利用ModSecurity在Nginx上构建WAF

admin

ModSecurity原本是Apache上的一款开源WAF模块，可以有效的增强Web安全性。目前已经支持Nginx和IIS，配合Nginx的灵活和高效可以打造成生产级的WAF，是保护和审核Web安全的利器。


0 K/ x# o6 G) x, A6 f在这篇文章中，我们将学习配置ModSecurity与OWASP的核心规则集。
4 j6 A3 T. o3 I

" ^8 h3 g$ V. T& z什么是ModSecurity
ModSecurity是一个入侵侦测与防护引擎，它主要是用于Web应用程序，所以也被称为Web应用程序防火墙(WAF)。它可以作为Web服务器的模块或是单独的应用程序来运作。ModSecurity的功能是增强Web Application 的安全性和保护Web application以避免遭受来自已知与未知的攻击。
. @& _( |  Z) i9 F# X. `
/ v# A7 P- @( U3 J' T3 {
, Z1 O& ?1 Q! ?  c" j1 E/ j# PModSecurity计划是从2002年开始，后来由Breach Security Inc.收购，但Breach Security Inc.允诺ModSecurity仍旧为Open Source，并开放源代码给大家使用。最新版的ModSecurity开始支持核心规则集(Core Rule Set)，CRS可用于定义旨在保护Web应用免受0day及其它安全攻击的规则。

7 P; t& |, f1 a! n% U* W
2 G2 i9 u9 u; e; ~  _* T& lModSecurity还包含了其他一些特性，如并行文本匹配、Geo IP解析和信用卡号检测等，同时还支持内容注入、自动化的规则更新和脚本等内容。此外，它还提供了一个面向Lua语言的新的API，为开发者提供一个脚本平台以实现用于保护Web应用的复杂逻辑。

+ j. X% l4 f2 @/ N, }. q: ^
官网： https://www.modsecurity.org/


& {, m1 F- N( \- A+ Q4 p: k  V4 T; F什么是OWASP CRS
7 ]1 g" t. `7 w, tOWASP是一个安全社区，开发和维护着一套免费的应用程序保护规则，这就是所谓OWASP的ModSecurity的核心规则集(即CRS)。ModSecurity之所以强大就在于OWASP提供的规则，我们可以根据自己的需求选择不同的规则，也可以通过ModSecurity手工创建安全过滤器、定义攻击并实现主动的安全输入验证。
% ^6 h1 L  d/ V7 P& U
& Q# m! L- z1 d6 [! H& l/ T
0 Y+ l/ u7 O; G. rModSecurity核心规则集(CRS)提供以下类别的保护来防止攻击。
. p# u8 o, d/ E) J/ y

$ f8 R7 V: v, s9 XHTTP Protection(HTTP防御)
HTTP协议和本地定义使用的detectsviolations策略。

) S5 @/ z- I0 V  R9 w" ^
Real-time Blacklist Lookups(实时黑名单查询)
3 i: p+ r+ S' G7 V' O. f9 D1 p7 g6 `利用第三方IP名单。


HTTP Denial of Service Protections(HTTP的拒绝服务保护)
/ n3 ^% E2 W; P- m9 X0 i. ]' E, `防御HTTP的洪水攻击和HTTP Dos攻击。
- H9 O1 k, h6 K4 j
7 s) I3 o. g7 ]# e7 ]. F) I( m
- ]& K* {9 i# s" C* x- @+ d4 H2 xCommon Web Attacks Protection(常见的Web攻击防护)
  h. R' U. k) d: y检测常见的Web应用程序的安全攻击。

8 [5 L0 c- z7 H' {2 X) @
# W8 j) E) r0 J! NAutomation Detection(自动化检测)
检测机器人，爬虫，扫描仪和其他表面恶意活动。


$ }3 O3 I! W3 s7 RIntegration with AV Scanning for File Uploads(文件上传防病毒扫描)
( N0 }$ U2 V: E+ K1 v检测通过Web应用程序上传的恶意文件。

/ q. h  b/ g, I6 E0 I+ g# F
Tracking Sensitive Data(跟踪敏感数据)
  T" n' k0 s7 k! W# ^' \" ]: F7 @6 F信用卡通道的使用，并阻止泄漏。

* @. a: I, t, s+ r  H( k
Trojan Protection(木马防护)
9 A# Y( T5 S9 n' ]检测访问木马。

, F/ Q! F' v8 C8 D  J; ]
; L/ H& H0 n: K- _5 ?Identification of Application Defects(应用程序缺陷的鉴定)
检测应用程序的错误配置警报。
. n5 s. I( A% d9 _: H
- B6 B- q1 m; d
Error Detection and Hiding(错误检测和隐藏)
检测伪装服务器发送错误消息。
4 }  R! y+ d% A/ _) {; q, z
( q( O+ t- U- `& c- A
  t/ u0 s; P( g安装ModSecurity
软件基础环境准备
( ?  B# g8 ~5 A/ g2 A下载对应软件包
3 {/ `* }6 W. n9 l; S. b$ cd /root
$ wget 'http://nginx.org/download/nginx-1.9.2.tar.gz'
$ wget -O modsecurity-2.9.1.tar.gz https://github.com/SpiderLabs/ModSecurity/releases/download/v2.9.1/modsecurity-2.9.1.tar.gz
& L) Z/ V' |/ U  V3 J; P. G. E安装Nginx和ModSecurity依赖包
Centos/RHEL
5 _' |& E, T5 x

$ yum install httpd-devel apr apr-util-devel apr-devel  pcre pcre-devel  libxml2 libxml2-devel zlib zlib-devel openssl openssl-devel
Ubuntu/Debian


1 ]' t1 l- V9 m" L5 a$ [# L) w$ apt-get install libreadline-dev libncurses5-dev libssl-dev perl make build-essential git  libpcre3 libpcre3-dev libtool autoconf apache2-dev libxml2 libxml2-dev libcurl4-openssl-dev g++ flex bison curl doxygen libyajl-dev libgeoip-dev dh-autoreconf libpcre++-dev
, z/ |! f: y0 s; Y5 j# O3 |1 F' E# K( o编译安装ModSecurity
, t2 i  ~; Y- \% xNginx加载ModSecurity模块有两种方式:一种是编译为Nginx静态模块，一种是通过ModSecurity-Nginx Connector加载动态模块。
, f& H; t. I5 g) G6 i6 d- q  q6 ?

方法一：编译为Nginx静态模块
4 n# {# Q) v  e9 m* G
8 W9 g/ E) p0 h
编译为独立模块(modsecurity-2.9.1)
$ tar xzvf modsecurity-2.9.1.tar.gz
$ cd modsecurity-2.9.1/
$ ./autogen.sh
5 w" Y! Y& |- k  \6 F$ ./configure --enable-standalone-module --disable-mlogc
6 `- K3 w$ c( \( P% G( D" w9 N5 ?$ make
编译安装Nginx并添加ModSecurity模块
$ tar xzvf nginx-1.9.2.tar.gz
  v/ Z' n; H* w$ cd nginx-1.9.2
+ t# r) f& t) R/ D$ ./configure --add-module=/root/modsecurity-2.9.1/nginx/modsecurity/
! y4 s6 f1 C: b* j( w$ make && make install
方法二：编译通过ModSecurity-Nginx Connector加载的动态模块

: M3 L/ j0 m3 x8 x
编译LibModSecurity(modsecurity-3.0)
$ `: j4 q1 `3 u$ cd /root
  `" S+ F4 X* s$ git clone https://github.com/SpiderLabs/ModSecurity
$ cd ModSecurity
$ git checkout -b v3/master origin/v3/master
$ sh build.sh
$ git submodule init
$ git submodule update
' G  M6 Z2 w3 c# S0 E' K' z2 w3 W/ t* P$ ./configure
$ make
/ F. H2 Q/ F2 J8 @8 L$ make install
LibModSecurity会安装在 /usr/local/modsecurity/lib 目录下。
: @3 K7 N1 r6 s0 x/ w9 V( {- {4 x
1 j4 k' \1 y" C" I7 n" j! `; _
$ ls /usr/local/modsecurity/lib
libmodsecurity.a  libmodsecurity.la  libmodsecurity.so  libmodsecurity.so.3  libmodsecurity.so.3.0.0
编译安装Nginx并添加ModSecurity-Nginx Connector模块
使用ModSecurity-Nginx模块来连接LibModSecurity
7 l3 y, z& s; e+ F+ j& _3 u

! A9 v# u. M) T; t: s$ cd /root
$ git clone https://github.com/SpiderLabs/ModSecurity-nginx.git modsecurity-nginx
3 B2 D3 _/ E! B$ tar xzvf nginx-1.9.2.tar.gz
! |, Z2 R( d; G" I. Q/ l$ cd nginx-1.9.2
6 {- A; p0 w# d$ |$ ./configure --add-module=/root/modsecurity-nginx
$ make
2 D- |! a2 U0 l% e$ c$ make && make install
添加OWASP规则
ModSecurity倾向于过滤和阻止Web危险，之所以强大就在于规则。OWASP提供的规则是社区志愿者维护的被称为核心规则CRS,规则可靠强大，当然也可以自定义规则来满足各种需求。
% u( u. F$ H) G$ \7 L& p9 i
8 \$ r  b  Q0 ?" K" ?3 `
( w$ l7 n/ _' x, I3 R下载OWASP规则并生成配置文件
$ git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git
* Q! t- d$ G4 `$ cp -rf owasp-modsecurity-crs  /usr/local/nginx/conf/
! K- b2 l8 Y+ ?& z$ O) m$ cd /usr/local/nginx/conf/owasp-modsecurity-crs
$ cp crs-setup.conf.example  crs-setup.conf
' r% g& h  t: m4 k配置OWASP规则
+ c. b% x# C9 d编辑crs-setup.conf文件

