Einführung in ModSecurity und das OWASP ModSecurity Core Rule Set

Das OWASP ModSecurity Core Rule Set (kurz CRS) ist eine Sammlung von generischen Regeln zur Erkennung von Angriffen, die mit ModSecurity oder einer kompatiblen Web Application Firewall (WAF) eingesetzt werden. CRS ist die 1. Verteidigungslinie gegen Applikationsangriffe im Web, wie sie in den OWASP Top Ten beschrieben werden. Dazu kommt, das CRS mit einem Minimum an Fehlalarmen auskommt.

Dieser Vortrag demonstriert die Installation des Regelwerkes und stellt die wichtigsten Regelgruppen vor. Er beschreibt Schlüssel-Konzepte wie Anomalie-Scoring und Schwellenwerte, Paranoia-Level, Strict Siblings und den Sampling-Modus. Der wichtige Umgang mit False Positives ist ebenso ein Thema wie vordefinierte Konfigurationen für populäre Webanwendungen Anwendungen, die dazu beitragen, False Positives zu vermeiden.

Referent:

Christian Folini ist ein Historiker, der als Security Engineer und Open-Source-Enthusiast arbeitet. Er besitzt einen Doktortitel in mittelalterlicher Geschichte und verteidigt gerne Burgen in ganz Europa. Leider ist die Verteidigung mittelalterlicher Burgen dieser Tage kein großes Geschäft mehr und so wandte er sich der Verteidigung von Webservern zu, die er als ebenso anspruchsvoll empfindet. Er bringt mehr als zehn Jahre Erfahrung mit ModSecurity-Konfiguration in Hochsicherheitsumgebungen, DDoS-Abwehr und Threat Modeling mit.

Christian Folini ist Autor der zweiten Auflage des ModSecurity Handbooks und einer der wenigen Lehrer zu diesem Thema. Er ist zudem Co-Lead des OWASP ModSecurity Core Rule Set Projekts. Christian ist Vizepräsident des eidgenössischen Public-Private-Partnership "Swiss Cyber Experts" und Programmleiter der "Swiss Cyber Storm" Konferenz. Er ist auch ein häufiger Redner auf nationalen und internationalen Konferenzen, wo er versucht, seinen geisteswissenschaftlichen Hintergrund zu nutzen, um seinen Zuhörern Hardcore-Technik-Themen näher zu bringen.