ModSecurity Security

【WAF】OWASP版ModSecurityの定義ファイル更新方法



定義ファイルの更新方法

定義ファイルの更新方法を記載する。定義ファイル込みのdockerイメージから再構築する方法と、定義ファイルをまとめたルールセットのみを更新する方法があり、本紙では後者を記述する

定義ファイルのルールセットをダウンロードする

OWASP公式の右側のリンク「Defender Version 3.3.X」からgithubへアクセスして対象のファイルを確認できる
https://owasp.org/www-project-modsecurity-core-rule-set/

wgetでルールセットをローカルにダウンロードする
ダウンロードするフォルダはdocker-compose.ymlと同じ階層

$ pwd 
~/work/traefik-modsecurity-plugin/
$ wget https://github.com/coreruleset/coreruleset/archive/refs/tags/v3.3.4.tar.gz
$ ls -ltr
total 384
-rw-rw-r-- 1 admin admin 301112 Nov 24 01:50 v3.3.4.tar.gz

解凍する

$ tar zxvf v3.3.4.tar.gz
$ ls -ltr
total 392
drwxrwxr-x 7 admin admin   4096 Sep 20  2022 coreruleset-3.3.4

docker-compose.ymlにrulesのマウントポイントを記載する

マウントポイントはrulesフォルダ
ホスト側

admin@newmaster:~/work/traefik-modsecurity-plugin/coreruleset-3.3.4$ ls -ltr
total 192
drwxrwxr-x 11 admin admin  4096 Sep 20  2022 util
drwxrwxr-x  4 admin admin  4096 Sep 20  2022 tests
-rw-rw-r--  1 admin admin   132 Sep 20  2022 SPONSORS.md
-rw-rw-r--  1 admin admin  2164 Sep 20  2022 SECURITY.md
drwxrwxr-x  2 admin admin  4096 Sep 20  2022 rules★
-rw-rw-r--  1 admin admin  2530 Sep 20  2022 README.md
-rw-rw-r--  1 admin admin 11366 Sep 20  2022 LICENSE
-rw-rw-r--  1 admin admin  2834 Sep 20  2022 KNOWN_BUGS
-rw-rw-r--  1 admin admin 16834 Sep 20  2022 INSTALL
drwxrwxr-x  3 admin admin  4096 Sep 20  2022 docs
-rw-rw-r--  1 admin admin 35016 Sep 20  2022 crs-setup.conf.example
-rw-rw-r--  1 admin admin  4691 Sep 20  2022 CONTRIBUTORS.md
-rw-rw-r--  1 admin admin  7854 Sep 20  2022 CONTRIBUTING.md
-rw-rw-r--  1 admin admin 76757 Sep 20  2022 CHANGES

コンテナ側

root@7274cc5e07ca:/etc/modsecurity.d/owasp-crs# ls -ltr
total 192
drwxrwxr-x 11 root root  4096 Jul 21 09:01 util
drwxrwxr-x  4 root root  4096 Jul 21 09:01 tests
drwxrwxr-x  2 root root  4096 Jul 21 09:01 rules★
drwxrwxr-x  3 root root  4096 Jul 21 09:01 docs
-rw-rw-r--  1 root root   152 Jul 21 09:01 SPONSORS.md
-rw-rw-r--  1 root root   106 Jul 21 09:01 SECURITY.md
-rw-rw-r--  1 root root  2530 Jul 21 09:01 README.md
-rw-rw-r--  1 root root 11366 Jul 21 09:01 LICENSE
-rw-rw-r--  1 root root  2834 Jul 21 09:01 KNOWN_BUGS
-rw-rw-r--  1 root root 16834 Jul 21 09:01 INSTALL
-rw-rw-r--  1 root root  4691 Jul 21 09:01 CONTRIBUTORS.md
-rw-rw-r--  1 root root  7854 Jul 21 09:01 CONTRIBUTING.md
-rw-rw-r--  1 root root 76811 Jul 21 09:01 CHANGES.md
-rw-rw-r--  1 root root 35039 Nov 22 07:43 crs-setup.conf

docker-compose.yml

$ cat docker-compose.yml
略
  waf:
    image: owasp/modsecurity-crs:apache
    environment:
      - PARANOIA=4
      - ANOMALY_INBOUND=10
      - ANOMALY_OUTBOUND=5
      - BACKEND=http://nginx
    networks:
      - traefik-modsecurity-plugin_default
    volumes:
      - ./coreruleset-3.3.4/rules:/etc/modsecurity.d/owasp-crs/rules:rw★
networks:
traefik-modsecurity-plugin_default:
external: true

docker-composeを起動する

$ docker-compose up -d

rulesがマウントされていること

root@60d379fdb7ad:/etc/modsecurity.d/owasp-crs/rules# ls -la
total 704
drwxrwxr-x 2 1000 1000  4096 Sep 20

正常性確認

実際に攻撃を行い、正常に攻撃検知できることを確認する

正常性確認

実際に攻撃を行い、正常に攻撃検知できることを確認する。

CATEGORIES & TAGS

ModSecurity, Security,

Author:


comment

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

関連記事

カテゴリー

むるし

フリーランスのインフラ系エンジニア。
備忘録で色々書いていきます。
お問い合わせは↓
mo-gyu@murci.net
LPIC303 Security
%d人のブロガーが「いいね」をつけました。