Что такое ModSecurity?

ModSecurity является межсетевым экраном с открытым исходным кодом, обеспечивающим защиту от атак, направленных на Web-приложения. ModSecurity позволяет осуществлять мониторинг HTTP-трафика и выполнять анализ событий в реальном времени. На сегодняшний день ModSecurity успешно используют для защиты Web-серверов во всем мире.

Существует несколько типовых вариантов установки ModSecurity: установка на Web-сервер, а так же установка в качестве обратного proxy-сервера Reverse Proxy. ModSecurity используется исключительно на Web-серверах Apache, которые могут работать как под Linux/UNIX, так и под Windows. Хотя ModSecurity изначально создавался только под Linux/UNIX, со временем он был успешно портирован под Microsoft Windows.

При использовании ModSecurity необходимо придерживаться определенных правил: Изначально ModSecurity необходимо использовать только в режиме обнаружения атак, т.к каждое базовое правило может вызывать ложные срабатывания. ModSecurity можно переводить в режим блокирования атак только после тщательного тестирования его работы и отсутствия ложных срабатываний.

Т.к ModSecurity является продуктом с открытым исходным кодом, его базовые правила доступны злоумышленникам, которые изучив данные правила могут придумать пути их обхода. В связи с этим рекомендуется пересматривать базовые правила, исходя из особенностей Web-приложений.