Cómo administrar ModSecurity en Servidores VPS y DedicadoS Linux

Si posee un servidor VPS o Dedicado Linux, ModSecurity no viene activo por defecto, es posible activar, desactivar o ajustar reglas específicas manualmente a través de WHM, según su necesidad.

Consulte a continuación cómo:

Activar ModSecurity
Configurar ModSecurity en WHM
Visualizar y analizar reglas bloqueadas
Crear y ajustar una regla
Deshabilitar reglas

Importante:

Estas acciones requieren acceso root a WHM (Panel de Administración del Servidor).

Activar ModSecurity

Existen 3 etapas para realizar la activación completa e incluir las reglas principales, siga a continuación:

Etapa 1: Activar el módulo Mod_security
Etapa 2: Activar reglas del proveedor OWASP
Etapa 3: Verificar si el proveedor predeterminado está activado

Etapa 1: Activar el módulo Mod_security

1Acceda al WHM - Si es necesario, consulte cómo hacerlo

2En la barra de búsqueda, busque EasyApache 4 y haga clic en la opción encontrada

Captura de pantalla del panel WHM con énfasis en la búsqueda de herramientas colocando easyapache4

3En la sección “Currently Installed Packages”, haga clic en Personalizar

Pantalla que muestra easyapache4 resaltando el botón de personalización

4A continuación, haga clic en Módulos de Apache

5En la barra de búsqueda, busque mod_security2

Pantalla que muestra easyapache4 resaltando el botón de módulos de apache y en la barra de búsqueda agrega mod_security2

6Verifique si está activado (botón en azul) - Si el botón está en gris, está deshabilitado

Pantalla que muestra easyapache4 resaltando el botón personalizar y luego en el lado derecho los módulos de apache para activar mod_security2

Consejo: La palabra "Unaffected" indica que no se ha detectado ningún problema en este módulo. Es decir, está funcionando normalmente y no necesita ajustes en este momento.

Después de instalar el módulo Apache ModSecurity, puede instalar el conjunto de reglas principales recomendado por WHM

Etapa 2: Activar reglas del proveedor OWASP

El OWASP (Open Web Application Security Project), disponible en WHM, es un conjunto de reglas de seguridad que ayudan a proteger su servidor contra amenazas comunes.

Consulte cómo activar:

1Acceda al WHM - Si es necesario, consulte cómo hacerlo

2En la barra de búsqueda, busque EasyApache 4 y haga clic en la opción encontrada

3En la sección “Currently Installed Packages”, haga clic en Personalizar

4A continuación, haga clic en Additional Packages (paquetes adicionales)

5En la barra de búsqueda, busque modsec2-rules-owasp-crs

Pantalla whm en la parte easyapache4 resaltada después de hacer clic en personalizar paquetes adicionales y agregar modsec2-rules-owasp-crs

6Al lado de él, haga clic en el botón para activar - Si está en gris está desactivado, si está en azul está activado

7A continuación, haga clic en Siguiente

Pantalla whm en la parte easyapache4 resaltando el modsec2-rules-owasp-crs de easyapache4 y el botón siguiente

8Para finalizar, haga clic en Provisión

Pantalla whm en la parte easyapache4 resaltando el boton provision

Etapa 3: Verificar si el proveedor predeterminado está activado

1Acceda al WHM - Si es necesario, consulte cómo hacerlo

2En la barra de búsqueda, busque Proveedores de ModSecurity y haga clic en la opción encontrada

Imagen que muestra una interfaz del panel de control WHM con la búsqueda de 'Proveedores de ModSecurity' y la configuración de ModSecurity habilitada

3En la pantalla de gestión de proveedores, en la sección “Proveedor”, busque OWASP ModSecurity Core Rule Set V3.0

4Si está activo, aparecerán los campos a continuación y significa que el conjunto de reglas principales también está activo:

Proveedor: simbología del cPanel (cP)
Habilitado: En azul significa activado
Actualizaciones: garantiza que las reglas se actualicen para proteger contra nuevas amenazas - En azul significa activado, en gris está desactivado
Conjuntos incluidos: Muestra cuántas reglas están dentro de ese grupo. En el ejemplo, son 22 reglas activadas.

