{"id":174,"date":"2026-06-17T16:20:29","date_gmt":"2026-06-17T16:20:29","guid":{"rendered":"https:\/\/shattered.io\/de\/2026\/06\/17\/modsecurity-nginx-waf-einrichten\/"},"modified":"2026-06-17T16:22:01","modified_gmt":"2026-06-17T16:22:01","slug":"modsecurity-nginx-waf-einrichten","status":"publish","type":"post","link":"https:\/\/shattered.io\/de\/2026\/06\/17\/modsecurity-nginx-waf-einrichten\/","title":{"rendered":"ModSecurity 3 + Nginx WAF einrichten: 12 Schritte [2026]"},"content":{"rendered":"\n

Webserver ohne eine Web Application Firewall<\/strong> sind verwundbar, egal wie sicher der Anwendungscode wirkt. SQL-Injection, Cross-Site-Scripting und Path-Traversal-Attacken treffen t\u00e4glich Tausende Produktionssysteme, weil der HTTP-Datenstrom ungefiltert bei der Anwendung ankommt. ModSecurity 3, kombiniert mit dem OWASP Core Rule Set und Nginx, liefert eine ausgereifte Open-Source-WAF, die du in unter 60 Minuten auf Ubuntu 22.04 oder 24.04 produktionsreif einrichten kannst. Diese Anleitung zeigt alle 12 Schritte vom ersten apt-get<\/code>-Aufruf bis zum aktiven Blocking-Modus.<\/p>\n\n\n\n

Was ist eine Web Application Firewall?<\/h2>\n\n\n\n

Eine Web Application Firewall (WAF)<\/strong> analysiert HTTP- und HTTPS-Anfragen auf Anwendungsschicht (OSI-Schicht 7), bevor sie die eigentliche Webanwendung erreichen. Klassische Netzwerk-Firewalls arbeiten auf Schicht 3 und 4 und kennen keinen Unterschied zwischen einem legitimen POST-Request und einem SQL-Injection-Versuch, solange Quell-IP und Zielport erlaubt sind. Eine WAF versteht den Inhalt der Anfrage und kann gef\u00e4hrliche Muster erkennen und blockieren.<\/p>\n\n\n\n

Die h\u00e4ufigsten Angriffsvektoren, gegen die eine WAF sch\u00fctzt, sind im OWASP Top 10 dokumentiert: SQL-Injection (A03), Cross-Site-Scripting\/XSS (A03), Broken Access Control (A01) und Server-Side Request Forgery (A10). ModSecurity, das seit 2002 entwickelt wird und heute von der OWASP Foundation betreut wird, ist die am weitesten verbreitete Open-Source-WAF-Engine und l\u00e4uft als Modul vor Apache, Nginx und IIS.<\/p>\n\n\n\n

Der entscheidende Vorteil einer Reverse-Proxy-WAF vor Nginx: Alle Anfragen, ob HTTP oder HTTPS, passieren die WAF-Engine, bevor sie an Backend-Dienste wie Node.js, PHP-FPM oder einen Java-Appserver weitergereicht werden. Nach der TLS-Terminierung durch Nginx sieht ModSecurity den entschl\u00fcsselten Klartext und kann auch verschl\u00fcsselte Angriffe abfangen.<\/p>\n\n\n\n

F\u00fcr Betreiber von Webdiensten in Deutschland ist eine WAF mittlerweile keine optionale Ma\u00dfnahme mehr. Die NIS2-Richtlinie und der Cyber Resilience Act (CRA) erwarten von betroffenen Organisationen nachweisbare technische Schutzma\u00dfnahmen auf Anwendungsebene. ModSecurity mit OWASP CRS erf\u00fcllt diese Anforderungen direkt.<\/p>\n\n\n\n

ModSecurity 3 im \u00dcberblick<\/h2>\n\n\n\n

ModSecurity 3 (intern als libmodsecurity bekannt) ist ein vollst\u00e4ndiger Neuaufbau gegen\u00fcber der Version 2 und bringt drei wesentliche Verbesserungen mit sich: eine saubere C++-Bibliothek mit \u00f6ffentlichem API, unabh\u00e4ngige Konnektoren f\u00fcr verschiedene Webserver (Nginx, Apache, IIS) und einen aktiv gepflegten GitHub-Monorepo unter github.com\/owasp-modsecurity\/ModSecurity<\/a>. Auf der offiziellen Projektseite wird ModSecurity als “Swiss Army Knife” der Web Application Firewalls beschrieben.<\/p>\n\n\n\n

F\u00fcr Ubuntu 22.04 LTS ist ModSecurity v3.0.13 aus den Paketquellen verf\u00fcgbar, liegt aber hinter dem Entwicklungsstand des GitHub-Repositorys zur\u00fcck. F\u00fcr Ubuntu 24.04 und f\u00fcr Produktionsumgebungen, bei denen exakte ABI-Kompatibilit\u00e4t mit dem installierten Nginx-Binary gefragt ist, empfiehlt sich die Kompilierung aus dem Quellcode. Der Mehraufwand gegen\u00fcber apt-get install<\/code> betr\u00e4gt etwa 10 bis 15 Minuten.<\/p>\n\n\n\n

Im April 2025 wurde CVE-2025-47947<\/strong> f\u00fcr ModSecurity in der Ubuntu-Sicherheitsdatenbank dokumentiert. Diese Schwachstelle betrifft ausschlie\u00dflich die \u00e4ltere 2.9.x-Serie (Apache-Modul). Installationen mit ModSecurity 3 sind von diesem CVE nicht betroffen. Dennoch gilt: Jede produktive WAF-Installation sollte regelm\u00e4\u00dfig auf neue Sicherheitsupdates gepr\u00fcft werden.<\/p>\n\n\n\n

Ein praktischer \u00dcberblick \u00fcber die Architektur: Der Nginx-Prozess empf\u00e4ngt eine Anfrage, reicht sie an das dynamisch geladene Modul ngx_http_modsecurity_module.so<\/code> weiter, welches die Anfrage an die libmodsecurity-Bibliothek \u00fcbergibt. Die Bibliothek pr\u00fcft die Anfrage gegen alle geladenen Regeln (OWASP CRS plus eigene Regeln), gibt dann eine Entscheidung zur\u00fcck (erlaubt, blockiert oder geloggt), und Nginx handelt entsprechend.<\/p>\n\n\n\n

OWASP Core Rule Set: Die Grundlage jeder WAF<\/h2>\n\n\n\n

ModSecurity ohne Regeln ist wie ein T\u00fcrsteher ohne G\u00e4steliste: technisch pr\u00e4sent, aber praktisch wirkungslos. Das OWASP Core Rule Set (CRS)<\/strong> liefert \u00fcber 200 vorkonfigurierte Erkennungsregeln, die auf jahrelanger Angreiferforschung basieren und regelm\u00e4\u00dfig aktualisiert werden. Die Regeln sind thematisch nach Angriffskategorie gruppiert und jeweils mit einer eindeutigen numerischen Regel-ID versehen. Das CRS-Projekt wird unter coreruleset.org<\/a> und auf GitHub<\/a> aktiv weiterentwickelt.<\/p>\n\n\n\n

Ein zentrales Konzept des CRS ist das Paranoia-Level<\/strong>: Level 1 aktiviert nur sehr sichere Regeln mit niedrigem False-Positive-Risiko. Level 4 aktiviert alle Regeln inklusive solcher, die legitimen Traffic treffen k\u00f6nnten. F\u00fcr eine neue Installation ist Level 1 oder 2 der richtige Ausgangspunkt.<\/p>\n\n\n\n

Regel-ID-Bereich<\/th>Schutzbereich<\/th>Beispiel-Angriff<\/th><\/tr><\/thead>
900000\u2013909999<\/td>CRS-Initialisierung und Grundkonfiguration<\/td>Paranoia-Level-Einstellung<\/td><\/tr>
910000\u2013919999<\/td>IP-Reputation und Scanner-Erkennung<\/td>Bekannte Angriffs-IPs, Port-Scanner<\/td><\/tr>
920000\u2013929999<\/td>Protokoll-Erzwingung<\/td>Fehlende Host-Header, ung\u00fcltige HTTP-Methoden<\/td><\/tr>
930000\u2013939999<\/td>Local File Inclusion (LFI)<\/td>..\/..\/..\/etc\/passwd<\/code><\/td><\/tr>
931000\u2013931999<\/td>Remote File Inclusion (RFI)<\/td>Externe URL in Dateiparametern<\/td><\/tr>
932000\u2013932999<\/td>Remote Code Execution (RCE)<\/td>Shell-Injektionen, Systemaufrufe<\/td><\/tr>
933000\u2013933999<\/td>PHP-Injection<\/td>eval()<\/code>, base64_decode()<\/code> in Parametern<\/td><\/tr>
941000\u2013941999<\/td>Cross-Site-Scripting (XSS)<\/td><script>alert(1)<\/script><\/code><\/td><\/tr>
942000\u2013942999<\/td>SQL-Injection<\/td>1' OR '1'='1<\/code>, UNION-Angriffe<\/td><\/tr>
943000\u2013943999<\/td>Session-Fixation<\/td>Session-ID-Manipulation<\/td><\/tr>
944000\u2013944999<\/td>Java-Injection<\/td>Log4Shell-\u00e4hnliche Payloads<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Voraussetzungen<\/h2>\n\n\n\n

