PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : An alle Webmaster - Apache mod_security!



.morph
21.02.06, 16:41
Hi Community,

hab' da etwas interessantes genunden.

1. Die Apache Application Firewall (http://www.heise.de/security/artikel/69070)
2. Die entsprechenden Regelsätze (http://www.gotroot.com/mod_security+rules)

-uw

cyberdyne
21.02.06, 18:09
danke für den link!

derRichard
21.02.06, 22:15
hallo!

gotroot ist *******e.
die meisten regeln greifen nicht, da sie nur auf die proof of concept "angriffe" ausgelegt sind.
es sind auch sehr sehr viele regeln --> der apache wird lahm.

beispiel: (aus der aktuellen rules.conf)


#phpMyAdmin path vln
SecFilterSelective REQUEST_URI "/phpMyAdmin/css/phpmyadmin\.css\.php\?GLOBALS\[cfg\]\[ThemePath\]=(/|.*\.\./)"

#PHPBB full path disclosure
SecFilterSelective REQUEST_URI "phpBB/db/oracle\.php"
SecFilterSelective REQUEST_URI "forum/db/oracle\.php"
SecFilterSelective REQUEST_URI "forums/db/oracle\.php"


die erste regel greift nur wenn phpmyadmin unter "/phpMyAdmin" installiert wurde. ist das bei jedem so? sicher nicht.

die zweite regel mindestens genau so schlimm...

//richard

marce
22.02.06, 07:07
Die Idee an sich ist "gut" - verlangt aber einen sehr hohen Adminstrationsaufwand. Vieles denke ich kann man aber auch über die normale Apache-Configuration erreichen (Allow from IP, .htaccess, ...) - und für den Rest sollte eigentlich die entsprechende Webapplikation selbst sorgen - so gesehen wird also das Problem vom falschen Ende her angegangen...

Jigsore
22.02.06, 16:10
gotroot ist *******e.
die meisten regeln greifen nicht, da sie nur auf die proof of concept "angriffe" ...
Wer nur kopiert und einfügt hat selbst Schuld :p

.morph
25.02.06, 04:51
Hi,

kleine Rückmeldung. Nachdem ich mich nun eingehender mit der Materie beschäftigt habe, muss ich leider auch sagen, dass das Ganze etwas problematisch und Zeit verplempert, die ich eigentlich nicht habe.

Ich muss marce voll und ganz zustimmen. Der Aufwand steht in keinem Verhältnis zu einem möglichen Nutzen. Verwendet man vordefinierte Regeln, wie beispielsweise von modsecurity.org oder gotroot.com, lahmt Apache wie die Sau! Will man diese aufgrund der Performance nicht einsetzen, ist man gezwungen das komplette Regelwerk zu erlernen, damit man seine Eigenen erstellen kann. Das wäre an sich nicht das Problem. Das Lernen gehört dazu, nur leider kommt eben auch erschwerend hinzu, dass man dann erst mal in einer Phase steckt, die allgemein als "Trial and Error" bekannt ist. Das kann ich mir eigentlich nicht leisten, mein Server muss laufen und das bitte zügig! Ständig muss Du die ErrorLogs im Auge behalten, ob der Server nicht wieder mal Benutzer ausgesperrt hat, die eigentlich problemlos hätten zugreifen können.

Das nächste Problem ist die Aktualität des Moduls in der Stable-Release Sarge. Liegt es in der Version 1.8.7 vor, die aktuellste ist aber 1.9.2. Auf etc.inittab.org gibt es zwar ein Repository zur neuen Version, aber die v1.9.2 braucht eine neuere Version der libc6. Installiert ist 2.3.2.ds1-22 und das Modul will die 2.3.5-1 haben. Soll ich nun einen dist-upgrade machen, damit ich die aktuellste Version einsetzen kann? Nein, das will ich nicht, oder vielleicht doch? Ich bin irgendwie hin und her gerissen. Leider habe ich auch keine Ahnung, ob man die parallel laufen lassen könnte. So gut kenne ich mich einfach noch nicht aus.

EDIT:
Ich wollte eigentlich ein Turorial zu diesem Thema schreiben, was ich heute auch begonnen habe, weil ich in der Tat bereit bin das Regelwerk zu lernen. Ich denke ich muss mich einfach noch ein bissl mehr informieren.

-uw

cyberdyne
25.02.06, 10:28
kann mich .morph nur anschließen. soo gut wie es am anfang schien, finde ich es nun nichtmehr. mal sehen wann ich nochmal zeit bekomme mir die sache genauer anzusehen.

.morph
25.02.06, 23:50
Hi,

da ich der Ansicht bin, dass man das zu Ende bringen sollte was man begonnen hat, habe ich mich nun dazu entschlossen, an meinem Tutorial festzuhalten. Sowie ich damit fertig bin, werde ich einen neuen Thread zum Thema eröffnen und hoffe natürlich auf Feedback.

Weiterführende Recherchen haben jedenfalls ergeben, dass man auch mit der Version 1.8.7 ein gewisses Maß an Sicherheit erzielen kann, ohne dabei der Performance den Laufpass geben zu müssen. Ein dist-upgrade sollte also nicht nötig sein, zumal ich auch nicht auf Sicherheitsupdatres verzichten möchte.

Und ganz ehrlich, schon allein durch das tägliche Studium der audit.log habe ich wieder was dazu gelernt. Und das Thema Netzwerksicherheit ist nun mal eines, dass man nicht auf die leichte Schulter nehmen sollte. Je mehr man darüber weiß, desto so besser!

Also, ich melde mich dann in den nächsten Tagen mit einem neuen Thread.

Bis auf weiteres und fröhliches Fasching, Karneval oder wie immer Ihr es nennt. Sauft nicht so viel, dann bleibt mehr für mich! ;)

-uw

$kuLL
26.02.06, 17:21
da ich der Ansicht bin, dass man das zu Ende bringen sollte was man begonnen hat, habe ich mich nun dazu entschlossen, an meinem Tutorial festzuhalten. Sowie ich damit fertig bin, werde ich einen neuen Thread zum Thema eröffnen und hoffe natürlich auf Feedback.
Gute Entscheidung, ich bin gespannt...