How To Set Up mod_security with Apache on Debian

A. Pengertian

 ModSecurity adalah Open-Source Web Application Firewall (WAF) yang bekerja dengan Apache, Nginx dan IIS. Ini mendukung mesin aturan yang fleksibel untuk melakukan operasi sederhana dan kompleks dan dilengkapi dengan Core Rule Set (CRS) yang memiliki aturan untuk SQL injection, cross site scripting, Trojans, agen pengguna yang buruk, pembajakan sesi dan banyak eksploitasi lainnya. Untuk Apache, itu adalah modul tambahan yang membuatnya mudah untuk menginstal dan mengkonfigurasi.

B. Latar Belakang

 Di era digital ini banyak para hacker, cracker dan defacer yang ingin merusak mengubah bahkan mencuri informasi. Pada postingan ini, kita akan mengkonfigurasi bagaimana mengamankan Web Server menggunakan ModSecurity.

C. Maksud & Tujuan

 Untuk mengamankan Web server dari serangan dan mengetahui jenis serangan yang dilakukan oleh orang yang tidak bertanggung jawab.

D. Alat & Bahan

• 1 PC/Laptop
• Apache Web Server
• Terminal
• Internet Connection

E. Waktu
 Dalam konfigurasi ini saya membutuhkan waktu kurang lebih 20 menit, karena saya juga baru mempelajari tentang ModSecurity ini.

F. Langkah Kerja
1.Pertama kita buka terminal dan remote server, dan install mod_security dengan printah

#apt-get install libapache2-mod-security2

2. Cek apakah module mod_security sudah termuat, untuk mengeceknya tuliskan perintah

#apachectl -M | grep --color security

3. Apabila sudah termuat akan muncul tulisan seperti ini

 security2_module (shared)

4. Lalu kita pindah ke directory /etc/modsecurity, kemudian copy modsecurity.conf-recommended menjadi modsecurity.conf dengan perintah

#cd /etc/modsecurity/

#cp modsecurity.conf-recommended modsecurity.conf

5. setelah itu kita masuk ke directory /usr/share, clone CRS (Core Rule Set) dari github SpiderLabs, pastikan sudah terinstall git apabila belum kita install dulu dengan perintah

#apt-get install git

kemudian pindah directory ke /usr/share dengan perintah

#cd /usr/share

lalu kita clone owasp mod_security dengan perintah

#git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git

6. setelah terclone, kita masuk ke directory owasp-modsecurity-crs dan copy file crs-setup.conf.example menjadi crs-setup.conf dengan perintah

#cd /usr/share/owasp-modsecurity-crs/

  lalu

#cp crs-setup.conf.example crs-setup.conf

7. kita masuk ke directory rules dan copy

REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf.example dan RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf.example dengan menghapus extensi '.example' 

#cd  /usr/share/owasp-modsecurity-crs/rules

#cp REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf.example REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf

#cp RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf.example RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf

8. Selanjutnya kita masuk ke directory /etc/apache2/mods-available/ lalu edit file security2.conf

#cd /etc/apache2/mods-available/

#nano security2.conf

9. Kemudian tambahkan lokasi dimana file crs berada

IncludeOptional /usr/share/modsecurity-crs/owasp-modsecurity-crs/crs-setup.conf

IncludeOptional /usr/share/modsecurity-crs/owasp-modsecurity-crs/rules/*.conf

10. Setelah itu kita reload dan restart apache kita.

#/etc/init.d/apache2 force-reload

#/etc/ini.id/apache2 restart

11. Kemudian kita test apakah Mod_Security sudah berjalan atau belum, kita masuk ke web browser dan kita mencoba serangan XSS dan SQLI
Ex.
XSS attack

192.168.10.2/?q="><script>alert(1)</script>'

SQLI attack

192.168.10.2/?q='1 OR 1=1" union select 

12. Kemudian kita cek log yang kita lakukan dengan perintah

#cat /var/log/apache2/modsec_audit.log

apabila berhasil maka akan muncul message seperti dibawah ini
XSS

SQLI

Kesimpulan
 Dengan menggunakan mod_security ini kita bisa melihat serangan apa yang dilakukan oleh orang yang tidak bertanggung jawab.


Referensi
https://en.wikipedia.org/wiki/ModSecurity
https://www.digitalocean.com/community/tutorials/how-to-set-up-mod_security-with-apache-on-debian-ubuntu
https://github.com/SpiderLabs/owasp-modsecurity-crs/blob/v3.0/master/INSTALL
http://www.noraa.io/2017/04/how-to-set-up-owasp-modsecurity-crs3.html

Tweet

Postingan terkait:

Ditulis riann — Tuesday, 11 April 2017 — Add Comment — Web Server