Outils personnels

Apache mod security, mod evasive : limitation du traffic, protection anti-DDOS : Différence entre versions

De wikiGite
Ligne 1 : Ligne 1 :
Mod_evasive est un module Apache pour contrer les attaques DOS. Celui-ci est par exemple capable de détecter lorsqu'un utilisateur demande un trop grand nombre de pages sur un site web, sur un délai de temps très court. Voici comment l'installer et le configurer pour une utilisation basique.
+
Mod_security est un "web application firewall" (WAF) et un IDS/IPS pour les applications web. Il surveille le traffic HTTP en temps réel et protège les applications web des attabques "brute force".
  
 +
Mod_evasive est un module Apache pour contrer les attaques DoS (Denial of Service). Il est par exemple capable de détecter lorsqu'un utilisateur demande un trop grand nombre de pages sur un site web, sur un délai de temps très court.
  
 
= Installation =
 
= Installation =
 
Sur CentOS/BlueOnyx :
 
Sur CentOS/BlueOnyx :
 
Déclarer le dépôt EPEL ([[Dépôts_complémentaires]]), puis
 
Déclarer le dépôt EPEL ([[Dépôts_complémentaires]]), puis
  yum install --enablerepo=epel mod_evasive
+
  yum install --enablerepo=epel mod_evasive mod_security
  
Sur Debian :
+
= Configuration basique =
sudo apt-get install libapache2-mod-evasive
 
  
= Configuration basique =
+
La configuration mod_security se trouve dans /etc/httpd/conf.d/mod_security.conf. A priori, rien à changer au début, à voir à l'usage.
  
 
Toute la configuration de Mod_evasive se trouve dans le fichier /etc/httpd/conf.d/mod_evasive.conf (ou /etc/apache2/conf.d/mod-evasive pour une distribution à base de debian). Exemple de configuration :
 
Toute la configuration de Mod_evasive se trouve dans le fichier /etc/httpd/conf.d/mod_evasive.conf (ou /etc/apache2/conf.d/mod-evasive pour une distribution à base de debian). Exemple de configuration :
Ligne 18 : Ligne 18 :
 
   DOSPageCount 2
 
   DOSPageCount 2
 
   DOSPageInterval 1
 
   DOSPageInterval 1
   DOSSiteCount 150
+
   '''DOSSiteCount 150'''
 
   DOSSiteInterval 1
 
   DOSSiteInterval 1
 
   # Periode en seconde pendant laquelle on bloque le client
 
   # Periode en seconde pendant laquelle on bloque le client
 
   DOSBlockingPeriod 600
 
   DOSBlockingPeriod 600
   # Dossier contenant les IP blaclistes
+
   # Et par exemple :
  DOSLogDir "/var/lock/mod_evasive"
 
 
   DOSWhitelist 66.249.65.*
 
   DOSWhitelist 66.249.65.*
 
   DOSWhitelist 66.249.66.*
 
   DOSWhitelist 66.249.66.*
 
   DOSWhitelist 66.249.71.*
 
   DOSWhitelist 66.249.71.*
 
  </IfModule>
 
  </IfModule>
On met ensuite en place le dossier qui va stocker les adresses IP blacklistées :
+
 
mkdir -p /var/lock/mod_evasive
+
On relance le serveur Apache pour prendre en compte les modifications :
chown -R apache:apache /var/lock/mod_evasive
 
Et on relance le serveur Apache pour prendre en compte les modifications :
 
 
  /etc/init.d/httpd restart
 
  /etc/init.d/httpd restart
Ou pour Debian :
 
/etc/init.d/apache2 restart
 
  
 
= TIPS =
 
= TIPS =
 
== Tests ==
 
== Tests ==
Pour tester le module, on peut mettre des valeurs assez faibles et regarder ce qui se passe. Normalement, toutes les images des sites visités ne s'afficheront pas et le dossier /var/lock/mod_evasive devrait se remplir.
+
Pour tester le module, on peut mettre des valeurs assez faibles et regarder ce qui se passe. Normalement, toutes les images des sites visités ne s'afficheront pas et le dossier /tmp devrait se remplir d'IP blacklistées.
  
 
== Paramètres ==
 
== Paramètres ==
* DOSHashTableSize : Taille de la table hash, plus grande est la valeur, plus de mémoire sera necessaire pour parcourir la table, plus la valeur sera petite, plus le parcourt de la table sera rapide. Laissez la valeur par défaut.
+
*DOSHashTableSize : Taille de la table hash, plus grande est la valeur, plus de mémoire sera necessaire pour parcourir la table, plus la valeur sera petite, plus le parcourt de la table sera rapide. Laissez la valeur par défaut.
 
