[9월 15일] Mod_Security 구축하기(WAF)

WAF (Web Application Firewall)

phase: 1 → request, header
phase: 2 → phase1 + body
phase: 3 → phase2 + respond header
phase: 4 → phase3 + respond body

 

 

# ModSecurity 모듈과 Apache 개발 도구를 설치
[root@localhost ~] dnf install mod_security httpd-devel

# 설치된 ModSecurity 모듈이 Apache 웹 서버에 잘 로드되었는지 확인
[root@localhost ~] httpd -M | grep security

# mod_security.conf의 path 확인
[root@localhost ~] ls /etc/httpd/conf.d/
README  autoindex.conf  mod_security.conf  userdir.conf  welcome.conf

# modsecurity.d의 path 확인
[root@localhost ~] ls /etc/httpd
conf  conf.d  conf.modules.d  logs  modsecurity.d  modules  run  state

# httpd.conf 내용 확인
[root@localhost ~] cat /etc/httpd/conf/httpd.conf

# mod_security.conf 내용 확인
[root@localhost ~] cat /etc/httpd/conf.d/mod_security.conf

# modsecurity.d 하위 디렉토리 확인
[root@localhost ~] ls /etc/httpd/modsecurity.d/
activated_rules  local_rules

# local_rules 하위 디렉토리 확인
[root@localhost ~] ls /etc/httpd/modsecurity.d/local_rules
modsecurity_localrules.conf

# ruleset-01.conf 룰 파일 생성 및 작성
[root@localhost ~] vi /etc/httpd/modsecurity.d/activated_rules/ruleset-01.conf
# SecRule REMOTE_ADDR "@IPMatch 192.168.16.63" "phase:1,log,deny,id:1001,msg:'denied ip address'"

[root@localhost ~]# systemctl restart httpd

# 로그파일에서 에러내용 확인
[root@localhost ~] cat /var/log/httpd/error_log
[root@localhost ~] cat /var/log/httpd/modsec_audit.log