[ModSecurity (3/4)] Configuration de ModSecurity sur Apache 2.4

Nous allons voir comment configurer ModSecurity avec le CRS de l’OWASP où on va se baser sur une configuration en locale avec XAMPP sur Windows 10 64 bits.

 

Tout d’abord, il faut télécharger le module compilé ici.

Ensuite il faut télécharger le CRS de l’OWASP.

Pour rester dans les règles, on va déposer le fichier mod_security.so dans le répertoire « C:\xampp\apache\modules »

 

Ensuite il faut se rendre dans « C:\xampp\apache\conf »

Et nous allons éditer le fichier httpd.conf qui est un fichier qui donne des directives au serveur Apache lors de son démarrage, c’est là qu’on va lui indiquer de charger le ModSecurity.

 

Trouvez les lignes où vous voyez les directives « LoadModule [NomModule] /Son/chemin »

Et on y ajute donc:

LoadModule mod_security modules/mod_security.so

Voilà notre module sera donc maintenant chargé, mais sans aucune configuration, sans régles (ce qui ne servira à rien!).
On va donc lui préciser des directives à suivre pour charger le CRS de l’OWASP.

Pour avoir une configuration propre, toujours dans « C:\xampp\apache\conf » vous allez créer un fichier « modsecurity_rules » dans lequel vous allez déposer toutes les règles de l’OWASP.

Vous aurez normalement dans « C:\xampp\apache\conf\modsecurity_rules »:

  • Un fichier « modsecurity_crs_10_setup.conf »
  • Un dossier « activated_rules »

Maintenant que vous avez déposé les fichiers du CRS il faut que ModSecurity les charges.

Pour celà on va dans le httpd.conf et on ajoute:

<IfModule security2_module>
Include modsecurity_rules/modsecurity_crs_10_setup.conf
Include modsecurity_rules/*.conf

</IfModule>

Pour que tous les changements soient biens pris en compte il faut ensuite redémarrer Apache.

 

Voilà normalement ModSecurity est chargé, avec toutes les régles de l’OWASP. Si jamais ça n’est pas le cas, que votre serveur ne redémarre pas c’est que vous avez du faire une erreur, je vous invite donc à aller consulter la log d’Apache.

On va ensuite configurer ModSecurity pour qu’il bloque toutes attaques car c’est un outil qui peut fonctoinner de nombreuses manières.

C’est dans le fichier modsecurity_crs_10_setup.conf  que tout se passe.

On va ajouter ces lignes:

 SecAuditEngine On (Active le bloquage quand une attaque est détéctée)
 SecAuditLogRelevantStatus ^2-4 
 SecAuditLogType Serial (façon dont les logs sont stockés)
 SecAuditLog /le/repertoire/de/votrechoix/audit.log (le fichier doit être crée)
 SecDebugLog /le/repertoire/de/votrechoix/debug.log (le fichier doit être crée)
 SecDebugLogLevel 3 (relève uniquement les alertes de 2 à 4)

ModSecurity possède nombreuses directive que je vous invite à étudier sur leur manuel:
https://github.com/SpiderLabs/ModSecurity/wiki/Reference-Manual

Attention vous devez avoir crée audit.log et debug.log au préalable!

Mais attention le travail est bien loin d’être finit…

Les règles de l’OWASP sont très strictes et peuvent déclencher ne nombreux faux-positifs!

Le prochain article sera sur comment enlever les faux postifs de l’OWASP!

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *