na/
    SecFilterSelective "HTTP_USER_AGENT" "archiv" redirect:http://lleo.aha.ru/na/
    SecFilterSelective "HTTP_USER_AGENT" "wget" redirect:http://lleo.aha.ru/na/

    SecServerSignature "Apache/1.3.1 (Win32)"
    SecAuditEngine RelevantOnly
    SecAuditLog logs/audit_log
    SecFilterDebugLog logs/modsec_debug_log
    SecFilterDebugLevel 0
    SecFilterScanPOST On
    SecFilter /etc/password
    SecFilter "\.\./"
    SecFilter "<( |\n)*script"
    SecFilter ":( |\n)*xscript"
    SecFilter "<(.|\n)+>"
    SecFilter "delete[[:space:]]+from"
    SecFilter "insert[[:space:]]+into"
    SecFilter "select.+from"
</IfModule>
Последний раз редактировалось Lundil 09 мар 2008, 22:47, всего редактировалось 2 раз(а).
Аватара пользователя
Lundil
Активный участник
 
Сообщения: 330
Зарегистрирован: 31 окт 2007, 10:41
Откуда: Саратов
Домен: http://mcsar.ru

Re: Apache - mod_security

Сообщение zk » 09 мар 2008, 11:49

Неплохой модуль, но у себя не ставил.
Есть смысл ставить когда много сканят или когда есть риск дырок в скриптах, отчасти помогает.
Ещё причина по которой не ставил - потеря производительности около 20%, а у меня итак машинка слабая =)

А вообще штука очень мощная и классная, настроек тьма =)
zk
Администратор
 
Сообщения: 1972
Зарегистрирован: 02 сен 2007, 16:04
Домен: vfose.ru

Re: Apache - mod_security

Сообщение Lundil » 09 мар 2008, 12:47

у себя поставил, так ка вчера еще какой-то придурок меня сканировал через Xspider аш целых 2 раза.
с 19.00 до 21.00 пытал мой сервер адрес у придурка был 88.147.206.179
Аватара пользователя
Lundil
Активный участник
 
Сообщения: 330
Зарегистрирован: 31 окт 2007, 10:41
Откуда: Саратов
Домен: http://mcsar.ru

Re: Apache - mod_security

Сообщение zk » 09 мар 2008, 14:07

Меня в среднем 1-2 раза в сутки сканят =)

Кстати раз уж поставил, расскажи что там и как настраивал =))
zk
Администратор
 
Сообщения: 1972
Зарегистрирован: 02 сен 2007, 16:04
Домен: vfose.ru

Re: Apache - mod_security

Сообщение Rostov114 » 09 мар 2008, 21:29

Lundil писал(а):у себя поставил, так ка вчера еще какой-то придурок меня сканировал через Xspider аш целых 2 раза.
с 19.00 до 21.00 пытал мой сервер адрес у придурка был 88.147.206.179

=) Интересно что при помощи него можно найти.

По теме. Правда дай пожалуйста настройки...мод интересный...
Некоммерческий проект «HSDN»
Аватара пользователя
Rostov114
Автор
 
Сообщения: 3183
Зарегистрирован: 18 окт 2007, 02:21
Откуда: Россия ( Саратов / Ростов-на-Дону )

Re: Apache - mod_security

Сообщение Lundil » 09 мар 2008, 22:28

в настройках особо не копался, просто сделал некоторые вещи, чтоб избежать возможных ошибок, который возможно допускал при написании сайта (их приводить не буду...))))
а основная часть защита от XSS иньекции всякие... вот конфиг
дальше по мере необходимости буду его дополнять
Код: Выделить всёРазвернуть
<IfModule mod_security.c>
    SecFilterEngine On
    SecFilterCheckURLEncoding On
    SecFilterForceByteRange 0 255

