WAF-Integration: ModSecurity/CRS sauber in Nginx/Apache betreiben

Eine Web Application Firewall (WAF) wie ModSecurity in Verbindung mit dem OWASP Core Rule Set (CRS) bietet einen effektiven Schutz für Nginx- und Apache-Webserver gegen bekannte Webangriffe, inklusive SQL-Injection, XSS und Remote File Inclusion. Richtig integriert, verhindert sie Sicherheitsvorfälle, ohne den regulären Betrieb zu beeinträchtigen. In diesem Tutorial zeigen wir praxisnahe Schritte zur Installation, Konfiguration und Überwachung.

ModSecurity Grundlagen

ModSecurity ist ein Open-Source-Modul für Webserver, das HTTP-Anfragen überwacht, filtert und ggf. blockiert. Es arbeitet entweder in Apache als Modul oder über den ModSecurity Connector für Nginx.

Wichtige Features

• Real-Time Monitoring von HTTP-Traffic
• Flexible Rule-Sets und Custom Rules
• Audit Logging zur forensischen Analyse
• Kompatibilität mit OWASP CRS

Installation auf Apache

Für Apache wird ModSecurity als Modul installiert und anschließend mit CRS konfiguriert.

# Installation unter Debian/Ubuntu
sudo apt update
sudo apt install libapache2-mod-security2

# CRS herunterladen
sudo git clone https://github.com/coreruleset/coreruleset /usr/share/modsecurity-crs

# CRS aktivieren
sudo cp /usr/share/modsecurity-crs/crs-setup.conf.example /usr/share/modsecurity-crs/crs-setup.conf

Apache Integration

• ModSecurity als Modul laden
• Default-Modus auf DetectionOnly setzen für erste Tests
• CRS in Apache einbinden:

# /etc/apache2/mods-enabled/security2.conf
IncludeOptional /usr/share/modsecurity-crs/*.conf

Installation auf Nginx

Nginx unterstützt ModSecurity über den ModSecurity Connector (libmodsecurity).

# Abhängigkeiten installieren
sudo apt install libmodsecurity3 nginx

# Nginx mit ModSecurity Loader aktivieren
sudo ln -s /etc/modsecurity/modsecurity.conf-recommended /etc/modsecurity/modsecurity.conf
sudo nano /etc/modsecurity/modsecurity.conf
# SecRuleEngine auf DetectionOnly oder On setzen

CRS Integration für Nginx

• CRS Rules herunterladen
• Include in Nginx konfigurieren

server {
    listen 80;
    server_name example.com;
modsecurity on;
modsecurity_rules_file /etc/nginx/modsec/main.conf;

location / {
    proxy_pass http://127.0.0.1:8080;
}

}


Rule Sets und Anpassungen
CRS bietet Basisregeln für die häufigsten Angriffsvektoren. Anpassungen und Ausnahmen verhindern False Positives.
Custom Rules

Pfad-Whitelist: bestimmte interne APIs vom Blocking ausnehmen
Header-Checks: z. B. X-Forwarded-For korrekt interpretieren
Rate-Limits in Kombination mit WAF

# Beispiel: Whitelist für Admin-API
SecRule REQUEST_URI "@beginsWith /admin/api" "id:100001,phase:1,nolog,allow"

Audit Logging
ModSecurity protokolliert Angriffe im Audit Log, was für Debugging und Sicherheitsanalysen essenziell ist.
# Apache
SecAuditEngine RelevantOnly
SecAuditLog /var/log/apache2/modsec_audit.log

# Nginx
SecAuditEngine RelevantOnly
SecAuditLog /var/log/nginx/modsec_audit.log

Log Analyse

grep und awk für schnelle Auswertung
Tools wie modsec-log-analyzer oder ELK Stack
Identifizierung wiederkehrender Muster und Bot-Aktivitäten

Testen und Monitoring
Vor dem produktiven Einsatz ist eine Testphase im DetectionOnly-Modus empfehlenswert, um False Positives zu erkennen.

Erstellen von Testanfragen, die bekannte XSS- oder SQL-Injection-Muster enthalten
Überwachung von Audit Logs und Nginx/Apache Access Logs
Monitoring Alerts konfigurieren, z. B. über Prometheus oder Grafana

Best Practices

CRS regelmäßig aktualisieren, um neue Exploits abzudecken
False Positives systematisch identifizieren und Regeln anpassen
Separate Logging-Zonen für WAF und normale Zugriffe
Kombination mit Rate Limiting und Captchas für sensible Endpunkte
Zero-Downtime Updates der Regeln testen

Zusammenfassung
Die Integration von ModSecurity mit CRS in Nginx oder Apache schützt Webanwendungen effektiv vor gängigen Angriffen. Mit sorgfältigem Testing, Custom Rules und kontinuierlichem Monitoring lassen sich False Positives minimieren und die Stabilität des Web Stacks erhalten. In Kombination mit Logging und Rate Limiting entsteht ein mehrschichtiger Schutz, der auch unter Last zuverlässig arbeitet.
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3
Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.
Meine Leistungen umfassen:


Professionelle Konfiguration von Routern und Switches


Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen


Erstellung von Topologien und Simulationen in Cisco Packet Tracer


Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG


Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible


Erstellung von Skripten für wiederkehrende Netzwerkaufgaben


Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege


Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting


Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.