Kiện toàn bảo mật web với Modsecurity, an toàn bảo mật, bảo mật web server apache với modsecurity, bảo mật web server apache với mod security, an toàn bảo mật thông tin, bảo mật web, đề cương an toàn bảo mật. Kiện toàn bảo mật web với Modsecurity, an toàn bảo mật, bảo mật web server apache với modsecurity, bảo mật web server apache với mod security, an toàn bảo mật thông tin, bảo mật web, đề cương an toàn bảo mật. Kiện toàn bảo mật web với Modsecurity, an toàn bảo mật, bảo mật web server apache với modsecurity, bảo mật web server apache với mod security, an toàn bảo mật thông tin, bảo mật web, đề cương an toàn bảo mật
SECURITY BOOTCAMP 2012 | Make yourself to be an expert! Kiện toàn bảo mật Web với ModSecurity Sử Hoàng Sơn | Email: shson.stttt@vinhlong.gov.vn SECURITY BOOTCAMP 2012 | Make yourself to be an expert! Thực trạng - Hầu hết ứng dụng nhiều đơn vị phát triển với nhiều công nghệ khác - Sử dụng sản 2phẩm bên thứ mà chất lượng - Cần nhiều thời gian nhân lực để kiểm tra độ an toàn - Thói quen, tư người lập trình chưa quan tâm nhiều đến an toàn sản phẩm, chưa có phận phụ trách an toàn sản phẩm ModSecurity Web Intrusion Detection and Prevention SECURITY BOOTCAMP 2012 | Make yourself to be an expert! Vấn đề cần làm - Công tác an toàn sản phẩm cần làm sớm tốt - Bằng tất cách cải tiến độ an toàn ứng dụng có (không dễ) - Nhiều khả phải tăng cường an ninh từ bên - Đặt ứng dụng không an toàn vào môi trường an toàn ModSecurity Web Intrusion Detection and Prevention SECURITY BOOTCAMP 2012 | Make yourself to be an expert! Yêu cầu công tác quản trị với Monitoring: biết chuyện xãy Detection: phát bị công Prevention: ngăn chặn công Assessment: phát trước vấn đề trước bị công ModSecurity Web Intrusion Detection and Prevention SECURITY BOOTCAMP 2012 | Make yourself to be an expert! Một số thiết bị bảo mật thường gặp ModSecurity Web Intrusion Detection and Prevention SECURITY BOOTCAMP 2012 | Make yourself to be an expert! Packet Filter Firewall ModSecurity Web Intrusion Detection and Prevention SECURITY BOOTCAMP 2012 | Make yourself to be an expert! Packet Filter Firewall - Tạo ACL dựa trên: Source IP, Destination IP, Port, Service, Protocol - Nội dung ngữ cảnh (mối liên hệ với gói khác) bị bỏ qua - Thông tin địa gói bị xuyên tạc bị đánh lừa người gửi - Packet chuyển qua chứa thông tin khai thác Attacker ModSecurity Web Intrusion Detection and Prevention SECURITY BOOTCAMP 2012 | Make yourself to be an expert! Network Intrusion Detect System (NIDS) ModSecurity Web Intrusion Detection and Prevention SECURITY BOOTCAMP 2012 | Make yourself to be an expert! Network Intrusion Detect System (NIDS) - Chỉ xác định cảnh báo không ngăn chặn công - Không phân tích nội dung mã hóa (SSL) - Không thể làm Gateway Application - Dễ dẫn đến Fail Positive áp dụng để xử lý data mức Application ModSecurity Web Intrusion Detection and Prevention SECURITY BOOTCAMP 2012 | Make yourself to be an expert! 