Nginx mit Modsecurity mit Whitelists
Zur Navigation springen
Zur Suche springen
NGINX mit ModSecurity und Whitelist-Policy
Diese Anleitung zeigt den Aufbau einer Web Application Firewall mit NGINX und ModSecurity v3. Zuerst wird ModSecurity mit OWASP Core Rule Set (CRS) als Reverse Proxy aktiviert, anschließend wird eine Whitelist-Policy ergänzt, die nur definierte Methoden und Pfade zulässt. Alles andere wird standardmäßig blockiert.
ModSecurity mit OWASP CRS aktivieren
- Pakete installieren
sudo apt update sudo apt install nginx libmodsecurity3 libnginx-mod-http-modsecurity git apache2-utils -y
- Verzeichnis für Konfiguration anlegen
sudo mkdir -p /etc/nginx/modsecurity
- OWASP CRS herunterladen
cd /etc/nginx/modsecurity sudo git clone https://github.com/coreruleset/coreruleset.git sudo cp coreruleset/crs-setup.conf.example coreruleset/crs-setup.conf
- Basis-Konfiguration /etc/nginx/modsecurity/modsecurity.conf
SecRuleEngine On SecAuditEngine RelevantOnly SecAuditLog /var/log/nginx/modsec_audit.log # OWASP CRS laden Include /etc/nginx/modsecurity/coreruleset/crs-setup.conf Include /etc/nginx/modsecurity/coreruleset/rules/*.conf
- NGINX-Snippet /etc/nginx/modsecurity/main.conf
modsecurity on; modsecurity_rules_file /etc/nginx/modsecurity/modsecurity.conf;
- VHost anpassen /etc/nginx/sites-available/default
server {
listen 80;
server_name localhost;
return 301 https://$host$request_uri;
}
server {
listen 443 ssl;
server_name localhost;
ssl_certificate /etc/nginx/fullchain.pem;
ssl_certificate_key /etc/nginx/privkey.pem;
include /etc/nginx/modsecurity/main.conf;
location / {
proxy_pass http://127.0.0.1:8080;
}
}
Damit läuft ModSecurity mit aktiviertem OWASP Core Rule Set (CRS). Angriffe wie SQL Injection oder XSS werden erkannt und blockiert.
Whitelist-Policy ergänzen
Zusätzlich kann das Verhalten durch eine Default-Deny-Policy verschärft werden. Dabei sind nur explizit erlaubte Methoden und Pfade zulässig.
- Datei mit erlaubten POST-URIs /etc/nginx/modsecurity/allowed_post_uris.txt
/safe/upload /safe/form /safe/login
- Regeln /etc/nginx/modsecurity/custom-rules/default-deny.conf
# Erlaube POST nur für explizit freigegebene URIs
SecRule REQUEST_METHOD "@streq POST" "chain,id:2000,phase:1,deny,status:403,msg:'POST not allowed on this URI'"
SecRule REQUEST_URI "!@pmFromFile /etc/nginx/modsecurity/allowed_post_uris.txt"
# Erlaube GET nur unterhalb von /safe/
SecRule REQUEST_METHOD "@streq GET" "chain,id:2001,phase:1,allow,log,skipAfter:ALLOWLIST_DONE"
SecRule REQUEST_URI "@beginsWith /safe/"
# Marker
SecMarker ALLOWLIST_DONE
# Catch-All: alles andere blockieren
SecRule REQUEST_URI ".*" "id:2999,phase:1,deny,status:403,msg:'Blocked by default policy',skipAfter:ALLOWLIST_DONE"
- Einbindung in /etc/nginx/modsecurity/modsecurity.conf
Include /etc/nginx/modsecurity/custom-rules/default-deny.conf
Ergebnis
- ModSecurity + CRS schützt vor typischen Angriffen.
- Die Whitelist-Policy setzt zusätzlich eine Default-Deny-Strategie um.
- Nur definierte Methoden und Pfade sind erlaubt, alle anderen Anfragen werden blockiert.