Cài đặt WAF cho HAProxy với ModSecurity - Sunteco Cloud
Overview
WAF là viết tắt của "Web Application Firewall". Đây là một loại tường lửa (firewall) được sử dụng để bảo vệ các ứng dụng web khỏi các cuộc tấn công bằng cách giám sát, chặn và phát hiện các hoạt động bất thường. WAF có thể giúp ngăn chặn các cuộc tấn công như SQL injection, cross-site scripting, và các cuộc tấn công khác nhằm vào các lỗ hổng bảo mật của ứng dụng web. Nó hoạt động bằng cách phân tích các request HTTP và sử dụng các quy tắc (rule) để xác định các hành vi độc hại. WAF là một phần quan trọng trong việc bảo vệ ứng dụng web và đảm bảo an toàn cho dữ liệu của người dùng.
Prerequisite
Application | Version |
---|---|
OS | Ubuntu 20.04 |
HAProxy | v2.7.0 |
ModSecurity | v3.0.9 |
OWASP ModSecurity CRS | v3.3.4 |
Install dependencies packages
Cài đặt một số dependencies phục vụ cho quá trình build các packages
$ sudo apt install build-essential doxygen valgrind libyajl-dev libgeoip-dev liblmdb-dev \
liblua5.3-dev libpcre2-dev libxml2-dev libcurl4-openssl-dev \
libfuzzy-dev libevent-dev libpcre3-dev libssl-dev libsystemd-dev jq
Install
Install ModSecurity
$ sudo mkdir /etc/modsecurity
$ wget https://github.com/SpiderLabs/ModSecurity/releases/download/v3.0.9/modsecurity-v3.0.9.tar.gz
$ tar xzvf modsecurity-v3.0.9.tar.gz
$ cd modsecurity-v3.0.9
$ ./configure --prefix=/usr/local/modsecurity-3.0.9 --with-lua --with-pcre2 --with-lmdb
$ make -j $(nproc)
$ sudo make install
$ sudo ln -s /usr/local/modsecurity-3.0.9 /usr/local/modsecurity
Tạo file /etc/modsecurity/modsecurity.conf
$ sudo cp modsecurity.conf-recommended /etc/modsecurity/modsecurity.conf
$ sudo cp unicode.mapping /etc/modsecurity
Install spoa-modsecurity
$ git clone https://github.com/FireBurn/spoa-modsecurity.git
$ cp -r /usr/local/modsecurity/include/modsecurity spoa-modsecurity/include
$ cd spoa-modsecurity
$ sed -i 's/ModSecurity-v3.0.5\/INSTALL\/usr\/local\/modsecurity\/include/\/usr\/local\/modsecurity\/include\/modsecurity/g' Makefile
$ sed -i 's/ModSecurity-v3.0.5\/INSTALL\/usr\/local\/modsecurity\/lib/\/usr\/local\/modsecurity\/lib/g' Makefile
$ make
$ sudo make install
Tạo file modsec systemd
$ sudo vim /usr/lib/systemd/system/modsecurity.service
[Unit]
Description=Modsecurity Standalone
After=network.target
[Service]
Environment=LD_LIBRARY_PATH=/usr/local/modsecurity/lib/
Environment="CONFIG=/etc/modsecurity/modsecurity.conf" "EXTRAOPTS=-d -n 1"
ExecStart=/usr/local/bin/modsecurity $EXTRAOPTS -f $CONFIG
ExecReload=/usr/local/bin/modsecurity $EXTRAOPTS -f $CONFIG
ExecReload=/bin/kill -USR2 $MAINPID
Restart=always
Type=simple
[Install]
WantedBy=multi-user.target
Install OWASP ModSecurity CRS
$ wget https://github.com/coreruleset/coreruleset/archive/refs/tags/v3.3.4.tar.gz -O coreruleset-v3.3.4.tar.gz
$ tar xzvf coreruleset-v3.3.4.tar.gz
$ sudo mv coreruleset-3.3.4 /usr/local/coreruleset-3.3.4
$ sudo ln -sf /usr/local/coreruleset-3.3.4 /usr/local/coreruleset
$ cd /usr/local/coreruleset
$ sudo mv crs-setup.conf.example crs-setup.conf
$ sudo mv REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf.example REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf
$ sudo mv RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf.example RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf
Thêm các dòng sau vào file /etc/modsecurity/modsecurity.conf
$ sudo vim /etc/modsecurity/modsecurity.conf
include /usr/local/coreruleset/crs-setup.conf
include /usr/local/coreruleset/rules/REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf
include /usr/local/coreruleset/rules/REQUEST-901-INITIALIZATION.conf
include /usr/local/coreruleset/rules/REQUEST-905-COMMON-EXCEPTIONS.conf
include /usr/local/coreruleset/rules/REQUEST-910-IP-REPUTATION.conf
include /usr/local/coreruleset/rules/REQUEST-911-METHOD-ENFORCEMENT.conf
include /usr/local/coreruleset/rules/REQUEST-912-DOS-PROTECTION.conf
include /usr/local/coreruleset/rules/REQUEST-913-SCANNER-DETECTION.conf
