RubyGems - rabbit-slide-kenhys-tokyodebian-modsecurity-20200220 - Versions diffs - 2021.02.20.1 - Mend

rabbit-slide-kenhys-tokyodebian-modsecurity-20200220 2021.02.20.1

Files changed (10) hide show

checksums.yaml +7 -0
data/.rabbit +1 -0
data/README.md +14 -0
data/Rakefile +17 -0
data/config.yaml +24 -0
data/images/profile.png +0 -0
data/pdf/tokyodebian-modsecurity-20200220-tokyodebian-modsecurity.pdf +0 -0
data/theme.rb +5 -0
data/tokyodebian-modsecurity.md +289 -0
metadata +65 -0

checksums.yaml ADDED

@@ -0,0 +1,7 @@
+---
+SHA256:
+  metadata.gz: 99637b5bf5d6d483261383aa71c042ba9ff28dcbc2207863f9c4b426fdc4f1b4
+  data.tar.gz: a67ff2c672a11beadbe3934dc915f6fcba7e366d23b09a9c8b2d13f0b157dd20
+SHA512:
+  metadata.gz: 0fd156f9de544bc11851884095b7441485772303fea312744f80de0dac3cec227d7e91ceafe23a0d3317f21629c6453cf9112df1611acfb42a116e57fcf614f1
+  data.tar.gz: 98cf16200b1b9a6c53474ac873ca74b303bfbb112b8c4762f48696626edab884cf32982fdb5f1aa55125fc21c9da0e60f1e96a110488128f37bb968ff294aae6

data/.rabbit ADDED

	@@ -0,0 +1 @@
1	+ --size=1024,768 tokyodebian-modsecurity.md

data/README.md ADDED

@@ -0,0 +1,14 @@
+# Tokyo Debian ModSecurity 2021
+## How to show
+  % rabbit
+## How to install
+  % gem install rabbit-slide-kenhys-tokyodebian-modsecurity-2021
+## How to create PDF
+  % rake pdf

data/Rakefile ADDED

@@ -0,0 +1,17 @@
+require "rabbit/task/slide"
+# Edit ./config.yaml to customize meta data
+spec = nil
+Rabbit::Task::Slide.new do |task|
+  spec = task.spec
+  # spec.files += Dir.glob("doc/**/*.*")
+  # spec.files -= Dir.glob("private/**/*.*")
+  # spec.add_runtime_dependency("rabbit-theme-YOUR-THEME")
+end
+desc "Tag #{spec.version}"
+task :tag do
+  sh("git", "tag", "-a", spec.version.to_s, "-m", "Publish #{spec.version}")
+  sh("git", "push", "--tags")
+end

data/config.yaml ADDED

@@ -0,0 +1,24 @@
+---
+id: tokyodebian-modsecurity-20200220
+base_name: tokyodebian-modsecurity
+tags:
+- rabbit
+- modsecurity
+presentation_date: 2021-02-20
+presentation_start_time:
+presentation_end_time:
+slideshare_id:
+version: 2021.02.20.1
+licenses:
+- CC-BY-SA-4.0
+slideshare_id: kenhys
+speaker_deck_id:
+vimeo_id:
+youtube_id:
+author:
+  markup_language: :md
+  name: Kentaro Hayashi
+  email: kenhys@gmail.com
+  rubygems_user: kenhys
+  slideshare_user:
+  speaker_deck_user:

data/images/profile.png ADDED

Binary file

data/pdf/tokyodebian-modsecurity-20200220-tokyodebian-modsecurity.pdf ADDED

Binary file

data/theme.rb ADDED

@@ -0,0 +1,5 @@
+@default_font = "Ubuntu"
+@monospace_font = "Ubuntu"
+include_theme("debian")
+@slide_show_span = 1300
+@slide_show_loop = true

