OSceane
Cybersécurité, OpenSource & Formation

Accueil > Tutoriels > Filtrage applicatif avec ModSecurity

Filtrage applicatif avec ModSecurity

dimanche 29 juillet 2018, par OSceane

Avertissement : les articles de la rubrique « Tutoriels » sont davantage à considérer comme des mémos sur des logiciels ou des points de théorie que comme des tutos complets et exhaustifs. Il s’agit surtout de notes utilisées et éventuellement développées dans les cours en présentiel. Des notes forcément partielles, toujours en cours de rédaction et d’actualisation mais qui se concentrent sur l’essentiel.

ModSecurity est un parefeu applicatif pour le Web, ou WAF (Web Application Firewall). Autrement dit, il s’agit d’un logiciel qui filtre toutes les requêtes et réponses HTTP. Selon la qualité de ses filtres, il peut en entrée parer nombre de requêtes HTTP offensives (cherchant à exploiter des XSS ou des injections SQL ou autres) et éviter en sortie la fuite d’informations sensibles (emails des utilisateurs, numéro de cartes bancaires). Un Waf est donc un bon complément sur le Web à un parefeu classique car au filtrage sur les niveaux OSI 2 à 4 de celui-ci, il ajoute la prise en charge du niveau 7.

Seule l’installation sur Apache2/Linux est considérée ici mais ModSecurity peut aussi s’exécuter sur d’autres plates-formes, avec IIS et NGNIX.

ModSecurity est à installer comme module du serveur Web Apache. On peut le configurer soit sur le serveur Web qui est aussi en charge des applications, soit en amont de celui-ci. Dans ce dernier cas, on configurera Apache en serveur reverse proxy et dédié au filtrage des requêtes et réponses HTTP.

Installation de ModSecurity dans la Debian 9 (Stretch)

On suppose que Apache2 est déjà installé, configuré et fonctionnel. Dans la distribution Debian, on trouve deux paquets relatifs à ModSecurity.

Le premier paquet contient le code de ModSecurity proprement dit, le second les règles de l’OWASP.

Le premier paquet installe :

  • le fichier de configuration (modsecurity.conf-recommended) et ses définition de filtres dans le répertoire /etc/modsecurity ;
  • un fichier de chargement du module (security2.conf) dans /etc/apache2/mods-available
  • un fichier de log (modsec_audit.log) dans /var/log/apache2

L’installation proprement dite est très simple puisqu’elle consiste à :

  1. Décommenter la ligne IncludeOptional /etc/modsecurity/*.conf dans /etc/apache2/mods-available/security2.conf ;
  2. Renommer le fichier modsecurity.conf-recommended en modsecurity.conf
  3. Redémarrer Apache2 ...

De son côté, le paquet contenant les règles de l’OWASP s’installe dans /usr/lib/share et est à activer en décommentant la ligne appropriée dans /etc/apache2/mods-available/security2.conf (suivi d’un redémarrage de Apache2).

Chose très importante : après avoir installé ModSecurity, il faut tester son site en tant qu’utilisateur lambda pour voir si les filtres n’empêchent pas les actions légitimes. Et aussi le pentester ...

Ressources

Pour approfondir votre connaissance de ModSecurity :

SPIP | | Plan du site | Suivre la vie du site RSS 2.0