Willkommen Gast. Bitte einloggen oder registrieren. Haben Sie Ihre Aktivierungs E-Mail übersehen?
19.01.2021, 06:24:09

.
Einloggen mit Benutzername, Passwort und Sitzungslänge

Mitglieder
Statistiken
  • Beiträge insgesamt: 709123
  • Themen insgesamt: 57334
  • Heute online: 496
  • Am meisten online: 2287
  • (22.01.2020, 19:20:24)
Benutzer Online
Mitglieder: 5
Gäste: 329
Gesamt: 334

Autor Thema:  [Ubuntu Server 14.04] mod_security whitelisting  (Gelesen 655 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

[Ubuntu Server 14.04] mod_security whitelisting
« am: 27.03.2016, 22:32:32 »
Hallo liebe Leute,

ich brauche mal Hilfe beim Whitelisting einer Anwendung in mod_security. Zunächst die Daten:


Ich habe die Tage meinen Root-Server neu aufgesetzt und dabei auch diverse neue Security-Konzepte umgesetzt. Der Server dient mir als Webserver (Apache; multiple Domains/vHosts) und als Mailserver (Zimbra).

Zimbra bringt normalerweise seinen eigenen Wesbserver mit, um sein Webinterface erreichbar zu machen. Da die Ports 80 und 443 aber schon durch den Apachen belegt sind, läuft das Weblogin des Mailservers auf einen anderen Port und er hat eine eigene Subdomain bekommen (vhost). Das ganze wird dann im Apachen via mod_proxy durch geschliffen. Klappt eigentlich hervorragend.

Leider funkt mir nun mod_security dazwischen, welches wegen diverser Meldungen den Zugang zum Zimbra-Webinterface sperrt.

Bisher die einzige Lösung war folgendes mit in den vhost einzutragen:
<IfModule mod_security2.c>
                SecRuleEngine Off
</IfModule>
Das stellt mich allerdings unzufrieden, weil es auch nicht Sinn und Zweck von mod_security ist, es komplett aus zu hebeln. Somit würde ich das ganze lieber über whitelisting der entsprechenden ID's lösen. Da mod_security noch neu ist für mich, brauche ich mal bitte eure Hilfe.

Meine vHost:
<IfModule mod_ssl.c>
<VirtualHost *:443>
        ServerName mail.example.com
        ServerAlias mail.example.com

        ServerAdmin admin@example.com

        ErrorLog ${APACHE_LOG_DIR}/zimbra-error.log
        CustomLog ${APACHE_LOG_DIR}/zimbra-access.log combined

        SSLProxyEngine ON
        SSLEngine On

        ProxyPass / http://localhost:55080/
        ProxyPassReverse / http://localhost:55080/

        SSLCertificateFile /etc/letsencrypt/live/mail.example.com/cert.pem
        SSLCertificateKeyFile /etc/letsencrypt/live/mail.example.com/privkey.pem
        Include /etc/letsencrypt/options-ssl-apache.conf
        SSLCertificateChainFile /etc/letsencrypt/live/mail.example.com/chain.pem

        <IfModule mod_security2.c>
                SecRuleEngine Off
        </IfModule>
</VirtualHost>
</IfModule>


Hier der Auszug aus /var/log/apache2/modsec_audit.log, wenn ich mit aktivierten Regeln auf das Webinterface zugreifen möchte:
--5a2d607e-A--
[27/Mar/2016:21:52:07 +0200] Vvg555BMOoQAAH0qfgwAAAAA 80.130.113.210 41566 144.76.58.132 443
--5a2d607e-B--
GET / HTTP/1.1
Host: mail.example.com
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.108 Safari/537.36
Accept-Encoding: gzip, deflate, sdch
Accept-Language: de-DE,de;q=0.8,en-US;q=0.6,en;q=0.4,en-GB;q=0.2
Cookie: ZM_TEST=true; JSESSIONID=13uwd6hrzqbub1mk7syhntzjg5

--5a2d607e-F--
HTTP/1.1 403 Forbidden
X-Frame-Options: SAMEORIGIN
Content-Length: 202
Connection: close
Content-Type: text/html; charset=iso-8859-1