10 ModSecurity SECURITY BOOTCAMP 2012 | Make yourself to be an expert! Biến Collection -Truy cập các18thông số request, response thông qua Biến Collection Collection:ENV, FILES, FILES_NAMES, FILES_SIZES, FILES_TMPNAMES, GEO, IP, REQUEST_COOKIES, REQUEST_COOKIES_NAMES, REQUEST_HEADERS, REQUEST_HEADERS_NAMES, RESPONSE_HEADERS, RESPONSE_HEADERS_NAMES, SESSION, TX, USER… ModSecurity Web Intrusion Detection and Prevention 18 SECURITY BOOTCAMP 2012 | Make yourself to be an expert! 19 Chặn số công ModSecurity Web Intrusion Detection and Prevention SECURITY BOOTCAMP 2012 | Make yourself to be an expert! Ngăn chặn HTTP Fingerprinting Đánh lừa các20công cụ HTTP Fingerprinting, cung cấp thông tin không xác cho Hacker # Thay đổi chử ký Server SecServerSignature “My-server/1.0“ # Từ chối request không chứa host header SecRule &REQUEST_HEADERS:Host "@eq 0" "phase:1,deny" # Từ chối request không chứa request header SecRule &REQUEST_HEADERS:Accept "@eq 0" phase:1,deny" # Chỉ cho phép GET HEAD va POST SecRule REQUEST_METHOD !^(get|head|post)$ phase:1,t:lowerCase,deny" #Chỉ cho phép HTTP version 1.0 1.1 SecRule REQUEST_PROTOCOL !^http/1\.(0|1)$ “ phase:1,t:lowercase,deny" ModSecurity Web Intrusion Detection and Prevention 20 SECURITY BOOTCAMP 2012 | Make yourself to be an expert! CROSS-SITE SCRIPTING (XSS) 21 Cross-Site Scripting hay gọi tắt XSS kĩ thuật công cách chèn vào website động (ASP, PHP, CGI, JSP ) thẻ HTML hay đoạn mã script nguy hiểm gây nguy hại cho người sử dụng khác Các đoạn mã hầu hết viết Client Script (Javascript, Jscript chí DHML,HTML…) ModSecurity Web Intrusion Detection and Prevention 21 SECURITY BOOTCAMP 2012 | Make yourself to be an expert! Chặn CROSS-SITE SCRIPTING (XSS) 22 Script fragment Regular expression [...]... Make yourself to be an expert! 11 GIỚI THIỆU - ModSecurity là một Opensource web application firewall -Tác giả: Ivan Ristic 2 - Phát triển dành cho Web Server Apache, Ngix, hiện version 2.7 đã có cho IIS - Sử dụng giấy phép GPL,hoàn toàn miễn phí - Kết hợp Mod_proxy trở thành Reverse Proxy bảo vệ cho nhiều máy chủ web - Hoạt động dựa trên Rule ModSecurity Web Intrusion Detection and Prevention 11 SECURITY... Proxy bảo vệ nhiều site -Khó khăn trong việc thống nhất các nhà phát triển web tránh xung đột giửa Patterm với các giá trị đặc biệt do người lập trình đưa vào Hoặc thiết lập cách nhập liệu đặc biệt cho các từ nhạy cảm ModSecurity Web Intrusion Detection and Prevention 31 SECURITY BOOTCAMP 2012 | Make yourself to be an expert! 32 Question ? Thank You!!! 2 Reference: ModSecurity Handbook: Ivan Ristic - ModSecurity. .. ModSecurity 2.5: Magus Mischel - http://www.packtpub.com/article/ + blocking-common-attacks-using -modsecurity- 2.5-part1 + blocking-common-attacks-using -modsecurity- 2.5-part2 + blocking-common-attacks-using -modsecurity- 2.5-part3 hvaonline.net - Core Rule Set: https://github.com/FireFart/owasp -modsecurity- crs - ModSecurity Web Intrusion Detection and Prevention 32 ... %2f %2e%2e/ %2e%2e%2f %2e./ ModSecurity Web Intrusion Detection and Prevention 23 SECURITY BOOTCAMP 2012 | Make yourself to be an expert! CHẶN DIRECTORY TRAVERSAL 24 Chúng ta có thể sử dụng t:urlDecode của ModSecurity để chuyển tất cả chuỗi được mã 2 hoá thành giá trị gốc của nó Rule để chặn hình thức tấn