Instalación y configuración de módulo Mod_Security Servidor Web (Apache)

El presente instructivo tiene como finalidad de dar a conocer el procedimiento para la instalación y configuración del módulo Mod_Security (Web Application Firewall) para Apache2 en la distribución GNU/Linux Debian version 7.0 (Wheezy) stable.

Requisitos:

  • Se debe contar con el funcionamiento de servicio Web apache2
  • Se debe contar con suficiente privilegios para la instalación de aplicativos

Plataforma:

  • La presente instalación es para equipos de arquitectura 64 bits.
  • El sistema operativo empleado es ‘GNU/Linux’ Debian versión 7.2, actualmente estable.

Configuraciones Relacionados:

Aplicaciones:

  • modsecurity-apache 2.6.6-6+deb7u1
  • modsecurity-crs 2.2.5-2 (modsecurity’s Core Rule Set)

Instalación de Dependencias

operador@servidor:/$ sudo aptitude install libapache2-modsecurity modsecurity-crs

Configuración de Módulo Mod_Security

1. Copiar reglas a aplicar al directorio de modsecurity:

 operador@servidor:/$ cp -R /usr/share/modsecurity-crs/* /etc/modsecurity

2. Crear enlaces simbólicos de las “reglas base” a la carpeta de “reglas activas”:

 operador@servidor:/etc/modsecurity>$  for f in `ls base_rules/` ; do ln -s /etc/modsecurity/base_rules/$f activated_rules/$f ; done

3. Activar directorio de “reglas activas”:

 operador@servidor:/$ sudo nano /etc/apache2/mods-enabled/mod-security.conf

Agregar:

 Include "/etc/modsecurity/activated_rules/*.conf"

4. Activar módulo “unique_id”:

 operador@servidor:/$ sudo a2enmod unique_id

5. Activar módulo headers

 operador@servidor:/$ sudo a2enmod headers

6. Activar módulo “mod-security”:

 operador@servidor:/$ sudo a2enmod mod-security

7. Reiniciar servicio apache

 operador@servidor:/$ sudo /etc/init.d/apache2 restart

8. Verificar la activación del módulo:

 operador@servidor:/$ cat /var/log/apache2/error.log | grep ModSecurity
    [Wed Oct XX 00:00:00 2013] [notice] ModSecurity for Apache/2.6.6 (http://www.modsecurity.org/) configured.
    [Wed Oct XX 00:00:00 2013] [notice] ModSecurity: APR compiled version="1.4.6"; loaded version="1.4.6"
    [Wed Oct XX 00:00:00 2013] [notice] ModSecurity: PCRE compiled version="8.30"; loaded version="8.30 2012-02-04"
    [Wed Oct XX 00:00:00 2013] [notice] ModSecurity: LUA compiled version="Lua 5.1"
    [Wed Oct XX 00:00:00 2013] [notice] ModSecurity: LIBXML compiled version="2.8.0"

 
9. Activar archivo de configuración modsecurity

 operador@servidor:/$ sudo mv modsecurity.conf-recommended modsecurity.conf

10. Activar las reglas configuradas de Mod_security:

 operador@servidor:/$ sudo nano /etc/modsecurity/modsecurity.conf

11. Efectuar los siguientes cambios:

#SecRuleEngine DetectionOnly
SecRuleEngine On
SecAuditLog /var/log/apache2/modsec_audit.log

12. Reiniciar servicio apache

 operador@servidor:/$ sudo /etc/init.d/apache2 restart

Desactivar reglas “Falsos positivos” por resolución de host con dirección IP

1. Crear archivos de configuración de exclusión:

 operador@servidor:/$ # nano /etc/modsecurity/base_rules/modsecurity_crs_70_customrules.conf

2. En caso de conocer el código de la regla a excluir, podemos configurar:

 SecRuleRemoveById 959514

3. En caso de no conocer el código de la regla, pero si el mensaje de error, podemos configurar:

 SecRuleRemoveByMsg "Host header is a numeric IP address"

https://github.com/SpiderLabs/ModSecurity/wiki/Reference-Manual

Enlaces:
https://www.thefanclub.co.za/how-to/how-install-apache2-modsecurity-and-modevasive-ubuntu-1204-lts-server
Modsecurity Documentation
https://github.com/SpiderLabs/ModSecurity/wiki/Reference-Manual
https://samhobbs.co.uk/2016/03/getting-started-apache-modsecurity-debian-and-ubuntu

Anuncios

Un comentario en “Instalación y configuración de módulo Mod_Security Servidor Web (Apache)

  1. Hola Amigo muchas gracias por el post esta muy bueno la verdad,pero lo que no veo como probar que esas reglas están funcionando,si tienes algun ejemplo para probar te lo agradeceria,salu2s

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s