Mod Securtiy SecRuleEngine On

[n0nam333]

Hallo,

habe mir Modsecurity installiert, jedoch funktioniert die WAF nicht so wie ich mir das vorstelle.
Habe die Firewall eingeschaltet mit "SecRuleEngine On", jedoch werden Anfragen nur mitgeloggt aber nicht abgewiesen.
Mitloggen sollte sie ja bei "SecruleEngine DetectionOnly", blockieren aber bei "on". Macht sie aber leider nicht...

 

[bitmuncher]

Solange keine Regeln definiert sind, kann auch nichts abgewiesen werden. Mit 'SecRuleEngine On' aktivierst du ja lediglich die Rules-Engine. Ein paar Infos über deine Config wäre daher ganz brauchbar. Hast du bereits Regeln definiert? Matchen diese überhaupt? Was sagen die Logs im Detail?

 

[n0nam333]

Ja, habe die "Default"-Regeln genommen. (Habe ich vom Web)
Da ist z.B. folgende

SecRule ARGS "\.\./" "t:normalizePathWin,id:50904,severity:4,t:none,t:urlDecodeUni,t:htmlEntityDecode,t:lowercase,msg:'Drive Access'"

Regel enthalten.
In meiner error.log steht dann:

[Fri Mar 08 13:08:32.524670 2013] [:error] [pid 4576:tid 1820] [client 127.0.0.1] ModSecurity: Warning. Pattern match "\\\\.\\\\./" at ARGS:abc. [file "C:/Program Files (x86)/xampp/apache/conf/modsecurity.conf"] [line "125"] [id "50904"] [msg "Drive Access"] [severity "WARNING"] [hostname "127.0.0.1"] [uri "/WebSec/"] [unique_id "UTnUwAryAhIAABHgzlAAAACN"]

 

[mime]

Ja, habe die "Default"-Regeln genommen. (Habe ich vom Web)

Es ist nie besonders geschickt einfach irgendwas aus dem Web zu übernehmen, dass man nicht verstanden hat.

Hast du denn z.B. eine 'SecDefaultAction' definiert?

Configuration Directives

 

[n0nam333]

Danke!

Ja, die Regeln waren bei Download von ModSec mit dabei. Arbeite mich erst ein, darum habe ich erst mal diese Default-Configs genommen. Aber jetzt funktionierts! ...hätte mich doch erst mal besser einlesen sollen,sry.