Regel-Management

Die Qualität von Mod-Security steht und fällt mit den Regeln. Bis man einen guten, reibungslos funktionierenden Satz vorliegen hat, ziehen so manche Nächte ins Land. Einen Startpunkt bietet die mitgelieferte Datei »modsecurity.conf-minimal« . Sie enthält eine Minimalkonfiguration, die sich sehr leicht an die eigenen Bedürfnisse anpassen lässt.

Für viele Standardsituationen und -Umgebungen finden sich zudem im Internet bereits vorgefertigte Regelwerke [4]. Auch Breach Security bietet mit dem Core-Rules-Paket eine solche Sammlung an. Wie viele ihrer Kollegen ist sie modular aufgebaut, wobei jede enthaltene Konfigurationsdatei ein bestimmtes (Einbruchs-)Szenario abdeckt. Per »Include« -Anweisung lassen sie sich so schnell zu- oder abschalten. Eine Aufspaltung in mehrere kleine Einheiten empfiehlt sich auch für eigene Regelwerke. Damit behält man nicht nur die Übersicht, sondern erhält als Nebeneffekt eine bessere Wartbarkeit.

Egal ob man zu Maggi-Fix-Regeln aus der Tüte greift oder eigene entwickelt, an einem ausführlichen Test auf dem Trockenen kommt man nicht herum. Bei Testläufen auf einem produktiven System schaltet man »SecRuleEngine« auf »DetectionOnly« . Mod-Security wertet dann die Regeln zwar aus, blockt aber keine Inhalte. Eine zu restriktive Regel sperrt dann niemanden unnötig aus. Die syntaktische Korrektheit der Konfigurationsdateien prüft vor einem Neustart des Webservers das Kommando »apachectl configtest« .

Fazit

Die Filterung der Anfragen durch Mod-Security verschlingt zusätzliche Rechenzeit, gerade bei größeren Regelsätzen. Auf der anderen Seite blockt das Modul schon viele Anfragen vor der weiteren Verarbeitung durch den Webserver, so dass sich der Aufwand wieder relativiert. Die zusätzlich gewonnene Sicherheit sollte der Zeitverlust allemal Wert sein. Setzt man die Restriktionen stark genug, lassen sich sogar noch unbekannte Angriffsmuster abwehren.

Allerdings ist auch Mod-Security kein Allheilmittel: Es arbeitet immer nur so gut, wie es seine Regelsätze anleiten. Auch der Türsteher lässt mitunter Randalierer ins Lokal. Immerhin kann er anhand seines Protokolls feststellen, warum dieses Malheur geschah und es somit für die Zukunft abstellen – zumindest hoffentlich.