معرفی کامل Mod Security
Mod Security
در این پست از سایت قصد داریم به معرفی کامل Mod Security بپردازیم. ابزار Mod Security یک فایروال برنامه های وب [Web Application Firewall – WAF] است که رایگان ارائه شده است و وب سرور را از حملات و هکر ها حفظ میکند. Mod Security به عنوام ماژول برای آپاچی ارائه شده و روی آن قابل استفاده میباشد. ۷۰% حملات در سطح Web Application یا همان WA میباشد به همین دلیل سازمان ها باید برای ایمن سازی ان تلاش کنند. WAP یا همان Web Application Firewall تولید شد تا یک لایه خارجی امنیتی بین سطح کاربر و برنامه های تحت وب باشد تا درخواست ها قبل از اینکه به WA برسد حملات شناسایی و جلوی ان گرفته شود. این ماژول بصورت Real Time ترافیک روی پروتکل HTTP را مورد برسی قرار داده و با این عمل حملات را قبل از اینکه به WA برسند شناسایی و منحدم میکند.
این ماژول هرچند بصورت پایه برای آپاچی منتشر شده اما بر روی برخی دیگر از وب سرور ها نیز قابل استفاده میباشد. اگر از وب سرور دیگری غیر از آپاچی استفاده میکنید میتوانید با یک جستجوی ساده متوجه شوید ایا وب سرور شما از Mod Security پشتیبانی میکند یا خیر !
لاگ کردن ترافیک HTTP
وب سرور ها به یک لاگ ترافیک پیشرفته مجهز میباشند در حالی که این مورد برای WA صدق نمیکند. خیلی ساده برنامه های تحت وب به درستی از درخواست ها و بدنه ان لاک نمی کیرد، این موضوع را اکثر متخصصان و فعالان زمینه هک و امنیت میدانند. به همین علت اکثر حملات اینترنتی مربوط به این لایه بوده و از درخواست POST استفاده میشودو سیستم شما یا سرور بصورت کور کورانه درخواست را انجام میدهد. Mod Security تمامی درخواست ها و پاسخ ها را لاگ میکند و زمانی ها تمامی تراکنش ها لاگ شود امکان برسی درخواست های مشکوک میسر خواهد شد. یکی از امکانات لاگ کردن این است که شما میتوانید مشخص کنید از چه چیزی لاگ گیری شود، تا مطمئن شوید از اطلاعات مورد نیاز شما لاگ گیری میشود. برخی از درخواست/پاسخ ها اطلاعات حساسی را داراست و Mod Security میتواند طوری تنظیم شود که قبل از نوشتن آن اطلاعات روی لاگ ان را ماسک کند.
مانیتور Real Time و شناسایی حملات
در ادامه امکان لاگ گیری Mod Security میتواند بصورت real time ترافیک روی پروتکل HTTP را جهت شناسایی حملات مانیتور نمایید. در این حالت mod security مانند یک نفوذی در بین وب سرور و WA قرار میگیرد، شما میتوانید زمانی که یک درخواست مشکوک به سمت برنامه ارسال شد اقدامات لازم را انجام دهید.
جلوگیری از حملات و پچ کردن مجازی
Mod Security میتواند در زمان حملات بسرعت واکنش نشان دهد تا دسترسی هکر یا بد افزار را به WA شما قطع کند.
بطور کلی سه طریق معمول برای این کار استفاده میشود.
- Negative security model : مدل امنیتی منفی درخواست ها را برای وجود ناهنجاری، رفتار های غیر متعارف و دیگر خطراتی که ممکن است برای WA داشته باشد برسی میکند. این مدل برای هر درخواست ناهنجار یک Score یا نمره اختصاص داده به به همراه ان اطلاعات دیگری نظیر ادرس IP, جلسه برنامه [application sessions] و اکانت کاربر را نگهداری میکند. درخواست هایی که نمره ناهنجاری ان بالا باشد لاگ گیری و Reject میشود.
- Positive security model : زمانی که مدل امنیتی مثب فعال و اماده به کار شد فقط درخواست های معتبر [Valid] پذیرش تمامی درخواست های دیگر Reject خواهد شد. برای فعال سازی این مدل نیاز است تا اطلاعات کافی در مورد WA خود داشته باشید. بهتر است این مدل برای WA هایی فعال شود که بصورت سنگین و با ترافیک بالا در حال استفاده بوده و در زمان های طولانی نیز اپدیت میشود تا اعمال تغییر در این مد نیز کاهش یابد.
