[Themensuche] ModSecurity + Lua

dupLex

New member
Hallo,
ich hoffe ich habe das richtige Forum ausgewählt, ansonsten bitte verschieben.

Es geht um folgendes. Ich bin nun dabei meine Masterarbeit zu schreiben. Themenschwerpunkt soll dabei die WAF mod_security sein. Diese wollte ich evaluieren und anschließend den Funktionsumfang dieser WAF mittels der Lua API erweitern.
Leider stellt sich nun im Laufe der Recherche heraus, dass so gut wie alle Angriffe durch das Core Rule Set abgesichert sind. Eine Umsetzung einer Absicherung mittels eines Lua-Skriptes kommt daher nicht in Frage (möchte das Rad nicht zweimal erfinde).
Ich bin daher auf der Suche nach weiteren Szenarien, welche interessant sein könnten und ich praktisch umsetzen könnte. Eventuell fällt ja hier jemanden etwas ein. Bin für jeden Vorschlag dankbar.

Ich bin mittlerweile soweit, dass ich den Focus nicht auf typische Web-Attacken setze, sondern eher die Funktionalität der WAF durch Dinge wie eine Debugging-Umgebung / False Positive Detection / Erweiterung des Log Managements ausbaue.

greetz duplex
 

bitmuncher

Moderator
mod_security deckt einen der häufigsten Angriffe nicht ab und das sind DDoS. Dafür muss man immer noch mod_dosevasive nachrüsten was zusätzlichen Overhead verursacht. Eine einfache DDoS-Erkennung in mod_security wäre daher durchaus brauchbar. Zum Beispiel könnte getrackt werden wieviele Sessions von einer IP aufgebaut werden um bei einer definierten Anzahl an Sessions die IP zu blocken. Auch besonders schnell aufeinanderfolgende Requests auf gleiche URLs könnte man tracken und entsprechend handhaben.

Ausserdem ist mod_security meines Wissens nach nicht in der Lage Bots und Crawler auf speziell dafür aufgelegte Server umzuleiten. Die meisten Webplattformen stellen ab einer bestimmten Grösse extra Server für Bots zur Verfügung, damit diese die Server, auf denen die User unterwegs sind, nicht ausbremsen. Das könnte man durchaus auch mittels mod_security managen. Unbekannte Bots, die keinem bekannten User-Agent entsprechen könnte man auf Honeypot-Server umlenken oder sogar innerhalb von mod_security einen einbauen.

Ich sehe also durchaus noch Potential um mod_security zu erweitern.
 

dupLex

New member
Über DDoS / automatisierte Angriffe hatte ich auch schon einmal nachgedachte, dann jedoch wieder verworfen. Du hast aber recht, mod_security beinhaltet bisher keine Abwehrmechanismen gegenüber dieser Angriffe. Es gibt viele Ansätze, jedoch keine deckte alle Varianten von DoS ab.

Deine Beschreibung hat es für mich wieder interessant gemacht. Sehr wahrscheinlich werde ich es in die Arbeit einfließen lassen. Kann dich dann ja auf dem Laufenden halten.
 
Oben