2af96ac3c0 | ||
---|---|---|
.. | ||
docker | ||
docker-compose-parts | ||
README.md |
README.md
DD - Apache2 ModSecurity + HAProxy
Instalación de los servicios Apache2 ModSecurity y HAProxy.
- En el servicio de Apache2 con ModSecurity V3 se incluyen las reglas OWASP
- En servicio HAProxy actua de frontend de la aplicación, gestiona y negocia el certificado del dominio a través de letsencrypt.
+-----------+ ----------- +-------------+ ---------- +-----------------+
| Browser | <-https-> | HA proxy | <-http-> | ModSecurity |
+-----------+ ----------- +-------------+ ---------- +-----------------+
HAProxy
Podemos encontrar la configuración del servicio en dd-waf/haproxy
La versión por defecto que se usara en HAProxy es haproxy:2.4.12-alpine3.15
pero podemos definir usar otra versión
definiendo el valor de la variable HAPROXY_IMG
en nuestro fichero dd.conf
La configuración del servicio se encuentra en fichero haproxy.cfg. El fichero ya esta configurado para enrutar todo el tráfico a través del servicio Apache2-ModSecurity.
El servicio de HAProxy se encarga de negociar y configurar el certicado del dominio de instalación La comunicación externa es cifrada, pero internamente la comunción usa el protocolo http
Apache - ModSecurity
Podemos encontrar la configuración del servicio en dd-waf/haproxy
Tenemos diferentes ficheros para configurar este servicio
- En el fichero 000-default.conf tendremos la configuración del servidor web Apache2.
- En el fichero crs-setup.conf configuramos OWASP ModSecurity Core Rule Set ver.3.2.0
- En el fichero modsec_rules.conf incluimos los ficheros necesarios del owasp servicio de Apache2
- En el fichero rules_apps.conf se configuran los falsos positivos, de las diferentes aplicaciones, que se tienen idenficados hasta el momento.
Configuración
En la instalación el ModSecurity se encuentra deshabilitado para no interferir en el proceso de setup inicial del DD.
Una vez finalizada la parte de setup, podemos activarlo o desactivarlo según necesitemos,
Activar ModSecurity con las reglas OWASP
./dd-ctl enable_waf
Desactivar ModSecurity con las reglas OWASP
./dd-ctl disable_waf