mod_security en Fedora Core HOWTO

Edwind Richzendy Contreras Soto <Richzendy[at]gmail[dot]com>
blog: http://www.Richzendy.org

Maria Gracia Leandro Lombardo <tatadbb[at]gmail[dot]com>
blog: http://www.tatica.org

*Sustituye el [at] por el simbolo @ y el [dot] por un punto

v0.1, 20 de Abril del 2007

Este mini HowTo, no pretende ser una biblia de mod_security, solo es una de las tantas maneras de configurarlo, lo que pretendiamos con este mini tutorial era lograr una configuración rápida y sencilla para cualquier persona que no quiere convertirse en un experto o leerse una extensa documentación de apache para lograr la tarea de proteger un poco su sitio web. Todas las acciones que se realizarón aca funcionaron a la perfección, pero no nos hacemos responsables de lo que tu hagas con tus /dev/hands asi que te recomendamos conectes tu /dev/brain al intentar hacer algo de lo que aca se explica.

 

	mod_security es un módulo para apache que permite por medio de algunas reglas predefinidas, basadas en expresiones regulares proteger
tu sitio web, de algunos ataques comúnes y de usuarios maliciosos, el por si solo no hace nada, las reglas que definimos para mod_security
son las que ayudarán a la protección y dependiendo de que tan buenas sean, será efectivo o no. 

	Cabe destacar, que tampoco es el único método de protección, existen varios y ninguno es mejor o peor que otro, de hecho estos se pueden
 mezclar en armonía, pero la gran mayoría se basan en una buena configuración del demonio httpd y sus componentes.

	Todo el procedimiento, se realizo en una máquina ( propiedad de tatica ) con Fedora Core versión 6 instalado, con la versión de apache:

 httpd-2.2.3-5

Primero revisamos si tenemos mod_security de apache instalado en nuestro sistema:

 Ingresamos al directorio donde el demonio httpd ( apache ) en Fedora Core almacena los archivos de configuración extras:
 
[root@tuxita ~]# cd /etc/httpd/conf.d/

Listamos los archivos del directorio en busca de un archivo que se llama "mod_security.con"

[root@tuxita conf.d]# ls

manual.conf perl.conf php.conf proxy_ajp.conf README ssl.conf tatica.conf webalizer.conf welcome.conf

No se ve por ningún lado...

Verificamos más a fondo a ver si tenemos el paquete instalado:

[root@tuxita conf.d]# rpm -qa | grep mod_security

Y no, da respuesta, por lo que se concluye que no esta instalado y hay que instalarlo... para poder seguir.

[root@tuxita conf.d]# yum install mod_security

Revisamos de nuevo el directorio de los archivos de configuración extras de apache:

[root@tuxita conf.d]# ls
manual.conf mod_security.conf perl.conf php.conf proxy_ajp.conf README ssl.conf tatica.conf webalizer.conf welcome.conf

*Notese el archivo mod_security.conf

Este archivo trae ya una configuración, básica, pero suficiente para algunos, nosotros vamos a configurarlo con mejores reglas y no
vamos a usar las que vienen por defecto

Vamos a usar las reglas que se consiguen en este site:


 http://www.gotroot.com/tiki-index.php?page=Setup+of+mod_security


 En el sitio sitio dicen como instalar estas reglas, pero esta en ingles, nosotros nos limitaremos a usar la misma configuración de como
 la explican allí.

Creamos el directorio /etc/modsecurity


[root@tuxita conf.d]# mkdir /etc/modsecurity
y entramos en el:


[root@tuxita conf.d]# cd /etc/modsecurity

Volvemos a la web, que la debemos tener abierta en nuestro browser y vamos a la parte de download de las reglas:

http://www.gotroot.com/tiki-index.php?page=mod_security+rules

Y vamos a ir bajando una a una de las que estan especificadas en el archivo, con wget al directorio /etc/modsecurity ( de todos los archivos
son las que dicen que son para apache 2.x que es la versión actual de apache en Fedora Core )

Primero bajamos el exclude.conf

[root@tuxita modsecurity]# wget http://www.gotroot.com/downloads/ftp/mod_security/2.0/apache2/exclude.conf

Luego el rules.conf

[root@tuxita modsecurity]# wget http://www.gotroot.com/downloads/ftp/mod_security/2.0/apache2/rules.conf

Luego el blacklist, que es ideal para prevenir el spam en comentariosde nuestro site

[root@tuxita modsecurity]# wget http://www.gotroot.com/downloads/ftp/mod_security/2.0/apache2/blacklist.conf

Luego el blacklist2, para prevenir conexiones de proxys no co9nfiables y visitantes maliciosos:

[root@tuxita modsecurity]# wget http://www.gotroot.com/downloads/ftp/mod_security/2.0/apache2/blacklist2.conf

Luego el useragents.conf, para evitar, malware , clientes maliciosos, bugs conocidos:

[root@tuxita modsecurity]# wget http://www.gotroot.com/downloads/ftp/mod_security/2.0/apache2/useragents.conf

Luego el rootkits.conf, el nombre lo dice, para evitar rootkits y algunos hackeos:

[root@tuxita modsecurity]# wget http://www.gotroot.com/downloads/ftp/mod_security/2.0/apache2/rootkits.conf

El proxy.conf, no lo descargamos, comentamos la linea de archivo que hace referencia a el.

