Como proteger suas aplicações web com ModSecurity

  • Home
  • News
  • Como proteger suas aplicações web com ModSecurity
maio 24, 2019

Manter aplicações Web seguras é um desafio constante, pois não são poucas as ameaças e elas estão sempre a evoluir, de maneira que essa tarefa tem se tornado cada vez mais difícil.

Mas se há um ferramenta que pode ajudar muito nesse processo, é o ModSecurity, um WAF poderoso que consegue proteger a sua aplicação de uma série de ameaças, como SQL Injection e Cross Site Scripting. Além disso ele fornece um kit de ferramentas para monitoramento, registro e controle de acesso de aplicações em tempo real.

Assim, sendo considerado o melhor  WAF atualmente, ele já é utilizado em mais de um milhão de aplicações Web ao redor do mundo. Além de poderoso esse WAF é simples e eficiente.

No artigo a seguir, você entende melhor o que é essa ferramenta, como ela funciona e aprende a instalá-la no seu servidor para manter as suas aplicações Web seguras e protegidas. Acompanhe!

O que é o Modsecurity

O Modsecurity é um Firewall de Aplicação WEB (WAF, do inglês Web-based Firewall Application), que é considerado um kit de ferramentas para monitoramento, registro e controle de acesso de aplicações Web em tempo real.

Ele é open source e cross platform, podendo rodar em servidores Apache, NGINX, IIS e outros, e sendo suportado pela equipe da SpiderLabs e da Trustwave, uma gigante do setor de cibersegurança no mundo.

Através de um conjunto de regras, este WAF consegue proteger suas aplicações web de uma série de ameaças. SQL Injection, Local File Inclusion e Cross-site Scripting, são exemplos de ameaças que o Modsecurity consegue facilmente barrar.

Contudo ele opera seguindo 4 princípios de orientação, que são:

  • Flexibilidade: entregue pela poderosa linguagem baseada em regras do Modsecurity;
  • Passividade: o Modsecurity não toma decisões por você, pois faz apenas o que você determina;
  • Previsibilidade: o Modsecurity é previsível e te permite entender a ferramenta por completo, inclusive seus pontos fracos para que você possa contorná-los;
  • Qualidade acima de quantidade: O Modsecurity possui uma quantidade de recursos limitada, mas que são frequentemente trabalhados e melhorados para funcionar da melhor maneira possível.

Como ele protege as suas aplicações Web

O Modsecurity protege as aplicações web através da sua poderosa linguagem baseada em regras. Estas podem ser adquiridas gratuitamente no site da OWASP ou de forma paga, com a SpiderLabs. Além disso o usuário também pode criar suas próprias regras, para suprir necessidades específicas.

Através dessas regras, o Modsecurity pode, por exemplo:

  • Fazer o monitoramento de segurança de aplicativos em tempo real:

Essencialmente, o Modsecurity te dá acesso, em tempo real, ao tráfego HTTP, juntamente com a capacidade de inspecioná-lo. Ou seja, isso te permite fazer o monitoramento de segurança em tempo real. Com isso, é possível, por exemplo, realizar o acompanhamento dos acessos e das tentativas de burlar a aplicação.

  • Fazer o controle de acesso:

O Modsecurity também te permite bloquear ou permitir acessos. E isso pode ser feito de forma completamente confiável, pois esse WAF utiliza buffering completo de pedidos e respostas.

  • Realizar log de todo o tráfego HTTP:

O Modsecurity te permite fazer log de tudo que você precisar, incluindo dados brutos de transação. O que é extremamente útil para análises e outras medidas de segurança, pois fornece uma visão completa de todo o tráfego.

Obviamente, essas são apenas algumas das muitas aplicações do Modsecurity. Através das suas regras é possível fazer praticamente qualquer coisa. E como este WAF é open source, o poder do usuário sobre a ferramenta é ainda maior.

Instalando o ModSecurity em servidores Apache

O Modsecurity pode ser instalado de duas formas: como proxy reverso ou de forma embutida, diretamente no servidor Web. A primeira opção é considerada a melhor. Enquanto a segunda é mais indicada para quem já tem uma arquitetura de rede pronta e não deseja alterá-la.

No entanto, não há uma maneira “correta” de instalar. Pois ambas as opções possuem suas vantagens e desvantagens. E, por isso, cabe ao usuário escolher a alternativa que melhor se encaixa em suas circunstâncias e necessidades.

O Modsecurity também está disponível para os servidores web Apache, NGINX e IIS. Por ser o mais popular e utilizado, nesse tutorial vamos abordar a instalação apenas em servidores Apache, seguindo informações disponíveis no site do Modsecurity e na documentação Wiki do WAF.

Vamos ao processo de instalação

Acima de tudo, é preciso saber que você tem duas opções de instalação do Modsecurity em servidores Apache. A primeira delas é a partir do repositório git, que traz sempre a última versão do WAF e suas melhores funcionalidades, mas é possivelmente instável. E a segunda, que é baixando o código fonte do WAF em sua versão estável mais recente.

Para fazer a instalação a partir do repositório git, basta utilizar os comandos:

$git clone git://github.com/SpiderLabs/ModSecurity.git
$cd ModSecurity
$./autogen.sh
$./configure
$make
$# make install 
$cp /usr/local/modsecurity/lib/mod_security2.so /usr/local/apache/modules/

Para baixar o código fonte, basta acessar o site do Modsecurity e escolher a versão para Apache. O processo de instalação, nesse caso, é bastante complexo e envolve diferentes caminhos a depender do sistema operacional do seu servidor. Por isso, é recomendado que você siga as instruções disponíveis na documentação Wiki.

A instalação do Modsecurity também pode ser feita a partir do repositório do sistema operacional e está disponível para servidores Ubuntu/Debian, com os comandos:

$ sudo apt-get install libapache2-mod-security
$ sudo a2enmod mod-security
$ sudo /etc/init.d/apache2 force-reload

E servidores Fedora/CentOS, a partir dos comandos:

$ sudo yum install mod_security
$ sudo /etc/init.d/httpd restart

*Para servidores Microsoft IIS, é necessário baixar um instalador no site do Modsecurity, o que não cobriremos aqui.

Após a instalação

A instalação é apenas o primeiro passo para utilização do Modsecurity para proteger suas aplicações Web. Pois ainda é preciso configurá-lo e começar a utilizar as regras para que ele seja realmente útil. O processo de configuração pode ser aprendido na documentação Wiki.

Quanto às regras, a equipe da SpiderLabs já fornece uma série de regras genéricas prontas para serem utilizadas, a partir do projeto OWASP ModSecurity Core Rule(SRC). Mas você também pode e deve criar as suas próprias regras, de maneira que todas as suas necessidades sejam supridas.

O SRC fornece diversos pacotes de regras, que abordam os mais diferentes tipos de ameaças e necessidades e você pode encontrá-los no site do projeto.

A HostSeries oferece WAF gerenciado por nossa equipe em soluções de Data Center Virtual e Servidor Dedicado, por isso caso suas aplicações precisem de uma proteção WAF através de Modsecurity fale conosco.