Articles précédents : Logiciel

[67] Firefox 2 arrive (IE7 aussi)
[15] KTabEdit-0.0.8 ou comment écrire ses partitions pour votre guitare
[5] Sortie de UMN Mapserver 4.10
[8] Tesseract-OCR
[48] OpenSSH version 4.4 fait dans la finesse
[39] bzr 0.11 vient de sortir
[12] Sortie de TrueCombat: Elite 0.49
[12] ejabberd 1.1.2 est disponible
[25] Sortie de Teardrop 0.9 : méta-moteur de recherche
[34] Jeu de stratégie GPL : TA3D

Liens connexes

Modsecurity.org (598 hits)
Un article de HSC sur modsecurity (version précédente) (624 hits)

Dépêche modérée par

pterjan

Dépêche éditée par

Logiciel : ModSecurity 2.0.1 est disponible

Posté par Matthieu MARC (). Modéré le 18 octobre 2006.

Depuis quelques jours maintenant, le module de sécurité pour Apache (ModSecurity 2.0.1) est disponible au téléchargement. Pour être plus précis, la version 2.0.0 est disponible depuis le 16 octobre, mais de petites corrections ont été faite depuis, d'où la version 2.0.1 depuis le 17.

Ce module permet d'augmenter le niveau de sécurité d'un serveur web Apache ou d'autres serveurs si on l'utilise avec Apache en mode proxy. Modsecurity agit comme un parefeu applicatif embarqué dans Apache. Il permet ainsi de protéger des applications web contre des attaques classiques (injection SQL, Cross Site Scripting, ...)

La version 2.0 de ModSecurity est composée de trois projets :

- ModSecurity for Apache ;
- ModSecurity Core Rules ;
- ModSecurity Console.

Le premier est le moteur, c'est-à-dire le module Apache. Le second est un ensemble de règle de filtrage (un peu comme les règles pour Snort) et le troisième une console permettant de surveiller le filtrage effectué.

Modsecurity.org (598 hits)
Un article de HSC sur modsecurity (version précédente) (624 hits)

> Lire la dépêche (3 commentaires, moyenne: 5,7).

Concernant le moteur, il est intéressant de noter que les règles peuvent s'appliquer aussi bien sur les requêtes que sur les réponses. Par exemple, si vous regardez dans le fichier modsecurity_crs_50_outbound.conf (du second projet), la dernière règle filtre la réponse d'un serveur SQL qui a crashé (afin d'éviter de divulguer des informations sur la base de données, par exemple suite à une injection SQL).

Les développeurs du projet sont assez actifs. On peut ainsi espérer avoir une solution à un problème de configuration ou d'installation dans les 24h (chiffre issu de mon expérience personnelle)

Il est par exemple aussi possible d'utiliser ce module avec Apache configuré en mode proxy. Toutes les requêtes entrantes vers un ou plusieurs serveurs HTTP passe par le service Apache et le module ModSecurity et sont ensuite relayées vers les serveurs HTTP internes (non directement accessibles depuis Internet). Cette configuration apporte normalement une sécurité accrue comparée à la mise en place d'un serveur directement sur Internet, et permet d'être plus flexible (changement de serveur grandement facilité en ne modifiant que la redirection).

Pour les utilisateurs Ubuntu breezy avec Apache 2.0.54, la compilation du ModSecurity est très simple, il suffit d'installer les dépendances nécessaires (disponibles depuis les dépôts officiels breezy) et d'activer le module mod_unique_id qui est indispensable pour le fonctionnement de ModSecurity.

Cette discussion est archivée, il n'est plus possible de laisser des commentaires.

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.

Son compagnon

Posté par herodiade () le 18/10/2006 à 11:04. (lien). Évalué à 10.

mod_security est vraiment un bijou ; il est très efficace pour protéger les services web (ou simplement pour alerter en cas de comportements déviants), et sa syntaxe, vraiment agréable et souple, permet de faire beaucoup de choses.

J'en profite pour signaler un bon compagnon pour mod_security, à savoir mod_evasive (http://www.zdziarski.com/projects/mod_evasive/ ). Ce module permet de restreindre le nombre d'accès par seconde (globale/pour tous, et pour une IP/client donné) sur un objet apache (un repertoire, un cgi, un script php, ...). C'est une protection utile pour se prémunir des attaques par dictionnaire (en protégeant les pages d'authentification, par exemple) ou les DoS involontaires (en restreignant le nombre d'accès sur les scripts dont l'execution est lourde et lente).

Dans un autre registre, mais aussi très utile pour protéger les serveurs webs utilisant PHP, on peut citer le patch Hardened-PHP (http://www.hardened-php.net/ ).

Précision

Posté par herodiade () le 18/10/2006 à 11:13. (lien). Évalué à 5.

Pour préciser un point par rapport à la dépêche : le filtrage des réponses (ce que le serveur web retourne) n'est possible qu'avec Apache 2.x (pas Apache 1.3.x), malheureusement (à cause d'une limitation des fonctionalités d'Apache 1.3, pas d'une décision arbitaire des devs de mod_security).
Et même avec Apache 2.x, certaines de ces directives sur le filtrage des réponses / flux sortants n'est possible que sous condition (par exemple le filtrage sur OUTPUT - le contenu complet de la réponse - n'est possible que si l'output buffering n'est pas activé).

Mise à jour

Posté par Matthieu MARC () le 20/10/2006 à 08:48. (lien). Évalué à 2.

Des mises à jour sont disponibles :

# modsecurity-apache_2.0.2.tar.gz
# modsecurity-core-rules_2.0-1.1.1.zip

Corrige des problèmes de mutex et de règles qui affichait des warnings intempestifs (donc généraient des logs)

Revenir en haut de page