Howto Apache2 mit mod-evasive(1.10.1) und mod-security(2.5.7)

am 09. Okt 2008 von geschrieben unter Allgemein, Apple, Howto, Linux, Security, Websecurity, Windows


ModSecurity – Webapplication Firewall


Übersicht

Mehr als 70% von allen heutigen Attacken, werden via Application Layer ausgeübt. Organisationen brauchen Hilfe ihre Systeme Abzusichern und vor böswilligen Missbrauch zu schützen. Webapplikation Firewall sind entwickelt worden um einen zusätzlichen Schutz zu gewährleisten, Angriffe aufzuspüren und abzuwehren bevor sie die Webapplikation erreichen.


Features

  • HTTP Traffic Logging
  • Realtime Monitoring und Attack Detection
  • Attack Prevention und Just-in-Time Patching
    • Negatives Security Model
    • Bekannte Attacken blocken
    • Positives Security Model


Mod-evasive – DDos Shield


Übersicht

Das Apache Modul mod_evasive soll den Apache gegen DDos-Angriffe schützen. Dies geschieht, indem mod_evasive die IP-Adressen des anfragenden Clients in einer internen Hash-Tabelle ablegt, und zählt, wie oft dasselbe Objekt innerhalb einer definierten Zeitspanne angefordert wird.
Wenn die Anzahl der Aufrufe einen bestimmten Grenzwert erreicht, erhält der Client eine 403 Fehlermeldung.


Funktionsweise

Das Modul basiert im Grunde auf einer Blackliste. Bei jeder Anfrage eines Clients wird diese Liste durchgegangen und wenn die Anfragen die gesetzten Werte innerhalb einer Zeitdauer erreicht haben, gibt der Apache einen HTTP-Status von 403 (Forbidden) aus. Dies passiert nun eine vorher festgelegte Dauer, die sich mit jedem weiteren Aufruf innerhalb der Sperrzeit, automatisch verlängert. Damit werden Bandbreite und Rechnerressourcen gespart. Auch ist es mittels des Moduls möglich einen Eintrag bei einem DoS ins syslog zu schreiben, eine eMail zu versenden oder per Aufruf weiterer Software zeitgleich Gegenmaßnahmen einzuleiten.

So werden auch BruteForce-Attacken aller Art über das HTTP-Protokoll erfolgreich abgewehrt oder zumindest erheblich verzögert.

Die Grenze des Moduls ist allerdings erreicht, wenn ein massiver DoS-Angriff erfolgt und die komplette Bandbreite zum Server oder die Kapazitäten der Hardware in Anspruch nimmt. Hier müssen sich weitere Gegenmaßnahmen anschließen. Mod_evasive alleine bringt in diesem Szenario sehr wenig.

Update: Es ist eine Neue Version von Mod-Security Verfügbar! Bitte liest diesen Post für die neue Version (2.5.9) von ModSecurity.

Hallo liebe hack2learn Leser,

wir haben ein Member System aktiviert, womit gewisse Anleitungen, Beiträge und News nur noch für hack2learn Member zugänglich sind.

Dieser Beitrag ist nur für hack2learn Member zugänglich.
Wenn du bereits hack2learn Member bist, melde dich bitte an, damit du den Beitrag sehen kannst.


Bitte beachtet:
Sämtliche Anleitungen, Beiträge und News sowie deren Bilder, Fotos, Texte und Videos sind, sofern nichts anderes angegeben wurde, Geistiges Eigentum von hack2learn.org und durch die Creative Common Lizenz und das Urheberrecht geschützt.

Sollten wir andere Webseiten dabei erwischen, Beiträge von hack2learn.org als ihre eigenen auszugeben, werden wir die entsprechenden Webseiten Betreiber, unter Vorbehalt von weiteren rechtlicher Schritte, per Unterlassungsklage abmahnen.

Einige von Euch erwähnten bereits, dass es solche Leute unter den hack2learn Membern geben könnte:
Zuerst möchten wir hier erwähnen, dass wir bisher niemanden verdächtigen – sollten wir aber herausfinden, dass es solche Leute unter den hack2learn Membern gibt, werden wir auch diejenigen ausfindig machen und, unter Vorbehalt von rechtlicher Schritte, per sofort von hack2learn.org verbannen.

Das hack2learn Team

Existing Users Login
 Remember me  

Das könnte dich auch interessieren:




Copyright © www.hack2learn.org
Dieser Beitrag ist für den persönlichen, nicht-kommerziellen Gebrauch bestimmt. Die durch die Seitenbetreiber erstellten Inhalte und Werke auf diesen Seiten unterliegen dem deutschen Urheberrecht. Die Vervielfältigung, Bearbeitung, Verbreitung und jede Art der Verwertung ausserhalb der Grenzen des Urheberrechtes bedürfen der schriftlichen Zustimmung des jeweiligen Autors bzw. Erstellers.
(Digital Fingerprint: d3d3LmhhY2sybGVhcm4ub3Jn)


  • Pingback: Tutorial Debian Etch apache2 mit Mod_Security2 - Server Support Forum

  • http://www.scootertuningpage24.de Gero

    Hi, tolle Anleitung hat mir sehr geholften.

    Muss dich aber auf eine Fehler Hinweisen:

    Deines:

    Include /etc/apache2/rulesets/*.conf

    Richtig:

    Include /etc/apache2/ruleset/*.conf

    Fehler ist ein fehlendes “/” und der ” rulesets” falsch geschrieben, sollte “ruleset” heissen. ;)

    gruss Gero

  • admin

    Danke für den Hinweis Gero. Habe es gleich korrigiert.

  • Pingback: Bleibt es hier mal on ??? - Seite 8 - myGully

  • Pingback: Tutorial Debian Etch apache2 mit Mod_Security2 - Server Support Forum

  • Pingback: apxs2 - Server Support Forum

  • http://typo3-agentur.typo3-fanworld.de Internetagentur

    Ich hatte mal mod_evasive vor längerer Zeit installiert und auf einmal funktionierte mein Fail2ban nicht mehr. Kann das sein das die sich nicht vertragen?

  • admin

    Hallo Internetagentur

    Wäre mir neu, ich kann es aber nicht mit sicherheit sagen, hast du den Fail2ban so eingerichtet das auch http überwacht wird, weil standardmässig horcht es nur auf SSH (Port 22) wen ich mich recht errinnern mag :)

    Hast du mod_evasive so eingerichtet wie im Howto oder blockst du auch noch mit mod_evasive (DOSSystemCommand “su – someuser -c ‘/sbin/… %s …)? Wen du iptable regeln hinzufügst die schon durch Fail2ban erstellt wurden, kann es durchaus sein das die neu erstellten Regeln von mod-evasive nicht mit fail2ban funktionieren.

    gruss

  • Pingback: Server Support Forum

  • Pingback: Server Support Forum

  • Pingback: HowtoForge

Suchst du etwas?

    Immer noch nicht gefunden wo nach du gesucht hast? Hinterlasse einen Kommentar oder kontaktiere uns, damit wir uns darum kümmern können.

Folge uns auf twitter

Feed Readers

User Online



Archives

Alle Einträge, chronologisch...