ModSecurity保护Web安全讲述.docx

使用ModSecurity 保护Web服务安全 作者：曹江华 ModSecurity是一个入侵侦测与防护引擎，它主要是用于Web 应用程序，所以也被称为Web应用程序防火墙。 它可以作为Apache Web服务器的模块或是单独的应用程序来运作。ModSecurity的功能是增强Web application的安全性和保护Web application以避免遭受来自已知与未知的攻击。 1 ModSecurity 简介 ModSecurity是一个入侵侦测与防护引擎，它主要是用于Web 应用程序，所以也被称为Web应用程序防火墙。 它可以作为Apache Web服务器的模块或是单独的应用程序来运作。ModSecurity的功能是增强Web application的安全性和保护Web application以避免遭受来自已知与未知的攻击。其防护的概念如图-1所示： 图-1 ModSecurity防护的概念 图-2 ModSecurity入侵侦测与防护引擎安装位置示意图 ModSecurity计划是从2002年开始，后来由Breach Security Inc.收购，但Breach Security Inc.允诺ModSecurity仍旧为open source，并开放源代码给大家使用。最新版的ModSecurity（一个开源的Web应用防火墙，即WAF）开始支持核心规则集（Core Rule Set，即CRS，可用于定义旨在保护Web应用免受零日及其他安全攻击的规则）了。ModSecurity团队发布的2.5.10 版还包含了其他一些特性，如并行文本匹配、Geo IP解析和信用卡号检测等，同时还支持内容注入、自动化的规则更新和脚本等内容。可以通过ModSecurity手工创建安全过滤器、定义攻击并实现主动的安全输入验证。此外，它还提供了一个面向Lua语言的新的API，为开发者提供一个脚本平台以实现用于保护Web应用的复杂逻辑。 ModSecurity的运作设计有以下的基础概念： l? 让使用者可以做任何想做的事情(Empower users to do what they want) l? 使用者设定的动作才会执行(Don’t do anything implicitly) l? 预设是不做任何动作(Be passive) ModSecurity的部署架构 l? 与Web Server结合 。 l? 与Apache结合部署为网关，当作一个反向代理。 总结： ModSecurity是一个Web应用防火墙（WAF）。当前已经有超过70％的攻击发生在网络应用层，各级组织急需要能够保证他们的系统安全性的帮助。WAF系统的部署，可以为web应用增加一个外部安全层来检测或防止攻击。针对一系列的攻击,ModSecurity为web应用提供了强大的保护，并对HTTP流量进行监测和实时分析，这些都只是很少或是根本没有影响系统的基础设施。 HTTP流量记录 web服务器已有的日志功能已经足够进行访问请求分析，但是就web的应用分析还有些不足，特别是大多情况下没办法记录下请求体。你的对手很清楚这一点，所以很多时候的攻击是通过POST请求产生，并导致您的系统失明。ModSecurity充分的获取HTTP交互中的所以内容，并记录完整的请求和响应。其日志功能可以允许您更细致的做出判断究竟什么是登录的时候，并确保相关的数据都被记录下来。一些请求和响应中的某些关键字段可能包含敏感数据，ModSecurity可以被配置成在记录这些审计日志前隐藏它。 实时监控和攻击检测 除了提供记录日志功能外，ModSecurity还能实时的监控HTTP的流量以检测攻击。在某些时候，ModSecurity做为一个WEB入侵检测工具，可以让你对发生在WEB系统上的一些可疑事件做出响应。 攻击防御和及时修补 ModSecurity能够立即针对你的WEB应用系统进行攻击防御，有三种通用的方法： 1、消极(negative)安全模型：消极安全模型监控那些异常的、不常用的和通用的WEB攻击类请求。它统计每个请求的有关IP地址、应该连接、和用户帐户的异常分数，当出现较高的异常分数时，会记录日志并完全的阻止访问。 2、积极安全模开型：部署积极安全模型后，只有那些明确的请求被允许通过，其它的一律禁止。这个模式要求你对需要保护的WEB应用要非常的了解。因此积极安全模式最好是用于那种大量访问却很少更新的系统，这样才能使这种模型的维护工作量降到最低。 3、已知漏洞攻击：其规则语言使ModSecurity成为一个理想的外部修补工具，外部修补（有时是指虚拟修补）可以减少机会之窗。一些组织修补这些应用的漏洞通常需要几周的时间，使用ModSecurity，应用系统可以从外部修补，根本不用改应用的源