利用ModSecurity在Nginx上构建WAF

admin

ModSecurity原本是Apache上的一款开源WAF模块，可以有效的增强Web安全性。目前已经支持Nginx和IIS，配合Nginx的灵活和高效可以打造成生产级的WAF，是保护和审核Web安全的利器。
% j1 w& y" r7 _" w' @
3 g1 N3 m4 d  M9 _0 |- ~
/ D7 t: X( J" b$ j5 F" W* [; _& E在这篇文章中，我们将学习配置ModSecurity与OWASP的核心规则集。


: _% @( h: H7 @什么是ModSecurity
ModSecurity是一个入侵侦测与防护引擎，它主要是用于Web应用程序，所以也被称为Web应用程序防火墙(WAF)。它可以作为Web服务器的模块或是单独的应用程序来运作。ModSecurity的功能是增强Web Application 的安全性和保护Web application以避免遭受来自已知与未知的攻击。
( M" X7 T) q/ t

ModSecurity计划是从2002年开始，后来由Breach Security Inc.收购，但Breach Security Inc.允诺ModSecurity仍旧为Open Source，并开放源代码给大家使用。最新版的ModSecurity开始支持核心规则集(Core Rule Set)，CRS可用于定义旨在保护Web应用免受0day及其它安全攻击的规则。


9 ?. i) K% U- z3 Z1 N  UModSecurity还包含了其他一些特性，如并行文本匹配、Geo IP解析和信用卡号检测等，同时还支持内容注入、自动化的规则更新和脚本等内容。此外，它还提供了一个面向Lua语言的新的API，为开发者提供一个脚本平台以实现用于保护Web应用的复杂逻辑。


; S  }/ m! z* V' q9 S官网： https://www.modsecurity.org/

$ v# B& t5 Y1 I+ e, C6 i
  U0 w% `; [% f) x什么是OWASP CRS
2 O/ {, y8 S) E% i& x( z' ~' S) i* MOWASP是一个安全社区，开发和维护着一套免费的应用程序保护规则，这就是所谓OWASP的ModSecurity的核心规则集(即CRS)。ModSecurity之所以强大就在于OWASP提供的规则，我们可以根据自己的需求选择不同的规则，也可以通过ModSecurity手工创建安全过滤器、定义攻击并实现主动的安全输入验证。
+ N  h4 S2 [0 |
$ w6 e/ s' [: F$ E" B% u
ModSecurity核心规则集(CRS)提供以下类别的保护来防止攻击。


' F. l/ t  m& B+ e! q& S" KHTTP Protection(HTTP防御)
/ X5 S: E' o0 h! ~1 w" {9 D# D  d+ ?HTTP协议和本地定义使用的detectsviolations策略。

5 f9 t0 B! M2 J$ A
Real-time Blacklist Lookups(实时黑名单查询)
利用第三方IP名单。
; P' }5 E5 V! }. S: L( u
6 \: B& e) }& N) o  g
HTTP Denial of Service Protections(HTTP的拒绝服务保护)
防御HTTP的洪水攻击和HTTP Dos攻击。

2 v6 V' b5 }8 k3 m' B0 b
Common Web Attacks Protection(常见的Web攻击防护)
9 [) t) o( s% M9 k7 K检测常见的Web应用程序的安全攻击。
/ f7 B" e  j3 Z1 k. z

% N7 Q* Q1 D4 k9 uAutomation Detection(自动化检测)
6 w9 u% j% ]0 {1 U检测机器人，爬虫，扫描仪和其他表面恶意活动。


Integration with AV Scanning for File Uploads(文件上传防病毒扫描)
6 `, M# D: P+ R5 g9 `% e检测通过Web应用程序上传的恶意文件。
8 i$ z, Z% O3 `
: j" h$ J9 o- m/ b6 O+ b
Tracking Sensitive Data(跟踪敏感数据)
3 s. Y3 J% @' c信用卡通道的使用，并阻止泄漏。
% z* s# g" J$ }# G- U. E3 E) Q
; d0 d% G0 U9 j  J
Trojan Protection(木马防护)
检测访问木马。
) A. q" a. V& Y
% l! W* E- y+ g9 s8 q2 r
# F4 M# N  n6 n) J" cIdentification of Application Defects(应用程序缺陷的鉴定)
5 @: B5 H. o2 t% F$ g检测应用程序的错误配置警报。
/ K9 ^% o% G* k, j

