ModSecurity CRS Rules V3 im Probebetrieb

Betreibt man Webanwendungen wie einen PHP Blog oder ein Webshop System im Internet ist man ständigen Angriffen ausgesetzt. Es ist schon erstaunlich was man so alles in seinen Logfiles sehen kann.

Die erste “Adminpflicht” ist es natürlich diese Anwendungen aktuell zu halten und mit den letzten Sicherheitsupdates zu versorgen.

Möchte man zusätzliche Sicherheiten haben oder vielleicht seine angreifbare Anwendungen gegen noch nicht korrigierte Fehler absichern kann man eine Webapplikation Firewall (WAF) wie ModSecurity installieren. Diese “überwacht” die http Zugriffe und kann aufgrund von Regeln Angriffe abwehren.

Ich hatte das schon früher einmal in Betrieb aber nach einem Update habe ich es nicht mehr geschafft die sogenannten “false positives” zu isolieren. Diese treten auf wenn zulässige Zugriffe “so aussehen” wie Angriffe und geblockt werden.

Die neu erschienenen Regeln bieten hier neue Möglichkeiten das eigene System zu trainieren die in diesen Tutorials recht gut beschrieben sind.

Auf dem von mir betriebenen Shop sind diese Regeln “im Probebetrieb” jetzt installiert und ich werden mal sehen wie sich die Identifikation der “false/positives” weiter gestaltet.

Das Thema ist keine leichte Kost aber man sollte sich auf jeden Fall die oben verlinkten Tutorials mal ansehen wenn man über den Einsatz von ModSecurity nachdenkt.

CRS3 poster designed by Hugo Costa licensed under CC BY-ND