Das Tutorial setzt einen Server mit Ubuntu 22.04 LTS oder 24.04 LTS voraus. Alle Befehle werden als Root oder mit sudo<\/code>-Rechten ausgef\u00fchrt. F\u00fcr Ubuntu 22.04 k\u00f6nnen einige Schritte durch Paket-Installation abgek\u00fcrzt werden, wenn libmodsecurity3<\/code> aus den Ubuntu-Paketquellen ausreichend aktuell ist. Ubuntu 24.04 erfordert aktuell die Kompilierung aus dem Quellcode, da die Paketversion hinter dem GitHub-Stand zur\u00fcckbleibt und mit aktuellen Nginx-Versionen nicht kompatibel ist.<\/p>\n\n\n\n

Komponente<\/th>Mindestversion<\/th>Empfohlen<\/th>Funktion<\/th><\/tr><\/thead>
Ubuntu<\/td>22.04 LTS<\/td>24.04 LTS<\/td>Betriebssystem<\/td><\/tr>
Nginx<\/td>1.24.0<\/td>1.26.x stable<\/td>Webserver \/ Reverse Proxy<\/td><\/tr>
libmodsecurity3<\/td>3.0.8<\/td>3.0.13 oder neuer<\/td>WAF-Engine<\/td><\/tr>
ModSecurity-nginx Connector<\/td>aktueller master<\/td>aktueller master<\/td>Nginx-Modul<\/td><\/tr>
OWASP CRS<\/td>3.3.x<\/td>4.x (neueste Version)<\/td>Regelwerk<\/td><\/tr>
Git<\/td>2.x<\/td>beliebig<\/td>Repository-Klonen<\/td><\/tr>
GCC \/ G++<\/td>Version 11<\/td>Version 13<\/td>Kompilierung<\/td><\/tr>
RAM<\/td>1 GB<\/td>2 GB oder mehr<\/td>Kompilierung und Betrieb<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Stelle vor dem Start sicher, dass du die exakte Nginx-Version kennst. Die Ausgabe von nginx -v<\/code> zeigt die Versionsnummer, gegen die der Konnektor kompiliert werden muss. Eine Versionsdiskrepanz f\u00fchrt zu einem ABI-Inkompatibilit\u00e4tsfehler beim Start.<\/p>\n\n\n\n

Schritt 1: Build-Abh\u00e4ngigkeiten installieren<\/h2>\n\n\n\n

Der erste Schritt installiert alle Bibliotheken und Build-Tools, die f\u00fcr die Kompilierung von libmodsecurity3 und dem Nginx-Konnektor ben\u00f6tigt werden. Der Vorgang dauert auf einem typischen VPS mit 2 CPU-Kernen etwa 2 Minuten.<\/p>\n\n\n\n

