Core ModSecurity Rule Set ver.1.5 | Cerca per titolo, autore, parola chiave | ||||||||
Core ModSecurity Rule Set ver.1.5 Core ModSecurity Rule Set ver.1.5, Copyright (C) 2006-2007 Breach Security Inc. In questa directory, troviamo il Core ModSecurity Rule Set, compatibile con ModSecurity 2.5 ( a partire da 1.4.3 ). ModSecurity™ è un firewall open source e gratuito per il server Apache. ModSecurity offre una protezione da una varietà di attacchi sferrati contro le applicazioni web, permette il monitoraggio e l'analisi, in tempo reale, del traffico HTTP, senza richiedere cambiamenti consistenti all'infrastruttura esistente. I server web, normalmente, sono ben forniti di strumenti di analisi del traffico web, utilizzati come veri e propri strumenti di marketing, ma, spesso, non sono in grado di registrare il traffico destinato alle applicazioni web. In particolare, molti server non hanno strumenti per catturare i messaggi di richiesta ( header e body ), inviati alle applicazioni residenti. I vostri avversari sanno tutto questo. Ecco perchè, oggi, molti attacchi vengono sferrati attraverso le richieste HTTP POST, rendendo i sistemi ciechi di fronte ad essi. ModSecurity può, invece, intercettare tutte le transazioni HTTP, permettendo di registrare tutte le richieste inviate al server e tutte le risposte spedite dal server. Inoltre, ModSecurity è in grado di monitorare, in tempo reale, il traffico HTTP e di identificare eventuali attacchi, proprio come un web "intrusion detection tool". Per poter lavorare immediatamente con ModSecurity, Breach Security Inc. rende disponibile questo set di Core Rule ( regole ) gratuito. Ricordate, però, che un set di regole predefinite è solo una parte del lavoro necessario a mettere in sicurezza il vostro server. Dovreste anche pensare ad una serie di regole personalizzate, destinate a mettere in sicurezza le vostre applicazioni o, almeno, le parti più critiche di esse. Il Core Rule Set è ampiamente commentato, per permettervi di utilizzarlo come una vera e propria guida a ModSecurity. I file di configurazione qui riportati sono: modsecurity_crs_10_config.conf ( definisce quali parti della transazione HTTP ispezionare ); modsecurity_crs_20_protocol_violations.conf ( in alcuni casi, un client valido, normalmente automatico, genera richieste che violano il protocollo HTTP. Con queste configurazioni, è possibile creare delle eccezioni per quei client ); modsecurity_crs_21_protocol_anomalies.conf ( parte del precedente set ); modsecurity_crs_23_request_limits.conf ( questo file impone limiti alle richieste: per esempio, una richiesta con 400 argomenti potrebbe risultare sospetta ); modsecurity_crs_30_http_policy.conf ( solo poche applicazioni utilizzano il protocollo HTTP in tutta la sua ampiezza. Molti attacchi abusano, invece, di funzionalità poco usate del protocollo HTTP ); modsecurity_crs_35_bad_robots.conf ( più che un meccanismo contro attacchi ben definiti, l'identificazione dei bad robot può essere vista come una riduzione del rischio contro attacchi casuali al vostro sito web ); modsecurity_crs_40_generic_attacks.conf ( mentre alcuni pattern, quali il command injection, sono sicuri o rappresentano dei falsi positivi, altri, quali SQL injection e XSS, possono richiedere l'impostazione di eccezioni ); modsecurity_crs_45_trojans.conf ( intercetta l'accesso a Trojan già noti e già installati sul server ); modsecurity_crs_50_outbound.conf ( un non standard codice di stato 501, normalmente riferito a un metodo HTTP non supportato. Viene usato per confondere programmi automatici e scanner ).
|
|||||||||
Core ModSecurity Rule Set ver.1.5 | Disclaimer: questo è un link a contenuti ospitati su server esterni. |