Implementação de WAF mod_security e integração com Graylog utilizando Filebeat e Logstash
Instalar e configurar um WAF utilizando mod_security em um servidor de proxy reverso para bloquear acessos maliciosos. Também é mostrado como integrar os logs gerados com o Graylog, a fim de obter uma melhor visibilidade dos ataques. Essa integração é feita com FileBeat e Logstash e o tratamento dos dados com o projeto logstash-modsecurity.
[ Hits: 8.713 ]
Por: NerdBarbado em 30/07/2020
Instalação e configuração do mod_security e mod_evasive
Instalação do mod_security e mod_evasive
Atualize o servidor:sudo yum update
Instalação dos pré-requisitos:
sudo yum install httpd epel-release git wget
Instalação do mod_security e mod_evasive
sudo yum install mod_security mod_evasive
Para testar se o mod_security está instalado e carregado, rode:
sudo httpd -M | grep security
Deve aparecer a seguinte linha:
security2_module (shared)
Para testar se o mod_evasive está instalado e carregado, rode:
sudo httpd -M | grep evasive
Deve aparecer a seguinte linha:
evasive20_module (shared)
Configuração do mod_security
Instalação das regras OWASP:cd /etc/httpd/modsecurity.d
rm -rf activated_rules/
sudo git clone https://github.com/SpiderLabs/owasp-modsecurity-crs
cd owasp-modsecurity-crs/
cp crs-setup.conf.example crs-setup.conf
Altere a linha 4 do arquivo /etc/httpd/conf.d/mod_security.conf para:
Ainda no arquivo /etc/httpd/modsecurity.d/mod_security.conf verifique se os seguintes parâmetros estão com os mesmos valores do exemplo abaixo:
SecRequestBodyAccess On
SecResponseBodyAccess On
SecResponseBodyMimeType text/plain text/html text/xml application/octet-stream
SecAuditLog /var/log/httpd/modsec_audit.log
SecTmpDir /var/lib/mod_security
SecDataDir /var/lib/mod_security</IfModule>
Adicione as seguintes linhas no fim do arquivo /etc/httpd/conf/httpd.conf:
Include modsecurity.d/owasp-modsecurity-crs/crs-setup.conf
Include modsecurity.d/owasp-modsecurity-crs/rules/*.conf
</IfModule>
Reinicie o Apache:
sudo systemctl restart httpd
Configuração do mod_evasive
Abra o arquivo /etc/httpd/modsecurity.d/mod_evasive.conf e verifique se os seguintes parâmetros estão com os mesmos valores do exemplo abaixo:DOSPageCount 2
DOSSiteCount 50
DOSPageInterval 1
DOSSiteInterval 1
DOSBlockingPeriod 10
Testando o mod_security
Abra um terminal e execute o seguinte comando, inserindo o endereço da sua aplicação:curl -s -o /dev/null -w '%{http_code}' www.sistema.com?username=1'%20or%20'1'%20=%20'
Abra o arquivo de log do mod_security e veja o alerta que foi gerado:
sudo tail -f /var/log/httpd/modsec_audit.log
Testando mod_evasive
Abra o arquivo /usr/share/doc/mod_evasive-1.10.1/test.plsudo vi /usr/share/doc/mod_evasive-1.10.1/test.pl
Encontre a linha "for(0..100)" e substitua 100 por 200.
Encontre a linha 'PeerAddr=>"127.0.0.1:80"' e substitua 127.0.0.1 com o IP do seu servidor.
Feche o script e o execute:
sudo perl /usr/share/doc/mod_evasive-1.10.1/test.pl
Devem aparecer várias linhas com a mensagem "HTTP/1.1 403 Forbidden" na tela.
2. Instalação e configuração do mod_security e mod_evasive
3. Instalação e configuração do FileBeat e Logstash
4. Testando integração do modsecurity, filebeat e logstash
5. Integração com o Graylog
Reforçando a segurança das conexões HTTPS no Apache
Verificação de integridade de arquivos - Ferramenta OSSEC
Libsafe: Protegendo Linux contra Smashing Overflow
Código Aberto já não é uma questão de gosto
Resumo da Norma ISO/IEC 13335-3
Fala amigo,
Primeiramente obrigado pelo artigo.
Uma observação:
Na parte "IncludeOptional modsecurity.d/rules/*.conf" seria "IncludeOptional modsecurity.d/owasp-modsecurity-crs/rules/*.conf"
Na parte "Ainda no arquivo /etc/httpd/modsecurity.d/mod_security.conf verifique..." o caminho do arquivo está errado. Seria o caminho /etc/httpd/conf.d/mod_security.conf
Atenciosamente,
x.x
run rabbit run
Patrocínio
Destaques
Artigos
Enviar mensagem ao usuário trabalhando com as opções do php.ini
Meu Fork do Plugin de Integração do CVS para o KDevelop
Compartilhando a tela do Computador no Celular via Deskreen
Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota
Configuração para desligamento automatizado de Computadores em um Ambiente Comercial
Dicas
Compartilhamento de Rede com samba em modo Público/Anônimo de forma simples, rápido e fácil
Cups: Mapear/listar todas as impressoras de outro Servidor CUPS de forma rápida e fácil
Criando uma VPC na AWS via CLI
Tópicos
Dificuldade para renderizar vídeo no kdenlive (6)
xubuntu sem sons de eventos (3)
Erro ao iniciar serviço samba4 como novo dc em um ambiente com ad [RES... (9)
Top 10 do mês
-
Xerxes
1° lugar - 68.280 pts -
Fábio Berbert de Paula
2° lugar - 50.506 pts -
Renato Michnik de Carvalho
3° lugar - 27.299 pts -
Buckminster
4° lugar - 17.898 pts -
Mauricio Ferrari
5° lugar - 15.300 pts -
Alberto Federman Neto.
6° lugar - 14.198 pts -
Diego Mendes Rodrigues
7° lugar - 14.012 pts -
Daniel Lara Souza
8° lugar - 13.919 pts -
edps
9° lugar - 11.807 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
10° lugar - 11.269 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
