Thomas.will: Die Seite wurde neu angelegt: „= NGINX mit ModSecurity und Whitelist-Policy = Diese Anleitung zeigt den Aufbau einer Web Application Firewall mit NGINX und ModSecurity v3. Zuerst wird ModSe…“

2025-08-28T18:44:25Z

Die Seite wurde neu angelegt: „= NGINX mit ModSecurity und Whitelist-Policy = Diese Anleitung zeigt den Aufbau einer Web Application Firewall mit NGINX und ModSecurity v3. Zuerst wird ModSe…“

Neue Seite

= NGINX mit ModSecurity und Whitelist-Policy =

Diese Anleitung zeigt den Aufbau einer Web Application Firewall mit NGINX und ModSecurity v3. Zuerst wird ModSecurity mit OWASP Core Rule Set (CRS) als Reverse Proxy aktiviert, anschließend wird eine Whitelist-Policy ergänzt, die nur definierte Methoden und Pfade zulässt. Alles andere wird standardmäßig blockiert.

== ModSecurity mit OWASP CRS aktivieren ==
* Pakete installieren
sudo apt update
sudo apt install nginx libmodsecurity3 libnginx-mod-http-modsecurity git apache2-utils -y

* Verzeichnis für Konfiguration anlegen
sudo mkdir -p /etc/nginx/modsecurity

* OWASP CRS herunterladen
cd /etc/nginx/modsecurity
sudo git clone https://github.com/coreruleset/coreruleset.git
sudo cp coreruleset/crs-setup.conf.example coreruleset/crs-setup.conf

* Basis-Konfiguration /etc/nginx/modsecurity/modsecurity.conf
<pre>
SecRuleEngine On
SecAuditEngine RelevantOnly
SecAuditLog /var/log/nginx/modsec_audit.log

# OWASP CRS laden
Include /etc/nginx/modsecurity/coreruleset/crs-setup.conf
Include /etc/nginx/modsecurity/coreruleset/rules/*.conf
</pre>

* NGINX-Snippet /etc/nginx/modsecurity/main.conf
<pre>
modsecurity on;
modsecurity_rules_file /etc/nginx/modsecurity/modsecurity.conf;
</pre>

* VHost anpassen /etc/nginx/sites-available/default
<pre>
server {
listen 80;
server_name localhost;
return 301 https://$host$request_uri;
}

server {
listen 443 ssl;
server_name localhost;

ssl_certificate /etc/nginx/fullchain.pem;
ssl_certificate_key /etc/nginx/privkey.pem;

include /etc/nginx/modsecurity/main.conf;

location / {
proxy_pass http://127.0.0.1:8080;
}
}
</pre>

Damit läuft ModSecurity mit aktiviertem OWASP Core Rule Set (CRS). Angriffe wie SQL Injection oder XSS werden erkannt und blockiert.

== Whitelist-Policy ergänzen ==
Zusätzlich kann das Verhalten durch eine Default-Deny-Policy verschärft werden. Dabei sind nur explizit erlaubte Methoden und Pfade zulässig.

* Datei mit erlaubten POST-URIs /etc/nginx/modsecurity/allowed_post_uris.txt
<pre>
/safe/upload
/safe/form
/safe/login
</pre>

* Regeln /etc/nginx/modsecurity/custom-rules/default-deny.conf
<pre>
# Erlaube POST nur für explizit freigegebene URIs
SecRule REQUEST_METHOD "@streq POST" "chain,id:2000,phase:1,deny,status:403,msg:'POST not allowed on this URI'"
SecRule REQUEST_URI "!@pmFromFile /etc/nginx/modsecurity/allowed_post_uris.txt"

# Erlaube GET nur unterhalb von /safe/
SecRule REQUEST_METHOD "@streq GET" "chain,id:2001,phase:1,allow,log,skipAfter:ALLOWLIST_DONE"
SecRule REQUEST_URI "@beginsWith /safe/"

# Marker
SecMarker ALLOWLIST_DONE

# Catch-All: alles andere blockieren
SecRule REQUEST_URI ".*" "id:2999,phase:1,deny,status:403,msg:'Blocked by default policy',skipAfter:ALLOWLIST_DONE"
</pre>

* Einbindung in /etc/nginx/modsecurity/modsecurity.conf
<pre>
Include /etc/nginx/modsecurity/custom-rules/default-deny.conf
</pre>

== Ergebnis ==
* ModSecurity + CRS schützt vor typischen Angriffen.
* Die Whitelist-Policy setzt zusätzlich eine Default-Deny-Strategie um.
* Nur definierte Methoden und Pfade sind erlaubt, alle anderen Anfragen werden blockiert.

[[KATEGORIE:WAF]]

Nginx mit Modsecurity mit Whitelists - Versionsgeschichte

Thomas.will: Die Seite wurde neu angelegt: „= NGINX mit ModSecurity und Whitelist-Policy = Diese Anleitung zeigt den Aufbau einer Web Application Firewall mit NGINX und ModSecurity v3. Zuerst wird ModSe…“