Nginx + ModSecurity + Fail2ban + Docker => 1. 취약한 웹사이트

🍺 목차 🍺(보시려면 아래 더보기 를 눌러주세요.)

1. Nginx + ModSecurity + Fail2ban + Docker => 1. 취약한 웹사이트

2. Nginx + ModSecurity + Fail2ban + Docker => 2. ModSecurity + Fail2ban 설치

3. Nginx + ModSecurity + Fail2ban + Docker => 3. Fail2ban 설정 방법

4. Nginx + ModSecurity + Fail2ban + Docker => 4. Nginx Limit req 설정

5. Nginx + ModSecurity + Fail2ban + Docker => 5. Dockerhub 이미지 사용

---

 

1. 시큐어 코딩을 알기 전

작년에 웹서비스 하나를 만들어서 운영을 하였답니다. 처음에는 cafe24 호스팅 서비스를 이용하였으며, 거기서 무료 보안 서비스들을 모두 이용하고 있었지요. 그 후 AWS EC2 프리티어를 알게 되었고, 서버를 옮기게 되었습니다. 리눅스에 구축하면서, 우연히 알게된 modsecurity를 설치하게 되었습니다. 그때까지는 modsecurity가 어떤 역할을 하는지 아무것도 알지 못한 채로 그냥 사용을 하였답니다.

 

그리고, 올해 여름 방학 때 해킹과 보안 관련 연수를 받게 되었습니다. 거기서 배우게 된 웹해킹 방법으로 제가 만든 웹서비스를 테스트 해보았습니다. 그리고는 너무 부끄러웠습니다. 시큐어 코딩을 전혀 알지 못했던 부족한 취미 실력으로 작성한 것이라 너무나 많은 보안 문제가 있었기 때문입니다. 그나마 정말 다행이었던 것은 우연히 설치하게 된 modsecurity 가 그 모든 것을 조용히 막아주고 있었다는 것이었습니다. 

그때서야 시큐어 코딩의 중요성을 알게 되었으며, 웹서비스의 소스를 전면 수정하게 되었지요. 그리고, 웹방화벽인 modsecurity의 기능도 잘 알게 되었습니다. 

 

최근에 docker 를 알게 되었고, 제가 만든 모든 서비스들을 docker를 이용하여 서비스되도록 모두 바꾸는 작업을 하고 있습니다. 그러면서, modsecurity도 도커를 이용하여 설치하는 방법을 찾아보게 되었습니다.

 

처음 해보는 작업이라 엄청 삽질을 하게 되었고, 결국 모든 작업을 마무리하였습니다. 이제 잊지 않기 위해, 그리고 혹시 모를 저와 비슷한 실력 부족한 취미 개발자들을 위해 공부했던 내용을 기록해둡니다.

 

아래 내용 순서는 우선 보안이 취약한 웹사이트를 만든 후, 거기에 웹방화벽인 modsecurity를 설치 후 어떻게 달라지는지 확인을 할 것입니다.

 

또한, 이번에 공부하면서 새롭게 알게 된 fail2ban(무차별 대입 공격 보호)도 설치 및 사용법도 같이 알아볼 것입니다.

 

2. 보안이 취약한 웹소스

가. 웹소스 다운로드

PHP로 아주 단순한 로그인 웹페이지를 만들었습니다. 이 웹페이지는 보안을 전혀 고려하지 않은, 그래서 실제로 사용을 해서는 절대로 안되는 소스임을 참고하시기 바랍니다.

PHP 소스에 대한 구체적인 설명은 따로 하지 않습니다. 소스는 아래 링크에서 초기 파일을 다운받으실 수 있습니다. 다운받으신 후 그 안에 있는 docker-compose.yml을 이용하여 도커 컨테이너를 생성하시면 됩니다. 도커 사용법에 대한 내용도 여기서는 다루지 않겠습니다.

https://github.com/mmssem/ModSecurityFail2ban/releases/tag/%EC%B4%88%EA%B8%B0%ED%8C%8C%EC%9D%BC

Release 초기파일 · mmssem/ModSecurityFail2ban

 

나. docker-compose.yml 내용

본 서비스는 위와 같이 구성되어 있습니다. 먼저 앞단에 proxy 기능을 하는 nginx를 두고 있으며, 그 뒷단에 실제 웹서버 및 mysql 서버를 두고 있습니다. 이렇게 하는 것도 보안 측면에서 좋다고 합니다.

