Mod_Security es un Firewall de Aplicaciones Web (WAF) que se ejecuta como un modulo en un servidor web y proporciona protección contra diversos ataques a nuestras aplicaciones web.
Nos permite supervisar el tráfico HTTP y realizar un análisis en tiempo real de los request que se realizan a nuestras aplicaciones, está disponible bajo la licencia GNU y su implementación se puede realizar en Apache, Nginx e IIS. Se puede desplegar e integrar en nuestra infraestructura de servidores web, lo que significa que no tenemos que modificar nuestra red interna.
Para utilizar mod_security, se debe activar el repositorio EPEL en CentOS/RHEL Linux, y ejecutar la siguiente secuencia:

Salida:

Archivos de configuración de mod_Security

• /etc/httpd/conf.d/mod_security.conf – Archivo de configuración principal para el módulo de apache mod_security.
• /etc/httpd/modsecurity.d/ – Todos los demás archivos de configuración de la mod_security
• /etc/httpd/modsecurity.d/activated_rules/ – Directorio donde se crean los archivos con los enlaces simbólicos para las reglas a implementar
• /var/log/httpd/modsec_audit.log – Archivo donde se almacenan todos los request que activan eventos ModSecurity (como se detectaron) o un error de servidor se registran (“Relevant Only”) se registran en este archivo.
• /var/log/httpd/modsec_debug.log – Archivo donde se almacenan mensajes de depuración de mod_security.

Activación del modulo

En el archivo /etc/httpd/conf.d/mod_security.conf tener en consideración las siguientes directivas:

• On – Reglas activadas
• Off – reglas desactivadas
• DetectionOnly – Detecta y registra transacciones

Reiniciamos apache

Verificamos la salida:

Referencias:

https://www.modsecurity.org/
http://modsecurity.org/developers.html