--5a2d607e-E--
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>403 Forbidden</title>
</head><body>
<h1>Forbidden</h1>
<p>You don't have permission to access /
on this server.</p>
</body></html>

--5a2d607e-H--
Message: Access denied with code 403 (phase 1). Operator EQ matched 1 at SESSION:IS_NEW. [file "/usr/share/modsecurity-crs/optional_rules/modsecurity_crs_16_session_hijacking.conf"] [line "24"] [id "981054"] [msg "Invalid SessionID Submitted."]
Action: Intercepted (phase 1)
Stopwatch: 1459108327444980 960 (- - -)
Stopwatch2: 1459108327444980 960; combined=543, p1=393, p2=0, p3=0, p4=0, p5=149, sr=81, sw=1, l=0, gc=0
Response-Body-Transformed: Dechunked
Producer: ModSecurity for Apache/2.7.7 (http://www.modsecurity.org/); OWASP_CRS/2.2.8.
Server: Apache
WebApp-Info: "default" "13uwd6hrzqbub1mk7syhntzjg5" "-"
Engine-Mode: "ENABLED"

--5a2d607e-Z--

--5a2d607e-A--
[27/Mar/2016:21:52:07 +0200] Vvg555BMOoQAAH1rpccAAAAC 80.130.113.210 41568 144.76.58.132 443
--5a2d607e-B--
GET /favicon.ico HTTP/1.1
Host: mail.example.com
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.108 Safari/537.36
Accept: */*
Referer: https://example.com/
Accept-Encoding: gzip, deflate, sdch
Accept-Language: de-DE,de;q=0.8,en-US;q=0.6,en;q=0.4,en-GB;q=0.2
Cookie: ZM_TEST=true; JSESSIONID=13uwd6hrzqbub1mk7syhntzjg5

--5a2d607e-F--
HTTP/1.1 403 Forbidden
X-Frame-Options: SAMEORIGIN
Content-Length: 213
Connection: close
Content-Type: text/html; charset=iso-8859-1

--5a2d607e-E--
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>403 Forbidden</title>
</head><body>
<h1>Forbidden</h1>
<p>You don't have permission to access /favicon.ico
on this server.</p>
</body></html>

--5a2d607e-H--
Message: Access denied with code 403 (phase 1). Operator EQ matched 1 at SESSION:IS_NEW. [file "/usr/share/modsecurity-crs/optional_rules/modsecurity_crs_16_session_hijacking.conf"] [line "24"] [id "981054"] [msg "Invalid SessionID Submitted."]
Action: Intercepted (phase 1)
Stopwatch: 1459108327554031 772 (- - -)
Stopwatch2: 1459108327554031 772; combined=415, p1=298, p2=0, p3=0, p4=0, p5=116, sr=64, sw=1, l=0, gc=0
Response-Body-Transformed: Dechunked
Producer: ModSecurity for Apache/2.7.7 (http://www.modsecurity.org/); OWASP_CRS/2.2.8.
Server: Apache
WebApp-Info: "default" "13uwd6hrzqbub1mk7syhntzjg5" "-"
Engine-Mode: "ENABLED"

--5a2d607e-Z--

Ich wollte nun eine Whitelist Datei unter /etc/modsecurity/whitelist.conf anlegen, um die entsprechenden ID's zu erlauben. Leider bin ich aus den Anleitungen die ich diesbezüglich gefunden ahbe nicht schlau geworden, weil das bei mir doch ein wenig anders aussieht als in deren Beispielen.

Wie müsste ich das ganze nun anlegen? Danke für eure Hilfe und liebe Grüße!


Re: [Ubuntu Server 14.04] mod_security whitelisting
« Antwort #2 am: 28.03.2016, 09:20:19 »
Doppelposting: Pro/Kontra ... ::)

Man sollte wenigsten selber einen Verweis dorthin geben, vielleicht ist schon eine Lösung da ....  ;)

Spart weitere, vor allen überflüssige Postings die dann zur Unübersichtlichkeit neigen ... ;)

Re: [Ubuntu Server 14.04] mod_security whitelisting
« Antwort #3 am: 28.03.2016, 17:09:43 »
Danke Nuffi! Ihr habt natürlich recht! War schon spät und hab nicht direkt drüber nach gedacht. Entschuldigung!  ::)