công này: SecRule REQUEST_URI " /" "t:urlDecode,deny" ModSecurity Web Intrusion Detection and... ^/login> # Khởi tạo collection với IP của User SecAction "initcol:ip=%{REMOTE_ADDR},pass,nolog" # Phát hiện đăng nhập sai với “Username does not exist” SecRule RESPONSE_BODY "Username does not exist“ "phase:4,pass,setvar:ip.failed_logins=+1,expirevar:ip.failed_logins=300" # khóa với số lần đăng nhập thất bại =3 SecRule IP:FAILED_LOGINS "@gt 3" deny ModSecurity Web Intrusion Detection and Prevention... Time: `date '+%D %H:%M'` "|mail –s 'ModSecurity Alert' suhoangson@gmail.co m echo Done ModSecurity Web Intrusion Detection and Prevention 29 SECURITY BOOTCAMP 2012 | Make yourself to be an expert! Core Rule Set 30 Tập các Rule viết sẵn với nhiều dạng patterm: - Real-time Blacklist Lookups IP từ các hãng danh tiếng - Phát hiện Web- based Malsware dựa vào Google... BOOTCAMP 2012 | Make yourself to be an expert! Mô hình 12 2 ModSecurity Web Intrusion Detection and Prevention 12 SECURITY BOOTCAMP 2012 | Make yourself to be an expert! Mô hình kết hợp Reverse Proxy 13 2 Thuận lợi: - Tạo một điểm duy nhất cho việc truy cập - Che đậy mô hình mạng với bên ngoài - Tập trung dễ giám sát và quản lý ModSecurity Web Intrusion Detection and Prevention 13 SECURITY BOOTCAMP... năng ghi lại các Request (bao gồm cả POST) để người quản trị có thể theo dõi nếu cần - HTTPS filtering: phân tích HTTPS ModSecurity Web Intrusion Detection and Prevention 14 SECURITY BOOTCAMP 2012 | Make yourself to be an expert! Mô hình xử lý Apache + ModSecurity 15 2 ModSecurity Web Intrusion Detection and Prevention 15 SECURITY BOOTCAMP 2012 | Make yourself to be an expert! Các giai đoạn xử lý 16... REQUEST_COOKIES_NAMES, REQUEST_HEADERS, REQUEST_HEADERS_NAMES, RESPONSE_HEADERS, RESPONSE_HEADERS_NAMES, SESSION, TX, USER… ModSecurity Web Intrusion Detection and Prevention 18 SECURITY BOOTCAMP 2012 | Make yourself to be an expert! 19 2 Chặn một số tấn công cơ bản ModSecurity Web Intrusion Detection and Prevention SECURITY BOOTCAMP 2012 | Make yourself to be an expert! Ngăn chặn HTTP Fingerprinting... "t:lowercase,deny,msg: 'SQL Injection'" ModSecurity Web Intrusion Detection and Prevention 26 SECURITY BOOTCAMP 2012 | Make yourself to be an expert! CHỐNG THỰC THI LỆNH SHELL 27 2 Các Lệnh , chương trình, đường dẫn thông thường: - rm - ls - kill - mail - sendmail - cat - echo - /bin/ - /etc/ - /tmp/ SecRule ARGS “rm|ls|kill(send)?mail|cat|echo|/bin/|/etc/|/tmp/)” “deny” ModSecurity Web Intrusion Detection and ... Một số thiết bị bảo mật thường gặp ModSecurity Web Intrusion Detection and Prevention SECURITY BOOTCAMP 2012 | Make yourself to be an expert! Packet Filter Firewall ModSecurity Web Intrusion Detection... Proxy bảo vệ cho nhiều máy chủ web - Hoạt động dựa Rule ModSecurity Web Intrusion Detection and Prevention 11 SECURITY BOOTCAMP 2012 | Make yourself to be an expert! Mô hình 12 ModSecurity Web. .. Bằng tất cách cải tiến độ an toàn ứng dụng có (không dễ) - Nhiều khả phải tăng cường an ninh từ bên - Đặt ứng dụng không an toàn vào môi trường an toàn ModSecurity Web Intrusion Detection and