apache日志 waf_开发架构之开源WAF延申

最新推荐文章于 2024-07-22 07:00:00 发布
最新推荐文章于 2024-07-22 07:00:00 发布
阅读量241 收藏
点赞数
文章标签: apache日志 waf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_32673065/article/details/112513657
版权

其实网上开源WAF是有很多的,搭建方式比较简单,但只限于搭建,而没有分析调整的后续使用方法,这一点其实是实际使用中大家最关心也是最迫切需要的,下面就分享一下我的开源WAF构建与使用。

一、选用

其实在选用方面是需要进行多方面对比的,有业务需求方面的,有安全本身的,出于我们业务和架构的考虑,在这里我们使用的是modsecurity V3作为主体WAF框架,OWASP TOP 10作为主要策略,同时还覆盖自定义策略,当然这里就不放开了。

c5f56173ffc7b22c73c22e39a8c6f0b4.png

二、评估

评估modsecurity主要是评估服务器性能、安全性、速率、误报率。

服务器性能方面由于WAF的特性是需要串联到链路中的,所以在这里是放在nginx代理服务器上,4核8G的服务器,对于量不大的nginx来说已经是高配了。

从安全性角度来说,为什么使用V3,而不是V2.9,实际上我在搭建的时候V3是才推出的,稳定性来说是V2.9更胜一筹,但是考虑到V2.9本身的漏洞(I/O DoS)以及后期日志分析(不支持json),最终是使用了V3。

从速率的角度考虑,由于是挂在nginx的模块,所以速率方面不需要太担心。

从误报率的角度来说,任何的WAF都会存在误报,但是modsecurity的高自由调整策略是我特别习惯的一个特性。

综上选用modsecurity V3作为WAF主体。

在这里每位安全工程师、架构师都应该根据自己业务特性、业务逻辑、自身需求去选用WAF,不要盲从。我写这篇文章只是想给没有任何思路做开源安全的人一些思路。

三、搭建

搭建环节我就不再阐述了,请大家仔细阅读GitHub:

https://github.com/SpiderLabs/ModSecurity

四、分析

这块是我重点想说的,由于modsecurity原先是apache的组件,后应广大网友要求,增加了nginx版的modsecurity,但是原先的waffle(效果展示)却并没有适配nginx,我曾研究过nginx的waffle,虽然最终可以使用,但是体验并不是特别好,在这里我将介绍我的日志分析体系构建。

1daa198def46159e384d983836245f0f.png

1.了解modsecurity日志记录机制

Modsecurity V3的日志支持分布式日志记录和集中式日志记录,支持json格式的记录,详见GitHub。

2.选用日志传输工具

由于需要传输json日志,并考虑性能问题,这里使用filebeat作为日志传输工具。

3.选用日志展示工具

由于考虑到性能问题,这里采用分布式部署ELK(elasticsearch、logstash、kibana)作为展示工具

4.落实

首先调整Modsecurity V3记录分布式json日志,代码如下:

# -- Audit log configuration ------------------------------------------------- # Log the transactions that are marked by a rule, as well as those that# trigger a server error (determined by a 5xx or 4xx, excluding 404, # level response status codes).#SecAuditEngine OnSecAuditLogRelevantStatus "^[0-9]+"#SecAuditLogRelevantStatus "^(?:5|4(?!04))"# Log everything we know about a transaction.SecAuditLogParts ABCDEFGHIJKZSecAuditLogFormat JSON# Use a single file for logging. This is much easier to look at, but# assumes that you will use the audit log only ocassionally.#SecAuditLogType ConcurrentSecAuditLog /opt/modsecurity/audit.log# Specify the path for concurrent audit logging.SecAuditLogStorageDir /opt/modsecurity/data
a779fceab5ebc0c7eaa1abafb46ab256.png

详细解释每个参数:

SecAuditEngine //日志引擎,on为开启日志记录,off为关闭日志记录SecAuditLogRelevantStatus //日志状态记录,”^[0-9]+”为记录所有响应码的日志,"^(?:5|4(?!04))"为只记录400-599响应码的日志,不包括404日志SecAuditLogParts //日志体,详见githubSecAuditLogFormat //日志格式,这里启用json格式,如果记录普通格式删除该参数SecAuditLogType //日志存储类型,concurrent为分布式存储SecAuditLogStorageDir //分布式日志存储路径SecAuditLog //集中式存储路径