include /usr/local/coreruleset/rules/REQUEST-920-PROTOCOL-ENFORCEMENT.conf
include /usr/local/coreruleset/rules/REQUEST-921-PROTOCOL-ATTACK.conf
include /usr/local/coreruleset/rules/REQUEST-930-APPLICATION-ATTACK-LFI.conf
include /usr/local/coreruleset/rules/REQUEST-931-APPLICATION-ATTACK-RFI.conf
include /usr/local/coreruleset/rules/REQUEST-932-APPLICATION-ATTACK-RCE.conf
include /usr/local/coreruleset/rules/REQUEST-933-APPLICATION-ATTACK-PHP.conf
include /usr/local/coreruleset/rules/REQUEST-941-APPLICATION-ATTACK-XSS.conf
include /usr/local/coreruleset/rules/REQUEST-942-APPLICATION-ATTACK-SQLI.conf
include /usr/local/coreruleset/rules/REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION.conf
include /usr/local/coreruleset/rules/REQUEST-949-BLOCKING-EVALUATION.conf
include /usr/local/coreruleset/rules/RESPONSE-950-DATA-LEAKAGES.conf
include /usr/local/coreruleset/rules/RESPONSE-951-DATA-LEAKAGES-SQL.conf
include /usr/local/coreruleset/rules/RESPONSE-952-DATA-LEAKAGES-JAVA.conf
include /usr/local/coreruleset/rules/RESPONSE-953-DATA-LEAKAGES-PHP.conf
include /usr/local/coreruleset/rules/RESPONSE-954-DATA-LEAKAGES-IIS.conf
include /usr/local/coreruleset/rules/RESPONSE-959-BLOCKING-EVALUATION.conf
include /usr/local/coreruleset/rules/RESPONSE-980-CORRELATION.conf
include /usr/local/coreruleset/rules/RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf
Install HAProxy
$ wget https://github.com/haproxy/haproxy/archive/refs/tags/v2.7.0.tar.gz -O haproxy-v2.7.0.tar.gz
$ tar xzvf haproxy-v2.7.0.tar.gz
$ cd haproxy-2.7.0
$ make -j $(nproc) TARGET=linux-glibc \
USE_OPENSSL=1 USE_LUA=1 USE_PCRE=1 USE_SYSTEMD=1
$ sudo make install
Tạo file configuration cho modsecurity
$ sudo vim /etc/haproxy/spoe-modsecurity.conf
[modsecurity]
spoe-agent modsecurity-agent
messages check-request
option var-prefix modsec
timeout hello 100ms
timeout idle 30s
timeout processing 15ms
use-backend spoe-modsecurity
spoe-message check-request
args unique-id src src_port dst dst_port method path query req.ver req.hdrs_bin req.body_size req.body
event on-frontend-http-request
Cập nhật file /etc/haproxy/haproxy.cfg
$ vim /etc/haproxy/haproxy.cfg
frontend https-in
unique-id-format % { +X } o\ %ci:%cp_%fi:%fp_%Ts_%rt:%pid
unique-id-header X-Unique-ID
log-format "%ci:%cp [%tr] %ft %b/%s %TR/%Tw/%Tc/%Tr/%Ta %ST %B %CC %CS %tsc %ac/%fc/ %bc/%sc/%rc %sq/%bq %hr %hs %{+Q}r %[unique-id]"
filter spoe engine modsecurity config /etc/haproxy/spoe-modsecurity.conf
http-request deny if { var(txn.modsec.code) -m int gt 0 }
backend spoe-modsecurity
mode tcp
balance roundrobin
timeout connect 5s
timeout server 3m
server modsec1 127.0 . 0.1 :12345
Validate file HAProxy config
$ haproxy -c -f haproxy.cfg
Configuration file is valid
Đăng ký modsec và haproxy với systemd và chạy
$ sudo systemctl enable --now modsecurity
Check WAF Operation
Log ModSec sẽ được lưu trong file audit log. Ta có thể đọc file audit log để kiểm tra xem CRS đã hoạt động chính xác chưa. Đường dẫn audit log có thể được thay đổi trong file modsecurity.conf
Sau khi chỉnh sửa file configuration, luôn phải restart ModSec service
$ sudo vim /etc/modsecurity/modsecurity.conf
SecAuditLogType Serial
SecAuditLog /var/log/modsecurity/modsec_audit.log
SecAuditLogFormat JSON
$ sudo mkdir -p /var/log/modsecurity/
$ sudo systemctl restart modsecurity
Thử gọi một bad request và check audit log
$ curl -I https://example.com/?../etc/passwd
$ cat /var/log/modsecurity/modsec_audit.log
Có thể dùng jq để xem log dưới dạng json
$ cat /var/log/modsecurity/modsec_audit.log | jq
Ở cấu hình default, ModSec chỉ chạy với mode DetectionOnly, là phát hiện các truy cập bất thường và log lại chứ không xử lý.
Giờ ta sẽ enable Rule để block mọi truy cập bất thường.
$ sudo vim /etc/modsecurity/modsecurity.conf
SecRuleEngine On
Truy cập vào web bằng một URL đáng ngờ và ta sẽ bị chặn lại
Trải nghiệm ngay hệ sinh thái Sunteco Cloud
All rights reserved