Filtrage applicatif avec ModSecurity

dimanche 29 juillet 2018, par OSceane

Avertissement : les articles de la rubrique « Tutoriels » sont davantage à considérer comme des mémos sur des logiciels ou des points de théorie que comme des tutos complets et exhaustifs. Il s’agit surtout de notes utilisées et éventuellement développées dans les cours en présentiel. Des notes forcément partielles, toujours en cours de rédaction et d’actualisation mais qui se concentrent sur l’essentiel.

ModSecurity est un parefeu applicatif pour le Web, ou WAF (Web Application Firewall). Autrement dit, il s’agit d’un logiciel qui filtre toutes les requêtes et réponses HTTP. Selon la qualité de ses filtres, il peut en entrée parer nombre de requêtes HTTP offensives (cherchant à exploiter des XSS ou des injections SQL ou autres) et éviter en sortie la fuite d’informations sensibles (emails des utilisateurs, numéro de cartes bancaires). Un Waf est donc un bon complément sur le Web à un parefeu classique car au filtrage sur les niveaux OSI 2 à 4 de celui-ci, il ajoute la prise en charge du niveau 7.

Seule l’installation sur Apache2/Linux est considérée ici mais ModSecurity peut aussi s’exécuter sur d’autres plates-formes, avec IIS et NGNIX.

ModSecurity est à installer comme module du serveur Web Apache. On peut le configurer soit sur le serveur Web qui est aussi en charge des applications, soit en amont de celui-ci. Dans ce dernier cas, on configurera Apache en serveur reverse proxy et dédié au filtrage des requêtes et réponses HTTP.

Installation de ModSecurity dans la Debian 9 (Stretch)

On suppose que Apache2 est déjà installé, configuré et fonctionnel. Dans la distribution Debian, on trouve deux paquets relatifs à ModSecurity.

root@hermes:~# apt-cache search modsecurity
libapache2-mod-security2 - renfort de la sécurité des applications web pour Apache
modsecurity-crs - OWASP ModSecurity Core Rule Set
root@hermes:~#

Le premier paquet contient le code de ModSecurity proprement dit, le second les règles de l’OWASP.

Le premier paquet installe :

le fichier de configuration (modsecurity.conf-recommended) et ses définition de filtres dans le répertoire /etc/modsecurity ;
un fichier de chargement du module (security2.conf) dans /etc/apache2/mods-available
un fichier de log (modsec_audit.log) dans /var/log/apache2

L’installation proprement dite est très simple puisqu’elle consiste à :

Décommenter la ligne IncludeOptional /etc/modsecurity/*.conf dans /etc/apache2/mods-available/security2.conf ;
Renommer le fichier modsecurity.conf-recommended en modsecurity.conf
Redémarrer Apache2 ... root@hermes:~# systemctl apache2 reload ...

De son côté, le paquet contenant les règles de l’OWASP s’installe dans /usr/lib/share et est à activer en décommentant la ligne appropriée dans /etc/apache2/mods-available/security2.conf (suivi d’un redémarrage de Apache2).

Chose très importante : après avoir installé ModSecurity, il faut tester son site en tant qu’utilisateur lambda pour voir si les filtres n’empêchent pas les actions légitimes. Et aussi le pentester ...

Ressources

site officiel du projet
La page Wikipedia (version anglaise) consacrée au projet
un tuto sur ubuntu-fr.org ;

Pour approfondir votre connaissance de ModSecurity :

ModSecurity Handbook : Getting Started, By Ivan Ristić. Un livre publié aux éditions Feisty Duck qui fournissent une version électronique gratuite de ce livre : https://www.feistyduck.com/library/modsecurity-handbook-free/

| Se connecter | Plan du site |

RSS 2.0

Filtrage applicatif avec ModSecurity

Installation de ModSecurity dans la Debian 9 (Stretch)

Ressources

Rubriques

Dans la même rubrique

Mots-clés