ModSecurity چیست؟
ModSecurity یک افزونه امنیتی در سرورهای میزبانی وب است که وظیفه بررسی و کنترل تراکنشهای اطلاعاتی سیستمهای مدیریت محتوا (مانند Joomla و WordPress) یا کدهای PHP مبتنی بر دیتابیس را بر عهده دارد. به این صورت که اگر این افزونه عملیات غیر متعارفی را چه از طرف کاربران و چه از طرف مدیران سایت شناسایی کند، اقدام به مسدود کردن موقت دسترسی IP مشکوک میکند. این محدودیت دسترسی تنها برای IP مشکوک اتفاق میافتد و سایر کاربران میتوانند همچنان بدون هیچ محدودیتی از آن وبسایت استفاده کنند.
عیب یابی هشدارهای ModSecurity
اگر چه موراد بسیاری هست که ModSecurity را هنگام کار یا دسترسی به یک سایت فعال می کنند، اما اولین چیزهایی که باید بررسی کنید عبارتند از:
وقتی یک سرور بلاک می گردد، فایل لاگی ایجاد می شود که نشان می دهد در لحظه بلاک شدن سرور به چه فایل هایی دسترسی انجام شده است. این فایل باید با دقت بررسی شود تا مشخص شود مشکل چیست. فروم های زیادی وجود دارند که در مورد ModSecurity بحث می کنند و این بهترین فروم ها بهترین جاست که مشکلتان را مطرح کرده و حلش کنید.
آیا از یک برنامه FTP خوب و اختصاصی مثل FileZilla استفاده می کنید؟ نرم افزارهای FTP که روی مرورگر نصب می شود باعث ایجاد مشکلاتی با ModSecurity می شوند و برنامه هایی نیستند که ما استفاده از آنها را توصیه کنیم.
آیا اسکن کامل ویروس انجام داده اید تا مطمئن شوید که هیچ نقطه آسیب پذیری روی کامپیوتر شما وجود ندارد؟ شاید بهتر باشد همه کامپیوترهای شبکه خود را چک کنید فقط محض اطمینان ازینکه چیزی در پس زمینه کمین نکرده و منتظر فرصت برای اجرا نباشد.
آیا پلاگینی روی مرورگر خود نصب کرده اید که سعی در اسکن کردن سرور یا صفحات وبی که بازدید می کنید داشته باشند؟ پلاگین های مرورگر می توانند بسیار مفید باشد، اما اغلب باعث مشکلات ModSecurity می شوند. مثلا متوجه شده ایم پلاگین Firebug روی فایرفاکس عامل تعدادی از هشداری ModSecurity است.
از مزایا و امکانات این ابزار می توان به موارد زیر اشاره نمود:
چک کردن Realtime امنیت و سطوح دسترسی به وب سایت
از بین بردن و یا رفع ریسک وب سایت
ثبت ترافیک HTTP
ارزیابی امنیتی وب سایت به صورت مداوم
جلوگیری از ترافیک های ناخواسته HTTP
به راحتی به وب سرور Apache اضافه می شود. از این ابزار می توان در وب سرور
IIS و NGINX و Litespeed نیز استفاده نمود.
ویژگی های بارزی که Mod Security برای حملات روی پروتکل http اهمیت دارد را میتوان بدین شکل مطرح نمود:
Mod Security اوپن سورس و بصورت رایگان ارائه میگردد.
شما میتوانید بصورت رایگان Mod Security را روی وب سرور خود نصب و تمامی رول های آنها را روی سرور خود فعال کنید.
مانیتورینگ تمامی ترافیک های روی سایت ها
تمامی ترافیک های ورودی و خروجی بر روی تک تک وب سایتها روی یک سرور توسط Mod Security بررسی میگردند و در صورتی که مورد مشکوک یا مطابق با رول تعریف شده درخواست گردد آنها را رد میکند.
شناسایی و جلوگیری از اجرای SQL Injection و XSS ها
تمامی متد های نفوذ از طریق حملات SLQ توسط فایروال Mod Security شناسایی و از اجرای آنها جلوگیری میکند. در واقع قبل از ارسال Query ها به وب سرور و دیتابیس سرور آنها Drop میگردند.
سازگاری با انواع فایروال ها
Mod Security با فایروال
CSF بصورت کامل سازگاری دارد و شما میتوانید با خیال راحت بلاک کردن آی پی متخلفین را به Mod Security بسپارید.
سازگاری با وب سرور های محبوب آپاچی و IIS
یکی از اصلی ترین علت های محبوبیت Mod Security سازگاری آن هم با آپاچی و هم IIS میباشد. بطوری که بدون ایجاد هیچ بار اضافی و یا بدون ایجاد مشکلات زیاد شما میتوانید روی هر دو وب سرور از آن استفاده کنید. حتی در صورتی که Nginx را نیز بصورت پروکسی با آپاچی داشته باشید بازهم مشکلی وجود ندارد و میتوانید با Mod Security کانفیگ کنید.
شناسایی و جلوگیری از اتک های لایه ۷
برخی از اتک ها هستند که هدف آنها برنامه و یا سایت مدنظر میباشد و بیشتر قصد دارند تا سرویس دهنده سایت مدنظر را مسدود کند و یا با افزایش منابع سایت از دسترس خارج گردد. این نوع اتک ها نیز میتواند با Mod Security بسیار کاهش یابد.
اعمال محدودیت روی فایل های آپلودی
تمامی فایل های آپلود شده توسط برنامه های سایتها، از طریق Mod Security بصورت کامل و طبق آخرین آپدیت رول ها بررسی میگردند و در صورتی که مورد مشکوک و مطابق با الگوهای تعریف شده وجود داشته باشد از آپلود آنها جلوگیری میکند.
استفاده از مسیر های مجازی جهت امنیت بیشتر
از دیگر روش های جلوگیری از آپلود فایل های مخرب استفاده از مسیرهای مجازی میباشد که فایلها ابتدا در یک مسیر Virtual آپلود میگردند تا بعد از اتمام آپلود و در صورتی که مخرب نبود به مسیر مدنظر منتقل گردد.
امکان فیلترینگ بر اساس انواع درخواست ها و محدود کردن آنها از طریق Mod Security
شما میتوانید بر اساس نوع درخواست های دلخواه شما، آنها را قبول ویا رد کنید.همچنین مشخصات و مواردی که هنگام خطا در وب سایت با نمایش آنها برای کاربر ریسک امنیتی بوجود آید از این طریق میتوان آنرا مخفی نگه داشت. همچنین درخواست های کد شده را نیز میتوانید از همین طریق فیلتر نمود.