WAF – ModSecurity instellingen

Wat is Mod Security?

‎ModSecurity‎‎, ook wel ‎‎Modsec‎‎ genoemd, is een ‎‎open-source‎‎ ‎‎web application firewall‎‎ (WAF).
Oorspronkelijk ontworpen als een module voor de ‎‎Apache HTTP-server‎‎ (webserver), is het geëvolueerd om een reeks ‎‎Hypertext Transfer Protocol-aanvraag‎‎- en responsfiltermogelijkheden te bieden, samen met andere beveiligingsfuncties op enkele verschillende platforms, waaronder ‎‎Apache HTTP Server‎‎‎ en ‎‎Nginx‎‎. Het is een ‎‎gratis software‎‎ uitgebracht onder de ‎‎Apache-licentie‎‎ 2.0.

OWASP beveiliging regels

‎De OWASP ModSecurity Core Rule Set (CRS) is een set algemene aanvalsdetectieregels voor gebruik met ‎‎ModSecurity‎‎ of compatibele webtoepassingsfirewalls.
Het CRS heeft tot doel webapplicaties zoals WordPress, Joomla, Magento en vele andere pakketten te beschermen tegen een breed scala aan hack aanvallen, met een minimum aan valse waarschuwingen.
Het CRS biedt bescherming tegen veel voorkomende aanvalscategorieën, waaronder SQL-injectie, cross-site scripting, lokale bestandsopname, enz.‎

OWASP regels
 

Modsecurity beveiliging op ons netwerk

We maken bij Mangelot Hosting ook gebruik van ModSecurity in combinatie met de aanvalsdetectieregels van OWASP, dit zorg ervoor dat onze klanten websites minder snel gehackt kunnen worden, dit komt doordat de website verzoeken worden gefilterd op bepaalde elementen uit de aanvalsdetectieregels van OWASP. Uiteraard brengt dit een veel hogere veiligheid met zich mee, maar ook een snellere website, denk bijvoorbeeld aan de vele (onterechte) verzoeken van scanners op het internet welke op zoek zijn naar beveiligingslekken in softwarepakketten. Deze worden door ModSecurity direct gefilterd en bij meerdere soortgelijke verzoeken in de blokkeerlijst geplaatst van onze firewall.

Uiteraard kan het wel eens voorkomen dat er een zogenaamde “false positive” wordt geblokkeerd op ons netwerk, het is dan voor elke klant en voor elke domeinnaam individueel mogelijk om een bepaalde beveiligingsregel te negeren in het filterproces.
Krijgt u een melding: “406 Not Acceptable”, “403 Forbidden” of “409 Conflict” op je website? Dan kan het zomaar zijn dat de beveiligingsregels je de toegang ontzeggen naar de betreffende website-URL, ben je er zeker van dat deze handeling of URL rechtmatig kan worden bezocht, dan kun je de regel uitschakelen en laten negeren in het filterproces, waarna je gewoon de website-URL kunt bezoeken, of de betreffende scripts kunt uitvoeren.

Hoe negeer ik regels van ModSecurity?

Login op uw Directadmin account, klik op de betreffende domeinnaam (rechtsboven op de pagina) als u meerdere domeinnamen in uw hostingaccount beheerd. Hierna komt u in het beheer gedeelte van de geselecteerde domeinnaam.

Directadmin menu

Klik linksboven op de pagina, op de vier rondjes om het menu te openen, en selecteer “Geavanceerde Functies > Modsecurity” u ziet hierna volgende Modsecurity pagina van de betreffende actieve domeinnaam:

Status & Uitgeschakelde Modsecurity regels:


Op de Modsecurity pagina kunt u de status zien van de “Modsecurity SecRuleEngine” desgewenst kunt u deze aan of uitzetten voor de betreffende domeinnaam. (We raden ten zeerste aan, deze actief te laten!)
Ook ziet u wanneer u al eerdere uitzonderingen heeft toegevoegd een lijst met uitgeschakelde “ModSec” regels.

Modsecurity log:

Als u rechtsboven op “Log” klikt, ziet u soortgelijk details van de Modsecurity Engine.

Zo ziet u bijvoorbeeld in de bovenstaande afbeelding dat er op 29 maart 2023, om 9.02 uur, een robots.txt bestand is aangeroepen vanaf IP-adres 157.90.181.206, hierdoor zijn twee regels getriggerd in de Modsecurity Engine in verband met een veiligheidsprobleem namelijk: 920600 en 949110, door op het plusje achter de betreffende regel te klikken of door direct op overslaan te klikken (afhankelijk van server). krijgt u de optie om de betreffende regels over te slaan in de beveiliging controle van Modsecurity.

Zodra regels zijn uitgezonderd ziet u deze terug onder “Status & Uitgeschakelde Regels” het kan enkele minuten duren voordat uitzonderingen actief zijn, krijgt u weer een melding: “406 Not Acceptable”, “403 Forbidden” of “409 Conflict” op je website? een het kan ook zo zijn dat na de uitzondering een nieuwe regel wordt geactiveerd en deze ook moet worden uitgezonderd.

Zoekwoorden: Tags , , , , , , , , ,
Was dit onderwerp nuttig voor U? Ja Nee