" }" ]$ D) j" j/ [+ p) B6 g
" S5 e; m$ j5 h) r/ d( `! J8 K* H$ sed -ie 's/SecDefaultAction "phase:1,log,auditlog,pass"/#SecDefaultAction "phase:1,log,auditlog,pass"/g' crs-setup.conf
: n/ `+ ?7 m: R- e  ~$ sed -ie 's/SecDefaultAction "phase:2,log,auditlog,pass"/#SecDefaultAction "phase:2,log,auditlog,pass"/g' crs-setup.conf
& z  K! k* c- q. M$ P) S# C$ sed -ie 's/#.*SecDefaultAction "phase:1,log,auditlog,deny,status:403"/SecDefaultAction "phase:1,log,auditlog,deny,status:403"/g' crs-setup.conf
$ sed -ie 's/# SecDefaultAction "phase:2,log,auditlog,deny,status:403"/SecDefaultAction "phase:2,log,auditlog,deny,status:403"/g' crs-setup.conf
8 p( ]9 r1 V+ q/ C" {" K  z" s3 J默认ModSecurity不会阻挡恶意连接，只会记录在Log里。修改SecDefaultAction选项，默认开启阻挡。

+ p$ [( L, [$ S9 Y8 Z" V
, P7 o) a+ {4 A) [9 g2 c  `) X- |启用ModSecurity模块和CRS规则
* s$ M- r  b$ V: ~复制ModSecurity源码目录下的modsecurity.conf-recommended和unicode.mapping到Nginx的conf目录下，并将modsecurity.conf-recommended重新命名为modsecurity.conf。
8 f( d% t6 ?7 s0 _

modsecurity.conf-recommended是ModSecurity工作的主配置文件。默认情况下，它带有.recommended扩展名。要初始化ModSecurity，我们就要重命名此文件。
! j& |2 _0 o  l0 ^- M

$ cd /root/modsecurity-2.9.1/
$ cp modsecurity.conf-recommended /usr/local/nginx/conf/modsecurity.conf  
' Y+ F: ^- B, V+ b( S: z$ cp unicode.mapping  /usr/local/nginx/conf/
将SecRuleEngine设置为On，默认值为DetectOnly即为观察模式，建议大家在安装时先默认使用这个模式，规则测试完成后在设置为On，避免出现对网站、服务器某些不可知的影响。

3 G; X! j1 R; Y/ y
* I# i/ G% X0 ]- D0 Y$ vim /usr/local/nginx/conf/modsecurity.conf
8 P3 b, l: s  [0 z& TSecRuleEngine On
ModSecurity中几个常用配置说明：
9 L, J1 M8 g" l2 N" y
* ^* P/ h4 I/ m, `0 C
9 n$ P  U: K- O3 X; ~% t) [5 S1.SecRuleEngine：是否接受来自ModSecurity-CRS目录下的所有规则的安全规则引擎。因此，我们可以根据需求设置不同的规则。要设置不同的规则有以下几种。SecRuleEngine On：将在服务器上激活ModSecurity防火墙，它会检测并阻止该服务器上的任何恶意攻击。SecRuleEngine Detection Only：如果设置这个规则它只会检测到所有的攻击，并根据攻击产生错误，但它不会在服务器上阻止任何东西。SecRuleEngine Off:这将在服务器上上停用ModSecurity的防火墙。

: s4 b& ]1 X; E
2.SecRequestBodyAccess：它会告诉ModSecurity是否会检查请求，它起着非常重要的作用。它只有两个参数ON或OFF。
$ z  W  _) N$ \/ v; |

4 q$ w" D' M: p+ A3.SecResponseBodyAccess：如果此参数设置为ON，然后ModeSecurity可以分析服务器响应，并做适当处理。它也有只有两个参数ON和Off，我们可以根据求要进行设置。

& @. C) w9 e3 u6 v- `1 o
! A6 m' L* V1 l% G  [" q4.SecDataDir：定义ModSecurity的工作目录，该目录将作为ModSecurity的临时目录使用。

