مود سکیوریتی (modsecurity) چیست؟

نوشته شده توسط: ادمیندر مرداد ۲۳, ۱۳۹۷2 دیدگاه

پس از نوشتن کدهای بسیار، کشف و رفع همه آسیب پذیری های آن کار بسیار سختی است. به خصوص اگر برنامه به اندازه کافی بزرگ باشد و توسط یک تیم نوشته شده باشد، احتمال وجود باگ امنیتی در آن بسیار زیاد است. یکی از روش های جلوگیری از نفوذ هکرها در این هنگام استفاده از WAFهاست. WAF مخففWeb Application Firewall است و در واقع دیواره آتشی است که در لایه برنامه کار می کند و می تواند از نفوذ به آن جلوگیری نماید. ModSecurity یکی از همین WAFهاست.

مزایای مود سکیوریتی

از مزایا و امکانات این ابزار می توان به موارد زیر اشاره نمود:

چک کردن Realtime امنیت و سطوح دسترسی به وب سایت
از بین بردن و یا رفع ریسک وب سایت
ثبت ترافیک HTTP
ارزیابی امنیتی وب سایت به صورت مداوم
جلوگیری از ترافیک های ناخواسته HTTP
سازگاری بالای آن با وب سرور apache و همچنین توانایی بکارگیری در کنار وب سرورهای بزرگی مانند nginx و litespeed
متن باز و رایگان بودن آن و همچنین رایگان بودن استفاده از برخی از قوانین

قوانین

برای بهینه سازی استفاده از این فایروال قوانینی (rule) توسط سه شرکت بزرگ نوشته شده است که به دو صورت رایگان و تجاری قابل استفاده می باشد.

۱. ModSecurity

این شرکت خود مالک و توسعه دهنده فایروال ModSecurity بوده و قوانینی مبتنی بر استاندارد OWASP را به طور رایگان ارائه میدهد. این قوانین با نام OWASP ModSecurity Core Rule Set(CRS) از طریق وب سایت گیت هاب به صورت رایگان قابل دانلود شدن می باشد. این شرکت همچنین قوانین اختصاصی خود را به صورت تجاری در اختیار مشتریان خود قرار میدهد.

۲. Comodo

یکی از شرکت های ارائه دهنده قوانین مربوط به ModSecurity شرکت Comodo می باشد. این شرکت یکی از معتبرترین شرکت ها در زمینه ارائه گواهی های امنیتی بین المللی ست که شما بعد از ایجاد حساب کاربری میتوانید قوانین رایگان آن را دانلود کنید. همچنین این شرکت قوانین نوشته شده اختصاصی نیز دارد که به صورت تجاری به مشتریان خود ارائه میدهد.

۳. Atomicorp

یکی دیگر از شرکت های بزرگ و معتبر در زمینه ارائه قوانین مربوط به ModSecurity شرکت Atomicorp می باشد که میتوانید با مراجعه به وب سایت رسمی این شرکت قوانین مربوطه را خریداری نمائید.

بررسی بیشتر

همواره جهت برقراری امنیت برنامه های مبتنی بر وب ابتدا دقت تیم توسعه دهنده باید در نظر گرفته شود. فرد یا افرادی که یک برنامه مبتنی بر وب را تولید میکنند در درجه اول باید با استفاده از روش های استاندارد کدزنی برنامه خود را از گزند حملات متصور مصون بدارند. اما از آنجایی که برخی مواقع با وجود در نظر داشتن تمام تمهیدات لازم جهت برقراری امنیت، خطای انسانی و یا وجود باگهایی در خود زبان توسعه گر وجود دارد استفاده از WAF ها لازم و ضروری به نظر میرسد و این امر با توجه به گستردگی حملات سایبری اجتناب ناپذیر به نظر می آید.

با راه اندازی یک WAF مانند ModSecurity قوانینی که در بالا گفته شد بر ورودی های سرور شما حاکم میشود. این بدان معنیست که تمامی ترافیک ورودی به سیستم شما ابتدا باید مجوزهای لازم از قوانین را بگذرانند که این موجب کندی سرعت سیستم می شود. به همین دلیل و با توجه به ضرورت وجود WAF ها توصیه میشود در صورت امکان از یک WAF سخت افزاری استفاده شود و چنانچه این امر مقدور نیست از WAF های نرم افزاری استفاده شود. البته در نظر داشته باشید که در صورت استفاده از قوانین کمتر ولی ضروری و یا کانفیگ صحیح میتوانید مشکل کاهش سرعت را تا حد زیادی رفع کنید. استفاده از این افزونه با توجه به اینکه میتواند جلو حملات را گرفته و تا حد زیادی از خسارت مالی جلوگیری کند بسیار مقرون به صرفه می باشد.

گرچه کندی نسبی سرعت توسط ModSecurity را میتوان بعنوان یکی از معایت این افزونه امنیتی به حساب آورد ولی رایگان بودن آن و دقت قابل قبول این افزونه در مقابل حملاتی مانند xss یا sql injection را میتوان یک مزیت برای آن دانست.

یکی دیگر از معایب این افزونه اشتباه هایی ست که توسط آن صورت میگیرد. معمولا تنظیم قوانین ModSecurity اشتباهاتی را بدنبال دارد که هنگام استفاده عملیاتی از آن خود را نشان داده و بعضا رفع آن ها ممکن است کمی زمان بر باشد.

یکی از مزایای این افزونه لاگ گیری از تمامی رخدادهای مربوطه می باشد که میتواند مانیتورینگ قوی و مطلوبی را برای شما به همراه داشته باشد.

ModSecurity در زمان حملات میتواند بسیار سریع فعال شده و دسترسی مهاجم را ببنند. این کار از طریق سه روش انجام شود:

Negative security model: مدل امنیتی منفی درخواستها را برای وجود ناهنجاری، رفتارهای غیر متعارف و دیگر خطراتی که ممکن است برای WA داشته باشد بررسی میکند. این مدل برای هر درخواست ناهنجار یک Score یا نمره اختصاص داده و به همراه آن اطلاعات دیگری نظیر آدرس IP، جلسات برنامه یا Application Sessions و اکانت کاربر را نگهداری میکند. درخواست هایی که نمره ناهنجاری آنها بالا باشد لاگ گیری و Reject میشوند.
Positive security model: زمانی که مدل امنیتی مثبت فعال و آماده به کار شد فقط درخواستهای معتبر یا Valid پذیرش شده و تمامی درخواست های دیگر Reject خواهد شد. برای فعالسازی این مدل نیاز است تا اطلاعات کافی در مورد WA خود داشته باشید. بهتر است این مدل برای WAهایی فعال شود که بصورت سنگین و با ترافیک بالا در حال استفاده بوده و در زمانهای طولانی نیز آپدیت میشود تا اعمال تغییر در این مد نیز کاهش یابد.
Known weaknesses and vulnerabilities: زبان rule نویسی در ModeSecurity این ماژول را به یک ابزار External ایدهآل برای Patch کردن WAها تبدیل کرده است. این قابلیت مدسکیوریتی گاها پچ مجازی نیز نامبرده میشود. زمانی که یک آسیبپذیری در WA بوجود امد ممکن است رفع مشکل آن ماهها طول بکشد که شما میتوانید با استفاده از ماژول mod security دسترسی را به بخشی از برنامه که مشکل دار است و یا درخواست هایی که ممکن است WA را تهدید کند محدود سازید. با این کار نیازی نیست سورس کد WA را دستکاری نمایید. سیستم WA از طریق یک لایه امنیتی از خارج، امن خواهد شد.