Captura de pantalla del panel de administración de proveedores de ModSecurity en WHM, con un proveedor de firewall de seguridad habilitado.

5Si no aparecen estos campos aparecerá un mensaje “Este proveedor no está instalado”, para activar este proveedor, haga clic en +Instalar

Pantalla del panel de administración de proveedores de ModSecurity en WHM, resaltando el botón Instalar

6A continuación, en el mensaje de confirmación, haga clic en Instalar y restaurar Apache

Captura de pantalla del panel de administración de proveedores de ModSecurity en WHM, resaltando el botón Instalar y reiniciar Apache

Captura de pantalla del panel de administración de proveedores de ModSecurity en WHM, resaltando el mensaje de confirmación

Configurar el ModSecurity en WHM

Estas configuraciones ayudan a proteger su sitio sin comprometer el rendimiento.

Al mantener las opciones recomendadas, usted garantiza un buen nivel de seguridad incluso sin conocimientos técnicos avanzados:

1Acceda al WHM - Si es necesario, consulte cómo hacerlo

2En la barra de búsqueda, busque Configuración de ModSecurity y haga clic en la opción encontrada

Pantalla del panel de administración de WHM que resalta la configuración de ModSecurity en la barra de búsqueda

3En la nueva pantalla, verifique la información:

A) Nivel de Registro de entradas - Define lo que se registrará en los archivos de registro (informes de actividades), las opciones son:
- Registre únicamente las transacciones considerables (Recomendado) - Solo se guardarán acciones importantes, evitando archivos muy grandes en el servidor.
- No registre ninguna transacción - No guarda nada, lo que dificulta identificar ataques.
- Registre todas las transacciones - Puede ocupar mucho espacio en el servidor y se indica solo para técnicos que estén investigando algo.

Captura de pantalla del panel de administración de WHM que resalta el nivel de registro de entrada

B) Motor de Conexiones - Define si el sistema debe o no procesar conexiones sospechosas.
- No procese las reglas (Recomendado) - Para la mayoría de los usuarios, esta es la configuración predeterminada y segura.
C) Motor de las Reglas - Este ítem es el que realmente activa ModSecurity para proteger su sitio.
- Lo recomendado es procesar las reglas - Deje esta opción activada para que ModSecurity analice el tráfico y bloquee amenazas automáticamente.

Pantalla del panel de administración de whm resaltando el motor de conexión y motor de las reglas

D) Compresión de back-end - Esta configuración mejora el rendimiento y mantiene la compatibilidad, por defecto está Habilitado
E) Otras opciones (avanzadas) - Estas configuraciones son opcionales y están dirigidas a administradores avanzados - Si usted no tiene experiencia con configuraciones de seguridad, puede dejar los campos vacíos o con los valores predeterminados:
- Base de datos de geolocalización
- Navegación Segura de Google
- Registro del Guardián
- Clave API de Project Honey Pot
- Límites de expresiones regulares (valores recomendados: 1500)

Pantalla del panel de administración de WHM que resalta la compresión del backend y la geolocalización de la base de datos

4Después de ajustar todo según lo recomendado, haga clic en el botón Guardar

Pantalla del panel de administración de WHM que resalta el botón Guardar

Visualizar y analizar reglas bloqueadas

Si usted desea verificar la lista de ocurrencias recientes donde ModSecurity interceptó o registró solicitudes consideradas sospechosas o malformadas, basándose en las reglas de seguridad activas en el servidor.

Consulte cómo hacerlo:

1Acceda al WHM - Si es necesario, consulte cómo hacerlo

2En la barra de búsqueda, busque Herramientas de ModSecurity y haga clic en la opción encontrada

Resaltado de pantalla del panel de administración de WHM en la barra de búsqueda Herrmientas de ModSecurity

3En la nueva pantalla, verifique el significado de cada columna:

Campo	Qué significa
Fecha	Fecha y hora exactas en que se activó la regla.
Anfitrión	Nombre del dominio o IP del servidor donde ocurrió la solicitud.
Fuente	IP desde donde partió el intento de acceso o solicitud bloqueada o alertada.
Severidad	Nivel de severidad asignado al evento: WARNING, CRITICAL, etc. (en este caso: WARNING).
Estado	Código HTTP devuelto al visitante: 404, 200, 403, etc.
Identificación de la regla	Número de la regla ModSecurity activada, por ejemplo: 920280), con enlace para ver más detalles.

imagem del panel de whm mostrando la lista de ocurrencias de reglas

¿Qué puede hacer con esta información?