# R$ ?9 @, |1 s/ i
在 owasp-modsecurity-crs/rules 下有很多定义好的规则，将需要启用的规则用Include指令添加进来就可以了。


3.x版本CRS
$ cd /usr/local/nginx/conf/owasp-modsecurity-crs
0 Z" e' F1 J& @' c6 {" n& p- h; X) [8 v# 生成例外排除请求的配置文件
$ cp rules/REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf.example rules/REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf
$ cp rules/RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf.example rules/RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf
$ cp rules/*.data /usr/local/nginx/conf
# P; b' _% V$ g, b1 U为了保持modsecurity.conf简洁，这里新建一个modsec_includes.conf文件,内容为需要启用的规则。


/ d! r4 E- L; k$ ^& f8 H, C( O' H$ vim /usr/local/nginx/conf/modsec_includes.conf

/ H/ s. s/ }- ^: r) w; D6 |

[Bash shell] 纯文本查看 复制代码

include modsecurity.conf
include owasp-modsecurity-crs/crs-setup.conf
include owasp-modsecurity-crs/rules/REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf
include owasp-modsecurity-crs/rules/REQUEST-901-INITIALIZATION.conf
Include owasp-modsecurity-crs/rules/REQUEST-903.9002-WORDPRESS-EXCLUSION-RULES.conf
include owasp-modsecurity-crs/rules/REQUEST-905-COMMON-EXCEPTIONS.conf
include owasp-modsecurity-crs/rules/REQUEST-910-IP-REPUTATION.conf
include owasp-modsecurity-crs/rules/REQUEST-911-METHOD-ENFORCEMENT.conf
include owasp-modsecurity-crs/rules/REQUEST-912-DOS-PROTECTION.conf
include owasp-modsecurity-crs/rules/REQUEST-913-SCANNER-DETECTION.conf
include owasp-modsecurity-crs/rules/REQUEST-920-PROTOCOL-ENFORCEMENT.conf
include owasp-modsecurity-crs/rules/REQUEST-921-PROTOCOL-ATTACK.conf
include owasp-modsecurity-crs/rules/REQUEST-930-APPLICATION-ATTACK-LFI.conf
include owasp-modsecurity-crs/rules/REQUEST-931-APPLICATION-ATTACK-RFI.conf
include owasp-modsecurity-crs/rules/REQUEST-932-APPLICATION-ATTACK-RCE.conf
include owasp-modsecurity-crs/rules/REQUEST-933-APPLICATION-ATTACK-PHP.conf
include owasp-modsecurity-crs/rules/REQUEST-941-APPLICATION-ATTACK-XSS.conf
include owasp-modsecurity-crs/rules/REQUEST-942-APPLICATION-ATTACK-SQLI.conf
include owasp-modsecurity-crs/rules/REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION.conf
include owasp-modsecurity-crs/rules/REQUEST-949-BLOCKING-EVALUATION.conf
include owasp-modsecurity-crs/rules/RESPONSE-950-DATA-LEAKAGES.conf
include owasp-modsecurity-crs/rules/RESPONSE-951-DATA-LEAKAGES-SQL.conf
include owasp-modsecurity-crs/rules/RESPONSE-952-DATA-LEAKAGES-JAVA.conf
include owasp-modsecurity-crs/rules/RESPONSE-953-DATA-LEAKAGES-PHP.conf
include owasp-modsecurity-crs/rules/RESPONSE-954-DATA-LEAKAGES-IIS.conf
include owasp-modsecurity-crs/rules/RESPONSE-959-BLOCKING-EVALUATION.conf
include owasp-modsecurity-crs/rules/RESPONSE-980-CORRELATION.conf
include owasp-modsecurity-crs/rules/RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf

% Z) ?- v5 T1 k: ^2 V0 |5 B" a
1 F5 \8 b% m& u, y( q! T注：考虑到可能对主机性能上的损耗，可以根据实际需求加入对应的漏洞的防护规则即可。

" w' h2 K" i' Y% D% S# ]
/ p1 x2 }8 C: X1 E: J2 o+ K% S" }配置Nginx支持Modsecurity
启用Modsecurity
使用静态模块加载的配置方法
在需要启用Modsecurity的主机的location下面加入下面两行即可：

! v- M* D/ O% x
7 F0 J3 ~! y% A7 w' bModSecurityEnabled on;
( ]5 Z( n3 a% u5 }4 K; w/ MModSecurityConfig modsec_includes.conf;
修改Nginx配置文件，在需要启用Modsecurity的location开启Modsecurity。
3 m  D% n3 `6 d6 M. c+ i
# T. X' J* Z+ Z/ ~  a, O
$ vim /usr/local/nginx/conf/nginx.conf