data/tokyodebian-modsecurity.md ADDED

@@ -0,0 +1,289 @@
+# DebianでWAF
+subtitle
+:  ModSecurity-nginx 3.0.4による\\nWeb Application Firewall
+author
+:  Kentaro Hayashi
+institution
+:  ClearCode Inc.
+content-source
+:  2021年2月 東京エリア・関西合同Debian勉強会
+allotted-time
+:  20m
+theme
+:  .
+# スライドは公開済みです
+* この資料はRabbit Slide Showで公開済み
+  * DebianでWAF - ModSecurity-nginx 3.0.4による\\nWeb Application Firewall
+    * <https://slide.rabbit-shocker.org/authors/kenhys/tokyodebian-modsecurity-20210220/>
+# プロフィール
+![](images/profile.png){:relative-height="60" align="right"}
+* ひよこDebian Developer
+  * 2020/09になったばかり
+  * twitter: @kenhys
+* トラックポイント(ソフトドーム派)
+* わさビーフ(わさっち派)
+# 本日の内容
+* WAFとは
+* 自由なWAF
+* ModSecurityを試すには
+# WAFとは
+* Web Application Firewall
+  * Webサイトへの攻撃の影響を低減するためのもの
+  * 攻撃と判断した通信を遮断する
+# WAFの提供形態
+* アプライアンス型(専用機器設置)
+* サービス型(外部提供のWAFサービスを利用)
+* **ソフトウェア型** (今回はコレ!)
+# WAFへの理解を深めるには
+* 「Web Application Firewallの導入に向けた検討項目」
+  * <https://www.ipa.go.jp/files/000072484.pdf>
+* 「Web Application Firewall 読本」
+  * <https://www.ipa.go.jp/files/000017312.pdf>
+# 自由なWAF
+* Shadow Daemon
+  * <https://shadowd.zecure.org/>
+  * 言語ごとのconnectorをインストールする
+* NAXSI(Nginx)
+  * <https://github.com/nbs-system/naxsi>
+* **ModSecurity(Apache/Nginx)**
+  * <https://modsecurity.org/>
+# ModSecurity in Debian
+* For Apache
+  * libapache2-mod-security2
+  * ModSecurity 2.x
+* For Nginx
+  * パッケージはない
+  * <https://github.com/SpiderLabs/ModSecurity-nginx>
+    * 最新版は3.0.4
+# ModSecurity For Apache
+```sh
+sudo apt install apache2 modsecurity-crs \
+                 libapache2-mod-security2
+sudo a2enmod security2
+sudo cp /etc/modsecurity/modsecurity.conf-recommended \
+        /etc/modsecurity/modsecurity.conf
+sudo systemctl restart apache2
+```
+* DetectOnlyで有効になる
+* /var/log/apache2/modsec_audit.log にログ
+# ModSecurity For Nginx
+* モジュールをビルドする
+* ビルドしたモジュールを配置する
+* Nginxの設定ファイルを書く
+# モジュールをビルドする準備(unstable)
+```sh
+$ sudo apt build-dep nginx
+$ apt source nginx
+$ git clone https://github.com/SpiderLabs/ModSecurity-nginx.git
+$ vi nginx-1.18.0/debian/rules
+```
+* xxx_configure_flagsにオプション追加する
+  * `--add-dynamic-module=$(CURDIR)/../ModSecurity-nginx`
+# モジュールをビルド
+```sh
+$ cd nginx-1.18.0
+$ debuild -us -uc
+$ find nginx-1.18.0 -name '*security*.so'
+nginx-1.18.0/debian/build-xxx/objs/ngx_http_modsecurity_module.so
+```
+* xxxはcoreやlight、extrasのパッケージに対応
+  * nginx-core
+  * nginx-light
+  * nginx-extras
+# モジュールをコピー
+* ngx_http_modsecurity_module.so
+  * コピー先は/usr/lib/nginx/modules
+# Nginxで有効にするには
+```sh
+load_module "modules/ngx_http_modsecurity_module.so";
+modsecurity on;
+modsecurity_rules_file /etc/nginx/modsecurity.conf;
+```
+* モジュールを読み込む
+* ModSecurityを有効にする
+  * 3.x向けの記述方法
+  * ModSecurityEnabled onは2.x向けの記述
+# Firewallのルールを指定する
+* ModSecurityはFirewallの枠組み
+* ルールは追加で指定する必要がある
+  * ModSecurity Core Rule Set
+# modsecurity-crs
+* OWASP ModSecurity Core Rule Set
+  * <https://github.com/coreruleset/coreruleset>
+  * コミュニティベースでメンテナンス(になった)
+  * ApacheとNginxとで共通で使えることになっている
+* /usr/share/modsecurity-crs/rules/*.conf
+# 設定の注意 for Nginx
+* /usr/share/modsecurity-crs/owasp-crs.load
+* /etc/modsecurity/modsecurity.conf-recommended
+  * libapache2-mod-security2向け
+  * SecRequestBodyInMemoryLimit は3.xでは使えないやつ
+# ブロックさせるサンプル
+```sh
+SecRuleEngine On
+Include owasp-modsecurity-crs/crs-setup.conf
+Include owasp-modsecurity-crs/rules/REQUEST-901-INITIALIZATION.conf
+Include owasp-modsecurity-crs/rules/REQUEST-942-APPLICATION-ATTACK-SQLI.conf
+Include owasp-modsecurity-crs/rules/REQUEST-949-BLOCKING-EVALUATION.conf
+```
+* curl http://localhost/?union+select が403になる
+# まるっと適用するなら
+```sh
+SecRuleEngine On
+Include /etc/modsecurity/crs/crs-setup.conf
+Include /etc/modsecurity/crs/REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf
+Include /usr/share/modsecurity-crs/rules/*.conf
+Include /etc/modsecurity/crs/RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf
+```
+* /etc/nginx/modsecurity.conf(パスは任意)に記述する
+# 有効・無効の切り替え
+* SecRuleEngine
+  * On: ModSecurityを有効にする
+  * Off: ModSecurityを無効にする
+  * DetectionOnly: 検知のみ行う
+# 既定の挙動を設定
+```sh
+#SecAction \
+#  "id:900000,\
+#   phase:1,\
+#   nolog,\
+#   pass,\
+#   t:none,\
+#   setvar:tx.paranoia_level=1"
+```
+* crs-setup.conf
+  * SecActionで挙動に影響する変数を設定
+# リクエストに関する設定
+* REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf
+  * 既定では全部コメントアウト
+  * preフィルタ的感じでつかう
+    * ctl:ruleEngine
+    * ctl:ruleRemoveByXXX
+    * ctl:ruleRemoveTargetByXXX
+# レスポンスに関する設定
+* RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf
+  * 既定では全部コメントアウト
+  * postフィルタ的感じでつかう
+    * SecRuleRemoveByXXX
+    * SecRuleUpdateActionByXXX
+    * SecRuleUpdateTargetByXXX
+# どんなルールセットがあるか？
+* REQUEST-903.*
+  * Drupal
+  * Wordpress
+  * NextCloud
+  * DokuWiki
+  * CPanel
+  * Xenford
+# ルールが適用できているか?
+* /var/log/nginx/error.log参照
+  * ルールをリモートから取得もできる
+```sh
+[notice] 16026#16026: ModSecurity-nginx v1.0.1 \
+(rules loaded inline/local/remote: 0/911/0)
+```
+# ルールがどのように適用されたか?
+* /var/log/nginx/modsec_audit.log を参照
+  * Hセクションをみるべし
+```sh
+--622ca252-H--
+Message: Access denied with code 403 (phase 1). \
+Pattern match "/phpmyadmin" at REQUEST_FILENAME. \
+[file "/etc/httpd/conf.d/mod_security.conf"] \
+[line "94"] \
+[id "10000"] \
+[msg "Blocking access to /phpmyadmin/index.php."] \
+[tag "Blacklist Rules"]
+```
+# ひっかかったのを検出するには
+<https://github.com/molu8bits/modsecurity-parser>
+* ModSecurity 2.xと3.xのログに対応している
+* png,json,xlsxでレポートを生成
+```sh
+python modsecurity-parser.py --version3 \
+  -f modsec_audit.log
+```
+# まとめ
+* 自由なWAFはいくつかある
+* DebianでModSecurity-nginxを使うには自分でビルドする必要がある
+* とっかかりにはmodsecurity-crsのルールセットを使うとよい
+* まずは検知モードで動かしてみるのがおすすめ

