Lars hat auf dem Meeting im April 2007 einen Vortrag über Mod-Security gemacht. Es ist ein Apache-Modul, mit dem eine Web-Application-Firewall realisiert werden kann. Diese kann auf dem Webserver oder auf einem vorgelagerten Proxy installiert werden. Eine solche Firewall erfüllt folgende Funktionen:

1. Schutz des Web-Servers und seiner Module (außer mod_ssl) vor Angriffen auf den Server (vor allem Buffer-Overflows).
2. Kontrolle des HTTP-Protokolls (z.B. zu alte oder fehlkonfigurierte Clients auf FAQ-Seiten umleiten, Sperrung aller nicht benötigten Funktionen)
3. Generischer Schutz vor bekannten Angriffsformen (XSS-Angriffe, SQL-Injections, PHP-Code-Injections) durch ein negative Secuirity-Modell.
4. Zeitweiliges Patchen unsicherer Anwendungen bis das Problem im Code gefixt ist.
5. Nachbau der kompletten Validierung der Web-Software durch ein positive Secuirity-Modell. Hierbei wird definiert, welche Zugriffe erlaubt sind. Alle anderen Zugriffe werden verboten.
6. Kontrolle des Servers auf Angriffsmuster und auf erfolgreiche Angriffe.
7. Reaktion auf DDoS-Angriffe durch automatische Zusammenarbeit mit Paketfilter-Firewalls, Nutzung von RBL’s.

Eine Web-Application-Firewall ist wie jedes Security-Tool kein Allheilmittel. Es ist keine Software, die man einmalig konfiguriert und um die man sich weiter nicht kümmern braucht.

Mod-Security ist ohne Regelsatz vollkommen wirkungslos und nichts für Leute, die eine setup.exe brauchen. Zwar wird eine umfangreicher Regelsatz mitgeliefert. Dieser ist aber an die eigenen Bedürfnisse anzupassen. Inzwischen erfolgt dies relativ komfortabel, so dass die mitgelieferten Dateien nicht einmal mehr editiert werden müssen.

Am Sinnvollsten ist die Verwendung eines positive Secuirity-Modells. Dieses Modell hat die geringsten Performanceanforderungen. Die Schwierigkeit besteht hierbei jedoch oftmals darin, dass die Web-Schnittstelle der Anwendung nicht ausreichend beschrieben ist.

Generell muss in jedem Fall das Logfile nach false-positivs kontrolliert werden, um den Regelsatz gegebenenfalls anzupassen.

Der Beitrag wurde am Sonntag, den 24. Juni 2007 um 22:40 Uhr veröffentlicht und wurde unter Material, Security abgelegt. Du kannst die Kommentare zu diesen Eintrag durch den RSS 2.0 Feed verfolgen. Du kannst einen Kommentar schreiben, oder einen Trackback auf deiner Seite einrichten.