之后我们安装ELK,详细安装方法与介绍详见:

https://www.jianshu.com/p/e7362ccfe7e3?tdsourcetag=s_pctim_aiomsg

将filebeat传输指向logstash集群服务器,通过logstash筛选规则放入elasticsearch中,通过kibana查询展示WAF日志:

Filebeat配置参数:

filebeat.prospectors: # Each - is a prospector. Most options can be set at the prospector level, so# you can use different prospectors for various configurations.# Below are the prospector specific configurations.- input_type: log   # Paths that should be crawled and fetched. Glob based paths. paths: - /opt/modsecurity/data/*/*/* json.keys_under_root: true encoding: utf-8 document_type: mod_security close_eof: true scan_frequency: 5s clean_*: true
08ad95333ba6b73f90e5c80c8644f42d.png

详细解释每个参数:

input_type //输入类型为logPaths //传输的日志路径json.keys_under_root //json值放于根节点上Encoding //编码类型,这里UTF-8到日志展示时基本不会出现乱码,如果为GBK极有可能出现乱码情况document_type //文档类型,这里自定义close_eof //关闭文件处理程序scan_frequency //配置扫描文件频率clean_* //清除缓存
f7b07f68c2e3cf98b3af9b347af29448.png

将日志传输到logstash服务器。

Logstash配置:

69360d4d7c3ed6aee1884c6a20459444.png

这里使用3个配置文件,input是定义输入,output是定义输出,filter是定义日志过滤,我们先从input看:

ad760bef44fce4d5fea6088adec05851.png

Input定义很简单,只是单纯监听本机5044端口作为logstash的输入口,与filebeat传输配置中的端口对应。

bb2d11b0948d076702b63dff3ee350d4.png

Output中设置elasticsearch服务器的信息与主键的定义,在这里特别提示,主键名称要带logstash-,因为kibana展示中如果要展示ip定位的话,只有开头带logstash的键才可以用这个功能。

8002376d4eb5f5cc0a4e06c22ec6745e.png

Filter文件中定义message为json格式,定义geoip(用于展示ip定位)

传递到kibana展示效果如下:

71cc38205f33bac86662060990a8cae5.png

5.根据机制分析日志

自带的kibana日志比较乱,这时候我们自己搭建日志的分析模板,选择上图左侧参数可以只展示参数值,全部建立好模板后如下:

b2f461a4ec63460a52d7b04b13ee98f3.png

其中几个参数需要进行解释:

Time //传输时间geoip.city_name //ip定位城市名geoip.country_name //IP定位国家transaction.host_ip //访问者iptransaction.host_port //访问端口transaction.messages //触发阻断规则信息transaction.request.body //请求体(POST)transaction.request.headers.Host //访问域名或IPtransaction.request.method //请求方式transaction.request.uri //请求URItransaction.response.http_code//响应码

6.建立展示模板

建立一个dashboard,详细见Kibana使用:

171288e00dec2c898334a68cc2b131f0.png

五、监控告警

Kibana可以接收邮件告警与zabbix告警联动,因为我的zabbix告警绑定了企业微信与微信,zabbix触发告警内容时微信会收到消息,比邮件告警更加直接,所以采用的是kibana zabbix联动告警的方式,详细配置见:https://github.com/Yelp/elastalert

触发告警搜索规则:

transaction.messages:* //有告警信息transaction.messages:* & transaction.response.http_code:403 //有阻断信息

