Pesquisa de site

Otimizando a segurança da Web: técnicas de instalação, configuração e personalização de regras do ModSecurity


O ModSecurity, um poderoso firewall de aplicativo da web, é uma ferramenta vital para usuários do setor de hospedagem na web. O ModSecurity inspeciona as solicitações de entrada para o servidor da Web em relação a um conjunto predefinido de regras, fornecendo uma camada essencial de proteção. Ao proteger os sites de uma ampla gama de ataques, como injeção de SQL e script entre sites, o ModSecurity garante a segurança e a confiabilidade dos sites hospedados. Com seus recursos de defesa proativa, o ModSecurity fortalece a segurança da hospedagem na web, oferecendo aos usuários tranquilidade em um cenário online cada vez mais vulnerável. O aplicativo de firewall ModSecurity é parte integrante da conformidade com o PCI DSS na proteção dos sites contra ataques externos.

Como este artigo é focado na lista de permissões e desabilitação das regras do ModSecurity, não estamos nos referindo à parte de instalação e configuração. Você obterá as instruções de instalação simplesmente pesquisando no Google com a palavra-chave “instalar e configurar ModSecurity”.

Testando a configuração do ModSecurity

O teste é uma parte importante da configuração de qualquer configuração. Para testar a instalação do ModSecurity, você precisa adicionar a seguinte regra ao ModSecurity e testá-la acessando a URL mencionada. Adicione a seguinte regra em “/etc/modsecurity/rules/000-default.conf ” ou no respectivo local onde as outras regras estão presentes.

SecRuleEngine On

SecRule ARGS:args "@contains test" "id:123456,deny,status:403,msg:'Test Ruleset'"

Reinicie o serviço Apache e teste o mesmo usando o link a seguir. Use o IP do servidor ou qualquer outro domínio no servidor com os últimos parâmetros mantidos os mesmos. Se a instalação do ModSecurity for bem-sucedida, a regra será acionada e você receberá um erro 403 proibido, como na captura de tela a seguir. Além disso, você pode verificar os logs com a string “Test Ruleset” para obter o log relacionado ao bloqueio.

http://www.xxxx-cxxxes.com/?args=test

Erro do navegador

Entrada de registro para a regra.

Desativando ou colocando o ModSecurity na lista de permissões

Desativar as regras ModSecurity para um domínio específico é de suma importância para os usuários de hospedagem na web, pois permite o ajuste fino das medidas de segurança para alinhar com os requisitos exclusivos desse domínio. Colocar entidades específicas na lista branca, como domínios, URLs ou endereços IP, permite que os usuários de hospedagem na web isentem certos componentes da imposição de regras do ModSecurity. Essa personalização garante a funcionalidade ideal, mantendo um nível adequado de proteção. É particularmente útil ao lidar com fontes confiáveis, sistemas internos ou funcionalidades especializadas que podem desencadear os falsos positivos.

Por exemplo, uma integração de gateway de pagamento pode exigir uma comunicação com um serviço de terceiros que pode ser colocado na lista branca para garantir transações ininterruptas sem acionar alertas de segurança desnecessários.

Exemplos da vida real abundam onde desabilitar as regras ModSecurity para um domínio se torna necessário. Considere as plataformas de comércio eletrônico que dependem de interações complexas, como adicionar vários itens a um carrinho de compras simultaneamente. Esse comportamento legítimo pode acionar inadvertidamente as regras do ModSecurity, o que resulta em falsos positivos e prejudica a experiência do usuário.

Além disso, os sistemas de gerenciamento de conteúdo geralmente exigem recursos de upload de arquivo que podem entrar em conflito com certas regras do ModSecurity. Desativando seletivamente as regras para esses domínios, os usuários de hospedagem na web podem garantir operações perfeitas sem comprometer a segurança geral.

Por outro lado, desabilitar regras específicas do ModSecurity fornece flexibilidade para resolver os problemas de compatibilidade ou evitar falsos positivos. Às vezes, certas regras podem identificar incorretamente os comportamentos inofensivos como ameaças potenciais, o que resulta em bloqueio desnecessário ou interferência em solicitações legítimas. Por exemplo, um aplicativo da Web que utiliza AJAX pode encontrar falsos positivos devido às regras estritas do ModSecurity, que exigem a desativação seletiva de regras para garantir uma comunicação cliente-servidor suave e ininterrupta.