Y por último el apache2-rules.conf, que contiene algunas reglas especiales para apache2

[root@tuxita modsecurity]# wget http://www.gotroot.com/downloads/ftp/mod_security/2.0/apache2/apache2-rules.conf

Ahora vamos y editamos el archivo de configuración del modúlo mod_security:

[root@tuxita modsecurity]# vi /etc/httpd/conf.d/mod_security.conf

El archivo debe quedar como el de acá, solo copy/paste, el texto siguiente:

# Example configuration file for the mod_security Apache module
LoadFile /usr/lib/libxml2.so.2
LoadModule security2_module modules/mod_security2.so
#LoadModule unique_id_module modules/mod_unique_id.so
#<IfModule mod_security2.c>
# This is the ModSecurity Core Rules Set.
# Basic configuration goes in here
# Include modsecurity.d/modsecurity_crs_10_config.conf
# Protocol violation and anomalies.
# These are disabled as there's a bug in REQUEST_FILENAME handling
# causing the "+" character to be incorrectly handled.
# Include modsecurity.d/modsecurity_crs_20_protocol_violations.conf
# Include modsecurity.d/modsecurity_crs_21_protocol_anomalies.conf
# HTTP policy rules
# Include modsecurity.d/modsecurity_crs_30_http_policy.conf
# Here comes the Bad Stuff...
# Include modsecurity.d/modsecurity_crs_35_bad_robots.conf
# Include modsecurity.d/modsecurity_crs_40_generic_attacks.conf
# Include modsecurity.d/modsecurity_crs_45_trojans.conf
# Include modsecurity.d/modsecurity_crs_50_outbound.conf
# Search engines and other crawlers. Only useful if you want to track
# Google / Yahoo et. al.
# Include modsecurity.d/modsecurity_crs_55_marketing.conf
# Put your local rules in here.
# The existing example is for the CVE-2007-1359 vulnerability
# Include modsecurity.d/modsecurity_localrules.conf
#</IfModule>
<IfModule mod_security.c>
# Only inspect dynamic requests
# (YOU MUST TEST TO MAKE SURE IT WORKS AS EXPECTED)
#SecFilterEngine DynamicOnly
SecFilterEngine On
# Reject requests with status 500
SecFilterDefaultAction "deny,log,status:500"
# Some sane defaults
SecFilterScanPOST On
SecFilterCheckURLEncoding On
SecFilterCheckCookieFormat On
SecFilterCheckUnicodeEncoding Off
SecFilterNormalizeCookies On
# enable version 1 (RFC 2965) cookies
SecFilterCookieFormat 1
SecServerResponseToken Off
#If you want to scan the output, uncomment these
SecFilterScanOutput On
SecFilterOutputMimeTypes "(null) text/html text/plain"
# Accept almost all byte values
SecFilterForceByteRange 1 255
# Server masking is optional
#fake server banner - NOYB used - no one needs to know what we are using
SecServerSignature "NOYB"
#SecUploadDir /tmp
#SecUploadKeepFiles Off
# Only record the interesting stuff
SecAuditEngine RelevantOnly
SecAuditLog logs/audit_log
# You normally won't need debug logging
SecFilterDebugLevel 0
SecFilterDebugLog logs/modsec_debug_log
#And now, the rules
#Remove any of these Include lines you do not use or have rules for.
#First, add in your exclusion rules:
#These MUST come first!
Include /etc/modsecurity/exclude.conf
#Application protection rules
Include /etc/modsecurity/rules.conf
#Comment spam rules
Include /etc/modsecurity/blacklist.conf
#Bad hosts, bad proxies and other bad players
Include /etc/modsecurity/blacklist2.conf
#Bad clients, known bogus useragents and other signs of malware
Include /etc/modsecurity/useragents.conf
#Known bad software, rootkits and other malware
Include /etc/modsecurity/rootkits.conf
#Signatures to prevent proxying through your server #only rule these rules if your server is NOT a proxy
#Include /etc/modsecurity/proxy.conf
#Additional rules for Apache 2.x ONLY! Do not add this line if you use Apache 1.x
Include /etc/modsecurity/apache2-rules.conf
</IfModule>

Ya con esto esta todo prácticamente listo, solo hace falta reiniciar el apache y cruzar los dedos para que no de ningun error :D
y ya tienes tu mod_security instalado, configurado y con unas buenas reglas, solo te falta probar que todo en tu sitio funcione,
correctamente, prueba enviando comentarios y otras cosas del sitio, como los urls

Si deseas editar las reglas por ti mismo, revisa los archivos de las reglas que estan en /etc/modsecurity, casi todas están basadas
en expresiones regulares, puedes editar algunas que se refieren a proteger CMS, como php-nuke y si no lo usas, no tienes por que
tenerlas cargadas, ya que no, hacen falta.

Esto no garantiza que estes protegido contra todos los males del internet, pero al menos ayuda en algo, debes estar pendiente en el
el sitio de donde bajamos las reglas por los updates para actualizar nuestros archivos de reglas.

Espero te sirva de ayuda, cualquier comentario o corrección es bienvenida a nuestros correos eléctronicos.

Direcciones útiles:

http://www.modsecurity.org/documentation/index.html ( documentación en ingles de mod_security ).
http://www.gotroot.com/tiki-index.php?page=Setup+of+mod_security ( tutorial de referencia que se uso para este, pero en ingles ).
http://www.gotroot.com/tiki-index.php?page=mod_security+rules ( página de descarga de las reglas de gotroot ).

```
Copyleft:
```

Puedes copiar parte o todo este tutorial en tu web site o donde quieras con la intención o fin que mejor te parezca, con tal que lo dejes en contenido tal cual como esta y en alguna parte menciones los links originales de donde se puede conseguir para que las personas que lo lean puedan conseguir versiones actualizadas del mismo, con el debido credito de los autores y si lo usas, nos sentiriamos agradecidos de que nos informaras al respecto, para tener una idea de la difusión de este material.