*DOSPageCount Nombre de requête pour une même page dans l'intervale DOSPageInvernal, au delà, l'IP est bloquée.
 
*DOSPageCount Nombre de requête pour une même page dans l'intervale DOSPageInvernal, au delà, l'IP est bloquée.
 
*DOSSiteCount Pareil qu'au dessus mais pour un site au lieu d'une page.
 
*DOSSiteCount Pareil qu'au dessus mais pour un site au lieu d'une page.
Ligne 50 : Ligne 45 :
 
*DOSSystemCommand Permet d'exécuter une commande, ici on peut lancer un script iptables<br/>
 
*DOSSystemCommand Permet d'exécuter une commande, ici on peut lancer un script iptables<br/>
 
(exemple : DOSSystemCommand "sudo iptables -A INPUT -s %s -j DROP")
 
(exemple : DOSSystemCommand "sudo iptables -A INPUT -s %s -j DROP")
 
== Ménage ==
 
Pour finir, on peut mettre en place la crontab suivante pour puger le dossier de blacklist de temps en temps :
 
# Menage mod_evasive
 
00 5 * * * find /var/lock/mod_evasive -mtime +1 -type f -exec rm -f '{}' \;
 

Version du 7 août 2013 à 13:03

Mod_security est un "web application firewall" (WAF) et un IDS/IPS pour les applications web. Il surveille le traffic HTTP en temps réel et protège les applications web des attabques "brute force".

Mod_evasive est un module Apache pour contrer les attaques DoS (Denial of Service). Il est par exemple capable de détecter lorsqu'un utilisateur demande un trop grand nombre de pages sur un site web, sur un délai de temps très court.

Installation

Sur CentOS/BlueOnyx : Déclarer le dépôt EPEL (Dépôts_complémentaires), puis 

yum install --enablerepo=epel mod_evasive mod_security

Configuration basique

La configuration mod_security se trouve dans /etc/httpd/conf.d/mod_security.conf. A priori, rien à changer au début, à voir à l'usage.

Toute la configuration de Mod_evasive se trouve dans le fichier /etc/httpd/conf.d/mod_evasive.conf (ou /etc/apache2/conf.d/mod-evasive pour une distribution à base de debian). Exemple de configuration : 

<IfModule mod_evasive20.c>
  DOSHashTableSize 3097
  # Pas plus de 2 pages par seconde, 150 requêtes (images, css, ...) par site
  DOSPageCount 2
  DOSPageInterval 1
  DOSSiteCount 150
  DOSSiteInterval 1
  # Periode en seconde pendant laquelle on bloque le client
  DOSBlockingPeriod 600
  # Et par exemple :
  DOSWhitelist 66.249.65.*
  DOSWhitelist 66.249.66.*
  DOSWhitelist 66.249.71.*
</IfModule>

On relance le serveur Apache pour prendre en compte les modifications : 

/etc/init.d/httpd restart

TIPS

Tests

Pour tester le module, on peut mettre des valeurs assez faibles et regarder ce qui se passe. Normalement, toutes les images des sites visités ne s'afficheront pas et le dossier /tmp devrait se remplir d'IP blacklistées.

Paramètres

  • DOSHashTableSize : Taille de la table hash, plus grande est la valeur, plus de mémoire sera necessaire pour parcourir la table, plus la valeur sera petite, plus le parcourt de la table sera rapide. Laissez la valeur par défaut.
  • DOSPageCount Nombre de requête pour une même page dans l'intervale DOSPageInvernal, au delà, l'IP est bloquée.
  • DOSSiteCount Pareil qu'au dessus mais pour un site au lieu d'une page.
  • DOSPageInterval Intervalle du nombre de pages en secondes.
  • DOSSiteInterval Intervalle du nombre de sites par secondes.
  • DOSBlockingPeriod Période en seconde pendant laquelle l'IP sera bloquée (vous recevrez un forbidden).
  • DOSWhitelist Permet de mettre des IP en liste blanche, dans notre exemple ci-dessus, ce sont des IP du bot Google.
  • DOSSystemCommand Permet d'exécuter une commande, ici on peut lancer un script iptables

(exemple : DOSSystemCommand "sudo iptables -A INPUT -s %s -j DROP")

Récupérée de « https://wiki.kogite.fr/index.php?title=Apache_mod_security,_mod_evasive_:_limitation_du_traffic,_protection_anti-DDOS&oldid=5709 »