利用ModSecurity在Nginx上构建WAF

admin

ModSecurity原本是Apache上的一款开源WAF模块，可以有效的增强Web安全性。目前已经支持Nginx和IIS，配合Nginx的灵活和高效可以打造成生产级的WAF，是保护和审核Web安全的利器。
" L! _7 T/ f3 P$ e- z/ w. e0 ]+ S
/ `# D7 h. H8 S5 I$ O; }
在这篇文章中，我们将学习配置ModSecurity与OWASP的核心规则集。
6 r& w) E; l; L& M1 b$ T  W

什么是ModSecurity
ModSecurity是一个入侵侦测与防护引擎，它主要是用于Web应用程序，所以也被称为Web应用程序防火墙(WAF)。它可以作为Web服务器的模块或是单独的应用程序来运作。ModSecurity的功能是增强Web Application 的安全性和保护Web application以避免遭受来自已知与未知的攻击。
; T8 M; n1 L; S0 d8 `) P

6 a- q6 R0 V& u6 K& \( Q2 p. fModSecurity计划是从2002年开始，后来由Breach Security Inc.收购，但Breach Security Inc.允诺ModSecurity仍旧为Open Source，并开放源代码给大家使用。最新版的ModSecurity开始支持核心规则集(Core Rule Set)，CRS可用于定义旨在保护Web应用免受0day及其它安全攻击的规则。
, L, z, p0 {( i

4 f5 x8 V" I9 W! }) KModSecurity还包含了其他一些特性，如并行文本匹配、Geo IP解析和信用卡号检测等，同时还支持内容注入、自动化的规则更新和脚本等内容。此外，它还提供了一个面向Lua语言的新的API，为开发者提供一个脚本平台以实现用于保护Web应用的复杂逻辑。


$ F+ N/ ^, X% i2 u$ Z/ ]官网： https://www.modsecurity.org/

/ ]5 o3 R6 N/ a/ x/ z8 f
什么是OWASP CRS
+ e5 z5 F! H+ q( pOWASP是一个安全社区，开发和维护着一套免费的应用程序保护规则，这就是所谓OWASP的ModSecurity的核心规则集(即CRS)。ModSecurity之所以强大就在于OWASP提供的规则，我们可以根据自己的需求选择不同的规则，也可以通过ModSecurity手工创建安全过滤器、定义攻击并实现主动的安全输入验证。
. r2 U: _3 a8 k' w% R
7 t/ y* |$ P, Z, U1 C5 y& J# U0 y, j
ModSecurity核心规则集(CRS)提供以下类别的保护来防止攻击。


HTTP Protection(HTTP防御)
HTTP协议和本地定义使用的detectsviolations策略。


Real-time Blacklist Lookups(实时黑名单查询)
利用第三方IP名单。


' _6 A, w7 a' w* @- ^HTTP Denial of Service Protections(HTTP的拒绝服务保护)
防御HTTP的洪水攻击和HTTP Dos攻击。
8 ^( ~1 ]2 w! _4 Z7 p8 ?; H
9 \7 X0 l; @4 e4 X2 i  ]
Common Web Attacks Protection(常见的Web攻击防护)
" s- E/ B5 R+ I! R+ c% i  _检测常见的Web应用程序的安全攻击。
$ r; l4 V0 A5 g& F( w: M

Automation Detection(自动化检测)
检测机器人，爬虫，扫描仪和其他表面恶意活动。
/ m0 w+ w. m3 A  O! U/ Z

Integration with AV Scanning for File Uploads(文件上传防病毒扫描)
( S! U9 j* {( i, j6 O检测通过Web应用程序上传的恶意文件。
' y5 V1 B9 E; m8 y4 F
8 ]; }" {; D2 G: G' n$ A7 _( X: s
Tracking Sensitive Data(跟踪敏感数据)
信用卡通道的使用，并阻止泄漏。

8 [# C$ J4 t+ `/ t
7 r6 @7 E6 u  O' ^Trojan Protection(木马防护)
) r/ M+ R& z8 r4 G1 ?检测访问木马。
9 V* V- h2 C5 f( P% T" V, u( e" h

& e# S2 Q! ^* B7 a0 vIdentification of Application Defects(应用程序缺陷的鉴定)
3 [8 J: Z! U' Y; M检测应用程序的错误配置警报。

