[ModSecurity (2/4)] Présentation de ModSecurity

Ma seconde mission concerne la protection des applications vulnérables. Des applications où plusieurs vulnérabilités sont connues et démontrées.

Ces applications peuvent être en « production » c’est-à-dire en service, le temps de correction du code de l’application peut être parfois très long et très couteux, les entreprises ne peuvent pas se permettre d’attendre quand il s’agit de risque de sécurité.

ModSecurity est un module pour serveur HTTP Apache (compatible 2.4 et 2.2), développé par TrustWaveLab et il est OpenSource.

 

Qu’est ce qu’Apacher server et ses modules?

Apache serveur est un serveur HTTP, c’est un serveur qui gère toutes les requêtes HTTP envoyées. Sur Apache, on peut donc charger des modules, par exemple le module PHP, qui permet à apache d’exécuter du php.

Il existe une multitude de modules pour Apache: liste des modules Apache.

 

Qu’est ce que ModSecurity?

ModSecurity est un module Apache, c’est en fait un « pare-feu », qui en se basant des règles reconnaît et bloque des actions suspicieuses qu’un utilisateur pourrait envoyer.

Voici un schéma de son fonctionnement:

ModSecurtyTour(Cliquer pour agrandir)

Le module ModSecurity est certifié par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), qui est l’agence officielle de l’Etat qui conseil et recommande des solutions de sécurité informatique pour les entreprises.

 

Comme je vous l’ai dit plus haut ModSecurity est basé sur des règles qui listent toutes les actions suspicieuses possibles.

Chacun est donc libre d’écrire ses règles pour les intégrer dans ModSecurity, bien que de partir de zéro est un travail stakhanoviste.

Il existe deux principaux jeux de règles:

  • OWASP ModSecurity Core Rule Set (CRS)
  • Commercial Rules from Trustwave SpiderLabs

Nous utiliserons par la suite le cœur de règles de l’OWASP car il est gratuit et que l’OWASP est un organisme très reconnu en matière de sécurité.

Le CRS de l’OWASP:

  • Détecte les violations de protocole HTTP
  • Bloque les attaques  XSS et SQL.
  • Protection contre les attaques de dénis de service (HTTP flooding et Slow DoS Attacks)
  • Détecte les bots, crawlers, scanneurs  de vulnérabilités et tout ce qui est assigné à une activité suspecte
  • Détecte les fichiers suspects envoyés sur l’application web (shell, scripts, trojans, exécutables…)
  • Surveille l’utilisation des données sensibles (carte de crédit par exemple)
  • Détection de mauvaises configurations sur l’application
  • Censure des messages d’erreurs du serveur et empêche le vol d’informations

A chaque fois qu’une règle « match » avec une requête, la requête est sauvegardée dans un fichier de log.

 

 

 

 

 

 

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *