How to set up owasp modsecurity crs3 detection only on apache2


A. Pengertian

ModSecurity, kadang-kadang disebut Modsec, adalah populer Open-source aplikasi Web firewall (WAF). Awalnya dirancang sebagai modul untuk Apache HTTP Server , telah berkembang untuk menyediakan sebuah array Protocol Hypertext Transfer permintaan dan penyaringan respon kemampuan bersama dengan fitur keamanan lainnya di sejumlah platform yang berbeda termasuk Apache HTTP Server , Microsoft IIS dan nginx . Ini adalah perangkat lunak bebas yang dirilis di bawah lisensi Apache 2.0.


B. Latar Belakang 

makin banyak nya para penjahat dalam dunia internet khususnya kejahatan pada website atau webserver , yang mengakibatkan sysadmin repot untuk mengembalikan server seperti semula. maka dari itu di perlukan security dalam sisi server untuk membantu mengamankan server dari serangan.

C. Maksud dan tujuan

untuk membantu mengamankan serangan website dan mengetahui serangan apa yang di gunakan oleh attacker.

D. Hal yang di butuhkan

1. Niat dan baca basmallah
2. Apache2 Webserver
3. Debian Server
4. Koneksi ke Repository
 
E. Jangka waktu pelaksanaan

waktu yang  saya butuhkan kurang lebih 15 menit.

F. Langkah Pelaksanaan 

1. Install dulu mod security pada server dengan perintah

# apt-get install libapache2-mod-security2

  
2.  Setelah ter install mod_security nya , selanjutnya cek status dari mod_security, dengan perintah

# apachectl -M | grep --color security


 dimana apachectl adalah apache control dan option -M adalah module dan perintah "grep" adalah untuk menemukan string .

jika  security2_module (shared) berarti module security2 sudah aktif.

3. selanjutnya, kita masuk ke directory "/etc/modsecurity" lalu ubah modsecurity.conf-recommended menjadi modsecurity.conf dengan perintah.

# cd /etc/modsecurity
# mv modsecurity.conf-recommended modsecurity.conf



4. Next ! masuk "/etc/share" , lalu clone CRS (Core Rule Set) dari github SpiderLabs , pastikan sudah terinstall "git".

# cd /usr/share
# git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git



5. Yosh, masuk ke directory "/usr/share/owasp-modsecurity-crs" lalu ubah
crs-setup.conf.example ke crs-setup.conf , menggunakan perintah

# cd /usr/share/owasp-modsecurity-crs
# mv crs-setup.conf.example crs-setup.conf

6. Setelah itu , masuk directory "/usr/share/owasp-modsecurity-crs/rules" lalu ubah pada bagian
REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf.example ke REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf


dan
RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf.example ke RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf

dengan perintah

# cd /usr/share/owasp-modsecurity-crs/rules

# mv REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf.example REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf

# mv RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf.example RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf

 

7. Next ! masuk directory "/etc/apache2/mods-enabled" lalu edit file security2.conf

# cd /etc/apache2/mods-enabled
# nano security2.conf


8. lalu tambahkan konfigurasi Include ke owasp-modsecurity-crs.

IncludeOptional /usr/share/owasp-modsecurity-crs/crs-setup.conf
IncludeOptional /usr/share/owasp-modsecurity-crs/rules/*.conf


9. simpan konfigurasi nya, selanjutnya reload dan restart service dari apache2 pastikan tidak ada error saat restart dan reload.

# /etc/init.d/apache2 reload
# /etc/init.d/apache2 restart


10. Selanjutnya langkah cek apakah work atau tidak nya, apakah webserver sudah bisa mendeteksi serangan menurut rules yang kita gunakan (owasp crs3).

buka webbrowser pergi ke ip/domain server, lalu kita akan mencoba salah satu serangan disini kita akan mencoba serangan XSS (Cross-site Scripting),

lihat gambar..


11. Dan kita akan meilhat log, apakah terdeteksi serangan XSS yang kita coba tadi atau tidak.

# cat /var/log/apache2/modsec_audit.log



disitu terlihat bahwa ada serangan XSS dan Html code injection,
dan Engine-mode "DETECTION_ONLY" maksud nya webserver hanya mendeteksi serangan dari seorang attacker dan memberi informasi ke sysadmin melalui log.


G. Kesimpulan
Dengan module security kita di bisa mengetahui serangan apa yang di lakukan oleh attacker dan mengetahui kelemahan dari server kita.

Referensi :
http://modsecurity.org
https://en.wikipedia.org/wiki/ModSecurity
https://github.com/SpiderLabs/owasp-modsecurity-crs/blob/v3.0/master/INSTALL

Postingan terkait:

Belum ada tanggapan untuk "How to set up owasp modsecurity crs3 detection only on apache2"

Posting Komentar