Tổng quan Modsecurity(Phần 1: Cấu trúc và cơ chế hoạt động ModSecurity bản 2.5)
Firewall Modsecurity
Trong bài viết này tôi sẽ trình bày cơ chế hoạt động của một hệ thống firewall đang được sử dụng rất rộng rãi hiện nay là Modsecurity, một ứng dụng tường nửa hoạt động trên tầng ứng dụng của mô truyền thông mạng.
Mô hình của một hệ thống Website:
Khi một client gửi request tới server thông thường request đó sẽ được gửi thẳng lên server để xử lý.
Nếu hệ thống có sử dụng firewall thì request đó sẽ được lọc qua các luật được định trước khi gửi tới server.
Modsecurity (http://www.modsecurity.org/ ) là 1 ứng dụng firewall tiêu biểu. Khi 1 request được gửi tới, Modsecurity sẽ phân tích request đó thành các thành phần Request header, Request body. Bất cứ 1 trường nào trong mỗi phần vi phạm luật đã được đề ra thì sẽ tùy vào người cấu hình mà có response tương ứng.
Modsecurity hoạt động trên 5 pha:
Tương ứng với mỗi pha thì OWASP đưa ra các rule tương ứng. Người cài đặt cần dựa vào các nguy cơ có thể gặp phải trên hệ thống của mình mà áp các rule khác nhau. Các luật được thiết lập trong file cấu hình modsecurity.conf để viết luật.
Modsecurity sử dụng hệ thống các rule do OWASP các bạn có thể tham khảo (http://resources.infosecinstitute.com/configuring-modsecurity-firewall-owasp-rules/ )
Trong bài viết này tôi sẽ trình bày cơ chế hoạt động của một hệ thống firewall đang được sử dụng rất rộng rãi hiện nay là Modsecurity, một ứng dụng tường nửa hoạt động trên tầng ứng dụng của mô truyền thông mạng.
Mô hình của một hệ thống Website:
Khi một client gửi request tới server thông thường request đó sẽ được gửi thẳng lên server để xử lý.
Nếu hệ thống có sử dụng firewall thì request đó sẽ được lọc qua các luật được định trước khi gửi tới server.
Modsecurity (http://www.modsecurity.org/ ) là 1 ứng dụng firewall tiêu biểu. Khi 1 request được gửi tới, Modsecurity sẽ phân tích request đó thành các thành phần Request header, Request body. Bất cứ 1 trường nào trong mỗi phần vi phạm luật đã được đề ra thì sẽ tùy vào người cấu hình mà có response tương ứng.
Modsecurity hoạt động trên 5 pha:
| Phase number | Phase name | Phase occurs |
| 1 | REQUEST_HEADERS | Pha này thực hiện sau khi mà Apache đọc được phần headers của HTTP request |
| 2 | REQUEST_BODY | Sau khi phần body của 1 HTTP request được đọc thì Mod security sẽ áp các luật của mình vào phần body |
| 3 | RESPONSE_HEADERS | Pha này thực hiện trước khi 1 response headers được gửi tới cho client |
| 4 | RESPONSE_BODY | Pha này được thực hiện khi 1 response body được gửi tới cho phía client |
| 5 | LOGGING | Pha này thực hiện kiểm soát file log |
Tương ứng với mỗi pha thì OWASP đưa ra các rule tương ứng. Người cài đặt cần dựa vào các nguy cơ có thể gặp phải trên hệ thống của mình mà áp các rule khác nhau. Các luật được thiết lập trong file cấu hình modsecurity.conf để viết luật.
Modsecurity sử dụng hệ thống các rule do OWASP các bạn có thể tham khảo (http://resources.infosecinstitute.com/configuring-modsecurity-firewall-owasp-rules/ )