Modsecurity est un module pour serveurs WEB permettant de filtrer les requêtes faites à un site dans le but de le protéger des attaques. Ce module est disponible sur les offres d’hébergement Web Linux LWS.

Comment fonctionne le Firewall Applications Web ?

Si vous tentez de faire la requête suivante

http://domaine.fr/index.php?action=start&time_s=465465464

 

sur un site ayant le Firewall Applications Web activé, vous obtiendrez l’erreur suivante :

ERREUR 412: Precondition Failed.

 

De plus, le fichier de log d’erreur du site en question contiendra :

[Fri Sep 12 11:21:52 2014] [error] [client 192.168.144.25] ModSecuri
ty: Access denied with code 412 (phase 2). Pattern match "action=sta
rt.*&time_s=" at REQUEST_LINE. [file "/etc/modsecurity/modsecurity.c
onf"] [line "252"] [id "10002"] [rev "0.1"] [msg "Brobot action"] [h
ostname "domaine.fr"] [uri "/index.php"] [unique_id "VBK7MMElkX8AAHt
tlogAAAAq"]

 

En fait, l’url de la requête contient des arguments (action=start et time_s=) qui sont utilisés par un script malveillant PHP. Modsecurity contient des régles pour bloquer l’activation de ce script. Ainsi, si ce script a été placé (par FTP ou via un module par exemple) sur un de nos hébergements ayant activé le Firewall Applications Web, celui-ci sera inutilisable.

Modsecurity contient un grand nombre de règles permettant de bloquer les attaques classiques ( injection SQL, XSS, … ) ou divers scripts malveillants.

 

Paramètres du Firewall Applications Web

Le paramètrage du Firewall Applications WEB se fait depuis l’espace d’administration de votre domaine dans votre espace client LWS Panel via l’icône « Firewall Applications WEB ».

Outils_web_scripts

 

Vous pouvez appliquer trois modes de fonctionnement au Firewall Applications Web :

Configuration_firewall_applications_web

  • Vous pouvez activer en mode Normal le Firewall Applications Web. C’est le mode par défaut. Il contient un grand nombre de régles sans toutefois nuire au fonctionnement d’un grand nombre de CMS ( joomla, wordpress, prestashop, … ) et de sites.
  • Vous pouvez désactiver totalement le Firewall. Ceci permet de s’astreindre des problèmes que peut générer Modsecurity dans des cas particuliers. Si vous avez développé votre site ou le module posant problème, nous vous conseillons de le modifier pour revenir au mode Normal.
  • Vous pouvez activer le Firewall Applications Web en mode Parano. C’est un mode qui regroupe un très grand nombre de régles dont certaines peuvent poser problème aux grands CMS. Ce mode peut toutefois être utile si vous développez votre propre script et que vous voulez renforcer la sécurité de votre site.

Vous pouvez retrouver la documentation du paramètrage du Firewall Applications Web sur notre rubrique d’aide.

INFO : Les régles de Modsecurity sont régulièrement mises à jour pour faire face aux nouvelles attaques et menaces.

Les prochaines versions de Modsecurity vous permettront de désactiver certaines règles au cas par cas via votre fichier .htaccess.