haproxy-ingress + modsecurity的实践

admin
admin
admin
138883
文章
114
评论
2022年2月20日19:38:13评论133 views字数 2038阅读6分47秒阅读模式

本周实践了带WAF功能的haproxy-ingress,

首先部署一个dvwa的应用,

vim dvwa-deployment.yaml,

apiVersion: apps/v1
kind: Deployment
metadata:
  name: dvwa
  labels:
    app: dvwa
  namespace: httpd
spec:
  selector:
    matchLabels:
      app: dvwa
  template:
    metadata:
      labels:
        app: dvwa
    spec:
      containers:
      - name: dvwa
        image: vulnerables/web-dvwa
        imagePullPolicy: IfNotPresent
        ports:
        - containerPort: 80

kubectl apply -f dvwa-deployment.yaml,

部署dvwa服务,

vim dvwa-service.yaml,

apiVersion: v1
kind: Service
metadata:
  name: dvwa
  namespace: httpd
spec:
  type: NodePort
  selector:
    app: dvwa
  ports:
  - protocol: TCP
    nodePort: 31677
    port: 80
    targetPort: 80

kubectl apply -f dvwa-service.yaml,

使用helm全新部署haproxy-ingress,

helm repo add haproxy-ingress https://haproxy-ingress.github.io/charts,
helm repo update,helm repo list,

helm search repo haproxy-ingress,

values.yaml的内容使用https://github.com/haproxy-ingress/charts/blob/release-0.13/haproxy-ingress/values.yaml,

修改参数,hostNetwork: true,replicaCount: 2,

部署,helm install haproxy-ingress haproxy-ingress/haproxy-ingress --create-namespace --namespace ingress-controller --version 0.13.6 -f values.yaml,

接着部署modsecurity的应用,

下载模板,wget https://haproxy-ingress.github.io/resources/modsecurity-deployment.yaml,

部署,kubectl apply -f modsecurity-deployment.yaml,

发布modsecurity服务,kubectl -n ingress-controller expose deployment modsecurity-spoa --port=12345 --type=ClusterIP,

查询服务,kubectl -n ingress-controller get service modsecurity-spoa,

修改haproxy-ingress的configmap,kubectl -n ingress-controller edit configmap haproxy-ingress,

modsecurity-endpoints: 10.108.10.135:12345,

查询修改结果,kubectl -n ingress-controller get configmap haproxy-ingress -o yaml,

给dvw创建ingress,vim dvwa-ingress.yaml,
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: ingress-dvwa
  annotations:
    kubernetes.io/ingress.class: haproxy
    haproxy-ingress.github.io/waf: "modsecurity"
  namespace: httpd
spec:
  rules:
  - host: dvwa.test.com
    http:
      paths:
      - path:
        backend:
          serviceName: dvwa
          servicePort: 80
kubectl apply -f dvwa-ingress.yaml,

从外网访问dvwa,做SQL注入的时候被阻断,


haproxy-ingress + modsecurity的实践

能查看到日志,

haproxy-ingress + modsecurity的实践


原文始发于微信公众号(云计算和网络安全技术实践):haproxy-ingress + modsecurity的实践

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年2月20日19:38:13
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   haproxy-ingress + modsecurity的实践https://cn-sec.com/archives/794326.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息