การตั้งค่า Web Application Firewall (WAF) และ ModSecurity บน Plesk
Web Application Firewall (WAF) และ ModSecurity เป็นเครื่องมือความปลอดภัยที่ทรงพลังสำหรับการป้องกันเว็บแอปพลิเคชันของคุณจากการโจมตีทั่วไป เมื่อคุณใช้บริการ Cloud VPS หรือ Cloud Hosting จาก Dot Enterprise การตั้งค่า WAF และ ModSecurity บน Plesk จะช่วยให้คุณสามารถป้องกันเว็บไซต์ของคุณจากความเสี่ยงด้านความปลอดภัยได้อย่างมีประสิทธิภาพ บทความนี้จะอธิบายรายละเอียดเกี่ยวกับวิธีการตั้งค่าและการใช้งาน WAF/ModSecurity บน Plesk
Web Application Firewall (WAF) คืออะไร
Web Application Firewall (WAF) เป็นระบบป้องกันที่ทำหน้าที่วิเคราะห์และกรองการร้องขอ HTTP/HTTPS ที่เข้ามาสู่เว็บแอปพลิเคชันของคุณ โดยเฉพาะอย่างยิ่ง WAF จะป้องกันจากการโจมตีทั่วไป เช่น SQL Injection, Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF), Local File Inclusion (LFI), Remote File Inclusion (RFI), และอื่นๆ
ModSecurity คือ WAF แบบโอเพนซอร์สที่สามารถติดตั้งและใช้งานบน Apache web server ได้ ModSecurity ทำหน้าที่เป็นโมดูล Apache Module ที่ตรวจสอบการร้องขอ HTTP และปิดกั้นการร้องขอที่มีลักษณะเป็นการโจมตี Plesk มี ModSecurity ในตัว และคุณสามารถเปิดใช้งานได้ง่ายๆ
การเข้าถึง WAF/ModSecurity บน Plesk
เพื่อเข้าถึง WAF/ModSecurity บน Plesk ให้ทำการเข้าสู่ระบบ Plesk Control Panel ด้วยบัญชีของผู้ดูแลระบบ จากนั้นไปที่ “Extensions” หรือ “Tools & Settings” ในเมนูหลัก มองหาตัวเลือก “Web Application Firewall” หรือ “ModSecurity”
ในเวอร์ชันล่าสุดของ Plesk WAF อาจจะอยู่ในตำแหน่งอื่นๆ เช่นภายใต้ “Domains” สำหรับแต่ละโดเมนหลังจากคลิก คุณจะเห็นแดชบอร์ด WAF/ModSecurity ที่แสดงสถานะ และตัวเลือกการตั้งค่าต่างๆ
การเปิดใช้งาน WAF/ModSecurity
เมื่อคุณไปถึงหน้า WAF/ModSecurity ให้มองหาสวิตช์หรือปุ่ม “Enable” หรือ “Activate” เพื่อเปิดใช้งาน WAF ถ้า ModSecurity ยังไม่ถูกติดตั้ง Plesk อาจขอให้คลิก “Install” เพื่อติดตั้งก่อน เมื่อติดตั้งเสร็จแล้ว ให้คลิก “Enable” เพื่อเปิดใช้งาน
หลังจากเปิดใช้งาน ModSecurity จะเริ่มป้องกันเว็บแอปพลิเคชันของคุณจากการโจมตีต่างๆ ทันที อย่างไรก็ตาม โปรดทราบว่า ModSecurity สามารถส่งผลต่อประสิทธิภาพของเซิร์ฟเวอร์ได้เล็กน้อย หากคุณสังเกตเห็นปัญหาด้านประสิทธิภาพ คุณอาจต้องปรับแต่งกฎของ ModSecurity
การเลือก Ruleset – OWASP และ Comodo
ModSecurity ใช้ Ruleset เพื่อตรวจสอบการร้องขอ HTTP Plesk มักมีให้เลือก Ruleset จากหลายแหล่ง แต่ที่ได้รับความนิยมมากที่สุดคือ OWASP Core Rule Set (CRS) และ Comodo WAF Rules
OWASP CRS เป็น Ruleset ที่ฟรีและเป็นมาตรฐานของอุตสาหกรรม พัฒนาโดย Open Web Application Security Project ประกอบด้วยกฎการป้องกันจากการโจมตี OWASP Top 10 และอื่นๆ ทั่วไป
Comodo WAF Rules เป็นชุดกฎที่พัฒนาโดยบริษัท Comodo ซึ่งเป็นบริษัทด้านความปลอดภัยที่มีชื่อเสียง Comodo Rules มักจะมี False Positive น้อยกว่า OWASP แต่ Comodo Rules บางส่วนอาจต้องมีค่าใช้จ่าย หรือมีข้อจำกัด
เพื่อเลือก Ruleset ให้ไปที่ Settings หรือ Configuration ของ WAF/ModSecurity และมองหาตัวเลือก “Rule Set” หรือ “Core Rule Set” จากนั้นเลือก OWASP หรือ Comodo ตามที่คุณต้องการ หลังจากเลือกแล้ว ให้บันทึกการเปลี่ยนแปลง
การดูและจัดการ Security Events
เมื่อ ModSecurity เปิดใช้งานแล้ว มันจะเริ่มบันทึก Security Events ทั้งหมด รวมถึงการโจมตีที่พบและการร้องขอ HTTP ที่น่าสงสัย เพื่อดูเหตุการณ์ความปลอดภัยเหล่านี้ ให้ไปที่ “Log” หรือ “Events” ในแดชบอร์ด WAF/ModSecurity