% G8 K1 x! l" h4 SError Detection and Hiding(错误检测和隐藏)
检测伪装服务器发送错误消息。


安装ModSecurity
1 ?/ Z0 F' r! ]软件基础环境准备
& Z* Y2 s7 D2 O& S下载对应软件包
$ cd /root
$ wget 'http://nginx.org/download/nginx-1.9.2.tar.gz'
$ wget -O modsecurity-2.9.1.tar.gz https://github.com/SpiderLabs/ModSecurity/releases/download/v2.9.1/modsecurity-2.9.1.tar.gz
. M" f7 Z" I* E安装Nginx和ModSecurity依赖包
Centos/RHEL
, w+ |1 c2 e$ N& Z- W

! T; M7 T/ u: J8 I( E/ }4 ?$ yum install httpd-devel apr apr-util-devel apr-devel  pcre pcre-devel  libxml2 libxml2-devel zlib zlib-devel openssl openssl-devel
Ubuntu/Debian
8 ?7 U0 @% F3 B' A; D  s

: v' X- q% q. |7 b& C$ apt-get install libreadline-dev libncurses5-dev libssl-dev perl make build-essential git  libpcre3 libpcre3-dev libtool autoconf apache2-dev libxml2 libxml2-dev libcurl4-openssl-dev g++ flex bison curl doxygen libyajl-dev libgeoip-dev dh-autoreconf libpcre++-dev
编译安装ModSecurity
Nginx加载ModSecurity模块有两种方式:一种是编译为Nginx静态模块，一种是通过ModSecurity-Nginx Connector加载动态模块。

+ p/ Q0 k- J# Q  y( E. a- x1 S  r
方法一：编译为Nginx静态模块
7 q. x/ Y% `3 G! S- _  Y; |# Q

编译为独立模块(modsecurity-2.9.1)
$ tar xzvf modsecurity-2.9.1.tar.gz
! R0 q/ g" Y' b$ cd modsecurity-2.9.1/
/ _, N+ Q  g2 @& N, m' k. ^& A$ ./autogen.sh
" |7 w0 [: f: m$ ./configure --enable-standalone-module --disable-mlogc
5 F- k; h% H" r0 N7 C! ]' B$ d: ?$ make
( u" B! N4 w6 g5 F编译安装Nginx并添加ModSecurity模块
% g4 O8 a4 B5 Q9 `$ tar xzvf nginx-1.9.2.tar.gz
$ cd nginx-1.9.2
$ ./configure --add-module=/root/modsecurity-2.9.1/nginx/modsecurity/
$ make && make install
方法二：编译通过ModSecurity-Nginx Connector加载的动态模块
- \6 h' K5 ]8 G/ U: r

编译LibModSecurity(modsecurity-3.0)
$ cd /root
$ git clone https://github.com/SpiderLabs/ModSecurity
9 Y* S5 u4 l" E4 x; f, A$ cd ModSecurity
$ git checkout -b v3/master origin/v3/master
* Q& d+ A2 h5 ^2 D4 L  L* B$ sh build.sh
* Q. n( d. K3 V0 F$ git submodule init
0 j% F& r* x+ M5 u+ z$ git submodule update
$ ./configure
$ make
$ make install
LibModSecurity会安装在 /usr/local/modsecurity/lib 目录下。


$ ls /usr/local/modsecurity/lib
libmodsecurity.a  libmodsecurity.la  libmodsecurity.so  libmodsecurity.so.3  libmodsecurity.so.3.0.0
7 ~; d' f1 v9 c* d0 X1 Z8 ~编译安装Nginx并添加ModSecurity-Nginx Connector模块
! X4 J' w" i) \6 {使用ModSecurity-Nginx模块来连接LibModSecurity
" g0 o/ |, i" ]9 u5 \, M) N
) X# E% e+ i9 s1 V( b8 j4 \
5 q; V2 n! I9 f6 I/ \4 c: v$ cd /root
$ git clone https://github.com/SpiderLabs/ModSecurity-nginx.git modsecurity-nginx
" F) l  e9 M: b9 _$ tar xzvf nginx-1.9.2.tar.gz
$ cd nginx-1.9.2
+ O/ r+ V5 ]1 r% L) y9 [; a$ ./configure --add-module=/root/modsecurity-nginx
# g& @$ K  M, W1 M- G# p9 _1 C$ make
$ make && make install
* x# P: J# l) u, g7 V+ ^! |# p添加OWASP规则
8 f6 ~* D8 i( N$ l6 j% ^9 SModSecurity倾向于过滤和阻止Web危险，之所以强大就在于规则。OWASP提供的规则是社区志愿者维护的被称为核心规则CRS,规则可靠强大，当然也可以自定义规则来满足各种需求。
" ?$ ?4 t& q" G  ?! a0 m# M
& e$ g  e! Q) C" @: Q
下载OWASP规则并生成配置文件
$ git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git
. Q" y" d. Y6 R( R) P7 W1 [5 k- y$ cp -rf owasp-modsecurity-crs  /usr/local/nginx/conf/
2 `5 a8 o2 v. Q. B$ cd /usr/local/nginx/conf/owasp-modsecurity-crs
$ cp crs-setup.conf.example  crs-setup.conf
配置OWASP规则
编辑crs-setup.conf文件

