Modsecurity comodo

[Jorge Marcelino]

@Guto Os problemas que você teve com algumas regras, no geral foi em que aspecto? 

Eu também não fui no  "Protection Wizard" rsrs Só instalei e pronto, as regras padrão vão trabalhar mesmo assim? Ou é preciso configurar o "Protection Wizard" ?

[Fernando Rafs]

Em 04/02/2017 em 10:45, Jorge Marcelino disse:

Os problemas que você teve com algumas regras, no geral foi em que aspecto? 

Problema comum como qualquer outro tipo de regra Modsecurity (Paga ou Gratuita), geralmente falsos positivos, por exemplo que bloqueiam a execução de um script válido do cliente, que impede o upload de um arquivo, etc, mas raramente temos relato sobre isto, e quando recebemos um ticket, a regra é verificada e adicionada na Whitelist, que pode ser adicionada somente para conta do usuário ou para todo o servidor.

E acompanho diariamente o fórum, para visualizar se algum usuário informa alguma regra que está dando muito falso positivo, problemas, etc.

- https://forums.comodo.com/free-modsecurity-rules-comodo-web-application-firewall/falsepositive-report-thread-t104373.0.html

No Fórum qualquer problema que tenha o pessoal responde ativamente, inclusive o próprio pessoal da Comodo, o TDmitry é muito ativo.

 

 

[Jorge Marcelino]

@Guto Obrigado pelas informações, eu também não fui no  "Protection Wizard" rsrs Só instalei e pronto, as regras padrão vão trabalhar mesmo assim? Ou é preciso configurar o "Protection Wizard" ?

Uma dúvida, os bloqueios continuam aparecendo no ModSecurity Tools?

Essas whitelist posso colocar pelo plugin também correto? em Custom Rules?

[Fernando Rafs]

Em 04/02/2017 em 10:53, Jorge Marcelino disse:

Obrigado pelas informações, eu também não fui no  "Protection Wizard" rsrs Só instalei e pronto, as regras padrão vão trabalhar mesmo assim? Ou é preciso configurar o "Protection Wizard" ?

Uma dúvida, os bloqueios continuam aparecendo no ModSecurity Tools?

Não precisa configurar pelo Protection Wizard, vai funcionar perfeitamente, é ativado as regras padrões normalmente.

E sim, se está se referindo aos logs de bloqueios, funciona normalmente e também pelo plugin da Configserver (que eu prefiro).

Após instalar acompanhe os logs que não deve demorar muito para bloquear algo (dependendo da quantidade de contas que possui no server).

 

[Jorge Marcelino]

@Guto Ótimo, estou testando em 1 servidor por enquanto, hospeda maioria dos sites wordpress e magento.

Por enquanto não bloqueou nada, você deixa ativado todos em "catalog"? Creio que seja o conjunto de regras.

Quais você ativa?

[Fernando Rafs]

Em 04/02/2017 em 11:09, Jorge Marcelino disse:

Ótimo, estou testando em 1 servidor por enquanto, hospeda maioria dos sites wordpress e magento.

Por enquanto não bloqueou nada, você deixa ativado todos em "catalog"? Creio que seja o conjunto de regras.

Quais você ativa?

Sim, tudo on, depois o que desejo desabilitar eu desabilito pelo arquivo:

/var/cpanel/cwaf/etc/httpd/global/zzz_exclude_global.conf

 

[Jorge Marcelino]

5 minutos atrás, Guto disse:

Sim, tudo on, depois o que desejo desabilitar eu desabilito pelo arquivo:

/var/cpanel/cwaf/etc/httpd/global/zzz_exclude_global.conf

 

Só foi ativar o brute force, começou os bloqueios rsrs

Cara, que plugin TOP deveria vir padrão na instalação do cPanel!

@Guto Obrigado por me esclarecer essas dúvidas. Poderíamos manter ativo esse tópico para regras personalizadas, feedback sobre atualizações etc... Até auxiliar o pessoal do PDH ;)   Oque acha?

[Fernando Rafs]

Em 04/02/2017 em 11:41, Jorge Marcelino disse:

Só foi ativar o brute force, começou os bloqueios rsrs

Cara, que plugin TOP deveria vir padrão na instalação do cPanel!

Obrigado por me esclarecer essas dúvidas. Poderíamos manter ativo esse tópico para regras personalizadas, feedback sobre atualizações etc... Até auxiliar o pessoal do PDH ;)   Oque acha?

Sem dúvidas, muito bom.

[adamkain]

3 horas atrás, Guto disse:

Sem dúvidas, muito bom.

@Guto, mas esse plugin que vc citou, substitui o CSF né??
Tipo, eles tem o mesmo proposito, então seria melhor usar um ou outro não é ??

[chuvadenovembro]

10 horas atrás, adamkain disse:

@Guto, mas esse plugin que vc citou, substitui o CSF né??
Tipo, eles tem o mesmo proposito, então seria melhor usar um ou outro não é ??

@adamkain O CSF e o cwaf podem trabalhar juntos...

Eu uso o cwaf desde o lançamento também, o guto me lembrou desse procedimento de edição de regras, eu nem lembrava mais disso heheheh

Em servidores novos, tenho feito a instalação do plugin, atualizo as regras e tudo funciona normalmente, raramente é necessário editar regras hoje em dia...

Apesar disso, nem tudo são flores, excluir uma regra pelo plugin da comodo é um saco, não é dificil nem nada, mas ao clicar nele, dependendo do numero de contas no servidor, ele demora bastante para carregar, depois disso precisa clicar em uma aba especifica, selecionar o domínio, colocar o numero da regra e clicar em OFF...

Nunca fiz a instalação das regras sem o plugin, mas acredito que fazer essa edição diretamente no whm deve ser no minimo mais facil hehehehe

Outra coisa, aqui, já tivemos problemas com nginx, vou dar um exemplo bem resumido.

O cwaf armazena as regras de exclusão com a porta 8080, se o nginx apresentar qualquer problema e deixar de funcionar e você resolver desativar ele, o apache da problema por causa dessas regras que mencionam a porta 8080 em vez de 80...

Recentemente fui atualizar o plugin e passou a apresentar erro 503...

Eu deixei de acompanhar o forum da comodo, então não sei dizer como está a questão desse serviço se manter gratis...etc...mas teve uma epoca que o plugin deles tinha uma aba com planos de regras pagas e era bem baratinho (se não me falha a memoria, coisa de 1500 dolares heheheh), depois essa aba sumiu do plugin, acho que desistiram