追蹤
NEIL's_學而時習之x不學無術~私藏IT技術經驗分享部落
關於部落格
NEIL. Cheng....寫作只是為了日後工作之備忘操作參考

本部落格文章撰寫前進邁向第五年(since 2009 ~至今)仍繼續推進分享IT學習!!About Windows/Linux Server,Virtualization


分享網誌: 由於,本人預先完成LAB後,才補上撰寫文章與截圖,若發現文圖對照說明有誤..本人將盡快校正,也請不吝指教! Thanks!

  • 163898

    累積人氣

  • 99

    今日人氣

    0

    追蹤人氣

Apache 之WAF資安防護模組_mod_security與mod_evasive 應用 by keynes


(1): [mod_security] WAF 模組組態

       當我們利用yum 安裝完mod_security 後有個好處是,我們無需利用

       vi 編寫 /etc/httpd/conf/httpd.conf  將module 編寫寫入此檔即刻載入此module

       (源碼安裝則需要修改載入module 設定) 

       下圖:  我們重新啟動httpd , 並 tail -f 10 /var/log/httpd/error_log 

        
可察知 模組 mod_security 已經隨httpd啟用訊息

     

    
 編輯mod_security 組態檔  vi /etc/httpd/conf.d/mod_security.conf

      發行版mod_security 安裝完成後,自動將mod_security module 載入設定

      寫入此檔

      LoadModule security2_module modules/mod_security2.so
      LoadModule unique_id_module modules/mod_unique_id.so

      mod_security 相關設定檔

       Include modsecurity.d/*.conf
       Include modsecurity.d/base_rules/*.conf                       #rules_條例
       Include modsecurity.d/modsecurity_localrules.conf
    

    
      vi /etc/httpd/modsecurity.d/modsecurity_crs_10_config.conf   

     
#主要組態檔案(安裝完後初始化),請參閱說明並依照企業現況修改,about log

   
     
      切換到 /etc/httpd/mod_security.d/base_rules 目錄下,我們可以由下圖看到,

      mod_security 模組定義保護Apache 制定rules 種類

    
       vi modsecurity_crs_45_trojans.conf      #木馬攻擊防範rule展示
    
     vi modsecurity_crs_40_generic_attacks.conf      
#網站一般攻擊rule 規範展示   
  
     vi modsecurity_crs_41_sql_injection_attacks.conf     # sql_injection_attacks 防護
     
  
(2): [mod_evasive]  防止Ddos模組組態

       同上安裝mod_security 當我們用yum 安裝完成同時亦完成module 載入動作

       vi /etc/httpd/conf.d/mod_evasive.conf

        DOSPageCount       2     # 綠色標記為一組: 設定當同1 IP 在1秒內點選該頁面兩次
                                                        
                                             即發送403 Forbidden阻斷訊息給Client禁此存取該頁面
        DOSPageInterval     1
      
       DOSSiteCount        50    # 橘色標記為一組: 設定當同1 IP 在1秒內點該Site50次
                                                        
                                             即發送403 Forbidden阻斷訊息給Client禁此存取該頁面 
       DOSSiteInterval     1

       
DOSBlockingPeriod   10  #藍色標記: Block IP Period : 封鎖具攻擊性IP存取Site 10 秒

    
      頁面往下拉:

      DOSLogDir           "/var/lock/mod_evasive"              #log紀錄檔設置

       DOSWhitelist   192.168.0.198                #白名單IP設置

      
   
    [最後我們測試 Ddos 運行是否OK]

     請先獲得 test.pl  Ddos 測試程式

     並利用perl   test.pl 進行Ddos攻擊本機Appache測試動作

 *經過幾次200 ok 後,阻檔ddos攻擊 403 Forbidden 禁止使用者於Period限定時間內存取該Site*
   
  檢示log 檔,攻擊紀錄成功被稽核

 
Lab操作時參考資訊:

http://www.atomicorp.com/wiki/index.php/Atomic_ModSecurity_Rules

網管人2010/11期
相簿設定
標籤設定
相簿狀態