Implementação de WAF mod_security e integração com Graylog utilizando Filebeat e Logstash
Instalar e configurar um WAF utilizando mod_security em um servidor de proxy reverso para bloquear acessos maliciosos. Também é mostrado como integrar os logs gerados com o Graylog, a fim de obter uma melhor visibilidade dos ataques. Essa integração é feita com FileBeat e Logstash e o tratamento dos dados com o projeto logstash-modsecurity.
[ Hits: 8.613 ]
Por: NerdBarbado em 30/07/2020
Instalação e configuração do mod_security e mod_evasive
Instalação do mod_security e mod_evasive
Atualize o servidor:sudo yum update
Instalação dos pré-requisitos:
sudo yum install httpd epel-release git wget
Instalação do mod_security e mod_evasive
sudo yum install mod_security mod_evasive
Para testar se o mod_security está instalado e carregado, rode:
sudo httpd -M | grep security
Deve aparecer a seguinte linha:
security2_module (shared)
Para testar se o mod_evasive está instalado e carregado, rode:
sudo httpd -M | grep evasive
Deve aparecer a seguinte linha:
evasive20_module (shared)
Configuração do mod_security
Instalação das regras OWASP:cd /etc/httpd/modsecurity.d
rm -rf activated_rules/
sudo git clone https://github.com/SpiderLabs/owasp-modsecurity-crs
cd owasp-modsecurity-crs/
cp crs-setup.conf.example crs-setup.conf
Altere a linha 4 do arquivo /etc/httpd/conf.d/mod_security.conf para:
Ainda no arquivo /etc/httpd/modsecurity.d/mod_security.conf verifique se os seguintes parâmetros estão com os mesmos valores do exemplo abaixo:
SecRequestBodyAccess On
SecResponseBodyAccess On
SecResponseBodyMimeType text/plain text/html text/xml application/octet-stream
SecAuditLog /var/log/httpd/modsec_audit.log
SecTmpDir /var/lib/mod_security
SecDataDir /var/lib/mod_security</IfModule>
Adicione as seguintes linhas no fim do arquivo /etc/httpd/conf/httpd.conf:
Include modsecurity.d/owasp-modsecurity-crs/crs-setup.conf
Include modsecurity.d/owasp-modsecurity-crs/rules/*.conf
</IfModule>
Reinicie o Apache:
sudo systemctl restart httpd
Configuração do mod_evasive
Abra o arquivo /etc/httpd/modsecurity.d/mod_evasive.conf e verifique se os seguintes parâmetros estão com os mesmos valores do exemplo abaixo:DOSPageCount 2
DOSSiteCount 50
DOSPageInterval 1
DOSSiteInterval 1
DOSBlockingPeriod 10
Testando o mod_security
Abra um terminal e execute o seguinte comando, inserindo o endereço da sua aplicação:curl -s -o /dev/null -w '%{http_code}' www.sistema.com?username=1'%20or%20'1'%20=%20'
Abra o arquivo de log do mod_security e veja o alerta que foi gerado:
sudo tail -f /var/log/httpd/modsec_audit.log
Testando mod_evasive
Abra o arquivo /usr/share/doc/mod_evasive-1.10.1/test.plsudo vi /usr/share/doc/mod_evasive-1.10.1/test.pl
Encontre a linha "for(0..100)" e substitua 100 por 200.
Encontre a linha 'PeerAddr=>"127.0.0.1:80"' e substitua 127.0.0.1 com o IP do seu servidor.
Feche o script e o execute:
sudo perl /usr/share/doc/mod_evasive-1.10.1/test.pl
Devem aparecer várias linhas com a mensagem "HTTP/1.1 403 Forbidden" na tela.
2. Instalação e configuração do mod_security e mod_evasive
3. Instalação e configuração do FileBeat e Logstash
4. Testando integração do modsecurity, filebeat e logstash
5. Integração com o Graylog
Logwatch - Enviando relatórios via e-mail
Servidor para centralização de logs - Fedora 7
Antivírus ClamAV com proteção em tempo real
Análise de Atividades Suspeitas com Audit
Os segredos da criptografia com o Gcipher
Fala amigo,
Primeiramente obrigado pelo artigo.
Uma observação:
Na parte "IncludeOptional modsecurity.d/rules/*.conf" seria "IncludeOptional modsecurity.d/owasp-modsecurity-crs/rules/*.conf"
Na parte "Ainda no arquivo /etc/httpd/modsecurity.d/mod_security.conf verifique..." o caminho do arquivo está errado. Seria o caminho /etc/httpd/conf.d/mod_security.conf
Atenciosamente,
x.x
run rabbit run
Patrocínio
Destaques
Artigos
Compartilhando a tela do Computador no Celular via Deskreen
Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota
Configuração para desligamento automatizado de Computadores em um Ambiente Comercial
Dicas
Como renomear arquivos de letras maiúsculas para minúsculas
Imprimindo no formato livreto no Linux
Vim - incrementando números em substituição
Efeito "livro" em arquivos PDF
Como resolver o erro no CUPS: Unable to get list of printer drivers
Tópicos
Não to conseguindo resolver este problemas ao instalar o playonelinux (1)
Excluir banco de dados no xampp (1)
Top 10 do mês
-
Xerxes
1° lugar - 65.418 pts -
Fábio Berbert de Paula
2° lugar - 50.631 pts -
Buckminster
3° lugar - 17.369 pts -
Mauricio Ferrari
4° lugar - 15.337 pts -
Alberto Federman Neto.
5° lugar - 14.084 pts -
Diego Mendes Rodrigues
6° lugar - 13.393 pts -
Daniel Lara Souza
7° lugar - 12.738 pts -
edps
8° lugar - 10.765 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
9° lugar - 10.599 pts -
Andre (pinduvoz)
10° lugar - 10.437 pts
Scripts
[Python] Automação de scan de vulnerabilidades
[Python] Script para analise de superficie de ataque
[Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem
[Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)
[Shell Script] Script para adicionar bordas às imagens de uma pasta
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
