Cấu Hình WAF Ngăn Chặn SQL Injection

Giới Thiệu

SQL Injection (SQLi) là một trong những lỗ hổng bảo mật ứng dụng web phổ biến và nguy hiểm nhất, cho phép kẻ tấn công chèn hoặc thao túng các truy vấn SQL để truy cập, sửa đổi hoặc xóa dữ liệu trái phép từ cơ sở dữ liệu. Web Application Firewall (WAF) đóng vai trò như một lớp bảo vệ tiền tuyến, phân tích và lọc lưu lượng truy cập HTTP/HTTPS, giúp ngăn chặn các cuộc tấn công SQLi trước khi chúng tiếp cận ứng dụng web của bạn. Hướng dẫn này sẽ tập trung vào việc cấu hình một WAF phổ biến như ModSecurity để chống lại các mối đe dọa này.

📋 Thời gian: 45 phút | Độ khó: Trung bình

Yêu Cầu

Để thực hiện hướng dẫn này, bạn cần có:

Một máy chủ Linux (Ubuntu/Debian hoặc CentOS/RHEL) đã cài đặt Nginx hoặc Apache.
Quyền truy cập root hoặc sudo trên máy chủ.
Kiến thức cơ bản về Linux command line và cấu hình web server.
Hiểu biết cơ bản về cách hoạt động của SQL Injection.

Các Bước Thực Hiện

Bước 1: Cài đặt ModSecurity và Nginx (hoặc Apache)

Chúng ta sẽ sử dụng ModSecurity, một WAF mã nguồn mở phổ biến, kết hợp với Nginx. Nếu bạn đang dùng Apache, các bước cấu hình ModSecurity cũng tương tự.

1.1. Cài đặt Nginx (nếu chưa có)

# Đối với Ubuntu/Debian
sudo apt update
sudo apt install nginx -y

# Đối với CentOS/RHEL
sudo yum install epel-release -y
sudo yum install nginx -y
sudo systemctl enable nginx
sudo systemctl start nginx

1.2. Cài đặt ModSecurity module cho Nginx

Quá trình này có thể phức tạp hơn một chút vì ModSecurity cần được biên dịch cùng với Nginx hoặc cài đặt thông qua một module đã được biên dịch sẵn. Chúng ta sẽ sử dụng phương pháp cài đặt từ gói (nếu có) hoặc biên dịch đơn giản.

Phương pháp 1: Sử dụng gói đã biên dịch (khuyến nghị cho Ubuntu/Debian)

# Thêm repository của Nginx nếu chưa có (đảm bảo có module ModSecurity)
# Ví dụ cho Ubuntu 20.04/22.04
sudo apt update
sudo apt install -y libmodsecurity3 modsecurity-crs
sudo apt install -y nginx-plus-module-modsecurity # Hoặc nginx-extras nếu dùng bản cộng đồng

# Sau khi cài đặt, bạn cần kiểm tra xem module đã được tải chưa.
# Thông thường, các gói này sẽ tự động cấu hình Nginx để tải module.

Phương pháp 2: Biên dịch Nginx với ModSecurity (phức tạp hơn, chỉ khi phương pháp 1 không khả thi)

Bạn cần tải mã nguồn Nginx và ModSecurity, sau đó biên dịch chúng cùng nhau.

# Cài đặt các công cụ cần thiết
sudo apt update
sudo apt install -y build-essential libpcre3 libpcre3-dev zlib1g zlib1g-dev libssl-dev libxml2 libxml2-dev libxslt1-dev libgd-dev libgeoip-dev libmaxminddb-dev libmodsecurity-dev

# Tải mã nguồn ModSecurity-nginx connector
cd /usr/local/src
sudo git clone --depth 1 https://github.com/SpiderLabs/ModSecurity-nginx.git

# Tải mã nguồn ModSecurity v3
sudo git clone --depth 1 https://github.com/SpiderLabs/ModSecurity.git
cd ModSecurity
sudo git submodule init
sudo git submodule update
sudo ./build.sh
sudo ./configure
sudo make -j$(nproc)
sudo make install

# Tải mã nguồn Nginx (phiên bản tương thích với ModSecurity connector)
cd /usr/local/src
sudo wget http://nginx.org/download/nginx-1.22.1.tar.gz # Thay đổi phiên bản nếu cần
sudo tar -zxvf nginx-1.22.1.tar.gz
cd nginx-1.22.1

# Cấu hình và biên dịch Nginx với ModSecurity module
sudo ./configure --with-compat --add-dynamic-module=/usr/local/src/ModSecurity-nginx
sudo make modules
sudo cp objs/ngx_http_modsecurity_module.so /etc/nginx/modules/

⚠️ Lưu ý: Biên dịch từ mã nguồn đòi hỏi kiến thức sâu hơn và có thể gây ra lỗi nếu không thực hiện đúng. Khuyến nghị sử dụng các gói đã biên dịch sẵn nếu có.

Bước 2: Kích hoạt ModSecurity module cho Nginx

Sau khi module ModSecurity đã được cài đặt (hoặc biên dịch), bạn cần kích hoạt nó trong cấu hình Nginx.

# Tạo thư mục cấu hình ModSecurity và sao chép cấu hình mẫu
sudo mkdir /etc/nginx/modsec
sudo cp /usr/share/modsecurity-crs/modsecurity.conf-recommended /etc/nginx/modsec/modsecurity.conf
sudo cp /usr/share/modsecurity-crs/crs-setup.conf.example /etc/nginx/modsec/crs-setup.conf

# Chỉnh sửa modsecurity.conf
# Mở file /etc/nginx/modsec/modsecurity.conf và tìm dòng:
# SecRuleEngine DetectionOnly
# Thay đổi thành:
# SecRuleEngine On
sudo sed -i 's/SecRuleEngine DetectionOnly/SecRuleEngine On/' /etc/nginx/modsec/modsecurity.conf

# Tạo file cấu hình Nginx để tải module và ModSecurity
# Tạo file /etc/nginx/conf.d/modsecurity.conf
sudo nano /etc/nginx/conf.d/modsecurity.conf

Thêm nội dung sau vào /etc/nginx/conf.d/modsecurity.conf:

# Tải module ModSecurity (chỉ khi biên dịch động)
# load_module modules/ngx_http_modsecurity_module.so; # Bỏ comment nếu bạn biên dịch động

modsecurity_enabled on;
modsecurity_rules_file /etc/nginx/modsec/modsecurity.conf;

Bây giờ, bạn cần kích hoạt ModSecurity cho từng server hoặc location cụ thể trong cấu hình Nginx của bạn (ví dụ: /etc/nginx/sites-available/default hoặc file cấu hình virtual host của bạn).

# Ví dụ trong file cấu hình site của bạn (ví dụ: /etc/nginx/sites-available/default)
server {
    listen 80 default_server;
    listen [::]:80 default_server;
    server_name your_domain.com; # Thay thế bằng domain của bạn

    # Kích hoạt ModSecurity cho server này
    modsecurity on;
    modsecurity_rules_file /etc/nginx/modsec/modsecurity.conf;

    location / {
        # Các cấu hình khác của location
        root /var/www/html;
        index index.html index.htm;
        try_files $uri $uri/ =404;

        # Bạn có thể bật/tắt ModSecurity cho từng location cụ thể
        # modsecurity off; # Để tắt ModSecurity cho location này
    }

    # ... các cấu hình khác
}

Kiểm tra cú pháp Nginx và khởi động lại dịch vụ:

sudo nginx -t
sudo systemctl restart nginx

✅ Nếu không có lỗi, ModSecurity đã được tải và sẵn sàng hoạt động.

Bước 3: Cấu hình Core Rule Set (CRS) cho ModSecurity

Core Rule Set (CRS) là một bộ quy tắc mạnh mẽ của ModSecurity, được thiết kế để bảo vệ ứng dụng web khỏi nhiều loại tấn công, bao gồm SQL Injection.

3.1. Sao chép và kích hoạt CRS

CRS thường được cài đặt cùng với ModSecurity. Bạn cần sao chép các file cấu hình CRS và kích hoạt chúng.

# Nếu bạn đã cài đặt modsecurity-crs package, các file đã có sẵn tại /usr/share/modsecurity-crs/
# Tạo thư mục để chứa các quy tắc CRS đã kích hoạt
sudo mkdir /etc/nginx/modsec/owasp-crs
sudo cp /usr/share/modsecurity-crs/crs-setup.conf.example /etc/nginx/modsec/owasp-crs/crs-setup.conf

# Sao chép tất cả các quy tắc từ thư mục rules của CRS
sudo cp -r /usr/share/modsecurity-crs/rules/ /etc/nginx/modsec/owasp-crs/

3.2. Chỉnh sửa modsecurity.conf để tải CRS

Mở lại file /etc/nginx/modsec/modsecurity.conf và thêm các dòng sau vào cuối file, đảm bảo chúng được tải sau modsecurity.conf nhưng trước bất kỳ quy tắc tùy chỉnh nào khác.

sudo nano /etc/nginx/modsec/modsecurity.conf

Thêm vào cuối file:

# Kích hoạt OWASP ModSecurity Core Rule Set (CRS)
Include /etc/nginx/modsec/owasp-crs/crs-setup.conf
Include /etc/nginx/modsec/owasp-crs/rules/*.conf

⚠️ Quan trọng: Đảm bảo thứ tự crs-setup.conf được include trước tất cả các file quy tắc .conf khác của CRS.

3.3. Tinh chỉnh CRS cho SQL Injection

Các quy tắc chống SQL Injection nằm trong file REQUEST-942-APPLICATION-ATTACK-SQLI.conf (hoặc tương tự) trong thư mục CRS. Mặc định, chúng đã được kích hoạt khi bạn include toàn bộ thư mục rules/.

💡 Mo: Bạn có thể điều chỉnh mức độ nhạy cảm của CRS bằng cách chỉnh sửa crs-setup.conf. Tìm kiếm SecDefaultAction hoặc các biến paranoia_level để điều chỉnh. Đối với chống SQLi, mức độ paranoia cao hơn sẽ cung cấp bảo vệ tốt hơn nhưng cũng có thể gây ra false positives nhiều hơn.

Bước 4: Kiểm tra và tinh chỉnh WAF

4.1. Kiểm tra WAF hoạt động

Hãy thử gửi một yêu cầu HTTP có chứa payload SQL Injection đến ứng dụng web của bạn.

# Ví dụ tấn công SQL Injection cơ bản
curl -v "http://your_domain.com/?id=1%20OR%201=1--"

# Ví dụ tấn công với UNION SELECT
curl -v "http://your_domain.com/?id=1%20UNION%20SELECT%20null,null,null--"

Nếu WAF hoạt động, bạn sẽ thấy mã trạng thái HTTP 403 Forbidden hoặc một trang lỗi tùy chỉnh từ WAF thay vì phản hồi bình thường từ ứng dụng.

4.2. Kiểm tra log ModSecurity

ModSecurity ghi lại các sự kiện bị chặn vào log.

sudo tail -f /var/log/modsec_audit.log # Hoặc file log khác tùy cấu hình của bạn

Bạn sẽ thấy các mục log chi tiết về lý do WAF chặn yêu cầu, bao gồm ID quy tắc bị kích hoạt. Điều này rất quan trọng để gỡ lỗi và tinh chỉnh.

4.3. Xử lý False Positives (Lỗi dương tính giả)

⚠️ Thử thách lớn nhất: WAF có thể chặn các yêu cầu hợp lệ (false positives). Điều này xảy ra khi một yêu cầu bình thường vô tình kích hoạt một quy tắc bảo mật.

