Modsecurity Workshop

Am 23. und 24. Februar 2017 fand ein Modsecurity Workshop in Zürich statt. André Keller und Nicolas Bigler nutzten die Gelegenheit, ihr Fachwissen zu vertiefen.

Der Workshop wurde von Christian Folini durchgeführt. Der Kurs basierte auf seinem eigenen Tutorial. Er gehört, was das Thema Modsecurity anbelangt, zu den erfahrensten Leuten in der Schweiz, war aktiv an der neuen Version der OWASP Core Rule Sets v3.0 beteiligt und hat den neuen Paranoia Mode entwickelt. Desweiteren hat er für die Schweizerische Post die Modsecurity Infrastruktur für die eVoting Plattform aufgebaut und ist weiterhin in diesem Projekt aktiv involviert.

Während des zweitägigen Workshops lernten André und Nicolas, wie man Apache korrekt und sicher konfiguriert (mit dem Fokus, ein möglichst reduziertes Config zu setzen), Modsecurity einbindet als auch wie die aktuellen OWASP CRS v3.0 Rules integriert werden.

Anhand von Log Files, die Christian zur Verfügung gestellt hatte, wurden diverse Analysetechniken vorgestellt. Diese sind nötig um herauszufinden, ob Requests, welche von Modsecurity gemeldet wurden, auch effektiv bösartig oder doch legitim sind und somit bloss falsch erkannt wurden (false positives). Diese false positives müssen dann entsprechend behandelt werden, damit diese in Zukunft nicht mehr als potentiell bösartig erkannt werden. Dieses sogenannte Tuning der Rulesets war ebenfalls ein grosser Bestandteil des Workshops.

Ausserdem lernten unsere zwei VSHNeers, wie man Whitelisting Rules erstellt. Diese ermöglichen es, gewisse Teile einer Webseite (z.B. die Login-Maske) so zu konfigurieren, dass nur ganz bestimmte Requests erlaubt sind. Im Gegensatz zur Definition des Unzulässigen kann mit dieser Methode konfiguriert werden, was explizit stattgegeben wird.

Das neu erlernte Wissen werden wir bei VSHN nun umsetzen. Ziel dabei ist es, eine Web Application Firewall anzufertigen, welche nur die nötigsten Komponenten enhält und somit den Angriffsvektor so weit wie möglich einschränkt. Desweiteren werden wir die gelernten Analysetechniken soweit wie möglich automatisieren, damit in sehr wenigen Schritten die Rules getuned werden können.