Использование стека Apache/ModSecurity/OWASP CRS/ProjectHoneyPot позволяет создать WAF (Web Application Firewall) для защиты веб-приложений от внешних атак. Этот подход на базе OpenSource обеспечивает доступность технологий, но требует ручной настройки и анализа, что может быть вызовом для тех, кто привык к готовым вендорским решениям. В то же время, это позволяет достичь значительной гибкости в настройке и адаптировать защиту под конкретные нужды.
В основе лежит ModSecurity – кроссплатформенный модуль для веб-серверов, способный фильтровать трафик. В связке с OWASP CRS, набором статических правил, он может эффективно блокировать распространенные атаки. Для начала необходимо установить ModSecurity, включить его, а также установить и настроить OWASP CRS. Важно правильно настроить уровень паранойи и логирования, а также параметры для аномалий, чтобы эффективно отсеивать вредоносный трафик, не блокируя легитимные запросы.
Одним из основных вызовов является большое количество ложных срабатываний, связанных с кодировкой и особенностями контента веб-приложения. Для их решения приходится либо понижать уровень паранойи, либо писать байпасы для конкретных правил. Можно привязаться к HTTP методу, например POST, чтобы отключить WAF для административных действий. В энтерпрайзе можно использовать список доверенных IP-адресов для bypass. Также можно настроить Fail2Ban для блокировки IP-адресов, которые пытаются обойти защиту.
В качестве дополнения можно использовать Project Honey Pot, который отслеживает IP-адреса ботов и других вредоносных сканеров. На сайте сервиса нужно сгенерировать скрипт-ловушку, разместить его на сайте и отслеживать переходы ботов. Также можно использовать API этого сервиса, чтобы привязать чёрные списки к ModSecurity и блокировать вредоносные IP-адреса. Развёртывание такого самодельного WAF требует постоянного мониторинга логов, анализа срабатываний и адаптации правил.
Изображение носит иллюстративный характер
В основе лежит ModSecurity – кроссплатформенный модуль для веб-серверов, способный фильтровать трафик. В связке с OWASP CRS, набором статических правил, он может эффективно блокировать распространенные атаки. Для начала необходимо установить ModSecurity, включить его, а также установить и настроить OWASP CRS. Важно правильно настроить уровень паранойи и логирования, а также параметры для аномалий, чтобы эффективно отсеивать вредоносный трафик, не блокируя легитимные запросы.
Одним из основных вызовов является большое количество ложных срабатываний, связанных с кодировкой и особенностями контента веб-приложения. Для их решения приходится либо понижать уровень паранойи, либо писать байпасы для конкретных правил. Можно привязаться к HTTP методу, например POST, чтобы отключить WAF для административных действий. В энтерпрайзе можно использовать список доверенных IP-адресов для bypass. Также можно настроить Fail2Ban для блокировки IP-адресов, которые пытаются обойти защиту.
В качестве дополнения можно использовать Project Honey Pot, который отслеживает IP-адреса ботов и других вредоносных сканеров. На сайте сервиса нужно сгенерировать скрипт-ловушку, разместить его на сайте и отслеживать переходы ботов. Также можно использовать API этого сервиса, чтобы привязать чёрные списки к ModSecurity и блокировать вредоносные IP-адреса. Развёртывание такого самодельного WAF требует постоянного мониторинга логов, анализа срабатываний и адаптации правил.