version: '3.9'

networks: 
  mung_net:
    driver: bridge

services:
  front_nginx:
    container_name: front_nginx_cname
    image: nginx:1.23.2-alpine
    restart: always
    ports:
      - "80:80"       #web
      - "81:81"       #web2
      - "82:82"       #phpmyadmin
    volumes:
      - ./docker/front/default.conf:/etc/nginx/conf.d/default.conf
      - ./docker/front/nginx.conf:/etc/nginx/nginx.conf
    depends_on:
      - web
      - web2
    networks:
      - mung_net
  web:
    image: nginx:1.23.2
    container_name: nginx_cname
    restart: unless-stopped
    volumes:
      - ./www/data:/var/www
      - ./docker/conf/default.conf:/etc/nginx/conf.d/default.conf
    depends_on:
      - php_serv
    expose:
      - "80"
    networks:
      - mung_net
  web2:
    image: nginx:1.23.2
    container_name: nginx_cname2
    restart: unless-stopped
    volumes:
      - ./www/data2:/var/www
      - ./docker/conf/default2.conf:/etc/nginx/conf.d/default.conf
    depends_on:
      - php2_serv
    expose:
      - "80"
    networks:
      - mung_net
  php_serv:
    container_name: php_cname
    build:
      context: ./docker/php
      dockerfile: Dockerfile
    restart: unless-stopped
    working_dir: /var/www
    volumes:
      - ./www/data:/var/www
    expose:
      - "9000"
    networks:
      - mung_net
  php2_serv:
    container_name: php2_cname
    build:
      context: ./docker/php
      dockerfile: Dockerfile
    restart: unless-stopped
    working_dir: /var/www
    volumes:
      - ./www/data2:/var/www
    expose:
      - "9000"
    networks:
      - mung_net
  mysql_serv:
    image: mysql:latest
    container_name: mysql_cname
    restart: unless-stopped
    expose:
      - "3306"
    volumes:
      - ./docker/mysql/conf.d:/etc/mysql/conf.d         
      - ./docker/mysql:/docker-entrypoint-initdb.d        
      - ./../mysql_data/mysql:/var/lib/mysql
    environment: 
      MYSQL_DATABASE: testdb
      MYSQL_ROOT_PASSWORD: password
      MYSQL_PASSWORD: password
      MYSQL_USER: admin
      SERVICE_TAGS: mysqlservicetags
      SERVICE_NAME: mysqlservicename
      TZ: Asia/Seoul
    command:
      - --character-set-server=utf8mb4
      - --collation-server=utf8mb4_unicode_ci
    networks:
      - mung_net
  phpmyadmin_serv:
    image: phpmyadmin:latest
    container_name: phpmyadmin_cname
    environment:
      PMA_HOST: mysql
      PMA_PORT: 3306
      PMA_ARBITRARY: 1
    restart: always
    expose:
      - "80"
    depends_on: 
      - mysql_serv
    networks:
      - mung_net

 

다. 취약한 보안 예시

1) http://127.0.0.1 로 접속한 후 아이디는 admin, 패스워드는 pass1234를 입력하면 로그인이 됩니다.

 

2) 위와 같은 과정이 정상적이지만, 이제  SQL 인젝션 공격 방법으로 로그인을 시도해 보겠습니다. 아이디에 아래와 같이 입력하고, 패스워드는 대충 아무거나 입력해 줍니다.

1' or 1 = 1 #

위처럼 SQL 인젝션 공격에 허무하게 뚫리게 됩니다.

 

2) 주소창에 아래와 같이 입력해 봅니다. get방식으로 value 값 1234를 전달하면, 화면 중간에 출력되도록 구현되어 있습니다.

http://localhost/index.php?value=1234

 

이제 value 값으로 아래와 같이 자바스크립트를 입력해 봅니다. 그럼 alert창이 뜨는 것을 볼 수 있습니다. (Reflexed XSS 공격)

http://localhost/index.php?value=<script>alert("해킹중");</script>

 

이제 다시 아래와 같이 입력해 봅니다. 그럼 현재 로그인 되어 있는 사람의 세션 쿠키 값이 그대로 노출되는 것을 볼 수 있습니다. 이런 형태의 자바스크립트를 이용하여 관리자의 세션 쿠키 값을 조용히 해커 서버로 전송할 수 있으며, 이를 이용해서 관리자로 로그인까지 할 수 있게 됩니다.

http://localhost/index.php?value=<script>alert(document.cookie);</script>

 

이처럼 현재의 웹사이트는 여러 해킹 공격에 뚫릴 수 있는 취약점들을 가지고 있는 것을 확인할 수 있습니다.