Jeu de règles de base

Description

A l'inverse des IDS comme Snort, qui sont basés sur des signatures, Modsecurity se base sur un ensemble de règles génériques correspondant au paramétrage de ModSecurity2. Breach Security Inc. propose un package de règles de base afin de faciliter le paramétrage. Ces règles permettent de couvrir nombre d'attaques, de manière générique, à savoir :

• Protection HTTP : Cet ensemble de règles permet de détecter les requêtes HTTP mal formées.
• Protection contre les attaques Web communes, à savoir :
  • Injections SQL
  • Cross-Site Scripting (XSS)
  • Exécution de commandes système
  • Inclusions de code distant
  • Injections LDAP
  • Inclusions côté serveur (SSI)
  • Fuite d'informations
  • Dépassements de tampon (Buffer overflows)
  • Divulgation de source
• Détection des automates : bots, crawlers, scanners et autres scripts malicieux qui envoient des informations, recherchent des vulnérabilités et consomment de la bande passante
• Protection contre les chevaux de Troie (trojans) : découverte de backdoors et assimilés
• Masquage des erreurs : masquage des erreurs du serveur afin de ne pas réveler d'informations de debug

Installation et paramétrage

Téléchargement et installation

# cd /usr/local/apache2/conf/
# wget http://downloads.sourceforge.net/project/mod-security/modsecurity-crs/0-CURRENT/modsecurity-crs_2.0.3.tar.gz?use_mirror=kent
# tar xzvf modsecurity-crs_2.0.3.tar.gz
# mv modsecurity-crs_2.0.3 modsecurity
# rm -f modsecurity-crs_2.0.3.tar.gz

Paramétrage

Editez le fichier de configuration d'Apache :

# vim /usr/local/apache2/conf/httpd.conf

Puis remplacez la ligne :

# Mod_security
#Include conf/modsecurity/myrules.conf

Par :

Include conf/modsecurity/*.conf
Include conf/modsecurity/base_rules/*conf

Tests de bon fonctionnement

Afin de tester votre nouveau paramétrage, effectuez des tests de bon fonctionnement comme expliqué ici.