Modsecurity comodo

[Fernando Rafs]

Em 04/02/2017 em 18:58, adamkain disse:

mas esse plugin que vc citou, substitui o CSF né??
Tipo, eles tem o mesmo proposito, então seria melhor usar um ou outro não é ??

Como o @chuvadenovembro disse ambos trabalham juntos, uma aliança perfeita

Em 05/02/2017 em 05:47, chuvadenovembro disse:

@adamkain O CSF e o cwaf podem trabalhar juntos...

Eu uso o cwaf desde o lançamento também, o guto me lembrou desse procedimento de edição de regras, eu nem lembrava mais disso heheheh

Em servidores novos, tenho feito a instalação do plugin, atualizo as regras e tudo funciona normalmente, raramente é necessário editar regras hoje em dia...

Apesar disso, nem tudo são flores, excluir uma regra pelo plugin da comodo é um saco, não é dificil nem nada, mas ao clicar nele, dependendo do numero de contas no servidor, ele demora bastante para carregar, depois disso precisa clicar em uma aba especifica, selecionar o domínio, colocar o numero da regra e clicar em OFF...

Nunca fiz a instalação das regras sem o plugin, mas acredito que fazer essa edição diretamente no whm deve ser no minimo mais facil hehehehe

Outra coisa, aqui, já tivemos problemas com nginx, vou dar um exemplo bem resumido.

O cwaf armazena as regras de exclusão com a porta 8080, se o nginx apresentar qualquer problema e deixar de funcionar e você resolver desativar ele, o apache da problema por causa dessas regras que mencionam a porta 8080 em vez de 80...

Recentemente fui atualizar o plugin e passou a apresentar erro 503...

Eu deixei de acompanhar o forum da comodo, então não sei dizer como está a questão desse serviço se manter gratis...etc...mas teve uma epoca que o plugin deles tinha uma aba com planos de regras pagas e era bem baratinho (se não me falha a memoria, coisa de 1500 dolares heheheh), depois essa aba sumiu do plugin, acho que desistiram

@chuvadenovembro me lembro que logo no lançamento, se não me engano no início de 2014, nós chegamos a conversar sobre algo aqui no fórum a respeito da comodo só não achei o post kkkkk.

É por isto que não utilizo o plugin para desativar regras, desativo diretamente no arquivo manualmente e reinicio o apache/nginx em seguida, questão de segundos tá tudo pronto, mas como você disse, raramente está sendo necessário fazer isto porque a Comodo está atualizando constantemente as regras, e quando ocorre de uma regra estar com problemas, logo eles lançam uma atualização para corrigir.

Lembrando apenas que, ao instalar ou atualizar o Plugin eles já deixam por padrão desativadas algumas regras no arquivo:

/var/cpanel/cwaf/etc/httpd/global/zzz_exclude_global.conf

Sempre comparo o arquivo deles de regras desativadas, antes de trocar pelo meu, deixando tudo atualizado.

[adamkain]

Puxa.. que legal galera...
Vou insalar o CWAF tbm...

Muito obrigado @chuvadenovembro e @Guto

[adamkain]

Bom dia pessoal... Preciso de um help.

Eu já usava o Comodo como Vendor no ModSecurity do WHM e mesmo assim instalei o CWAF e estou acompanhando o Hits List no MedSecurity Tools pra desativar algumas regras (global ou por dominio) a medida que está sendo necessário.

Até aí tudo bem... Porém nessa Hits List, todas as entradas estão partindo do IP do meu servidor (SOURCE), depois que instalei o plugin CWAF, como na imagem abaixo.

http://prntscr.com/e60rx5

Sendo assim, o CSF não faz o bloqueio permanente do IP que fez o ataque, como no caso dessa 3ª linha "Remote file inclusion attack"

Outra coisa é que estou usando o Engintron, e parece q ele dá um pau nos IPs do visitantes que acabam sendo o mesmo que o do servidor. Se abrir o AWSTATS dos dominios, por exemplo, aparece 3mil visitas de um único visitante. 

Porém, antes de eu instalar o CWAF (e eu já usava o Engintron) o campo SOURCE, nessa Hits List sempre exibia o IP da fonte mesmo.

Já dei uma procurada no Forum da Comodo, mas não encontrei nada a respeito.

Alguém já passou por algo parecido??

[adamkain]

Bom pessoal, eu tava esperando agora a noite pra mexer mais com isso... 
Passei o dia lendo sobre o Engintron e o problema do IP real do visitante, etc etc...

A solução mesmo foi desinstalar e instalar novamente o Engintron e não pelo método de Re-instalar que existe na própria ferramenta.

Após o procedimento, deu tudo certo e agora os IPs estão sendo gravados de maneira certa. Inclusive no ModSec.
Dessa forma, o CWAF consegue bloquear os IPs de acordo com as regras.

[chuvadenovembro]

Aqui vários servidores apresentou problema no plugin do cwaf, eu estou desinstalando ele e colocando as regras diretamente no vendor, só não vi ainda como faz para excluir regras de um determinado domínio (ainda não houve ocorrências)

[Visitante]

Olá senhores, para agregar uma ajuda. Eis meu caso/config...

Uso o vendor, pois nao ha diferenca funcional entre o plugin e o metodo de get pelo vendor. Porem personalizo algumas regras. Aqui estao elas...

Porque desliguei algumas regras?
 

Bem basicamente por que existe redundância de de proteção no próprio servidor como bruteforce, a regra de bruteforce foi desligada porque o CSF já tem uma regra pra isso. e os outputs, pois não vejo necessidade de filtro na saída de resultados para sites comuns em geral. Logico que para caso mais complexos e delicados as regras mudam, mas em termos gerais assim atende perfeitamente com o engitron instalado.