Regel-Management

Die Qualität von ModSecurity steht und fällt mit den Regeln. Bis man einen guten, reibungslos funktionierenden Satz vorliegen hat, ziehen so manche Nächte ins Land. Einen Startpunkt bietet die mitgelieferte Datei »modsecurity.conf-minimal« . Sie enthält eine Minimalkonfiguration, die sich sehr leicht an die eigenen Bedürfnisse anpassen lässt.

Für viele Standardsituationen und -Umgebungen finden sich zudem im Internet bereits vorgefertigte Regelwerke [4]. Auch Breach Security bietet mit dem Core-Rules-Paket eine solche Sammlung an. Wie viele ihrer Kollegen ist sie modular aufgebaut, wobei jede enthaltene Konfigurationsdatei ein bestimmtes (Einbruchs-)Szenario abdeckt. Per »Include« -Anweisung lassen sie sich so schnell zu- oder abschalten. Eine Aufspaltung in mehrere kleine Einheiten empfiehlt sich auch für eigene Regelwerke. Damit behält man nicht nur die Übersicht, sondern erhält als Nebeneffekt eine bessere Wartbarkeit.

Egal ob man zu Maggi-Fix-Regeln aus der Tüte greift oder eigene entwickelt, an einem ausführlichen Test auf dem Trockenen kommt man nicht herum. Bei Testläufen auf einem produktiven System schaltet man »SecRuleEngine« auf »DetectionOnly« . ModSecurity wertet dann die Regeln zwar aus, blockt aber keine Inhalte. Eine zu restriktive Regel sperrt dann niemanden unnötig aus. Die syntaktische Korrektheit der Konfigurationsdateien prüft vor einem Neustart des Webservers das Kommando »apachectl configtest« .

Fazit

Die Filterung der Anfragen durch ModSecurity verschlingt zusätzliche Rechenzeit, gerade bei größeren Regelsätzen. Auf der anderen Seite blockt das Modul schon viele Anfragen vor der weiteren Verarbeitung durch den Webserver, so dass sich der Aufwand wieder relativiert. Die zusätzlich gewonnene Sicherheit sollte der Zeitverlust allemal Wert sein. Setzt man die Restriktionen stark genug, lassen sich sogar noch unbekannte Angriffsmuster abwehren.

Allerdings ist auch ModSecurity kein Allheilmittel: Es arbeitet immer nur so gut, wie es seine Regelsätze anleiten. Auch der Türsteher lässt mitunter Randalierer ins Lokal. Immerhin kann er anhand seines Protokolls feststellen, warum dieses Malheur geschah und es somit für die Zukunft abstellen – zumindest hoffentlich.

Der Autor

Tim Schürmann ist selbständiger Diplom-Informatiker und derzeit als freier Autor unterwegs. Zu seinen Büchern gesellen sich zahlreiche Artikel, die in Zeitschriften und auf Internetseiten in mehreren Ländern veröffentlicht wurden.

Kommentare

ModSecurity Core Rule Set Project

Die OWASP Leute haben auch ein eigenes Sub Projekt wo sie an den Rulesets arbeiten,
welcher hier auch erwaehnt werden sollte

https://www.owasp.org/index.php/Category:OWASP_ModSecurity_Core_Rule_Set_Project

comments powered by Disqus
Mehr zum Thema

Application Level Firewall mit ModSecurity

Die meisten Firewalls arbeiten ausschließlich auf den unteren Ebenen des TCP/IP-Stacks. Sie helfen nichts, wenn eine gezielte SQL-Injection das mühsam aufgebaute Content-Management-System in den Tod reißt. ModSecurity spannt ein zusätzliches Sicherheitsnetz auf.

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2020