mod_security 운영

운영방식

 

Apache에 모듈형태로 운용

Apache_proxy로 여러 웹 사이트들의 역프록시 형태로 운용

 

주요기능

 

요청(request) 필터링 클라이언트로부터 요청이 들어올 때, 웹서버 또는 다른 모듈들이 처리하기 전에 ModSecurity가 요청 내용을 분석하여 필터링한다.   우회 방지 기술 경로와 파라미터를 분석하기 전에 정규화시켜 우회 공격을 차단한다. 즉, “//”, “\/”, “.”, “%00” 등 우회 공격용 스트링을 제거하고, 인코딩된 URL을 디코딩한다.   HTTP 프로토콜 이해 엔진이 HTTP 프로토콜을 이해하기 때문에 전문적이고 정밀한 필터링을 수행할 수 있다.   POST 페이로드(payload) 분석 GET 방식 뿐만 아니라 POST 메소드를 사용해서 전송되는 컨텐츠도 분석 가능하다.   감사 로깅 POST를 포함하여 모든 요청의 모든 상세한 부분들까지 추후 분석을 위해서 로깅될 수 있다. ModSecurity에서 차단기능을 비활성화 시킨 후, 강력한 로깅 기능만으로 침입탐지 시스템 역할을 수행할 수 있도록 한다.   HTTPS 필터링 엔진은 웹서버에 임베디드되어 있기 때문에 복호화 한 후에 요청 데이터에 접근하여 HTTPS를 통한 공격도 필터링할 수 있다.

 

지원모델

 

Negative Security Model : 모두 허용하고 네가티브한 애들만 차단 (이게 젤 만만할듯)

Positive Security Model : 모두 차단하고 파지티브한 애들만 허용

Virtual Patching : 웹소스 패치전까지 가상패치로서 운영

Extrustion Detecting Model : 모니터링만...

차단가능한것

 

HTTP protection (HTTP 프로토콜에 위배되는 접근을 탐지)

common Web Attackes Protection (일반적인 웹어플리케이션 공격 탐지)

Automation detection : bot, crawlers, scanners (악의적인 활동 감지)

Trojan Protection : 웹서버에 설치된 백도어를 감지

Errors Hiding : 서버에 의해 보내진 에러메지지를 가장 (어떠한 에러 메세지를 숨기거나 바꾼다?) ? ㅋ

Modsecurity Core Rule Set 파일 예제들 (아마 깔면 첨부된 conf 파일을 의미하는듯)

 

xxx_config.conf : 일반적인 설정
xxx_protocol_violations.conf : 요청라인의 요효성체크, 요청의 은닉 탐지, 잘못된 content 요청 차단
xxx_protocol_anomalies.conf : 일반적인 header 없는 요청 차단
xxx_request_limit.conf : 아규먼트 제한, 파일업로드 제한, 아파치 제한 등
xxx_http_policy.conf : 아파치와 연관된 설정들...? (요청 메소드 제한, content-type 제한, 프로토콜 버전 제한...)
xxx_bad_robots.conf : robot 제한 (아마 로봇이 아닌 불법접근을 의미?)
xxx_generic_attacks.conf : 일반적인 공격차단 (sql 인젝션 등등...)
xxx_trojans.conf : 프로이쟌(백도어?) 요소들을 차단
xxx_outbound.conf : 클라이언트에게 보여줄수 있는 페이지 제한 (뭔가 응답하는 쪽의 제한걸수 있는듯?)

 

 

처리단계 

 

phase:1 (Request header)  phase:2 (Request body) phase:3 (Response header) phase:4 (Response body) phase:5 (logging)

 

 

 

 

 퍼온싸이트 : http://www.365managed.com/bbs/board.php?bo_table=magazine&wr_id=3&page=2

modsecurity 참고 링크

https://www.feistyduck.com/library/modsecurity-handbook-free/online/