- Known weaknesses and vulnerabilities : زبان rule نویسی در Mode Security این ماژول را به یک ابزار External ایده آل برای Patch کردن WA ها تبدیل کرده است، این قابلیت مد سکیوریتی گاها پچ مجازی نیز نامبرده میشود. زمانی که یک اسیبپذیری در WA بوجود امد ممکن است رفع مشکل ماها طول بکشد که شما میتوانید با استفاده از ماژول mod security دسترسی را به بخشی از برنامه که مشکل دار است و یا درخواست هایی که ممکن است WA را تحدید کند را محدود سازید. با این کار نیازی نیست سورس کد WA را دستکاری نمایید. سیستم WA از طریق یک لایه امنیتی از خارج امن خواهد شد.
انعطاف در Rule نویسی
در قلب ماژول امنیتی Mod Security شما یک متور قاعده نویسی انعطاف پذیر [Flexible Rule Engine] و قدرتمند خواهید داشت. با کمی تحقیق توسعه میتوانید شما نیز Rule’s های مورد نیاز خود را برای این ماژول بنوسید تا زمانی که در مانیتور ترافیک موردی مشاهده شد، Mod Security انطور که شما میخواهید رفتار کند.(در آینده نزدیک Rules ها اموزش داده خواهد شد.) Rules ها استاندارد ارائه شده همراه مد سکیوریتی جامع بوده و این امکان را به شما میدهد تا بسیاری از نیازهای شما را جهت امن سازی WA پوشش میدهد. این قاعده ها بصورت گسترده ای کامنت شده و دارای راهنما میباشد که میتوانید از ان برای اهداف اموزشی نیز استفاده نمایید.
مدل Embedded جهت گسترش
Mod Security یک WAF بصورت embeddable میباشد، به این معنی که این ماژول به عنوان بخشی از ساختار وب سرور شما میشود که این مورد شامل آپاچی، IIS و Nginx میشود.
این متد شامل مزایای زیر است:
- هیچ تغییری در شبکه شما ایجاد نمیشود. تنهای چند دقیقه نیاز دارید تا مد سکیوریتی را به وب سرور خود اضافه کنید و به این دلیل که این ماژول طوری طراحی شده که کاملا Passive باشد شما به راحتی میتوانید امکاناتی را که نیاز دارید به ان به مرور زمان اضافه کنید، همچنین به راحتی میتوانید ان را غیر فعال و یا حذف نمایید.
- این ماژول مانند دیگر محصولات شبکه با یک خطا [SPOF یا No single point of failure] از سرویس دهی خارج نخواهد شد و نیاز نیست تا نگران این موضوع باشید.
- به این دلیل که این ماژول به عنوان بخشی از سیستم وب سرور کار میکند پیاده سازی راهکار های Load Balancing و Scaling در سرویس دهی مشکلی ایجاد نخواهد کرد، پس نیاز نیست تا زمانی که نیاز به Load Balancing ندارید نگران ان باشید.
- به این دلیل که مد سکیوریتی درون وب سرور فعال بوده و کار میکد سرباری انچنانی برای سرور و شبکه ندارد و کمترین میزان سرباری منابع را در زمان کار بر روی داده خواهد داشت.
- Mod Security هیچ مشکلی با دیتای فشرده و یا کد گذاری شده ندارد. بسیاری از سیستم های تخشخیص نفوز [IDS یا Intrusion detection system] با انالیز ترافیک های SSL مشکل دارند! اما این مشکل برای مد سکیوریتی نخواهد بود به این دلیل که این ماژول درون وب سرور فعال است ترافیک ها بصورت رمزگشایی شده و decompressed شده به ان میرسد.
گسرش به عنوان زیرساخت شبکه
مد سکیوریتی میتواند به همان صورت معمول در حالت reverse proxy server نیز روی سرور کار کند که خیلی از کاربران از این روش استفاده میکند.در این حالت یک نصب میتواند تعدادی از وب سرور ها را از حملات حفظ کند.
سازگاری
این ماژول بر روی بسیاری از سیستم عامل ها قابل استفاده میباشد و در حال حاضر روی Linux, Windows, Solaris, FreeBSD, OpenBSD, NetBSD, AIX, Mac OS X و HP-UX قابل فعال سازی و نصب میباشد.
امیدوارم مطالعه این مقاله کمی با سازکار این WAF اشنایی پیدا کرده باشید. نصب و کانفیگ این ابزار در آینده اموزش داده خواهد شد.