OWASP ModSecurity CRS(Core Rule Set)とは

広く知られているように、ModSecurityはOSSのWeb Application Firewall(WAF)です。現在は、TrustwaveのSpiderLabsが開発を行っています。

このModSecurityは色々なhttpdサーバと組み合わせて使う事が可能で、既にこのセキュリティブログで紹介したように、nginxとModSecurityを組み合わせてWAFを作ることも可能です。

このModSecurityでは、攻撃検知のためのルールセットが用意されており、それらを有効・無効・修正することで検知を行ったり精度を高めていったりします。この準備された基本となるルールセットは「Core Rule Set (CRS)」と呼ばれており、現在はOWASPがCRSをメンテナンスしています。

このCRSですが、現在のバージョンは2.x(2016/03/09に2.9.1がリリースされています。)となっています。

このCRSの3.0 RC1が2016/08/16にリリースされたため、この記事では新しい機能などの差分を見ていきたいと思います。

OWASP Core Rule Set(CRS) v3.0について

CRS v3.0 RC1での改善点で目立った所が、上述のRC1のサイトに載っていますので、主だった所を説明します。

1. ModSecurityの代表的な機能（libinjectionなど）を利用できるようになった

   libinjectionは、Black Hat USA 2012で紹介された、SQLi攻撃の迅速で正確な検知を行えるもので、mod_securityやirobee, その他ハニーポットや様々なWAFで動作しています。CRS v3.0からは、これも利用できるようになっています。

2. 新たに、false positiveを減らすために偏執的レベルで改良を行った

3. CRSをこれまで以上に有効にするための新しい防御

4. 現在の多くのルールで有効性の改善

5. より多くのドキュメントと、直感的なファイルレイアウト

6. 多くの一般的なfalse positiveの軽減

7. サンプリングモードなどの、設定オプションの追加

8. テスト・サポートスクリプトの追加

9. アノマリーベースの保護をデフォルトに

パフォーマンスについて

新しいバージョンのリリースということで、パフォーマンスがどうなるかという点も気になる所です。Trustwaveのブログでも、パフォーマンス測定の結果が公開されていますが、v2.2.9に比べてv3.0はJMeterで計測した所、パフォーマンスがやや悪くなっています。

これに関しては、現在OWASPの方でも問題点の把握などに取り組んでおり、現時点ではRC1ということもあるため、正式リリースまでには改善されるものと思われます。

まとめ

ModSecurity CRS version 3.0では、色々な改良点が加えられています。

これを機に、WAFのテストと導入を検討してみるのもいいでしょう。

また、実際にはWAFは導入後のメンテナンスと運用が重要になってきます。

これらに関しても、別の機会でご紹介したいと思います。

[参考]

OWASP ModSecurity CRS Version 3.0 RC1 Released

http://modsecurity.org/

[セミナー告知]

9/14に「OSSセキュリティナイター vol.2」と題して、セキュリティのセミナーを行います。

この回では「まだまだ続く急増するランサムウェア その脅威とOSSの対策」として、ランサムウェアのリスクとOSSでの対策方法などをお話します。

また、LinuxFoundationでのセキュリティに対する取り組みや、Intel Security (マカフィー株式会社)による脆弱性リスク管理も併せてご紹介します。

http://connpass.com/event/37360/がプログラム内容と申し込みの詳細になりますので、是非お申し込み下さい。