ModSecurity: Honigtöpfe mit falschen Cookies setzen

Ich bin mir zwar nicht sicher ob das was bringt aber einen Versuch ist es wert. Worum geht es?

Beim Einsatz einer Web Application Firewall (WAF) wie ModSecurity versucht man über Regeln herauszufinden ob sich ein Anwender “böse” verhält. Dabei kann es natürlich vorkommen, dass ein normaler Benutzer sich ganz normal verhält aber in das Raster einen “bösen” Anwenders passt. Ein Fehlalarm (False Positive)

Man könnte also versuchen jetzt eine Art Falle zu stellen die ein normaler Nutzer niemals “sehen” würde und die nur von “bösen” Anwendern gesehen wird. Ein böses Verhalten ist zum Beispiel das Wiederverwenden oder Manipulieren von Cookies. Wenn das passiert weiß man ganz sicher das man keinen normalen Anwender vor sich hat sondern jemanden der weiß was er tut und das ist böse.

In diesem Beitrag wird eine Möglichkeit erklärt wie man so ein Session Cookie setzen kann. Die Namen und Werte sollen den Eindruck erwecken das mit dem Cookie Administrative Zugriffe gesteuert werden. Der Autor des Eintrages ist der Meinung, dass es böse Jungs gibt die versuchen so einen Cookie zu manipulieren.

Leider bin ich mit den Beispielen in dem oben genannten Blogeintrag nicht erfolgreich gewesen. Diese etwas weniger allgemeine Version macht aber erst mal das was ich möchte. Es wird ein Cookie gesetzt:

SecRule RESPONSE_HEADERS:Set-Cookie "^(.*?)=" "id:'295',phase:3,t:none,nolog,pass,capture,setenv:honeytrap_cookie_name=admin-role, setvar:tx.fake_cookie_name_count=+1, setvar:global.fake_cookie_name_%{tx.fake_cookie_name_count}=admin-role"
Header set Set-Cookie "%{HONEYTRAP_COOKIE_NAME}e=Admin:0" env=honeytrap_cookie_name

und dieser Regel wird eine Warnung in das Logfile geschrieben wenn jemand den Cookie manipuliert hat.

SecRule REQUEST_HEADERS:Cookie "@contains admin-role" "chain,id:'296',phase:1,t:none,log,pass,msg:'HoneyTrap Alert: Fake Cookie Data Manipulation'"
    SecRule REQUEST_HEADERS:Cookie "!@contains =Admin:0"

Jetzt werde ich erst mal prüfen wie oft so was passiert und dann mache ich mir Gedanken wie man diese bösen Jungs aussperren kann.


02.11.2014 | Kategorie / ModSecurity /