Base de Conhecimento

ModSecurity – um firewall de aplicativo da Web

ModSecurity é um firewall de aplicativo web que funciona como um módulo em um servidor web e fornece proteção contra vários ataques em nossos aplicativos web.

Ele nos permite monitorar o tráfego HTTP e realizar análises em tempo real. É um produto desenvolvido pela Breach Security e está disponível como software livre sob a licença GNU.

Anteriormente, o ModSecurity estava disponível apenas para servidores Apache, mas agora está disponível para Microsoft IIS e NginX.

O módulo possui diversas funcionalidades:

Filtragem de solicitações: as solicitações HTTP recebidas são analisadas pelo módulo mod_security antes de passá-las ao servidor Web, por sua vez, essas solicitações são comparadas com um conjunto de regras predefinidas para realizar as ações correspondentes. Para realizar essa filtragem podem ser utilizadas expressões regulares, permitindo flexibilidade no processo.

Técnicas anti-evasão: rotas e parâmetros são normalizados antes da análise para evitar técnicas de evasão.

Remover várias barras (//)

Exclua diretórios referenciados por eles próprios (./)

O e o / são tratados da mesma forma no Windows.

Decodificação de URL.

Substituindo bytes nulos por espaços()

Compreendendo o protocolo HTTP: Ao compreender o protocolo HTTP, o ModSecurity pode realizar uma filtragem específica e granular.

Análise pós-carga útil: intercepta e analisa o conteúdo transmitido por meio do método POST.

Log de Auditoria: é possível deixar uma trilha de auditoria para posterior análise forense.

Filtragem HTTPS: por estar incorporado como um módulo, tem acesso aos dados após serem descriptografados.

Verificação de intervalo de bytes: permite detectar e bloquear Shellcodes, limitando o intervalo de bytes.

Monitoramento em Tempo Real: Além de registrar todo o tráfego HTTP, o ModSecurity pode monitorar o tráfego em tempo real para detectar ataques. Isso significa que o ModSecurity atua como uma ferramenta de detecção de intrusões.

A partir da versão 2, ModSecurity adicionou várias funcionalidades que mencionamos:

Cinco fases de processamento, incluindo: cabeçalhos de solicitação, corpo da solicitação, cabeçalhos de resposta, corpo de resposta e registro em log.

Opções de transformação por regra.

Variáveis ​​transacionais.

Persistência de dados (usada no rastreamento de endereços IP, sessões de aplicativos e usuários de aplicativos).

Suporte para classificação de anomalias e correlação básica de eventos (os contadores podem ser decrementados automaticamente ao longo do tempo, as variáveis ​​podem expirar).

Suporte para aplicativos da Web e IDs de sessão.

Suporte para XML (análise, validação, XPath).

Bloqueio de IP

O ModSecurity pode ser implementado e integrado à nossa infraestrutura de servidor web existente. Este tipo de implementação apresenta as seguintes vantagens:

Não precisamos modificar nossa rede interna.

Não adicionamos um ponto de falha à rede.

Balanceamento de carga e escalabilidade: Como o ModSecurity funciona integrado a servidores web, ele aproveita automaticamente as vantagens da funcionalidade adicional de balanceamento de carga e escalabilidade.

Não teríamos problemas com conteúdo compactado ou criptografado: muitos sistemas de prevenção de invasões têm dificuldade em analisar o tráfego criptografado. Isso não é um problema para o Modsecurity, pois ele analisa o tráfego quando já está descriptografado.

ModSecurity é uma ferramenta de segurança essencial que provou ser muito eficaz. Se você é administrador de sistemas com aplicações web críticas que devem ser acessadas publicamente, este é um Firewall de Aplicativos que merece sua atenção.

Em qualquer caso, você sempre tem a possibilidade de desativar/ativar o modsecurity no seu cpanel. Por exemplo, caso você esteja desenvolvendo um site ou script e queira evitar que seu IP seja constantemente bloqueado diante das regras de modsecurity estabelecidas: https://clientes.atlanticadigital.net/knowledgebase/307/ Ativar-o-disable-ModSecurity-in-cPanel.html

  • 6 Usuários acharam útil
Esta resposta lhe foi útil?

Artigos Relacionados

Atualização do PrestaShop

Atualizar PrestaShop Para atualizar o Prestashop para a nova versão, serão realizados os...

Vírus na web. Ajuda!!! O que são e como podemos eliminá-los?

Ultimamente, os casos de sites infectados por vírus ou códigos maliciosos, sem que o webmaster...

Como posso gerenciar o domínio?

Para tudo relacionado à administração do seu domínio, você deverá utilizar o painel de controle...

O que é um subdomínio?

Subdomínios são extensões que podemos usar com nosso domínio, por exemplo, suponha que nosso...

Como publicar meu site?

Para enviar o conteúdo do seu site para o servidor você pode usar qualquer cliente FTP como...