Apache Webserver Firewall mit ModSecurity

Auch sicher konfigurierte und aktuell gehaltene Webserver sind durch Schwachstellen in einer Webapplikation kompromittierbar. Modsecurity ist eine Apache-Erweiterung, die als Web Application Firewall den Webserver vor Einbrüchen schützt.

Web Application Firewalls (WAFs) untersuchen Daten im Gegensatz zu klassischen Paketfiltern nicht auf der Netzwerk- oder Transportschicht, sondern auf Ebene des HTTP-Protokolls, also auf der OSI-Schicht 7. Sie verstehen das HTTP-Protokoll selbst. Dazu analysieren sie ein- und ausgehende Clientanfragen und Serverantworten, um auf Basis von Regeln zwischen gutartigen sowie bösartigen Anfragen zu unterscheiden.

Grundlagen Webserver Sicherheit

• Typische Angriffsmethoden auf Webserver
• Open Web Application Security Project (OWASP)
• Vorgehensweise beim absichern eines Webservers

  Fortgeschrittenes Webserver Wissen

• HTTP Kommunikation
• Struktur einer HTTP Anfrage
• HTTP Methoden und ihre Anwendungsgebiete
• HTTP Request im Detail
• HTTP Response im Detail

  Web Application Firewall ModSecurity

• Grundlagen Apache Modul mod_security
• Kompilieren von mod_security
• Debug Log
• ModSecurity AuditLog (SecAuditLog...)
• ModSecurity Phasen 1-5
• Remote Logging
• Funktionsweise von mod_security
• ModSecurity Logging (Debug Log, Audit Log, Apache Error Log)
• ModSecurity Regel Aufbau (SecRule)
• Aufbau von ModSecurity Regeln im Detail
• SecRule Aktionen (allow, block, deny, auditlog, chain, msg, proxy, pass, drop,...)
• Erzeugen eigener Regeln
• Persistent Storage
• Viele Anwendungsbeispiele
  • GEO IP Blocking
  • Blockieren von Kreditkartennummern Transfer
  • Zensieren von sensilen Daten in Log Dataien
  • Blockieren von Brute Force Attacken auf Login Formulare

alle Teilnehmer*innen mit Apache Erfahrungen

fortgeschrittene Apache Kenntnisse