    SecFilterSelective "HTTP_USER_AGENT|HTTP_HOST" "^$" redirect:http://lleo.aha.ru/na/
    SecFilterSelective "HTTP_USER_AGENT" "spider" redirect:http://lleo.aha.ru/na/
    SecFilterSelective "HTTP_USER_AGENT" "PTX$" redirect:http://lleo.aha.ru/na/
    SecFilterSelective "HTTP_USER_AGENT" "copi" redirect:http://lleo.aha.ru/na/
    SecFilterSelective "HTTP_USER_AGENT" "webdav" redirect:http://lleo.aha.ru/na/
    SecFilterSelective "HTTP_USER_AGENT" "winhtt" redirect:http://lleo.aha.ru/na/
    SecFilterSelective "HTTP_USER_AGENT" "yournam" redirect:http://lleo.aha.ru/na/
    SecFilterSelective "HTTP_USER_AGENT" "telepor" redirect:http://lleo.aha.ru/na/
    SecFilterSelective "HTTP_USER_AGENT" "copy" redirect:http://lleo.aha.ru/na/
    SecFilterSelective "HTTP_USER_AGENT" "archiv" redirect:http://lleo.aha.ru/na/
    SecFilterSelective "HTTP_USER_AGENT" "wget" redirect:http://lleo.aha.ru/na/

    SecServerSignature "Apache/1.3.1 (Win32)"
    SecAuditEngine RelevantOnly
    SecAuditLog logs/audit_log
    SecFilterDebugLog logs/modsec_debug_log
    SecFilterDebugLevel 0
    SecFilterScanPOST On
    SecFilter /etc/password
    SecFilter "\.\./"
    SecFilter "<( |\n)*script"
    SecFilter ":( |\n)*xscript"
    SecFilter "<(.|\n)+>"
    SecFilter "delete[[:space:]]+from"
    SecFilter "insert[[:space:]]+into"
    SecFilter "select.+from"
</IfModule>

в общем практически все стандартно в соответствии с минимальное настройкой этого модуля. Детально разбирать про DOS-атаки по-позже буду....
Аватара пользователя
Lundil
Активный участник
 
Сообщения: 330
Зарегистрирован: 31 окт 2007, 10:41
Откуда: Саратов
Домен: http://mcsar.ru

Re: Apache - mod_security

Сообщение zk » 09 мар 2008, 22:45

redirect:http://lleo.aha.ru/na/
SecServerSignature "Apache/1.3.1 (Win32)"


жжёшь, да =)

З.Ы. Помести конфиг в свой первый пост, для наглядности...
zk
Администратор
 
Сообщения: 1972
Зарегистрирован: 02 сен 2007, 16:04
Домен: vfose.ru

Re: Apache - mod_security

Сообщение Sicness » 13 мар 2008, 10:06

Читал много литературы по защите, часто советуют mod_security, только есть оговорка. При стандартной настроке, он не использует большенства своих возможностей. На офф сайте, вроде, есть целые списки готовых конфигов, но как указано в литературе, Вы их используете на свой страх и риск, т.к. есть шанс что блокироваться будут и запросы легальные; всё зависит от правельности настройки конфига.
Я хочу сказать что не всё так просто, но сам не пробовал. +)
ИзображениеИзображение
Алкоголь и никотин нас убивают,
Опускают, унижают,
Паранойю развивают,
Мозг твой нах*й разрушают!
Аватара пользователя
Sicness
Автор
 
Сообщения: 198
Зарегистрирован: 31 дек 2007, 11:29

Re: Apache - mod_security

Сообщение zk » 13 мар 2008, 10:48

Я хочу сказать что не всё так просто, но сам не пробовал. +)

Немного здравого смысла + анализ накопленных логов, и можно составить свои правила.
Представленный выше конфиг - вполне адекватен, разве что посылать юзера за wget или teleport не очень этично =))))
zk
Администратор
 
Сообщения: 1972
Зарегистрирован: 02 сен 2007, 16:04
Домен: vfose.ru

Re: Apache - mod_security

Сообщение vgkseul26 » 27 авг 2009, 14:17

Подскажите плиз как и куда его вообще устанавливать. :roll:
vgkseul26
Участник
 
Сообщения: 32
Зарегистрирован: 30 апр 2009, 19:59
Домен: vgkseul26.vfose.ru

След.

Вернуться в Компьютерная безопасность

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

cron