O Firewall de Aplicação Web, ou Web Application Firewall (WAF), é uma ferramenta importante para auxiliar na prevenção, detecção e bloqueio a ataques a aplicações web.
Nesse contexto, o Plesk traz em seu ambiente suporte nativo a ferramenta ModSecurity. O ModSecurity é um módulo de segurança que trabalha em conjunto com o firewall do servidor. Ele age pró-ativamente e monitora em tempo real tentativas de invasão do seu site, através da exploração de vários tipos de vulnerabilidades. O ModSecurity atua como um WAF ao estabelecer uma camada de segurança externa que aumenta a segurança, detecta e impede que algumas invasões usando técnicas conhecidas, atinjam os aplicativos web.
Para detectar e impedir invasões, o ModSecurity, verifica todas as solicitações ao serviço web e as respostas enviadas, levando em conta uma lista de parâmetros que indicam se as mesmas podem ter alguma ação maliciosa sobre a sua aplicação.
Se as requisições forem aprovadas (ou seja, não contiverem nenhum padrão considerado suspeito ou inseguro), elas são transmitidas ao site para permitir o acesso. Se a verificação falhar, ações predefinidas são executadas (por exemplo, bloquear o tráfego).
O ModSecurity é suportado no Plesk para Linux e para Windows. Funciona como um módulo de servidor web (Apache ou IIS).
O processo para instalação do ModSecurity necessita de acesso de Administrador (root) ao servidor.
Se você for o administrador de seu servidor (root), o processo para instalação pode ser visualizado na documentação oficial disponível aqui.
Caso você tenha contratado o nosso serviço de gerenciamento, basta que solicite à nossa equipe que realize a ativação deste recurso.
CONTEÚDO:
ESCOLHENDO O MODELO DE CONFIGURAÇÃO
Após a instalação do ModSecurity, será necessário escolher um modelo de configuração das regras de segurança. Uma configuração de regra é um pacote que contém os arquivos com regras de segurança específicas. As regras de segurança são verificadas por um mecanismo de firewall do aplicativo web para cada solicitação HTTP de entrada.
Atualmente existem 4 conjuntos de regras, e todos com possibilidades de personalização:
Conjunto de regras Atomic Basic ModSecurity
Uma versão básica das regras do Atomic ModSecurity. Fornece a funcionalidade básica do firewall do aplicativo web. As regras são atualizadas mensalmente.
Este é um modelo básico de regras criadas pela organização Atomicorp, conhecida como referência em serviços de segurança.
Ela fornece um modelo de regras básicas para filtragem contra as ameaças mais comuns e conhecidas:
• Proteção contra SQL injection
• Proteção de script entre sites (Cross-site scripting protection – XSS)
• Proteção local e remota contra ataques de inclusão e injeção de arquivos
• Proteção contra injeção de comandos
• Patchs de atualização de regras com frequência limitada
Conjunto de regras OWASP ModSecurity (CRS)
Conjunto de regras principais do OWASP ModSecurity (CRS). O CRS fornece proteção genérica contra vulnerabilidades desconhecidas, frequentemente encontradas em aplicativos da web. Este conjunto de regras também é gratuito. É conhecido como um conjunto de regras muito restritivo e requer ajuste adicional para uso em produção. Quando esse conjunto de regras é selecionado, o WordPress pode deixar de funcionar parcialmente, e outros recursos como compartilhamento de arquivos também podem deixar de funcionar.
Este modelo traz definições bem mais restritivas que o conjunto de regras Atomic Basic ModSecurity, o que irá exigir mais ações de diagnóstico a fim de equilibrar a lista de restrições com sua aplicação.
Conjunto de Regras Avançadas do ModSecurity pela Atomicorp
Esta é a versão mais recente das regras, com todos os aprimoramentos de desempenho, novos recursos de segurança e correções de erros lançadas diariamente pela organização Atomicorp. Traz um conjunto de regras comerciais totalmente suportado e recomendado para uso em produção, porém seu uso é licenciado.
A licença pode ser adquirida através da loja online do Plesk ou ainda diretamente com a Atomicorp.
Detalhes sobre a lista de proteções fornecidas podem ser consultados na documentação oficial do Plesk disponível aqui
Comodo ModSecurity
Este conjunto de regras é fornecido de forma gratuita pela organização de segurança Comodo.