metadata ADDED

@@ -0,0 +1,65 @@
+--- !ruby/object:Gem::Specification
+name: rabbit-slide-kenhys-tokyodebian-modsecurity-20200220
+version: !ruby/object:Gem::Version
+  version: 2021.02.20.1
+platform: ruby
+authors:
+- Kentaro Hayashi
+autorequire:
+bindir: bin
+cert_chain: []
+date: 2021-01-28 00:00:00.000000000 Z
+dependencies:
+- !ruby/object:Gem::Dependency
+  name: rabbit
+  requirement: !ruby/object:Gem::Requirement
+    requirements:
+    - - ">="
+      - !ruby/object:Gem::Version
+        version: 2.0.2
+  type: :runtime
+  prerelease: false
+  version_requirements: !ruby/object:Gem::Requirement
+    requirements:
+    - - ">="
+      - !ruby/object:Gem::Version
+        version: 2.0.2
+description: ''
+email:
+- kenhys@gmail.com
+executables: []
+extensions: []
+extra_rdoc_files: []
+files:
+- ".rabbit"
+- README.md
+- Rakefile
+- config.yaml
+- images/profile.png
+- pdf/tokyodebian-modsecurity-20200220-tokyodebian-modsecurity.pdf
+- theme.rb
+- tokyodebian-modsecurity.md
+homepage: https://slide.rabbit-shocker.org/authors/kenhys/tokyodebian-modsecurity-20200220/
+licenses:
+- CC-BY-SA-4.0
+metadata: {}
+post_install_message:
+rdoc_options: []
+require_paths:
+- lib
+required_ruby_version: !ruby/object:Gem::Requirement
+  requirements:
+  - - ">="
+    - !ruby/object:Gem::Version
+      version: '0'
+required_rubygems_version: !ruby/object:Gem::Requirement
+  requirements:
+  - - ">="
+    - !ruby/object:Gem::Version
+      version: '0'
+requirements: []
+rubygems_version: 3.2.3
+signing_key:
+specification_version: 4
+summary: Tokyo Debian ModSecurity 2021
+test_files: []