1 H- S0 g- X9 K% X4 y" E
server {
  listen       80;
  server_name  example.com;
5 u, \! V' a6 b& j
8 G2 O3 i- \  F
! X* i) T4 Q& V1 m3 C  location / {
    ModSecurityEnabled on;
  |& ]* ~2 O- i, D( s8 q: c8 ]    ModSecurityConfig modsec_includes.conf;
9 [2 ]8 \: T* l8 Z9 A$ l    root   html;
. z7 M3 t/ [3 F+ E" A& E& p    index  index.html index.htm;
  }
4 \% J! m8 \" o; x}
, |3 r! g4 I2 B0 i使用动态模块加载的配置方法
+ G6 b( o( z, ?0 H0 x3 X. L在需要启用Modsecurity的主机的location下面加入下面两行即可：

8 S  K5 c  a5 H. [7 ], i4 V
modsecurity on;
modsecurity_rules_file modsec_includes.conf;
, |. j" w3 `1 S; T; Q9 p修改Nginx配置文件，在需要启用Modsecurity的location开启Modsecurity。


$ vim /usr/local/nginx/conf/nginx.conf
2 I5 F* A2 j9 H2 P& }

server {
$ y! o5 N: ^% J9 B0 _. B6 K' K, F' b  listen  80;
3 N& d  }7 K# v, J8 i( r3 b  server_name localhost mike.hi-linux.com;
  access_log /var/log/nginx/yourdomain.log;

0 k6 ?6 d8 Z$ C! U3 b! {
5 l+ J& n, N# |, }3 _! r& t  location / {
& b" L5 A" i2 o' {

0 @% {5 J( R4 {5 W. S  a$ Y  modsecurity on;
, s. D6 T9 t+ I  T( e7 S% F& _& _  modsecurity_rules_file modsec_includes.conf;
3 _" W+ n1 y8 D# P) D' O  root   html;
3 F( r. L" A" d$ N6 y, Q# d  index  index.html index.htm;
. y, F: a0 U1 z4 Y  t}
$ |4 B2 \0 {8 f# A' x1 j; v  d}
( \7 q2 t* G' r8 _. \7 G验证Nginx配置文件
( D3 H1 J7 {7 W$ /usr/local/nginx/sbin/nginx -t
: z9 E3 e) I4 ~/ A9 s5 \2 Lnginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
3 o% G: A* {1 Y2 S( jnginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful
3 j7 F* Z7 b+ k1 A$ \启动Nginx
: d& a" Q" p- h' B; v$ /usr/local/nginx/sbin/nginx -c /usr/local/nginx/conf/nginx.conf
; M* L$ r$ U) O/ q' D
& V6 I" C8 z1 C1 m

测试Modsecurity

ModSecurity现在已经成功配置了OWASP的规则。现在我们将测试对一些最常见的Web应用攻击。来测试ModSecurity是否挡住了攻击。这里我们启用了XSS和SQL注入的过滤规则，下面的例子中不正常的请求会直接返回403。

在浏览器中访问默认首页，会看到Nginx默认的欢迎页：

[/url]

这时我们在网址后面自己加上正常参数，例如： 。同样会看到Nginx默认的欢迎页：

[url=http://img.colabug.com/2017/06/842f48f203c6c2cd30144f29b57af97a.png]

接下来，我们在前面正常参数的基础上再加上  ,整个请求变成：

[/url]

就会看到Nginx返回403 Forbidden的信息了，说明Modsecurity成功拦截了此请求。再来看一个的例子，同样会被Modsecurity拦截。

[url=http://img.colabug.com/2017/06/246ce28e95310a32f791893d4f5c55ca.png]

查看Modsecurity日志

[url=http://img.colabug.com/2017/06/ae44dcb58b8a4a0ea761317e398b3101.png][/url]

所有命中规则的外部攻击均会存在modsec_audit.log,用户可以对这个文件中记录进行审计。Log文件位置在modsecurity.conf中SecAuditLog选项配置，Linux默认在 /var/log/modsec_audit.log 。

$ cat /usr/local/nginx/conf/modsecurity.confSecAuditLog /var/log/modsec_audit.log

Modsecurity主要是规则验证(验证已知漏洞)，Nginx下还有另一个功能强大的WAF模块Naxsi。Naxsi最大特点是可以设置学习模式，抓取您的网站产生必要的白名单，以避免误报！Naxsi不依赖于预先定义的签名，Naxsi能够战胜更多复杂/未知/混淆的攻击模式。