Kiểm tra log: Xác định quy tắc nào đã bị kích hoạt.
Loại trừ quy tắc: Nếu bạn chắc chắn rằng một quy tắc cụ thể gây ra false positive cho một tính năng hợp lệ, bạn có thể loại trừ quy tắc đó.
- Tạo một file cấu hình tùy chỉnh (ví dụ: /etc/nginx/modsec/custom-rules.conf).
- Thêm quy tắc loại trừ vào đó, ví dụ:
```
# Loại trừ một quy tắc cụ thể cho một URL cụ thể
SecRule REQUEST_URI "@contains /api/upload_data" \
         "id:999999,phase:1,pass,nolog,noaudit,\
         ctl:ruleRemoveById=942100" # Thay 942100 bằng ID quy tắc gây false positive
```
- Sau đó, include file custom-rules.conf vào modsecurity.conf (sau khi include CRS).
Điều chỉnh độ nhạy: Giảm paranoia_level trong crs-setup.conf có thể giúp giảm false positives nhưng cũng giảm mức độ bảo vệ.

💡 Mẹo: Bắt đầu với SecRuleEngine DetectionOnly để giám sát các cảnh báo mà không chặn lưu lượng, sau đó chuyển sang On khi bạn đã tự tin về cấu hình.

Troubleshooting

WAF không chặn tấn công:
- Kiểm tra SecRuleEngine On đã được đặt chưa.
- Đảm bảo các file CRS đã được include đúng cách trong modsecurity.conf.
- Kiểm tra log Nginx/Apache và ModSecurity để xem có lỗi cấu hình nào không.
- Xác minh module ModSecurity đã được tải bởi Nginx/Apache.
- Đảm bảo Nginx/Apache đã được khởi động lại sau các thay đổi cấu hình.
WAF chặn traffic hợp lệ (False Positives):
- Xem log ModSecurity để tìm ID quy tắc bị kích hoạt.
- Sử dụng ctl:ruleRemoveById để loại trừ quy tắc đó cho các đường dẫn cụ thể, hoặc giảm paranoia_level của CRS.
- Trong môi trường sản xuất, luôn kiểm tra kỹ lưỡng các thay đổi cấu hình WAF.
Vấn đề hiệu suất:
- ModSecurity có thể tiêu tốn tài nguyên. Đảm bảo máy chủ của bạn có đủ CPU và RAM.
- Tắt các quy tắc không cần thiết hoặc các module không sử dụng.
- Cân nhắc sử dụng các giải pháp WAF dựa trên đám mây (Cloud WAF) nếu tài nguyên máy chủ hạn chế.

Kết Luận

Cấu hình Web Application Firewall (WAF) là một bước thiết yếu trong chiến lược bảo mật ứng dụng web, đặc biệt là để chống lại các cuộc tấn công SQL Injection. Bằng cách triển khai ModSecurity với Core Rule Set, bạn tạo ra một lớp phòng thủ mạnh mẽ, lọc bỏ các yêu cầu độc hại trước khi chúng có thể gây hại cho cơ sở dữ liệu của bạn.

Best Practices:

Cập nhật thường xuyên: Luôn cập nhật ModSecurity và Core Rule Set lên phiên bản mới nhất để có được các quy tắc bảo vệ chống lại các mối đe dọa mới.
Giám sát liên tục: Thường xuyên kiểm tra log ModSecurity để phát hiện các cuộc tấn công, false positives và tinh chỉnh quy tắc khi cần.
Kết hợp với các biện pháp khác: WAF là một phần của hệ thống phòng thủ toàn diện. Đừng quên các biện pháp bảo mật khác như validate input, prepared statements trong code, nguyên tắc ít đặc quyền (least privilege) cho database user, và cập nhật hệ thống/phần mềm.
Kiểm thử kỹ lưỡng: Trước khi triển khai WAF vào môi trường sản xuất, hãy kiểm thử kỹ lỡng để đảm bảo nó không gây ảnh hưởng đến chức năng của ứng dụng.

Xem thêm:

Giới Thiệu​

Yêu Cầu​

Các Bước Thực Hiện​

Bước 1: Cài đặt ModSecurity và Nginx (hoặc Apache)​

Bước 2: Kích hoạt ModSecurity module cho Nginx​

Bước 3: Cấu hình Core Rule Set (CRS) cho ModSecurity​

Bước 4: Kiểm tra và tinh chỉnh WAF​

Troubleshooting​

Kết Luận​