1 I2 z6 i: I) a: U3 C8 q( T' j
4 s2 e5 _+ ^# r6 ?" ?# p$ sed -ie 's/SecDefaultAction "phase:1,log,auditlog,pass"/#SecDefaultAction "phase:1,log,auditlog,pass"/g' crs-setup.conf
: p. @( W$ F$ N6 U+ ]% t$ sed -ie 's/SecDefaultAction "phase:2,log,auditlog,pass"/#SecDefaultAction "phase:2,log,auditlog,pass"/g' crs-setup.conf
$ sed -ie 's/#.*SecDefaultAction "phase:1,log,auditlog,deny,status:403"/SecDefaultAction "phase:1,log,auditlog,deny,status:403"/g' crs-setup.conf
) _1 a9 s: Q4 k+ N4 k. e3 J$ sed -ie 's/# SecDefaultAction "phase:2,log,auditlog,deny,status:403"/SecDefaultAction "phase:2,log,auditlog,deny,status:403"/g' crs-setup.conf
默认ModSecurity不会阻挡恶意连接，只会记录在Log里。修改SecDefaultAction选项，默认开启阻挡。


: m0 V$ G9 [  C% p启用ModSecurity模块和CRS规则
复制ModSecurity源码目录下的modsecurity.conf-recommended和unicode.mapping到Nginx的conf目录下，并将modsecurity.conf-recommended重新命名为modsecurity.conf。
7 H8 N+ q& _0 q* v* |

modsecurity.conf-recommended是ModSecurity工作的主配置文件。默认情况下，它带有.recommended扩展名。要初始化ModSecurity，我们就要重命名此文件。

) r# s7 \; j5 H* S$ z/ D
$ cd /root/modsecurity-2.9.1/
$ cp modsecurity.conf-recommended /usr/local/nginx/conf/modsecurity.conf  
$ cp unicode.mapping  /usr/local/nginx/conf/
将SecRuleEngine设置为On，默认值为DetectOnly即为观察模式，建议大家在安装时先默认使用这个模式，规则测试完成后在设置为On，避免出现对网站、服务器某些不可知的影响。


, N) u1 b1 \/ k  }$ vim /usr/local/nginx/conf/modsecurity.conf
( B( @) A' f7 Z# |7 U4 w7 t, f& vSecRuleEngine On
) T* p8 f, i7 w$ a2 iModSecurity中几个常用配置说明：

" e. m2 B" f/ A5 d& f5 ~/ l
0 m! @, b' `: ~: M; `1.SecRuleEngine：是否接受来自ModSecurity-CRS目录下的所有规则的安全规则引擎。因此，我们可以根据需求设置不同的规则。要设置不同的规则有以下几种。SecRuleEngine On：将在服务器上激活ModSecurity防火墙，它会检测并阻止该服务器上的任何恶意攻击。SecRuleEngine Detection Only：如果设置这个规则它只会检测到所有的攻击，并根据攻击产生错误，但它不会在服务器上阻止任何东西。SecRuleEngine Off:这将在服务器上上停用ModSecurity的防火墙。
4 e; ^6 c( p# ~# S! @" a
6 C, N$ s4 |( j# S5 T$ y. J: [8 M
# G6 u/ L7 v8 G) H$ M, x) M2.SecRequestBodyAccess：它会告诉ModSecurity是否会检查请求，它起着非常重要的作用。它只有两个参数ON或OFF。
7 h% y5 z7 H6 j/ E' h' S' R4 D

3.SecResponseBodyAccess：如果此参数设置为ON，然后ModeSecurity可以分析服务器响应，并做适当处理。它也有只有两个参数ON和Off，我们可以根据求要进行设置。
7 Q7 A5 o/ `" M, Y0 {% ^
6 K: B. ~2 F# I
4.SecDataDir：定义ModSecurity的工作目录，该目录将作为ModSecurity的临时目录使用。
) z$ D# T$ M0 n, J" J' \

