Firewall
Bei ModSecurity handelt es sich um eine WAF, eine sogenannte Web Application Firewall. Diese bietet Ihrem System einen zusätzlichen Schutz vor schädlichen Angriffen und agiert auf Anwendungsebene. Dadurch bewahren Sie Ihre Daten vor Manipulation und Spionage. Erfahren Sie, wie Sie das Programm einsetzen und nach welchem Grundprinzip es arbeitet.
Erhöhen Sie die Sicherheit durch ModSecurity
Angreifer entwickeln immer raffiniertere Taktiken, um in Systeme einzudringen. Eine Standard-Fire-Wall ist diesen Vorgehensweisen oftmals nicht gewachsen und muss daher durch eine WAF unterstützt werden. Wichtig ist, dass verschiedene Filter definiert werden, welche Angriffe erkennen und abwehren. ModSecurity ist eine Software, die unterschiedliche Filter und Aktionsmöglichkeiten liefert, um Angreifer blockieren. Es handelt sich um eine Web-Firewall auf Anwendungsebene, welche als freie Software (mit Apache-Lizenz 2.0) erhältlich ist. Das Ziel ist es, Angriffe durch Hacker zu verhindern. Dies wird durch einen Satz von Regeln realisiert, welcher für eine Filterung sorgt. Das Prinzip ist es, die Verarbeitung von ungültigen Daten zu verhindern. Dadurch wird die Sicherheit des Servers erhöht und Code-Injection-Agriffe abgewehrt.
ModSecurity bietet zusätzlichen Schutz zu einer Firewall
Das Problem bei den meisten Firewalls ist es, dass sie lediglich auf der untersten Ebene arbeiten. An diesem Punkt setzt ModSecurity an: Das Programm spannt ein zusätzliches Netz um Ihr System und schützt somit auf einem hohen Level Ihre Daten vor Spionageangriffen, Datenklau und Manipulationsversuchen. ModSecurity agiert hierbei wesentlich umfangreicher als eine herkömmliche Firewall, welche viele HTTP-Anfragen nicht abwehrt, da sie den schädlichen Charakter nicht erkennt. Arbeitet die Firewall auf den unteren Schichten der Netzwerkprotokolle, dann können unter anderem SQL-Injections, Cross Site Scripting-Attacken und OS-Command-Injections nicht erkannt werden. ModSecurity arbeitet auf Anwendungsebene und erkennt somit diese Arten von Angriffen. Die eingehenden HTTP-Anfragen werden auf verschiedene Muster untersucht und im Verdachtsfall abgeblockt. Der Verkehr wird in Log-Dateien protokolliert, sodass Sie später eine Analyse durchführen können.
Der Aktionsort ist für den Erfolg entscheidend
ModSecurity ist ein Modul für Apache-Webserver. Es agiert zwar im Server, positioniert sich allerdings vor der eigentlichen Verarbeitungskette. Die Filterregeln können frei definiert werden und werden auf den eingehenden und den ausgehenden Verkehr angewendet. Findet das Programm im HTTP-Verkehr schädliche Daten beziehungsweise verdächtige Daten, dann werden diese blockiert. Der Webserver wird mit den Vorgängen nicht belastet, wodurch auch Denial-of-Service-Attacken effektiv verhindert werden. ModSecurity ist von anderen Web-Anwendungen unabhängig. Es arbeitet ohne Einflussnahme von Content-Management-System oder anderen Programmen. Lediglich die Filterregeln werden definiert und schon werden die meisten schädlichen Anfragen ferngehalten. Damit ModSecurity installiert werden kann, ist ein laufender Apache 2 samt Entwicklungspakete notwendig. Sie können das Programm leicht selbst einrichten, sollten allerdings mit dem Aufbau der Apache-Konfigurationsdateien vertraut sein. ModSecurity nutzt das gleiche Format, wodurch Ihnen in diesem Fall der Umgang relativ leicht fällt.
Die Funktion „setvar“ – Anfragen werden bewertet
Durch die Aktion „setvar“ werden Anfragen bewertet. Jede Anfrage erhält einen Punktestand, der die Sicherheit des Request widerspiegelt. Dabei wird ausnahmslos jede Anfrage zunächst mit einem Basiswert versehen. Dieser verändert sich in Abhängigkeit von den festgelegten Regeln. Durch den Regelsatz bestimmten Sie, in welcher Weise der Punktestand verändert wird. Da auf die Frage, ob es sich um einen Angriff handelt oder nicht, keine 100-prozentige Antwort gegeben werden kann, repräsentiert der Score die Wahrscheinlichkeit für eine Attacke. Überschreitet der ermittelte Wert eine bestimmte Grenze, dann wird die Anfrage blockiert und somit effektiv abgewehrt. Der aktuelle Punktestand kann in der Variablen „score“ abgefragt werden. Durch die Regeln kann sich der Punktestand sowohl erhöhen als auch erniedrigen. Achten Sie darauf, dass die Variable keine negativen Werte annehmen kann und stellen Sie daher alle Regeln, die den Punktestand erhöhen vor die Regeln, welche den Punktestand erniedrigen.
Den optimalen Satz an Regeln auswählen – So erhöhen Sie die Sicherheit
Die Effektivität von ModSecurity ist von der Qualität der ausgewählten Regeln abhängig. Diese sollten genau abgestimmt werden, was einige Zeit in Anspruch nehmen kann. Allerdings ist im Basisumfang des Programms bereits eine Minimalkonfiguration vorhanden, die an das eigene System angepasst werden kann. Zusätzlich sind im Internet bereits einige vorgefertigte Regelwerke erhältlich. Aufgrund der schnell steigenden Komplexität ist es von Vorteil, kleinere Untereinheiten vom Regelwerk zu erstellen. Dadurch behalten Sie die Übersicht und können das Programm unkompliziert warten. In jedem Fall gilt es, das richtige Gleichgewicht zwischen einem guten Schutz des Systems und der Offenheit des Systems zu wahren. Zu strenge Regeln halten auch seriöse Anfragen ab und führen somit zu einer Behinderung des reibungslosen Ablaufs. Ein weiterer Punkt, den Sie beachten müssen, ist die Rechenzeit, welche durch ModSecurity benötigt wird. Die Zeit hängt vom Umfang der Regelsätze ab, sodass Sie hier eine Steuerungsmöglichkeit besitzen. Der Verlust an Rechenzeit wird jedoch durch den großen Gewinn an Sicherheit wieder ausgeglichen. Da allerdings wie bei jeder Firewall nicht alle Angriffe im Vorfeld erkannt und abgewehrt werden können, ist es notwendig, regelmäßige Analysen durchzuführen und festzustellen, warum Angriffe möglich waren. Die Schlussfolgerungen helfen Ihnen dabei, das Regelwerk immer weiter zu verbessern und neuen Taktiken der Hacker anzupassen.