3 \1 U/ e1 v6 B& f/ c: G9 G; l1 u
7 D: V- j4 V& c  [9 ^Error Detection and Hiding(错误检测和隐藏)
4 R& I" b% L; p" [' o1 i检测伪装服务器发送错误消息。
; f, S% c5 t- l, }" w

; h8 D% \" t, ?3 K安装ModSecurity
6 l; _# x2 c, Y软件基础环境准备
6 G0 i4 ]  Y- Z! \: q/ G下载对应软件包
4 F0 ~* P' |! b; G$ cd /root
' d8 W3 L# E; `$ wget 'http://nginx.org/download/nginx-1.9.2.tar.gz'
$ wget -O modsecurity-2.9.1.tar.gz https://github.com/SpiderLabs/ModSecurity/releases/download/v2.9.1/modsecurity-2.9.1.tar.gz
安装Nginx和ModSecurity依赖包
& [( z  }' {# f( A7 G; E  tCentos/RHEL
7 P* x( j; g6 C" d& _

$ yum install httpd-devel apr apr-util-devel apr-devel  pcre pcre-devel  libxml2 libxml2-devel zlib zlib-devel openssl openssl-devel
8 `4 }* o" {1 L- dUbuntu/Debian
- l1 E) A! {% E" k
& Z, P2 m4 K8 C, |% c, P0 U
0 g* q2 h# p" H0 {% a& J- p$ apt-get install libreadline-dev libncurses5-dev libssl-dev perl make build-essential git  libpcre3 libpcre3-dev libtool autoconf apache2-dev libxml2 libxml2-dev libcurl4-openssl-dev g++ flex bison curl doxygen libyajl-dev libgeoip-dev dh-autoreconf libpcre++-dev
编译安装ModSecurity
# p2 a+ i0 F% T+ }5 B3 jNginx加载ModSecurity模块有两种方式:一种是编译为Nginx静态模块，一种是通过ModSecurity-Nginx Connector加载动态模块。


  v' ~6 U$ L* Z8 D4 U$ k( e方法一：编译为Nginx静态模块
7 j% n' q, g2 p
* n2 k( C/ o$ {. e) M
编译为独立模块(modsecurity-2.9.1)
$ tar xzvf modsecurity-2.9.1.tar.gz
/ h# b2 k; A+ C- G$ m$ cd modsecurity-2.9.1/
6 Y: E' U$ P+ h2 r$ ./autogen.sh
$ ./configure --enable-standalone-module --disable-mlogc
2 O: k8 Z9 E5 G$ make
7 w: Z3 o$ {) Z5 R% N+ L编译安装Nginx并添加ModSecurity模块
# S% R5 o7 R0 ]6 F6 q$ tar xzvf nginx-1.9.2.tar.gz
6 E' c3 _8 _' y2 s% ?4 ]$ cd nginx-1.9.2
$ ./configure --add-module=/root/modsecurity-2.9.1/nginx/modsecurity/
$ make && make install
方法二：编译通过ModSecurity-Nginx Connector加载的动态模块
8 y3 W, K1 T* s; Z. t
+ F( X7 r$ {" f3 J$ N  e+ t/ O+ k
编译LibModSecurity(modsecurity-3.0)
/ T9 H/ V% |" E: p- ?* b5 {1 o$ cd /root
$ git clone https://github.com/SpiderLabs/ModSecurity
$ cd ModSecurity
! h% p7 ]' h0 n& p; W$ git checkout -b v3/master origin/v3/master
$ sh build.sh
. X4 e8 |6 U$ z8 k2 `$ git submodule init
. O6 Q$ O! C4 \, U' o$ git submodule update
. T( Q* ^  W* U& T* L! ]! }/ B$ ./configure
$ make
$ make install
LibModSecurity会安装在 /usr/local/modsecurity/lib 目录下。


2 `, P8 b6 v; G- w) @( ?$ ls /usr/local/modsecurity/lib
# l- i0 t$ S( X7 ^* J7 `; C1 U6 U# \libmodsecurity.a  libmodsecurity.la  libmodsecurity.so  libmodsecurity.so.3  libmodsecurity.so.3.0.0
编译安装Nginx并添加ModSecurity-Nginx Connector模块
使用ModSecurity-Nginx模块来连接LibModSecurity
  K% y7 f+ c) @5 n6 g
8 y1 n# w1 T7 s
  F* L$ L# r# [$ cd /root
$ git clone https://github.com/SpiderLabs/ModSecurity-nginx.git modsecurity-nginx
$ tar xzvf nginx-1.9.2.tar.gz
' g% g' C! \3 D2 H7 k" G; f$ cd nginx-1.9.2
# n! A/ N) K# ?; Q$ ./configure --add-module=/root/modsecurity-nginx
  Y; H2 S: M; a0 r' _8 z4 \. G$ make
( B0 U/ x$ |+ G, A( y8 p$ make && make install
添加OWASP规则
ModSecurity倾向于过滤和阻止Web危险，之所以强大就在于规则。OWASP提供的规则是社区志愿者维护的被称为核心规则CRS,规则可靠强大，当然也可以自定义规则来满足各种需求。