No entanto, é crucial encontrar um equilíbrio e revisar regularmente o comportamento da regra para evitar possíveis vulnerabilidades. Com um gerenciamento cuidadoso, desabilitar as regras do ModSecurity para domínios específicos permite que os usuários de hospedagem na web otimizem a funcionalidade do site e forneçam uma experiência de navegação segura para seus visitantes.

Por exemplo, para colocar o ModSecurity na lista de permissões de um domínio específico, os usuários podem configurar as regras que isentam esse domínio de ser verificado pelo ModSecurity. Isso garante que solicitações legítimas desse domínio não sejam bloqueadas ou sinalizadas desnecessariamente como suspeitas.

Desabilite o ModSecurity para um domínio/host virtual específico. Adicione o seguinte dentro da seção :

<IfModule security2_module>

SecRuleEngine Off

</IfModule>

Colocar o ModSecurity na lista de permissões para um diretório ou URL específico é importante para usuários de hospedagem na web. Isso permite que eles excluam esse local específico da verificação pelas regras do ModSecurity. Ao definir as regras personalizadas, os usuários podem garantir que as solicitações legítimas feitas a esse diretório ou URL não sejam bloqueadas ou sinalizadas como suspeitas. Isso ajuda a manter a funcionalidade de partes específicas de seus sites ou endpoints de API enquanto ainda se beneficia da segurança geral fornecida pelo ModSecurity.

Use a seguinte entrada para desabilitar ModSecurity para URL/diretório específico:

<Directory "/var/www/wp-admin">

<IfModule security2_module>

SecRuleEngine Off

</IfModule>

</Directory>

Desabilitar um ID de regra ModSecurity específico é uma prática comum para usuários de hospedagem na web quando eles encontram falsos positivos ou problemas de compatibilidade. Ao identificar o ID da regra que causa o problema, os usuários podem desativá-la no arquivo de configuração do ModSecurity. Por exemplo, se a regra ID 123456 estiver acionando os falsos positivos, os usuários poderão comentar ou desabilitar essa regra específica na configuração. Isso garante que a regra não seja aplicada, o que a impede de interferir em solicitações legítimas. No entanto, é importante avaliar cuidadosamente o impacto da desativação de uma regra, pois isso pode deixar o site vulnerável a ameaças de segurança reais. Considerações e testes prudentes são recomendados antes de fazer qualquer alteração.

Para desabilitar um ID de regra ModSecurity específico para uma URL, você pode usar o seguinte código:

<LocationMatch "/wp-admin/update.php">

<IfModule security2_module>

SecRuleRemoveById 123456

</IfModule>

</LocationMatch>

A combinação das três entradas mencionadas pode ser utilizada para desabilitar as regras para uma URL específica ou host virtual. Os usuários têm a flexibilidade de desabilitar as regras parcial ou totalmente, dependendo de seus requisitos específicos. Isso permite um controle granular sobre a imposição de regras, o que garante que determinadas regras não sejam aplicadas a URLs ou hosts virtuais específicos.

No cPanel, existe um plug-in gratuito disponível (“ConfigServer ModSecurity Control”) para colocar na lista branca as regras do ModSecurity, bem como desabilitar o ModSecurity para o domínio/usuário/servidor inteiro, etc.

Conclusão

Em conclusão, os usuários de hospedagem na web têm a capacidade de ajustar o ModSecurity desativando as regras para domínios, URLs ou hosts virtuais específicos. Essa flexibilidade garante que o tráfego legítimo não seja bloqueado desnecessariamente. Além disso, os usuários podem colocar na lista de permissões IDs de regras específicas para determinados domínios ou URLs para evitar falsos positivos e manter uma funcionalidade ideal. No entanto, é fundamental ter cautela ao desabilitar as regras, considerando os possíveis riscos de segurança. Revise e avalie regularmente o comportamento da regra para encontrar o equilíbrio certo entre a segurança e a funcionalidade do site. Aproveitando esses recursos, os usuários de hospedagem na web podem personalizar o ModSecurity para atender às suas necessidades específicas e aprimorar a postura de segurança de seu site de forma eficaz.

Artigos relacionados: