Resolvi "copiar" a Série Snortando do meu amigo Rodrigo "Sp0oKeR" Montoro, e até mesmo por sugestão dele, e criar uma série de posts sobre o ModSecurity.
A idéia desses posts não é de ser um guia passo a passo ou um manual do ModSecurity, e sim o meu dia a dia de configurações e resoluções de problemas na sua utilização. Acredito que isso será muito útil para os demais, e até para mim, que estarei documentando alguns procedimentos que depois possa vir a esquecer. ;-)
Pretendo postar sempre uma versão em português e uma em inglês da mesma postagem, e a frequência de postagens será semanal. Você também pode usar os comentários para sugerir tópicos a serem abordados nas próximas postagens, com o os problemas que você enfrenta.
Inicio essa série falando um pouco sobre ModSecurity e WAF (Web Application Firewalls), se você desejar uma introdução sobre o que é WAF, pode ver a apresentação que fiz em março de 2011 no Primeiro Encontro OWASP Porto Alegre, que está disponível aqui:
Uma excelente apresentação que aborda alguns conceitos de WAF foi feita pela Carolina Bozza na BHack Conference, e está disponível aqui: http://www.bhack.com.br/talks/Carolina/BHACK.pdf
Caso você ainda não tenha instalado o ModSecurity, eu criei uma postagem (que já está desatualizada, talvez eu venha atualizá-la aqui nessa série futuramente) de como instalar o ModSecurity 2.6.1-rc1 + CRS (Core Rule Set) 2.2.0
Foi anunciado também que o ModSecurity foi portado para o IIS. Em breve também será portado para o Nginx, conforme anúncio da empresa Trustwave, através do seu time da SpiderLabs.
A Trustwave, entre outros serviços na área de segurança, presta serviços de suporte e criação de um conjunto de regras comerciais que não são distribuídas no CRS para serem utilizadas no ModSecurity em seus clientes. Mais detalhes sobre os serviços prestados pela Trustwave com o ModSecurity pode ser visto aqui: Trustwave ModSecurity Rules and Support Services
Documentação do ModSecurity:
Existe muita documentação disponível na internet sobre o ModSecurity, em quase sua totalidade em inglês. Porém o projeto evoluiu muito nos últimos anos, e algumas vezes a documentação encontrada na internet é desatualizada e já não pode ser utilizada. Por isso existem algumas referências que eu recomendo:
- Documentação oficial do projeto, direto do repositório de versões: o repositório SVN do projeto possui uma área de documentação, e se uma nova funcionalidade for adicionada ou alterada, ela será primeiramente documentada ali. Mais atualizada que isso, impossível: http://mod-security.svn.sourceforge.net/viewvc/mod-security/m2/trunk/doc/. Esse manual de referência depois é disponibilizado no Wiki oficial do projeto
- Handbook do Ivan Ristik, que foi o autor do ModSecurity mas que não é mais desenvolvedor no projeto. Esse livro é muito bom principalmente porque o Ivan disponibiliza sua atualização constantemente, portanto ele não fica desatualizado. Vale muito a pena comprar esse livro se você deseja utilizar o ModSecurity, principalmente por essa política de atualização e distribuição digital.
- Listas de discussão Mod-security-users e Owasp-modsecurity-core-rule-set.
Essa postagem já ficou longa, e a intenção dessa série é que seja apenas postagens curtas. Então até a próxima! :-)
Postagens
Nenhum comentário:
Postar um comentário