Skip to content

조회 수 9452 추천 수 0 댓글 0
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄 첨부
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄 첨부
ModSecurity 는 아파치(apache)에서 사용하는 대표적인 웹방화벽 모듈이다. 아파치에 모듈을 설치하고, 룰(Rule) 설정을 통해 설정한 조건에 맞는 경우 차단을 할 수 있다. modsecurity 2.x 을 기준으로한 간단한 예이다.

- 웹서버명을 숨기거나 속인다.

SecServerSignature "lighttpd"

- 특정 메소드의 사용만 허용한다. (POST, GET, OPTIONS, HEAD 메소드만 허용)

SecRule REQUEST_METHOD "!^((?:(?:POS|GE)T|OPTIONS|HEAD))$" \
    "phase:1,log,auditlog,status:501,msg:'Method is not allowed by policy', severity:'2',,id:'960032',"

- 요청한 HTTP 프로토콜 버전이 1.0, 1.1이 아닐 경우 차단한다.

SecRule REQUEST_PROTOCOL "!^HTTP/(1\.[01])$" \
    "t:none, deny,log,auditlog,status:505,msg:'HTTP protocol version is not allowed by policy', severity:'2',,id:'960034',"

- GET, HEAD 메소드는 Content-Length가 0이 아닌 경우는 차단하고, POST는 Content-Length header가 없으면 차단한다.

SecRule REQUEST_METHOD "^(GET|HEAD)$" "chain,deny,log,auditlog,status:400,msg:'GET or HEAD requests with bodies', severity:'2',,id:'960011',"
SecRule REQUEST_HEADERS:Content-Length "!^0?$"

SecRule REQUEST_METHOD "^POST$" "chain,deny,log,auditlog,status:400,msg:'POST request must have a Content-Length header',,id:'960012',severity:'4'"
SecRule &REQUEST_HEADERS:Content-Length "@eq 0"

오픈소스 IDS인 snort에 기본 룰을 제공하는 것처럼 ModSecurity 에서도 modsecurity-core-rules 이름으로 룰 파일을 제공하고 있으니 참고하기 바란다. 룰에 대해서는 이만하고 원래 꺼내려한 얘기거리로 들어가자.

이런 룰 설정을 웹페이지를 통해서 할 수 있는 REMO(Rule Editor for ModSecurity) beta버전을 6월에 발표했고, Howtoforge에 Introducing Remo - An Easy Way to Secure an Insecure Online Application with ModSecurity 제목으로 REMO 다루는 방법에 대한 글이 올라왔다. 자세한 글은 Howtoforge에 글을 보시고, 간단하게 설명하면 이렇다.

REMO를 사용하기 위해서는 ruby 1.8.2이상, irb, sqlite3-ruby 환경이 필요하다. 또한 ModSecurity 모듈이 설치되지 않은 테스트나 개발 서버, 개인 PC 등에 설치해도 무관하다. 다음과 같이 실행한 후 http://서버:3000/main/index 로 접속하면 설정화면을 볼 수 있다.

wget http://www.netnea.com/files/remo-0.2.0.tar.gz
tar xvzf remo-0.2.0.tar.gz
cd remo-0.2.0
ruby script/server

사용자 삽입 이미지
[ 이미지 출처 : 위 howtoforge URL ]

REMO화면에서 메소드와 URI등을 새로 입력한 다음, 원하는 조건을 정의한다. 그 후 'generate' 버튼을 누르면 파일로 룰셋 파일을 다운로드 받을 수 있다. 받은 룰셋을 다음과 같이 apache 설정에서 include해주면 된다.

<IfModule mod_security2.c>
    Include /파일경로/rulefile.conf
</IfModule>

REMO툴은 ModSecurity 룰 생성의 모든 것을 제공해주지는 않는다. modsecurity-core-rules 룰 파일을 보면 룰 설정이 쉽지않다는 것을 알 수 있다. 이 툴은 이런 복잡한 룰을 보고 고개를 설레설레 젓지 않도록 보조적인 역할을 하는 툴로 여기면 된다.

  1. No Image 18Aug
    by ADMINPLAY
    2009/08/18 by ADMINPLAY
    Views 14837 

    리눅스서버에서 ping(ICMP) 열기/닫기

  2. No Image 08Sep
    by ADMINPLAY
    2009/09/08 by ADMINPLAY
    Views 8776 

    시스템 로그를 메일로 - logcheck

  3. No Image 08Sep
    by ADMINPLAY
    2009/09/08 by ADMINPLAY
    Views 9583 

    스위칭 허브 상에서의 sniffing 툴

  4. No Image 09Sep
    by ADMINPLAY
    2009/09/09 by ADMINPLAY
    Views 9452 

    apache 웹방화벽 modsecurity용 웹설정 툴, Remo

  5. rootkit 검색 프로그램 rkhunter-1.2.9.tar.gz

  6. No Image 22Sep
    by ADMINPLAY
    2009/09/22 by ADMINPLAY
    Views 9449 

    rootkit 검색 프로그램 rkhunter-1.3.4.tar.gz

  7. No Image 24Sep
    by ADMINPLAY
    2009/09/24 by ADMINPLAY
    Views 12967 

    SYN Flooding공격에 대한 대비

  8. No Image 25Sep
    by ADMINPLAY
    2009/09/25 by ADMINPLAY
    Views 12287 

    SQL Injection tools 15종

  9. No Image 15Oct
    by ADMINPLAY
    2009/10/15 by ADMINPLAY
    Views 10809 

    iframe 이용한 악성코드 삽입, 홈페이지 변조 사고 대비 대응책

  10. No Image 15Oct
    by ADMINPLAY
    2009/10/15 by ADMINPLAY
    Views 9047 

    홈페이지 변조 대처법 (FTP 계정을 이용한 아이프레임 코드 삽입)

  11. No Image 20Oct
    by ADMINPLAY
    2009/10/20 by ADMINPLAY
    Views 8407 

    SSH(Security SHell) 보안쉘

  12. No Image 20Oct
    by ADMINPLAY
    2009/10/20 by ADMINPLAY
    Views 11530 

    ossec 로그 분석 툴 설치

  13. No Image 30Nov
    by ADMINPLAY
    2009/11/30 by ADMINPLAY
    Views 8854 

    iptables 옵션 및 상태 추적 테이블 및 rule

  14. No Image 30Nov
    by ADMINPLAY
    2009/11/30 by ADMINPLAY
    Views 9262 

    해외에서 접근하는 IP 차단하기

  15. No Image 30Nov
    by ADMINPLAY
    2009/11/30 by ADMINPLAY
    Views 9774 

    실전 테스트!! 스니퍼 공격

  16. No Image 30Nov
    by ADMINPLAY
    2009/11/30 by ADMINPLAY
    Views 8316 

    lsof 활용 가이드

  17. No Image 13Dec
    by ADMINPLAY
    2009/12/13 by ADMINPLAY
    Views 8800 

    Kernel 2.4.23 버전 이하에 나온 ptrace 버그에 관한 사항

  18. 홈페이지 보안 강화 도구(CASTLE) 보급 안내

  19. No Image 30Jan
    by ADMINPLAY
    2010/01/30 by ADMINPLAY
    Views 8509 

    Tcpdump 용어 정리

  20. No Image 08Mar
    by l2zeo
    2010/03/08 by l2zeo
    Views 8394 

    SSH 공격막아내기 방법

Board Pagination Prev 1 2 3 4 5 Next
/ 5

Copyright ADMINPLAY corp. All rights reserved.

abcXYZ, 세종대왕,1234

abcXYZ, 세종대왕,1234