Kategorie: ModSecurity

Web Application Firewall zum Schutz vor typischen Webangriffen.

  • fail2ban und nftables – Nützliche Tips

    Hilfestellung wenn fail2ban in Zusammenhang mit nftables Probleme bereitet

    Möglicherweise verursacht Fail2Ban Probleme. Häufig genügt es, die von Fail2Ban angelegten nftables-Regeln zu löschen, den Dienst kurz zu stoppen und anschließend wieder zu starten. Beim Neustart erstellt Fail2Ban automatisch alle erforderlichen nftables-Sets und -Regeln neu.

    sudo lasse ich bei den nachfolgenden Beispielen weg. Es wird für nft Kommandos nötig sein.

    Beispiel um die f2b-table im Familien-Kontext inet zu löschen:

    Bash
    nft delete table inet f2b-table
    (mehr …)

  • nftables Cheat Sheet: Nützliche Befehle für nft Teil 2

    Nachdem ich in Teil 1 die grundlegenden Begriffe zu nft erläutert habe, zeige ich in Teil 2 die wichtigsten Befehle.

    sudo lasse ich bei den nachfolgenden Beispielen weg. Es wird für nft Kommandos nötig sein.

    Ausgabe der kompletten Konfiguration:

    Bash
    nft list ruleset

    Mit diesem Befehl wird das gesamte nftables-Regelwerk in seiner aktuellen Form ausgegeben.

    Da das Ruleset je nach Komplexität sehr umfangreich sein kann, habe ich mir ein eigenes Skript erstellen lassen, das die Ausgabe auf das Wesentliche kürzt: Bei mehrzeiligen Blöcken innerhalb geschweifter Klammern wird nur die erste und letzte Zeile angezeigt.

    (mehr …)

  • nftables Cheat Sheet: Nützliche Befehle für nft Teil 1

    nftables ist ein modernes Framework zur Paketfilterung unter Linux und ersetzt langfristig iptables. In diesem Beitrag zeige ich die wichtigsten Kommandos, die sich in meinem Admin-Alltag bewährt haben.

    Die Anlage neuer Tabellen und Chains benötige ich in der Praxis selten, daher gehe ich darauf hier nicht ein.

    In Teil 1 erkläre ich die grundlegenden Begriffe. In Teil 2 erläutere ich dann die wichtigsten Befehle.

    (mehr …)

  • NGINX + ModSecurity v3 + OWASP CRS unter Ubuntu 24.04 LTS – Schritt für Schritt – Teil 3

    Teil 3 – Ausnahmen für WordPress korrekt setzen.

    Nachdem du ModSecurity erfolgreich mit dem OWASP Core Rule Set (CRS) integriert und getestet hast, wirst du bei dynamischen Anwendungen wie WordPress schnell auf ein bekanntes Problem stoßen: false positives – also legitime Anfragen, die fälschlich als Angriff eingestuft und blockiert werden.

    WordPress nutzt moderne Funktionen wie REST-API, AJAX, dynamische Blockeditoren (Gutenberg) und teils auch sehr spezielle HTML-Kommentare. Diese Mechanismen lösen bei aktivem CRS häufig Sicherheitsregeln aus, insbesondere in den Bereichen XSS, LFI oder Anomalieerkennung. Damit die Schutzmechanismen nicht zur Einschränkung im Admin-Bereich führen, müssen wir gezielt Regelausnahmen für WordPress definieren.

    (mehr …)

  • NGINX + ModSecurity v3 + OWASP CRS unter Ubuntu 24.04 LTS – Schritt für Schritt – Teil 2

    Teil 2 – Installation des OWASP Core Rule Set (CRS)

    Nachdem du in Teil 1 ModSecurity v3 erfolgreich installiert hast, zeige ich dir nun wie du das OWASP Core Rule Set installierst und aktivierst und somit den Regelsatz für ModSecurity einbindest.

    Download und Aktivierung des OWASP CRS

    Mit nachfolgenden Befehlen kannst du das Regelset herunterladen und aktivieren. Wechsle in das modsec-Verzeichnis, lade das git-Repository herunter und erstelle danach die Datei crs-setup.conf.

    Bash
    cd /etc/nginx/modsec
sudo git clone https://github.com/coreruleset/coreruleset.git
cd coreruleset
sudo cp crs-setup.conf.example crs-setup.conf
    (mehr …)

  • NGINX + ModSecurity v3 + OWASP CRS unter Ubuntu 24.04 LTS – Schritt für Schritt – Teil 1

    Teil 1 – Compilieren und Installation der Module und Aktivierung von ModSecurity v3

    Diese Anleitung zeigt die vollständige Installation von ModSecurity v3 mit NGINX und OWASP Core Rule Set (CRS) auf einem Ubuntu-Server – inklusive korrekter Modulpfade, Symlink-Konvention und Beispieltests.

    • In Teil 1 installierst du die benötigen Module und aktivierst ModSecurity v3.
    • In Teil 2 fügen wir das OWASP Core Rule Set (CRS) hinzu.
    • In Teil 3 behandeln wir die nötigen Ausnahmen für das OWASP Core Rule Set um eine WordPress Website damit betreiben zu können.

    1. Abhängigkeiten installieren

    Bash
    sudo apt update
sudo apt install -y git g++ build-essential autoconf automake libtool \
  libpcre3 libpcre3-dev libpcre2-dev libxml2 libxml2-dev libyajl-dev \
  pkg-config zlib1g zlib1g-dev libcurl4-openssl-dev \
  liblua5.3-dev libgeoip-dev doxygen
    (mehr …)