# c/ G! M, n+ E5 Y- J; s3 A
2 _' P& L2 y: m下载OWASP规则并生成配置文件
$ git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git
$ cp -rf owasp-modsecurity-crs  /usr/local/nginx/conf/
$ cd /usr/local/nginx/conf/owasp-modsecurity-crs
$ cp crs-setup.conf.example  crs-setup.conf
配置OWASP规则
编辑crs-setup.conf文件


$ sed -ie 's/SecDefaultAction "phase:1,log,auditlog,pass"/#SecDefaultAction "phase:1,log,auditlog,pass"/g' crs-setup.conf
$ sed -ie 's/SecDefaultAction "phase:2,log,auditlog,pass"/#SecDefaultAction "phase:2,log,auditlog,pass"/g' crs-setup.conf
$ sed -ie 's/#.*SecDefaultAction "phase:1,log,auditlog,deny,status:403"/SecDefaultAction "phase:1,log,auditlog,deny,status:403"/g' crs-setup.conf
/ g: Q$ }/ u1 o5 X% e1 G  N$ sed -ie 's/# SecDefaultAction "phase:2,log,auditlog,deny,status:403"/SecDefaultAction "phase:2,log,auditlog,deny,status:403"/g' crs-setup.conf
1 Y- Z6 t- J( y默认ModSecurity不会阻挡恶意连接，只会记录在Log里。修改SecDefaultAction选项，默认开启阻挡。

( |; ?$ P. m# A0 N6 {) J. u2 a
启用ModSecurity模块和CRS规则
4 ~! ~. y' A& f4 @, u复制ModSecurity源码目录下的modsecurity.conf-recommended和unicode.mapping到Nginx的conf目录下，并将modsecurity.conf-recommended重新命名为modsecurity.conf。

; w' g+ }  i, a) R3 v% m  V: B
modsecurity.conf-recommended是ModSecurity工作的主配置文件。默认情况下，它带有.recommended扩展名。要初始化ModSecurity，我们就要重命名此文件。


$ cd /root/modsecurity-2.9.1/
$ cp modsecurity.conf-recommended /usr/local/nginx/conf/modsecurity.conf  
$ cp unicode.mapping  /usr/local/nginx/conf/
将SecRuleEngine设置为On，默认值为DetectOnly即为观察模式，建议大家在安装时先默认使用这个模式，规则测试完成后在设置为On，避免出现对网站、服务器某些不可知的影响。
0 K+ p) n" r4 H; b& h
7 O+ t* a& c9 r0 P
, @; a* R/ q$ W" A4 l$ vim /usr/local/nginx/conf/modsecurity.conf
  T: K3 Y( L2 y, [6 rSecRuleEngine On
7 e, o7 g8 b# DModSecurity中几个常用配置说明：

4 H6 ~' e% R& E. ^- A6 H! H
9 f( z; g" T0 W% [1.SecRuleEngine：是否接受来自ModSecurity-CRS目录下的所有规则的安全规则引擎。因此，我们可以根据需求设置不同的规则。要设置不同的规则有以下几种。SecRuleEngine On：将在服务器上激活ModSecurity防火墙，它会检测并阻止该服务器上的任何恶意攻击。SecRuleEngine Detection Only：如果设置这个规则它只会检测到所有的攻击，并根据攻击产生错误，但它不会在服务器上阻止任何东西。SecRuleEngine Off:这将在服务器上上停用ModSecurity的防火墙。
( \; L8 s3 @2 Y" n! }

0 Q" k3 r& a" g) L* p( N2.SecRequestBodyAccess：它会告诉ModSecurity是否会检查请求，它起着非常重要的作用。它只有两个参数ON或OFF。
! K& m% _( q" X0 A
2 M3 P' b% o. g. Z4 P/ r3 d3 f
3.SecResponseBodyAccess：如果此参数设置为ON，然后ModeSecurity可以分析服务器响应，并做适当处理。它也有只有两个参数ON和Off，我们可以根据求要进行设置。
5 p) C" f0 v1 P! @! ^, q

# N& ^1 `" \0 r4.SecDataDir：定义ModSecurity的工作目录，该目录将作为ModSecurity的临时目录使用。

( c. D. r$ t0 k
在 owasp-modsecurity-crs/rules 下有很多定义好的规则，将需要启用的规则用Include指令添加进来就可以了。


0 ?! F' v. z9 C. V3.x版本CRS
2 I7 _$ B) M/ r/ ~: ~6 h$ cd /usr/local/nginx/conf/owasp-modsecurity-crs
# 生成例外排除请求的配置文件
  a4 x- t2 e4 E! \7 V! D' j$ cp rules/REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf.example rules/REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf
$ cp rules/RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf.example rules/RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf
$ cp rules/*.data /usr/local/nginx/conf
为了保持modsecurity.conf简洁，这里新建一个modsec_includes.conf文件,内容为需要启用的规则。

4 f, B3 i+ e) r- P3 b. B
8 ]" T% m& o. ]3 N$ vim /usr/local/nginx/conf/modsec_includes.conf
4 q$ b" K8 A/ I* p0 [) d% T

[Bash shell] 纯文本查看 复制代码

include modsecurity.conf
include owasp-modsecurity-crs/crs-setup.conf
include owasp-modsecurity-crs/rules/REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf
include owasp-modsecurity-crs/rules/REQUEST-901-INITIALIZATION.conf
Include owasp-modsecurity-crs/rules/REQUEST-903.9002-WORDPRESS-EXCLUSION-RULES.conf
include owasp-modsecurity-crs/rules/REQUEST-905-COMMON-EXCEPTIONS.conf
include owasp-modsecurity-crs/rules/REQUEST-910-IP-REPUTATION.conf
include owasp-modsecurity-crs/rules/REQUEST-911-METHOD-ENFORCEMENT.conf
include owasp-modsecurity-crs/rules/REQUEST-912-DOS-PROTECTION.conf
include owasp-modsecurity-crs/rules/REQUEST-913-SCANNER-DETECTION.conf
include owasp-modsecurity-crs/rules/REQUEST-920-PROTOCOL-ENFORCEMENT.conf
include owasp-modsecurity-crs/rules/REQUEST-921-PROTOCOL-ATTACK.conf
include owasp-modsecurity-crs/rules/REQUEST-930-APPLICATION-ATTACK-LFI.conf
include owasp-modsecurity-crs/rules/REQUEST-931-APPLICATION-ATTACK-RFI.conf
include owasp-modsecurity-crs/rules/REQUEST-932-APPLICATION-ATTACK-RCE.conf
include owasp-modsecurity-crs/rules/REQUEST-933-APPLICATION-ATTACK-PHP.conf
include owasp-modsecurity-crs/rules/REQUEST-941-APPLICATION-ATTACK-XSS.conf
include owasp-modsecurity-crs/rules/REQUEST-942-APPLICATION-ATTACK-SQLI.conf
include owasp-modsecurity-crs/rules/REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION.conf
include owasp-modsecurity-crs/rules/REQUEST-949-BLOCKING-EVALUATION.conf
include owasp-modsecurity-crs/rules/RESPONSE-950-DATA-LEAKAGES.conf
include owasp-modsecurity-crs/rules/RESPONSE-951-DATA-LEAKAGES-SQL.conf
include owasp-modsecurity-crs/rules/RESPONSE-952-DATA-LEAKAGES-JAVA.conf
include owasp-modsecurity-crs/rules/RESPONSE-953-DATA-LEAKAGES-PHP.conf
include owasp-modsecurity-crs/rules/RESPONSE-954-DATA-LEAKAGES-IIS.conf
include owasp-modsecurity-crs/rules/RESPONSE-959-BLOCKING-EVALUATION.conf
include owasp-modsecurity-crs/rules/RESPONSE-980-CORRELATION.conf
include owasp-modsecurity-crs/rules/RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf

注：考虑到可能对主机性能上的损耗，可以根据实际需求加入对应的漏洞的防护规则即可。


配置Nginx支持Modsecurity
启用Modsecurity
+ R$ y# d) }+ d* ~0 f* H使用静态模块加载的配置方法
在需要启用Modsecurity的主机的location下面加入下面两行即可：


