Accueil > Tutoriels > Filtrage applicatif avec ModSecurity
dimanche 29 juillet 2018, par
Avertissement : les articles de la rubrique « Tutoriels » sont davantage à considérer comme des mémos sur des logiciels ou des points de théorie que comme des tutos complets et exhaustifs. Il s’agit surtout de notes utilisées et éventuellement développées dans les cours en présentiel. Des notes forcément partielles, toujours en cours de rédaction et d’actualisation mais qui se concentrent sur l’essentiel.
ModSecurity est un parefeu applicatif pour le Web, ou WAF (Web Application Firewall). Autrement dit, il s’agit d’un logiciel qui filtre toutes les requêtes et réponses HTTP. Selon la qualité de ses filtres, il peut en entrée parer nombre de requêtes HTTP offensives (cherchant à exploiter des XSS ou des injections SQL ou autres) et éviter en sortie la fuite d’informations sensibles (emails des utilisateurs, numéro de cartes bancaires). Un Waf est donc un bon complément sur le Web à un parefeu classique car au filtrage sur les niveaux OSI 2 à 4 de celui-ci, il ajoute la prise en charge du niveau 7.
ModSecurity est à installer comme module du serveur Web Apache. On peut le configurer soit sur le serveur Web qui est aussi en charge des applications, soit en amont de celui-ci. Dans ce dernier cas, on configurera Apache en serveur reverse proxy et dédié au filtrage des requêtes et réponses HTTP.
On suppose que Apache2 est déjà installé, configuré et fonctionnel. Dans la distribution Debian, on trouve deux paquets relatifs à ModSecurity.
Le premier paquet contient le code de ModSecurity proprement dit, le second les règles de l’OWASP.
Le premier paquet installe :
modsecurity.conf-recommended
) et ses définition de filtres dans le répertoire /etc/modsecurity
;security2.conf
) dans /etc/apache2/mods-available
modsec_audit.log
) dans /var/log/apache2
L’installation proprement dite est très simple puisqu’elle consiste à :
IncludeOptional /etc/modsecurity/*.conf
dans /etc/apache2/mods-available/security2.conf
;modsecurity.conf-recommended
en modsecurity.conf
De son côté, le paquet contenant les règles de l’OWASP s’installe dans /usr/lib/share
et est à activer en décommentant la ligne appropriée dans /etc/apache2/mods-available/security2.conf
(suivi d’un redémarrage de Apache2).
Pour approfondir votre connaissance de ModSecurity :