在 owasp-modsecurity-crs/rules 下有很多定义好的规则，将需要启用的规则用Include指令添加进来就可以了。

4 \. @+ h2 l  p' a
3.x版本CRS
' O5 U1 k- p+ P8 l& h$ cd /usr/local/nginx/conf/owasp-modsecurity-crs
. z7 _" a- e  h( ^% ~8 u- r* a# 生成例外排除请求的配置文件
$ cp rules/REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf.example rules/REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf
6 D% u7 P4 w) F0 }: ^$ cp rules/RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf.example rules/RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf
) u8 b" B# E$ c  L* {  Z! ]$ cp rules/*.data /usr/local/nginx/conf
为了保持modsecurity.conf简洁，这里新建一个modsec_includes.conf文件,内容为需要启用的规则。
' A5 R; d6 w) n' N' W
4 u# M. W3 @. j
9 u, D0 P7 i' P5 L1 p2 k$ vim /usr/local/nginx/conf/modsec_includes.conf

[Bash shell] 纯文本查看 复制代码

include modsecurity.conf
include owasp-modsecurity-crs/crs-setup.conf
include owasp-modsecurity-crs/rules/REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf
include owasp-modsecurity-crs/rules/REQUEST-901-INITIALIZATION.conf
Include owasp-modsecurity-crs/rules/REQUEST-903.9002-WORDPRESS-EXCLUSION-RULES.conf
include owasp-modsecurity-crs/rules/REQUEST-905-COMMON-EXCEPTIONS.conf
include owasp-modsecurity-crs/rules/REQUEST-910-IP-REPUTATION.conf
include owasp-modsecurity-crs/rules/REQUEST-911-METHOD-ENFORCEMENT.conf
include owasp-modsecurity-crs/rules/REQUEST-912-DOS-PROTECTION.conf
include owasp-modsecurity-crs/rules/REQUEST-913-SCANNER-DETECTION.conf
include owasp-modsecurity-crs/rules/REQUEST-920-PROTOCOL-ENFORCEMENT.conf
include owasp-modsecurity-crs/rules/REQUEST-921-PROTOCOL-ATTACK.conf
include owasp-modsecurity-crs/rules/REQUEST-930-APPLICATION-ATTACK-LFI.conf
include owasp-modsecurity-crs/rules/REQUEST-931-APPLICATION-ATTACK-RFI.conf
include owasp-modsecurity-crs/rules/REQUEST-932-APPLICATION-ATTACK-RCE.conf
include owasp-modsecurity-crs/rules/REQUEST-933-APPLICATION-ATTACK-PHP.conf
include owasp-modsecurity-crs/rules/REQUEST-941-APPLICATION-ATTACK-XSS.conf
include owasp-modsecurity-crs/rules/REQUEST-942-APPLICATION-ATTACK-SQLI.conf
include owasp-modsecurity-crs/rules/REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION.conf
include owasp-modsecurity-crs/rules/REQUEST-949-BLOCKING-EVALUATION.conf
include owasp-modsecurity-crs/rules/RESPONSE-950-DATA-LEAKAGES.conf
include owasp-modsecurity-crs/rules/RESPONSE-951-DATA-LEAKAGES-SQL.conf
include owasp-modsecurity-crs/rules/RESPONSE-952-DATA-LEAKAGES-JAVA.conf
include owasp-modsecurity-crs/rules/RESPONSE-953-DATA-LEAKAGES-PHP.conf
include owasp-modsecurity-crs/rules/RESPONSE-954-DATA-LEAKAGES-IIS.conf
include owasp-modsecurity-crs/rules/RESPONSE-959-BLOCKING-EVALUATION.conf
include owasp-modsecurity-crs/rules/RESPONSE-980-CORRELATION.conf
include owasp-modsecurity-crs/rules/RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf

1 H/ V% {$ z: x4 a& z7 }/ y
- x3 _' v/ r" I9 e' d注：考虑到可能对主机性能上的损耗，可以根据实际需求加入对应的漏洞的防护规则即可。
1 }$ d5 O  T& f
' ]4 X7 q& v2 F4 f
5 O6 g- @  S% r& I配置Nginx支持Modsecurity
启用Modsecurity
. Q0 D# W( F. e5 G使用静态模块加载的配置方法
在需要启用Modsecurity的主机的location下面加入下面两行即可：

7 ]7 O6 T8 t+ m+ X1 S. H# g  d
ModSecurityEnabled on;
' [6 D4 x9 h. A2 KModSecurityConfig modsec_includes.conf;
修改Nginx配置文件，在需要启用Modsecurity的location开启Modsecurity。
8 y$ k% C5 I4 i( r* |/ _

$ vim /usr/local/nginx/conf/nginx.conf

( \* h, `" x+ a" C% j0 Q3 _3 ~
server {
2 k6 k+ z- Q2 Z& R  listen       80;
5 z9 F. l# T4 Q5 ?- P  server_name  example.com;
8 T; i3 ?8 K8 F

  location / {
4 ~3 k4 M) p+ ~2 z    ModSecurityEnabled on;
2 ]- y  j2 ^) y3 n7 A: l' @6 t$ X    ModSecurityConfig modsec_includes.conf;
    root   html;
    index  index.html index.htm;
  }
$ s6 |* T1 U  l9 {( Z}
使用动态模块加载的配置方法
在需要启用Modsecurity的主机的location下面加入下面两行即可：
1 \$ E  A! K; F+ L- s( v: @

0 z7 E1 O' v+ a2 \& X# L: V* lmodsecurity on;
+ d; [1 I4 x  Z, D; gmodsecurity_rules_file modsec_includes.conf;
; `: R* T; V; O( i' `' V修改Nginx配置文件，在需要启用Modsecurity的location开启Modsecurity。
0 E# G0 q# |$ y$ P) m$ E
3 t2 Q8 d1 a& Q& \2 c0 Y
+ K0 `; H) p, W9 w0 p& A. H1 O$ vim /usr/local/nginx/conf/nginx.conf


server {
  listen  80;
1 O$ P; O9 U3 I6 u4 O3 ~) p; j8 w  server_name localhost mike.hi-linux.com;
2 s" r' Q( E3 g3 A' b# V  I! t  access_log /var/log/nginx/yourdomain.log;
' }/ K% z/ R/ n- t# O
6 c: c3 g4 m7 H8 l4 A5 T
- F' [$ w  `' [) e9 e  location / {

7 D4 f) b- `7 }& P
  modsecurity on;
  modsecurity_rules_file modsec_includes.conf;
( R; Y& C) u0 O: m) S( Q+ o# Q  root   html;
  index  index.html index.htm;
}
}
8 n) O/ S6 k( \4 ~" T' p验证Nginx配置文件
3 V: U8 G4 F1 s  j$ /usr/local/nginx/sbin/nginx -t
nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
8 Y* W$ y2 |  v$ w$ q6 Rnginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful
启动Nginx
8 a! }: l5 K8 g8 B4 h$ /usr/local/nginx/sbin/nginx -c /usr/local/nginx/conf/nginx.conf
# i; }3 h7 _3 \2 V" n: _
7 b% D. H$ c! W/ d1 J

测试Modsecurity

ModSecurity现在已经成功配置了OWASP的规则。现在我们将测试对一些最常见的Web应用攻击。来测试ModSecurity是否挡住了攻击。这里我们启用了XSS和SQL注入的过滤规则，下面的例子中不正常的请求会直接返回403。

在浏览器中访问默认首页，会看到Nginx默认的欢迎页：

[/url]

这时我们在网址后面自己加上正常参数，例如： 。同样会看到Nginx默认的欢迎页：

[url=http://img.colabug.com/2017/06/842f48f203c6c2cd30144f29b57af97a.png]

接下来，我们在前面正常参数的基础上再加上  ,整个请求变成：

[/url]

就会看到Nginx返回403 Forbidden的信息了，说明Modsecurity成功拦截了此请求。再来看一个的例子，同样会被Modsecurity拦截。

[url=http://img.colabug.com/2017/06/246ce28e95310a32f791893d4f5c55ca.png]

查看Modsecurity日志

[url=http://img.colabug.com/2017/06/ae44dcb58b8a4a0ea761317e398b3101.png][/url]

所有命中规则的外部攻击均会存在modsec_audit.log,用户可以对这个文件中记录进行审计。Log文件位置在modsecurity.conf中SecAuditLog选项配置，Linux默认在 /var/log/modsec_audit.log 。

$ cat /usr/local/nginx/conf/modsecurity.confSecAuditLog /var/log/modsec_audit.log

Modsecurity主要是规则验证(验证已知漏洞)，Nginx下还有另一个功能强大的WAF模块Naxsi。Naxsi最大特点是可以设置学习模式，抓取您的网站产生必要的白名单，以避免误报！Naxsi不依赖于预先定义的签名，Naxsi能够战胜更多复杂/未知/混淆的攻击模式。

5 Q$ e7 w3 m8 e) z1 l