0 m( x/ g$ V% o# J) N& l% hModSecurityEnabled on;
ModSecurityConfig modsec_includes.conf;
8 s& x7 z8 J' I7 Q2 j# J修改Nginx配置文件，在需要启用Modsecurity的location开启Modsecurity。
% w2 J+ g- y' h- f

$ vim /usr/local/nginx/conf/nginx.conf


' m! o5 T5 ~/ k& C# h& a  |3 Yserver {
  listen       80;
+ ~" q& v8 t# h; F( l# x  K  server_name  example.com;
3 S/ i3 b1 {6 r9 ^3 }) b8 U

  location / {
8 \- j5 Z6 H: b8 A3 B& E    ModSecurityEnabled on;
    ModSecurityConfig modsec_includes.conf;
    root   html;
    index  index.html index.htm;
  }
* e2 s+ x* c( ^" n  j. ?0 p2 ?3 K; s}
使用动态模块加载的配置方法
* h9 o) d. I& O4 T4 [在需要启用Modsecurity的主机的location下面加入下面两行即可：
8 s8 ~! x( o, m5 |

modsecurity on;
modsecurity_rules_file modsec_includes.conf;
修改Nginx配置文件，在需要启用Modsecurity的location开启Modsecurity。

& b& r) L5 x8 a* e
$ vim /usr/local/nginx/conf/nginx.conf

( R' K7 V; ^5 D* a& W
+ A$ z, ]  o7 n) T2 iserver {
! }% `( H) P- L: l. u3 ^0 O) g- p# ]  listen  80;
  server_name localhost mike.hi-linux.com;
  access_log /var/log/nginx/yourdomain.log;
! L  W& t" ]# }7 b2 s1 w* L
8 Y1 a/ i" T* F
  location / {


  modsecurity on;
5 s" n& ^8 ]$ P2 s9 o  c  modsecurity_rules_file modsec_includes.conf;
: S2 O2 c& E6 S0 F' h  root   html;
  index  index.html index.htm;
}
. m" J9 A% M% J( V}
验证Nginx配置文件
, }3 q4 j( i$ J$ v, r$ /usr/local/nginx/sbin/nginx -t
5 T+ s* N5 K( O8 znginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
) y. _5 W" C) j4 e, e8 X! |3 `nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful
' V" Q$ }) Y4 Z6 ^3 o. ^启动Nginx
$ /usr/local/nginx/sbin/nginx -c /usr/local/nginx/conf/nginx.conf

- U" v6 Y+ |' g9 t3 @9 N) E

测试Modsecurity

ModSecurity现在已经成功配置了OWASP的规则。现在我们将测试对一些最常见的Web应用攻击。来测试ModSecurity是否挡住了攻击。这里我们启用了XSS和SQL注入的过滤规则，下面的例子中不正常的请求会直接返回403。

在浏览器中访问默认首页，会看到Nginx默认的欢迎页：

[/url]

这时我们在网址后面自己加上正常参数，例如： 。同样会看到Nginx默认的欢迎页：

[url=http://img.colabug.com/2017/06/842f48f203c6c2cd30144f29b57af97a.png]

接下来，我们在前面正常参数的基础上再加上  ,整个请求变成：

[/url]

就会看到Nginx返回403 Forbidden的信息了，说明Modsecurity成功拦截了此请求。再来看一个的例子，同样会被Modsecurity拦截。

[url=http://img.colabug.com/2017/06/246ce28e95310a32f791893d4f5c55ca.png]

查看Modsecurity日志

[url=http://img.colabug.com/2017/06/ae44dcb58b8a4a0ea761317e398b3101.png][/url]

所有命中规则的外部攻击均会存在modsec_audit.log,用户可以对这个文件中记录进行审计。Log文件位置在modsecurity.conf中SecAuditLog选项配置，Linux默认在 /var/log/modsec_audit.log 。

$ cat /usr/local/nginx/conf/modsecurity.confSecAuditLog /var/log/modsec_audit.log

Modsecurity主要是规则验证(验证已知漏洞)，Nginx下还有另一个功能强大的WAF模块Naxsi。Naxsi最大特点是可以设置学习模式，抓取您的网站产生必要的白名单，以避免误报！Naxsi不依赖于预先定义的签名，Naxsi能够战胜更多复杂/未知/混淆的攻击模式。

9 a/ ~' V* L& m