Van ModSecurity tűzfalas védelem a cPanel tárhelyen?

AI összegzés

Ez a Versanus Tudásbázis bejegyzés arról szól, hogy a cPanel tárhelyen elérhető a ModSecurity webalkalmazási tűzfal, amely a Security szekcióban kapcsolható be és ki. A ModSecurity alapértelmezetten minden domainen aktív, és a webes alkalmazásokat, API-kat, valamint a mobilalkalmazások hátterét is védi a gyakori támadásokkal szemben. Többek között SQL-injektálás, XSS, parancsinjektálás, HTTP-protokoll sértések és robotprogramok ellen nyújt védelmet, ráadásul tárhelyszinten működik, így az összes mögötte futó weboldalt óvja. Ha egy hiba miatt szükséges, domainenként kikapcsolható tesztelés céljából, de tartós probléma esetén érdemes az ügyfélszolgálathoz fordulni egyedi szabály beállításáért. A bejegyzés végén egy WordPress brute force védelemhez használható mintakód is szerepel, amely a wp-login.php túl sok sikertelen próbálkozását ideiglenesen blokkolja.

A cPanel a tárhelyhez különböző biztonsági megoldásokat és beállítási lehetőségeket biztosít, amit a cPanelre belépve a Security (biztonság) szekción belül tesz elérhetővé.

Itt érhető el a ModSecurity (WAF) ki és bekapcsolása is. A Web Application Firewall szolgáltatás védelmet biztosít a webes alkalmazásokat, API-kat és a mobilapplikációk backend oldalát érintő számos különböző típusú támadási forma ellen.

ModSecurity (WAF) kzelésének bemutatása videóval

ModSecurity (WAF) kezelése lépésről-lépésre

Belépés a cPanel fiókjába

A belépés egyik módja, hogy előbb a vCRM rendszerünkbe lép be, majd onnan lép át a cPanel fiókjába.
A leíráshoz kattintson ide.

Nyissa ki a nyitólapon a Security (biztonság) szekciót

A cPanel felületére történő belépés után maradjon a nyitólapon és keresse meg a Security (biztonság) szekciót, aminek két állapota lehet. Ha zárva van nyissa ki a jobb oldali lefelé mutató nyíl segítségével:

Kattintson a ModSecurity menüpontra

Miután kinyitotta vagy megtalálta a nyitott Security szekciót, azon belül a ModSecurity menüpontra..

A webalkalmazások, honlapok ki vannak téve rosszindulatú támadásoknak, amelyek az ismert biztonsági réseket használják ki. Gyakoriak az SQL-injektálásos és a webhelyek közötti, parancsprogramot alkalmazó támadások. Az ilyen támadások megelőzése, illetve megakadályozása az alkalmazás kódjában is fontos, de kihívást jelenthet. Itt nyújthat segítséget egy webalkalmazási tűzfal, angolul web application firewall, röviden WAF. Ilyen megoldás a cPanelbe épített ModSecurity.

ModSecurity védelem kezelése

Be és kikapcsolás

A WAF egy igen fontos védelmi réteg, ezért alapértelmezetten minden domain címre be van kapcsolva. A WAF igen összetett, sok szabályt kezelő rendszer, ezért mélyreható belenyúlási lehetőséget nem biztosít a cPanel, ami jól is van így.

Azonban ha szükséges valamilyen hiba folytán, amit feltehetőleg a ModSecurity okoz, akkor tesztelés céljából kikapcsolhatja. Ha megvan a hiba oka, keresse Ügyfélszolgálatunkat, hátha tudunk segíteni egyedi szabály beállításával.

Ahogy a kép is mutatja, kikapcsolhatja tömegesen, amit nem ajánlunk, vagy domain címenként:

ModSecurityről röviden

A ModSecurityt eredetileg az Apache HTTP kiszolgáló moduljaként tervezték. A nyílt forráskódú elérhetősége miatt a világ egyik legnépszerűbb webes alkalmazás tűzfala lett, és mivel önálló motorként fut, a webszerverrel API-n keresztül kommunikál, így ma már könnyebben implementálható, így használni lehet Microsoft féle IIS-en és Nginx-en is.  

A ModSecurity tehát egy tűzfal megoldás, ami kontrollálja a bemenetet, a kimenetet és/vagy a hozzáférést egy alkalmazáshoz vagy szolgáltatáshoz, például egy cPanel webtárhelyre telepített WordPresshez. A fenyegetések észlelése érdekében a ModSecurity beágyazódik a webszerver elé, azaz minden forgalom átmegy rajta mielőtt a weboldal betöltődne.

Előnye, hogy nem kell a forráskódhoz nyúlni a védelem használatáért, a működése tárhely szintű, így megvéd minden mögé telepített weboldalt.

A ModSecurity többek között a következő gyakori internetes biztonsági rések ellen nyújt védelmet:

      • SQL-injektálás elleni védelem
      • Webhelyek közötti, parancsprogramot alkalmazó támadások elleni védelem
      • Gyakori webes támadások (például parancsinjektálás, HTTP-kéréscsempészet, HTTP-válaszfelosztás éstávolifájl-beszúrásos támadás) elleni védelem
      • HTTP protokoll megsértése elleni védelem
      • Robotprogramok, webbejárók és képolvasók elleni védelem
      • Alkalmazások (pl. Apache, IIS stb.) gyakori konfigurációs hibáinak észlelése
      • Null byte támadások megelőzése
      • Szerver azonosító maszkolása
      • stb.

Mintakód wordPress brute force védelemhez

A WordPress jelenleg a világ egyik legismertebb, legelterjedtebb rendszere, amivel szinte bármilyen webes jelenlét kiépíthető. Éppen ezért nagy figyelem is van rajta, valamint a telepíthető pluginok sebezhetőségein. Alapértelmezett esetben a WordPress admin oldalának és a beléptetésnek nincs sok védelme, ezért érdemes arra ráerősíteni.

Ha az alábbi kódot beírja a .htaccess fájlba, majd feltölti a WordPress gyökér mappájába, akkor kitiltja a kéretlenül belépni próbálkozót 5 percre, abban az esetben, ha 3 perc alatt 10-nél többször próbál belépni a WordPress wp-login.php url-en keresztül:

SecAction phase:1,nolog,pass,initcol:ip=%{REMOTE_ADDR},initcol:user=%{REMOTE_ADDR}

# React if block flag has been set.
SecRule user:bf_block "@gt 0" "deny,status:401,log,msg:\'ip address blocked for 5 minutes, more than 10 login attempts in 3 minutes.\'"
# Setup Tracking.On a successful login, a 302 redirect is performed, a 200 indicates login failed.
SecRule RESPONSE_STATUS "^302" "phase:5,t:none,nolog,pass,setvar:ip.bf_counter=0"
SecRule RESPONSE_STATUS "^200" "phase:5,chain,t:none,nolog,pass,setvar:ip.bf_counter=+1,deprecatevar:ip.bf_counter=1/180"
SecRule ip:bf_counter "@gt 10" "t:none,setvar:user.bf_block=1,expirevar:user.bf_block=300,setvar:ip.bf_counter=0"

Akkor érdemes használni, ha a cPanel tárhelyen be van kapcsolva a ModSecurity és nem használ az oldal egyéb eljárást a wp-login.php védelmére.