ModSecurity چیست؟ دلایل استفاده از ModSecurity در سرور

امنیت وب‌سایت یکی از مهم‌ترین مسائل برای هر صاحب سایتی است و شرکت‌های میزبانی هم برای امنیت سرور اهمیت زیادی قائل هستند. به همین دلیل همه سرورها فایروال دارند تا ریسک حملات سایبری را به حداقل برسانند؛ اما امنیت سرور یک سیستم چندلایه پیچیده است که باید از ابزارهای مختلفی برای لایه‌های متفاوت استفاده کند.

در این مقاله، یک ابزار مفید و معتبر را معرفی می‌کنیم تا امنیت سایت و بازدیدکنندگانش را بیشتر کنید و خیال خودتان را آسوده کنید.

معرفی مدسکیوریتی

ModSecurity یک فایروال وب اپلیکیشن (WAF) است که سایت‌ها و اپلیکیشن‌ها را در مقابل حملات متداول اینترنتی مانند تزریق کد (cross-site scripting) و (code injection attacks) محافظت می‌کند. اگر سرورتان یک سیستم مدیریت محتوای دینامیک مانند وردپرس اجرا می‌کند و یا اپلیکیشن‌های فروشگاهی مانند مجنتو دارد، این ابزار برای شما بسیار کاربردی است. البته سرور سایتتان حتماً فایروال دارد که بخشی از کرنل سرور است اما مدسکیوریتی نقش فایروال مکمل را بازی می‌کند که امنیت سرور را جامع‌تر ‌کند.

همه فایروال‌ها درخواست‌های شبکه را بررسی می‌کنند و تصمیم می‌گیرند کدام‌یک را قبول کنند و کدام‌یک را رد کنند. فایروال‌ها از طریق قوانینی که ادمین سرور تعیین کرده است این تصمیم‌ها را می‌گیرند؛ مثلاً یک قانون به فایروال می‌گوید که همه ترافیک شبکه در یک پورت خاص را بلاک کند. سرورهای لینوکس، فایروال iptables دارند که یک برنامه کاربردی است که به ادمین سرور اجازه می‌دهد تا ماژول داخلی فایروال یعنی netfilter را کنترل کند. در سیستم‌عامل CentOS، جداول iptables معمولاً توسط FirewallD کنترل می‌شوند که راه کاربر-محوری برای مدیریت قوانین فایروال است.

مشکل اینجاست که iptables در لایه‌های پایینی شبکه کار می‌کند و می‌تواند ترافیک شبکه به یک پورت یا ترافیک یک منبع خاص را بلاک کند اما ترافیک را بابت احتمال حملات سایبری و امنیتی بازرسی نمی‌کند؛ یعنی به‌راحتی می‌تواند ترافیک وارده به یک سرور را قطع کند اما قطعاً این کاری نیست که مدیر یک سایت می‌خواهد. ادمین سایت فقط می‌خواهد ترافیک خطرناکی که سیستم مدیریت محتوا یا فروشگاه آنلاین را هدف قرار داده خنثی کند که متأسفانه iptables این قابلیت تشخیص را ندارد.

ModSecurity برای پر کردن این جای خالی طراحی شده است تا ترافیک وارده را بازرسی کند و ویژگی‌های آن‌ را با حملات متداول به اپلیکیشن‌های وب مقایسه کند و تصمیم بگیرد. این ابزار یک فیلتر در زمان واقعی برای فعالیت‌های خرابکارانه وب است. در ابتدا این ابزار یک ماژول برای سرورهای وب آپاچی بود اما در حال حاضر یک لایبرری کامل شده که می‌تواند با همه سرورهای وب مانند NGINX و Microsoft’s IIS server کار کند.

ویژگی‌های مدسکیوریتی

درست مانند iptables، مدسکیوریتی از مجموعه‌ای از قوانین استفاده می‌کند تا تصمیم بگیرد کدام درخواست را بپذیرد و کدام‌یک را رد کند. این قوانین هم توسط ادمین سرور تعیین می‌شوند اما قوانین از پیش تعیین‌شده رایگان هم وجود دارند که محبوب‌ترین آن‌ها توسط OWASP طراحی شده است. مجموعه قوانین اصلی این برند برای مدسکیوریتی (CRS) به‌صورت مستمر به‌روزرسانی می‌شود و قادر است بازه زیادی از حملات سایبری را بلاک کند که در لیست ۱۰ ضعف امنیتی برتر قرار داده و شامل تزریق دیتابیس (SQL injection)، تزریق کد (cross-site scripting) و (PHP code injection) و حملات بوت (bot attacks) است.

باوجود این قابلیت‌ها، هر سروری که میزبان تعدادی سایت و اپلیکیشن وب است باید استفاده از ModSecurity را در نظر بگیرد. البته معایبی هم وجود دارد که باید آگاه باشید. این ابزار حملات خرابکارانه به اپلیکیشن‌های وب را بلاک می‌کند اما جایگزین به‌روزرسانی کردن مستمر سیستم مدیریت محتوا نیست برای اینکه نمی‌تواند ضعف‌های داخلی هر سیستم را پوشش دهد. این ضعف‌ها فقط توسط طراح سیستم و از طریق به‌روزرسانی رفع می‌شوند. علاوه بر این، احتمال تشخیص اشتباه هم وجود دارد که یعنی ترافیک وب بی‌خطر هم تصادفاً بلاک می‌شود. البته مجموعه قوانین CRS طوری طراحی شده که اشتباهات را به حداقل برساند اما بی‌عیب نیست. درنتیجه کاربران مدسکیوریتی باید همیشه لیست ترافیک بلاک شده را چک کنند تا در صورت لزوم استثناها را به قوانین اضافه کنند.

امنیت ModSecurity

ModSecurity ، می‌تواند در برابر موارد زیر از کاربران محافظت کند:

حفاظت HTTP – کشف نقض پروتکل HTTP و سیاست استفاده تعریف شده

حفاظت تروجان- شناسایی دسترسی به تروجان

حفاظت در مقابل حملات تحت وب متداول – شناسایی حملات رایجی که نسبت به نرم افزار‌های تحت وب انجام می‌شود.

تشخیص خودکار – شناسایی ربات‌ها، خزنده‌ها و دیگر فعالیت‌های مخرب

پنهان کردن خطا – پنهان کردن پیغام‌های خطای ارسال شده توسط سرور

کلام آخر

وب‌سایت شما ملک مجازی‌تان است که دارایی‌هایی دارد و بازدیدکننده‌هایی که به شما اعتماد می‌کنند و اطلاعات مالی و هویتی خود را به اشتراک می‌گذارند. با توجه به افزایش روزافزون حملات سایبری به وب‌سایت‌ها، امنیت سایت مهم‌ترین مسئله است. باید از همه امکانات معتبر موجود استفاده کنید تا حداکثر امنیت را برای محتوای سایت و کاربرانتان فراهم کنید تا اطلاعات خصوصی آن‌ها به سرقت نرود و سیستمشان به انواع ویروس‌های خرابکارانه آلوده نشود. ModSecurity در این زمینه عملکرد قابل قبولی داشته است.