digitaldemocratic/dd-waf
Manuel Caballero 2af96ac3c0
update haproxy and image from repository
2022-11-24 10:01:36 +01:00
..
docker update haproxy and image from repository 2022-11-24 10:01:36 +01:00
docker-compose-parts update haproxy and image from repository 2022-11-24 10:01:36 +01:00
README.md update readme 2022-11-24 10:01:36 +01:00

README.md

DD - Apache2 ModSecurity + HAProxy

Instalación de los servicios Apache2 ModSecurity y HAProxy.

  • En el servicio de Apache2 con ModSecurity V3 se incluyen las reglas OWASP
  • En servicio HAProxy actua de frontend de la aplicación, gestiona y negocia el certificado del dominio a través de letsencrypt.

+-----------+ ----------- +-------------+ ---------- +-----------------+
| Browser | <-https-> | HA proxy | <-http-> | ModSecurity |
+-----------+ ----------- +-------------+ ---------- +-----------------+

HAProxy

Podemos encontrar la configuración del servicio en dd-waf/haproxy

La versión por defecto que se usara en HAProxy es haproxy:2.4.12-alpine3.15 pero podemos definir usar otra versión definiendo el valor de la variable HAPROXY_IMG en nuestro fichero dd.conf

La configuración del servicio se encuentra en fichero haproxy.cfg. El fichero ya esta configurado para enrutar todo el tráfico a través del servicio Apache2-ModSecurity.

El servicio de HAProxy se encarga de negociar y configurar el certicado del dominio de instalación La comunicación externa es cifrada, pero internamente la comunción usa el protocolo http

Apache - ModSecurity

Podemos encontrar la configuración del servicio en dd-waf/haproxy

Tenemos diferentes ficheros para configurar este servicio

  • En el fichero 000-default.conf tendremos la configuración del servidor web Apache2.
  • En el fichero crs-setup.conf configuramos OWASP ModSecurity Core Rule Set ver.3.2.0
  • En el fichero modsec_rules.conf incluimos los ficheros necesarios del owasp servicio de Apache2
  • En el fichero rules_apps.conf se configuran los falsos positivos, de las diferentes aplicaciones, que se tienen idenficados hasta el momento.

Configuración

En la instalación el ModSecurity se encuentra deshabilitado para no interferir en el proceso de setup inicial del DD.

Una vez finalizada la parte de setup, podemos activarlo o desactivarlo según necesitemos,

Activar ModSecurity con las reglas OWASP

./dd-ctl enable_waf

Desactivar ModSecurity con las reglas OWASP

./dd-ctl disable_waf