Apa itu ModSecurity?
ModSecurity adalah firewall aplikasi web sumber terbuka (atau WAF). Ada berbagai jenis firewall yang tersedia di pasar saat ini tetapi ModSecurity adalah firewall berbasis tanda tangan . LiteSpeed Web Server memiliki mesin ModSecurity berkinerja tinggi, menawarkan kompatibilitas dan kinerja yang sangat baik. LiteSpeed/OpenLiteSpeed bekerja dengan baik dengan kumpulan aturan ModSecurity populer seperti OWASP , Atomicorp , Comodo, dan CloudLinux Imunify360 .
Meskipun ini adalah firewall berbasis tanda tangan, tetapi dalam sebagian besar kasus, ini dapat mencegah situs Anda disusupi. Karena biasanya peretas memiliki bot otomatis yang memindai situs rentan dengan banyak muatan serangan dan muatan ini diblokir oleh aturan berbasis tanda tangan ModSecurity.
Selain itu, aturan CloudLinux Imunify360 terus diperbarui dengan tanda tangan baru untuk mencakup ancaman yang baru diperkenalkan. (CyberPanel juga mendukung aturan ModSecurity Imunify360, tetapi untuk itu Anda perlu menginstal Imunify360 )
Siapkan ModSecurity menggunakan CyberPanel
Pertama-tama login ke CyberPanel, di dashboard utama klik Security , lalu klik ModSecurity Conf .
Kemudian Anda akan mendarat di halaman konfigurasi ModSecurity dan jika Anda sudah menginstal ModSecurity, Anda akan diizinkan untuk mengonfigurasi ModSecurity, jika tidak, Anda akan memilih untuk menginstal terlebih dahulu.
Setelah Anda mengklik Instal Sekarang, CyberPanel akan membutuhkan beberapa detik untuk menginstal ModSecurity untuk Anda dan kemudian mengarahkan Anda ke halaman konfigurasi, yang akan terlihat seperti gambar di bawah ini. Anda dapat membaca dan mempelajari lebih lanjut tentang halaman ini di panduan Konfigurasi ModSecurity kami .
Paket Aturan Keamanan Mod
Seperti disebutkan di atas, ModSecurity adalah firewall berbasis tanda tangan, jadi Anda perlu menyediakan ModSecurity dengan seperangkat aturan yang dapat digunakan untuk memindai permintaan web Anda dan melindungi aplikasi web Anda dan jika Anda tidak memberikan aturan kepada ModSecurity, ModSecurity tidak akan dapat melindungi situs Anda.
Dan CyberPanel memberi Anda dua aturan di luar kotak, Anda dapat mengaktifkannya dengan satu klik.
- Aturan Inti ModSecurity OWASP
- Aturan COMODO ModSecurity 3.0
Dalam tutorial ini, kami akan mengaktifkan set aturan ModSecurity COMODO, Anda juga dapat mengaktifkan Aturan ModSecurity OWASP.
Sebelum melanjutkan, kunjungi situs Anda dengan muatan serangan seperti
http://example.com/ ?a=b DAN 1=1
Namun, setelah kami mengaktifkan Paket Aturan Comodo, Anda akan melihat kesalahan 403.
Aktifkan Paket Aturan Keamanan Mod COMODO
Buka bilah sisi CyberPanel=>Security=>Paket Aturan ModSecurity
Pada layar berikutnya, Anda dapat melihat OWASP ModSecurity dan COMODO ModSecurity klik yang kedua untuk mengaktifkan paket aturan COMODO ModSecurity.
Klik sakelar dan itu akan menyalakan Aturan COMODO, untuk memverifikasi apakah aturan COMODO berhasil diinstal, buka:
http://example.com/?a=b DAN 1 = 1
Anda harus mendapatkan 403 Forbidden error
Anda juga dapat melihat log Audit ModSecurity Anda dari CyberPanel=>logs=>log Audit ModSecurity
HTTP/1.1 403 Tipe-Konten: teks/html Kontrol Cache: pribadi, tanpa cache, usia maksimal = 0 Pragma: tanpa cache --- PHfMHO9k --- H-- ModSecurity: Peringatan. Cocokkan "Operator `Rx' dengan parameter `[\[\]\x22',()\.]{10}$|(?:union\s+all\s+select\s+(?:(?:null| \d+),?)+|pesan\s+oleh\s+\d{1,4}|(?:dan|atau)\s+\d{4}=\d{4}|tunggu\s+tunda\ s+'\d+:\d+:\d+'|(?:pilih|dan|atau)\s+(?:(?:pg_)?sleep\(\d+\)|\d+\s*=\s* ( 397 karakter dihilangkan)' terhadap variabel `ARGS:a' (Nilai: `b DAN 1=1' ) [file "/usr/local/lsws/conf/modsec/comodo/21_SQL_SQLi.conf"] [baris "116"] [id "218500"] [rev "7"] [msg "COMODO WAF: Serangan SQLmap terdeteksi||modsec.cyber-sol.net|F|2"] [data "Data yang Cocok: Permintaan Upgrade-Tidak Aman ditemukan dalam REQUEST_FILENAME : /"] [severity "2"] [ver ""] [maturity "0"] [akurasi "0"] [hostname "modsec.cyber-sol.net"] [uri "/"] [unique_id " ModSecurity: Akses ditolak dengan kode 403 (fase 2). Cocokkan "Operator `Rx' dengan parameter `[\[\]\x22',()\.]{10}$|(?:union\s+all\s+select\s+(?:(?:null| \d+),?)+|pesan\s+oleh\s+\d{1,4}|(?:dan|atau)\s+\d{4}=\d{4}|tunggu\s+tunda\ s+'\d+:\d+:\d+'|(?:pilih|dan|atau)\s+(?:(?:pg_)?sleep\(\d+\)|\d+\s*=\s* ( 397 karakter dihilangkan)' terhadap variabel `ARGS:a' (Nilai: `b DAN 1=1' ) [file "/usr/local/lsws/conf/modsec/comodo/21_SQL_SQLi.conf"] [baris "116"] [id "218500"] [rev "7"] [msg "COMODO WAF: Serangan SQLmap terdeteksi||modsec.cyber-sol.net|F|2"] [data "Data yang Cocok: Permintaan Peningkatan-Tidak Aman ditemukan dalam REQUEST_FILENAME : /"] [severity "2"] [ver ""] [maturity "0"] [akurasi "0"] [tag "CWAF"] [tag "SQLi" --- PHfMHO9k --- Z--
Anda juga dapat melihat log Audit ModSecurity Anda dari terminal ssh melalui perintah ini:
tail -f usr/local/lsws/logs/auditmodsec.log
Jika Anda ingin melihat detail log, Anda dapat mengubah
- A. Header Log Audit
- B. Header Terbaik
- C. Badan Permintaan
- D. Dicadangkan dan belum digunakan.
- E. Badan tanggapan perantara.
- F. Tajuk respons akhir
- G. Dicadangkan, dan belum digunakan.
- H. Trailer log audit.
- I. Penggantian Khusus untuk bagian C
Demikian pula ModSecurity akan melindungi situs Anda terhadap muatan serangan online lainnya menggunakan tanda tangan yang ditentukan dalam paket Aturan Comodo, Anda dapat memantau file log dari waktu ke waktu dan melihat apa yang terjadi dengan server Anda.