Analizar el comportamiento: Verifique si estas solicitudes provienen de bots o posibles invasores.
Ajustar reglas específicas: Si una regla está bloqueando un recurso legítimo, puede ser necesario desactivarla o crear una excepción - Si es necesario, consulte cómo crear y ajustar reglas.
Monitorear ataques recurrentes: Muchos accesos con la misma regla y IP pueden indicar un intento de ataque o un escáner.

Crear y ajustar una regla

1Acceda al WHM - Si es necesario, consulte cómo hacerlo

2En la barra de búsqueda, busque Herramientas de ModSecurity y haga clic en la opción encontrada

3En la nueva pantalla, haga clic en Lista de reglas

imagem del panel de whm mostrando el boton lista de reglas

4Ahora verifique cómo:

Editar reglas
Añadir regla

Observación:

En caso de dudas, evite editar o agregar directamente el contenido de la regla. Un cambio incorrecto puede afectar la seguridad o el funcionamiento de su sitio.

imagem ilustrativa del panel whm mostrando o editar las reglas y añadir

Editar reglas

Observación:

Para editar o agregar una regla es necesario que usted conozca la sintaxis y el ID (número identificador) de la regla

1En “Lista de reglas”, haga clic en el botón Editar las reglas

Pantalla del panel de administración de WHM que resalta el botón Editar reglas

2En la pantalla de edición, complete la siguiente información:

A) Reglas – agregue la regla que desea editar, por ejemplo, si desea bloquear el archivo xmlrpc.php, inserte lo siguiente:

SecRule REQUEST_URI "@endsWith /xmlrpc.php" \ 
     "id:1000001,\ 
     phase:1,\ 
     deny,\ 
     status:403,\ 
     log,\ 
     msg:'Bloqueo de acceso al xmlrpc.php para prevenir ataques XML-RPC'"

Pantalla del panel de administración de WHM que resalta la parte que escribe las reglas

B) En "Implementar y reiniciar Apache" (Opcional), marque la casilla de selección

3Después de hacer las configuraciones, haga clic en Guardar

Pantalla del panel de administración de WHM que resalta el botón de edición de reglas guardadas

Añadir regla

Observación:

Para editar o agregar una regla es necesario que usted conozca la sintaxis y el ID (número identificador) de la regla

1En la pantalla de “Lista de reglas”, haga clic en el botón Añadir regla

Pantalla del panel de administración de WHM que resalta el botón Añadir regla

2En la pantalla de adición, complete la siguiente información:

A) Texto de la regla - En este campo debe escribir la regla personalizada que desea aplicar. Por ejemplo, si desea bloquear bots no deseados o sospechosos, puede insertar:

SecRule REQUEST_HEADERS:User-Agent "@contains BadBot",\
 "id:1000002,\
phase:1,\
deny,\
status:403,\
msg:'Bloqueo por user-agent BadBot'"

Pantalla del panel de administración de WHM que resalta el texto de la regla

B) Habilitar la regla - Deje esta opción marcada para que la nueva regla entre en vigor tan pronto como sea guardada.
C) Implementar y reiniciar Apache - Se recomienda no marcar

3Después de hacer las configuraciones, haga clic en Guardar

Deshabilitar reglas

Verifique cómo:

Deshabilitar una regla
Deshabilitar todas las reglas

Deshabilitar una regla

1Acceda al WHM - Si es necesario, consulte cómo hacerlo

2En la barra de búsqueda, busque Herramientas de ModSecurity y haga clic en la opción encontrada

3En la pantalla de “lista de reglas”, en la regla que desea, haga clic en Deshabilitar

Importante:

Utilice esta opción solo si está seguro de la acción y sus consecuencias, ya que dependiendo de la regla que desactive, puede comprometer la seguridad del sitio.