以上是我的搭建分析分享。后期带来关于自动化安全扫描的分享。

郑丢丢
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
modsecurity日志解析并存到mysql数据库
01-04
modsecurity日志解析并存到mysql数据库,设置modsecurity_log_mysql.py定时任务,实现modsecurity日志解析并存到mysql数据库,并自动清除旧日志
Nginx+Modsecurity 安全安装
weixin_40230682的博客
08-04 1704
一、安装nginx Nginx可选择直接yum安装,也可以使用二进制文件编译安装,该文档模拟使用yum安装后,添加Modsecurity 模块 #安装nginx-1.16.1 [直接yum install nginx 安装1.20.1也行] rpm -ivh http://nginx.org/packages/centos/7/x86_64/RPMS/nginx-1.16.1-1.el7.ngx.x86_64.rpm #此时Nginx 已安装完成,可查看nginx版本 nginx -v #使用
使用 ModSecurity 和 ELK 进行持续安全监控
allway2的博客
08-11 1879
在这篇博客中,我们将讨论如何在应用程序前面将 ModSecurity 设置为 Web 应用程序防火墙 (WAF),它将其日志发送到 ELK(Elasticsearch、Logstash、Kibana)堆栈以进行监控,并将 ElastAlert 用于警报。审计日志包含有关 ModSecurity 检测到恶意事件时生成的日志的详细信息,并包含有关系统客户端请求的有用信息,包括客户端标头和数据负载,默认情况下未启用,可以通过“modsecurity. conf”配置文件。它使用文本模式来匹配日志文件中的行。...
【DevOps】ModSecurity深入解析:强大的开源Web应用防火墙
最新发布
Coder加油站的专栏
07-22 5311
ModSecurity是一个开源的、跨平台的Web应用程序防火墙(WAF)引擎。它最初是作为Apache HTTP服务器的一个模块开发的,现在已经可以作为独立程序运行,也可以集成到其他Web服务器中,如Nginx和IIS等。ModSecurity的主要目标是保护Web应用程序免受各种攻击,提高Web应用的安全性。它通过实时监控HTTP流量,对请求进行分析和过滤,来检测和阻止潜在的恶意活动。实时流量监控和访问控制虚拟补丁功能,快速修复Web应用漏洞完整的HTTP流量日志记录持续的安全评估。
CentOS下Nginx+ModSecurity(3.0.x)安装及日志保存
ilqgffvramusm2864的博客
07-29 4006
目录CentOS下Nginx+ModSecurity(3.0.x)安装及配置WAF规则一、安装相关依赖工具二、安装Modsecurity三、安装nginx与ModSecurity-nginx四、测试效果五、配置WAF规则六、重新加载Nginx测试效果七、其他补充ModSecurity日志保存至MySQL数据库(通过Logstash)二、配置JDK四、安装logstash-output-jdbc五、创建日志同步配置文件六、创建数据库七、配置ModSecurity记录审计日志八、同步日志九、最后工作(可选) C
waf日志分析解决方案
focus on security
06-09 1459
首先是来自于外部搜集的规则以及我们内部整理的规则,这是一个初始来源。 我们会将规则动态加载到一个基于storm的实时计算流量的框架,相当于做一个只检测不拦截的测试。 通过把报警日志做离线分析后,统计出其中的漏报误报,对偏差较大的规则进行修改优化后,加入到规则中,这样就形成了一个闭环。在运营维护过程中,不断的去优化规则。 通过长时间的观察和经验,我们发现误报的日志在一些特征值上有着明显的区别,比如该IP距离上次请求的时间间隔会比较大。那么根据我们提取出来的规则,我们会整理一份训练...
Windows平台Apache安装开源WAF mod_security
01-08
Windows平台Apache安装开源WAF mod_security,可以拦截XSS、SQL注入、命令注入、远程代码执行等等漏洞
free_waf_linux_
10-02
标题 "free_waf_linux_" 暗示我们讨论的主题是关于在Linux环境下部署的一个免费的Web应用防火墙(Web Application Firewall, WAF)。WAF主要用于保护Web服务器免受恶意攻击,如SQL注入、跨站脚本(XSS)等。在Linux...
waf-fle_0.6.4.tar.gz
12-11
**标题解析:** “waf-fle_0.6.4.tar.gz” 是一个...综上所述,waf-fle_0.6.4是一个用于ModSecurity的开源控制台,提供图形化界面来增强Web应用安全防护,同时具备日志管理和事件分析功能,适合网络安全专业人士使用。
modsecurity-apache_2.5.13_src_bin.zip
07-31
ModSecurity是一款开源的Web应用防火墙(WAF),能够保护服务器免受恶意攻击。它能够对HTTP流量进行监控、日志记录以及阻止潜在的威胁。 描述中提到,这个模块特别支持Apache 2.2.x版本,具备记录请求头和响应头的...
