네트워크 보안 솔루션 ModSecurity

ModSecurity = 웹 방화벽

 

웹 방화벽: 웹 애플리케이션 보안에 특화되어 개발된 솔루션 -> 웹 공격 탐지 및 차단(application layer)

 

1세대 웹 방화벽: 블랙리스트/화이트리스트 방식

2세대 웹 방화벽: 보호 대상을 일정 기간 모니터링을 통해 분석해 화이트리스트 생성 자동 처리

3세대 웹 방화벽: 지능형 웹 방화벽 -> 공격 유형별로 블랙리스트/화이트리스트 탐지 및 웹 트래픽 콘텐츠 분석 등의 기법들을 논리적으로 결합해 공격 탐지

=> 웹 애플리케이션 취약점을 지속적으로 점검 및 보완할 수 있는 특화된 웹 방화벽 등장

 

ModSecurity

= 웹 서버에서 동작하는 오픈 소스 웹 애플리케이션 방화벽(WAF, Web Application Firewall)
   웹 애플리케이션에 대해 실시간 모니터링, 로깅, 접근제어 서비스 지원

- 클라이언트의 요청을 분석해 필터링, 탐지 룰에 정규표현식 적용, 요청/응답에 대한 트래픽 분석해 탐지

 

- ModSecurity 기능

1. 환경 설정 파일: ModSecurity 아파치 모듈에 대한 메인 설정 파일

2. 로그 파일: ModSecurity에 적용한 룰 패턴에 매칭되는 트래픽 탐지 시 생성되는 로그 기록

3. 룰 적용: ModSecurity가 동작할 때의 탐지 환경 구성 가능, 이곳에 사용자가 탐지 룰 패턴 작성

 

- ModSecurity 설정

1. SecRuleEngine: ModSecurity 기능 활성화

2. SecAuditEngine: 감사 로깅 설정

3. SecAuditLogParts: 로그 파일에 기록할 항목 정의

 

- ModSecurity 룰 생성 방식

1. 룰 맨 처음은 'SecRule'로 시작한다.

2. variables(변수) = 검사할 대상 지정, operator(연산자) = 정규 표현식 이용해 공격 탐지 위한 룰 패턴 작성하는 부분

3. actions(행위) = allow, deny, redirect, auditlog, chain, etc.