ที่นี่คุณจะเห็นรายการของเหตุการณ์ที่พบ พร้อมข้อมูลต่างๆ เช่น เวลา IP address ที่มีการโจมตี ประเภทของการโจมตี และ URL ที่ถูกโจมตี คุณสามารถคลิกเพื่อดูรายละเอียดเพิ่มเติมของแต่ละเหตุการณ์ เช่น Parameter ที่ใช้ในการโจมตี
โหมด Detection และ Prevention
ModSecurity มีสองโหมดการทำงาน คือ Detection Mode และ Prevention Mode ในโหมด Detection Mode ModSecurity จะบันทึกการโจมตีแต่ไม่ปิดกั้นการร้องขอ วิธีนี้มีประโยชน์เมื่อคุณเพิ่งเปิดใช้งาน ModSecurity เพื่อให้คุณได้เห็นว่ามีการโจมตีประเภทใดเกิดขึ้น และทำให้มั่นใจว่า ModSecurity ไม่จะปิดกั้นการร้องขอที่ถูกต้องของผู้ใช้งานของคุณ
ในโหมด Prevention Mode ModSecurity จะบันทึกและปิดกั้นการโจมตีทันที โหมดนี้เป็นโหมดสำหรับการใช้งานในสภาพแวดล้อม Production เมื่อคุณมั่นใจแล้วว่า ModSecurity ทำงานได้อย่างถูกต้อง คุณสามารถเปลี่ยนไปที่ Prevention Mode ได้
เพื่อเปลี่ยนโหมด ให้ไปที่ Settings ของ WAF และมองหาตัวเลือก “Mode” หรือ “Configuration Mode” จากนั้นเลือก Detection หรือ Prevention ตามที่คุณต้องการ
การปิดกั้น IP Address และการตั้งค่า Whitelist
นอกจากการใช้ ModSecurity WAF ยังสามารถตั้งค่าเพื่อปิดกั้น IP Address ที่เป็นอันตรายได้ หากคุณเห็นจากบันทึก Security Events ว่า IP Address ใดโจมตีคุณบ่อย คุณสามารถเพิ่ม IP นั้นไปยัง Blacklist เพื่อให้ ModSecurity ปิดกั้น
ในทางกลับกัน คุณอาจมี IP Address ที่ถูกต้องเสมอ เช่น Office IP หรือ Monitoring Service IP ที่ไม่ต้องการให้ ModSecurity ตรวจสอบ คุณสามารถเพิ่ม IP เหล่านี้ไปยัง Whitelist เพื่อให้ ModSecurity อนุญาต
เพื่อตั้งค่า Whitelist หรือ Blacklist ให้ไปที่ Settings และมองหา “IP List” “Black List” หรือ “White List” จากนั้นคลิก “Add” เพื่อเพิ่ม IP Address
การแก้ไข False Positives
บางครั้ง ModSecurity อาจปิดกั้นการร้องขอที่ถูกต้องของผู้ใช้งานของคุณ ซึ่งเรียกว่า False Positive หากสังเกตเห็นว่าผู้ใช้งานของคุณไม่สามารถใช้ฟีเจอร์บางอย่างได้ หรือได้รับข้อความแสดงข้อผิดพลาด ลองตรวจดูบันทึก Security Events เพื่อดูว่ามี False Positive เกิดขึ้นหรือไม่
เพื่อแก้ไข False Positive คุณสามารถปิดการใช้งานกฎที่เฉพาะเจาะจงที่ทำให้เกิด False Positive ไป หรือสร้าง Exception เพื่อให้ ModSecurity ไม่ตรวจสอบ URL หรือ Parameter ที่เฉพาะเจาะจง วิธีนี้ต้องการความรู้เกี่ยวกับกฎ ModSecurity ดังนั้นหากคุณไม่มั่นใจ สามารถติดต่อทีมสนับสนุน Dot Enterprise ได้
เคล็ดลับการใช้งาน WAF/ModSecurity อย่างมีประสิทธิภาพ
เมื่อใช้ WAF/ModSecurity มีเคล็ดลับบางประการที่จะช่วยให้คุณได้ประโยชน์สูงสุด ประการแรก ควรเริ่มต้นด้วย Detection Mode ก่อน เพื่อให้คุณมีเวลาตรวจสอบและแก้ไข False Positive ก่อนที่จะเปลี่ยนไปที่ Prevention Mode
ประการที่สอง ตรวจสอบบันทึก Security Events อย่างสม่ำเสมอ วิธีนี้จะช่วยให้คุณเข้าใจว่ามีการโจมตีประเภทใดเกิดขึ้น และเขียนกฎเพิ่มเติมได้หากจำเป็น ประการที่สาม พิจารณาการใช้ WAF ร่วมกับเครื่องมือความปลอดภัยอื่นๆ เช่น Imunify มัลแวร์สแกนเนอร์ และ Firewall ระดับเซิร์ฟเวอร์
บทสรุป
Web Application Firewall (WAF) และ ModSecurity บน Plesk เป็นเครื่องมือที่สำคัญสำหรับการป้องกันเว็บแอปพลิเคชันของคุณจากการโจมตี ด้วยการเปิดใช้งาน ModSecurity การเลือก Ruleset ที่เหมาะสม และการตรวจสอบบันทึก Security Events อย่างสม่ำเสมอ คุณสามารถมั่นใจได้ว่าเว็บไซต์ของคุณได้รับการป้องกันที่ดีที่สุด โดยเฉพาะอย่างยิ่งถ้าคุณใช้บริการ Cloud VPS หรือ Cloud Hosting จาก Dot Enterprise เทีมสนับสนุนของเราพร้อมที่จะช่วยเหลือในการตั้งค่าและแก้ไขปัญหาใดๆ