php-waf合集
12-24
3. **日志和报告**:WAF记录所有拦截的活动,提供详细的日志和报告,帮助管理员了解网站面临的威胁。 4. **实时更新**:通过定期更新规则库,PHP WAF可以及时应对新的安全威胁。 5. **性能影响**:虽然WAF会增加...
modsecurity配置指令学习
weixin_30819163的博客
11-21 663
事务(transactions) Console(控制台) 1 Introduction Modsecurity是保护网络应用安全的工作。不,从零开始。我常称modsecurity为WAF(网络应用防火墙),这是种被广泛接受的叫法,它指的是为保护网络应用而专门设计的产品族。也有些时候我称它为HTTP入侵检测工具,我认为这个称呼更好的描述了modsecurity做了什么。 Unders...
modsecurity troubleshoting
chg1226的博客
09-01 698
modsecurity troubleshoting 最近上了modsecurity做waf, 但几个正常页面报403了, 看页面上的显示错误, 是modsecurity拦截了. 这个页面上是通过执行sql返回结果的, 估计是被识别成了sql注入. 分析问题 打开audit日志 首先要打开modsecurity的audit log, 默认是已经打开 了, 位置在/var/log/modsec_audit.log. 如果没有打开 可以参考以下步骤. 配置文件**/etc/nginx/modsec/mods
AppScan扫描安全问题解决实录-跨站点脚本编制
yaovirus的专栏
05-15 1800
问题分析 未对用户可控制的输入正确进行无害化处理,就将其放置到充当 Web 页面的输出中。这可被跨站点脚本编制攻击利用。 白话解析:攻击者将脚本作为参数发送到被攻击的接口,然后接口直接返回语句到页面,那么页面就会执行攻击者的脚本。攻击者可以利用脚本获取token、cookie等信息,进而下一步攻击。 解决方案一 Apache配置解决方案: 1开放module LoadModule security2_module modules/mod_security2.so 2添加如下配置 <If
如何做 Nginx 安全日志分析可视化,看完这一篇,秒懂!
LinkSLA的博客
11-01 351
这里选着用mlog2waffle的方式接收日志,然后选着service deamon的方式查询日志,这种是实时查询,WAF-FLE controller URL是配置waf-fle的控制器地址,mlog2waffle是通过put请求发送数据到这个接口地址,下面就是配置ModSecurity日志的配置路径,配置完成后,点击Next。mlog2waffle,是通过put方法发送日志waf-fle的,但是默认Nginx是不允许put请求的,所以启动会报错,需要在nginx中,通过dav方法,允许put请求。
ModSecurity的规则
浅笑996的博客
10-26 5439
一、ModSecurity的规则 基本格式 SecRule VARIABLES OPERATOR ACTIONS SecRule:ModSecurity主要的指令,用于创建安全规则。 VARIABLES :代表HTTP包中的标识项,规定了安全规则针对的对象。常见的变量包括:ARGS(所有请求参数)、FILES(所有文件名称)等。 OPERATOR:代表操作符,一般用来定义安全规则的匹配条件...
Nginx + ModSecurity 配置安装
thlzjfefe的博客
01-18 2716
软件环境:centos7,nginx-1.14.1,modsec-3.0.3,ModSecurity-nginx.git 软件环境安装 #第一:准备编译和依赖环境 yum install gcc wget git geoip-devel libcurl-devel libxml2 libxml2-devel libgd-devel openssl-devel -y yum ...
ModSecurity 默认日志路径
m0_61237221的博客
12-29 611
ModSecurity 默认日志路径 /var/log/modsec_audit.log
Nginx - 集成ModSecurity实现WAF功能
小工匠
05-19 2341
ModSecurity是一款开源的Web应用防火墙(WAF),它能够保护Web应用免受各种类型的攻击。作为一个嵌入式模块,ModSecurity可以集成到常见的Web服务器(如Apache、Nginx)中,以拦截和阻止恶意的HTTP请求。其设计目标是提供一个灵活、可配置的安全解决方案,能够保护Web应用免受SQL注入、跨站脚本(XSS)、请求伪造、路径遍历等各种常见的Web攻击。
centos apache waf
07-27
CentOS是一种流行的Linux操作系统,而Apache是一个广泛使用的开源Web服务器。WAF(Web Application Firewall)是一种网络安全技术,用于保护Web应用程序免受各种攻击,如SQL注入、跨站脚本攻击等。在CentOS上部署...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值