Conjunto de regras Comodo ModSecurity (para Linux). Esse é um sistema de controle de tráfego baseado em regras personalizáveis e simples de usar que protege seus aplicativos baseados na web e evita novas técnicas de hacking emergentes com o uso de um banco de dados de regras atualizado com frequência. Este conjunto de regras é gratuito. Para habilitar essa regra definida no Plesk, é necessário que se registre no site da Comodo e forneça seu nome de usuário e senha deste site.
Conjunto de regras customizadas
Permite fazer upload de um conjunto de regras de WAF customizado que já possua, ou ainda que foi fornecido por outra organização. Formatos suportados: zip, tar.gz, tgz, tar.bz2, conf.
MODELO DE OPERAÇÃO DO SERVIÇO
Além das definições de regras, ainda existe um elemento adicional a ser configurado, o modo de operação do serviço:
Rápido: a URL de solicitação HTTP e partes dos cabeçalhos serão analisados. Tem menos impacto sobre o uso de recursos do servidor, porém sua ação é mais superficial sobre as requisições web.
Compensação: a URL de solicitação HTTP, cabeçalhos e a solicitação de dados POST serão analisados. Este modo traz um bom equilíbrio entre qualidade e desempenho.
Completo: todo conteúdo dos cabeçalhos de solicitação HTTP, os pedidos de dados POST e o conteúdo do corpo da resposta HTTP serão analisados. Esse modo demanda mais recursos de CPU do servidor, mas pode ser recomendado para sites que exigem medidas especiais de segurança. Por exemplo, lojas online que aceitam pagamentos com cartão.
Diretivas personalizadas
O Plesk fornece também opções de diretivas personalizadas através de sua interface. Ela substituirá as diretivas especificadas nos itens anteriores (conjuntos de regras, regras específicas, o conjunto predefinido de valores, e assim por diante).
MODO DE EXECUÇÃO DO SERVIÇO
Existem 3 modos de execução do serviço ModSecurity:
Desliga: Solicitações de HTTP de entrada e suas respostas relacionadas não são verificadas.
Somente detecção: Cada solicitação HTTP de entrada e a resposta relacionada são verificados contra um conjunto de regras. Se a verificação for aprovada, a solicitação HTTP é passada para o conteúdo do web site. Se a verificação falhar, o evento é apenas registrado e, da mesma forma, a solicitação é passada para o site. Outras ações não são realizadas.
Esta configuração é ideal para analisar o comportamento da aplicação e também definir qual modelo de regras pode ser mais recomendado para sua aplicação.
Liga: Cada solicitação HTTP de entrada e a resposta relacionada são verificados contra um conjunto de regras. Se a verificação for aprovada, a solicitação HTTP é passada para o conteúdo do web site. Se a verificação falhar, o evento é registrado no log, uma notificação é enviada, e a resposta HTTP é fornecida com um código de erro.
Neste modo todas as definições estão em operação agindo e bloqueando qualquer padrão suspeito.
Os modos de execução permitem definir o melhor modelo de regras, e também permite validar a aplicação de suas regras.
Por exemplo, é possível que sua aplicação possa ter algum falso positivo e algum recurso seja bloqueado indevidamente. Assim é possível realizar o diagnóstico e criar regras personalizadas que se adaptem a sua necessidade.
NOTA: Dependendo da modalidade de configuração escolhida, o ModSecurity necessita de recursos computacionais para sua correta operação. Neste caso é importante que seu servidor esteja operando com recursos computacionais suficientes para atender às demandas de acesso, juntamente com a operação do firewall de aplicação web.
Esta definição de conjunto de regras é gratuita e resulta na proteção contra as ameaças mais comuns que existem.
AVISO LEGAL: Os procedimentos descritos neste documento devem ser executados de acordo com o contexto de cada sistema, de forma a evitar impactos negativos à segurança, disponibilidade, integridade e privacidade de dados. A CentralServer se reserva o direito de modificar a qualquer tempo e sem aviso prévio as informações aqui apresentadas a fim de refletir o lançamento de novos serviços, atualizações físicas e operacionais, e evolução do estado-da-arte da tecnologia.