sudo apt-get update\nsudo apt-get install -y \\\n  git build-essential automake autoconf libtool pkg-config \\\n  libcurl4-openssl-dev libpcre2-dev libpcre3-dev libxml2-dev \\\n  libyajl-dev libgeoip-dev liblmdb-dev libmaxminddb-dev \\\n  libssl-dev libxml2-utils libgd-dev doxygen flex bison \\\n  ca-certificates wget curl zlib1g-dev<\/code><\/pre>\n\n\n\n
Falls libpcre2-dev<\/code> auf Ubuntu 22.04 nicht gefunden wird, reicht libpcre3-dev<\/code> allein. ModSecurity 3 unterst\u00fctzt beide PCRE-Versionen, bevorzugt aber PCRE2 wegen besserer Performance bei komplexen Mustern. Das Paket libmaxminddb-dev<\/code> ist f\u00fcr das sp\u00e4tere GeoIP-Blocking erforderlich und sollte direkt mitinstalliert werden.<\/p>\n\n\n\n
Schritt 2: libmodsecurity3 aus dem Quellcode kompilieren<\/h2>\n\n\n\n
Die Kompilierung von libmodsecurity3 dauert auf einem 2-Core-VPS typischerweise 5 bis 10 Minuten. Das Flag -j\"$(nproc)\"<\/code> nutzt alle verf\u00fcgbaren CPU-Kerne parallel und halbiert die Kompilierungszeit gegen\u00fcber einem einzelnen Kern.<\/p>\n\n\n\n
cd \/usr\/local\/src\nsudo git clone --depth 1 -b v3\/master --single-branch \\\n  https:\/\/github.com\/SpiderLabs\/ModSecurity\ncd ModSecurity\nsudo git submodule init\nsudo git submodule update\nsudo .\/build.sh\nsudo .\/configure\nsudo make -j\"$(nproc)\"\nsudo make install\nsudo ldconfig<\/code><\/pre>\n\n\n\n
Der Schritt git submodule update<\/code> ist entscheidend: Er l\u00e4dt abh\u00e4ngige Bibliotheken wie ssdeep<\/code> und einen LZMA-Decoder nach. Ohne diesen Schritt bricht .\/configure<\/code> mit Fehlern \u00fcber fehlende Header-Dateien ab. Nach erfolgreichem make install<\/code> liegt die fertige Bibliothek unter \/usr\/local\/lib\/libmodsecurity.so.3<\/code>. Der abschlie\u00dfende ldconfig<\/code>-Aufruf registriert sie im dynamischen Bibliothekspfad des Systems.<\/p>\n\n\n\n
Pr\u00fcfe den Erfolg mit:<\/p>\n\n\n\n
ldconfig -p | grep modsecurity\n# Erwartete Ausgabe:\n# libmodsecurity.so.3 (libc6,x86-64) => \/usr\/local\/lib\/libmodsecurity.so.3<\/code><\/pre>\n\n\n\n
Schritt 3: Nginx-Quellcode herunterladen<\/h2>\n\n\n\n
Der ModSecurity-Nginx-Konnektor ist ein dynamisches Nginx-Modul. Er muss zwingend gegen dieselbe Nginx-Version kompiliert werden, die auf dem System l\u00e4uft. Selbst ein Minor-Version-Unterschied (1.24.0 vs. 1.24.1) kann zu Startfehlern f\u00fchren.<\/p>\n\n\n\n
# Installierte Nginx-Version ermitteln\nnginx -v\n# Beispielausgabe: nginx version: nginx\/1.24.0\n\n# Passenden Nginx-Quellcode herunterladen\ncd \/usr\/local\/src\nsudo wget http:\/\/nginx.org\/download\/nginx-1.24.0.tar.gz\nsudo tar -xzf nginx-1.24.0.tar.gz<\/code><\/pre>\n\n\n\n
Falls Nginx noch nicht installiert ist, installiere es zuerst \u00fcber die offiziellen Nginx-Paketquellen. Weitere Details zur Nginx-Konfiguration als Reverse Proxy findest du in unserem Nginx Reverse Proxy Tutorial<\/a> und zur automatischen HTTPS-Einrichtung in der Anleitung zu Let’s Encrypt Zertifikaten<\/a>.<\/p>\n\n\n\n
Schritt 4: ModSecurity-Nginx-Konnektor kompilieren<\/h2>\n\n\n\n
Jetzt wird der eigentliche Nginx-Konnektor als dynamisches Modul kompiliert. Das Resultat ist eine .so<\/code>-Datei (Shared Object), die Nginx beim Start l\u00e4dt und die Verbindung zur libmodsecurity-Bibliothek herstellt.<\/p>\n\n\n\n
cd \/usr\/local\/src\nsudo git clone https:\/\/github.com\/SpiderLabs\/ModSecurity-nginx.git\n\ncd nginx-1.24.0\nsudo .\/configure --with-compat --add-dynamic-module=..\/ModSecurity-nginx\nsudo make modules\n\n# Kompiliertes Modul in Nginx-Verzeichnis kopieren\nsudo cp objs\/ngx_http_modsecurity_module.so \/usr\/lib\/nginx\/modules\/\nsudo chmod 0644 \/usr\/lib\/nginx\/modules\/ngx_http_modsecurity_module.so<\/code><\/pre>\n\n\n\n
Das Flag --with-compat<\/code> ist entscheidend: Es aktiviert den ABI-Kompatibilit\u00e4tsmodus, sodass das Modul mit einem bereits installierten Nginx-Binary zusammenarbeitet, ohne Nginx selbst neu kompilieren zu m\u00fcssen. Ohne dieses Flag schl\u00e4gt das Laden des Moduls zur Laufzeit mit einem ABI-Fehler fehl, obwohl die Kompilierung selbst erfolgreich war.<\/p>\n\n\n\n
Schritt 5: Nginx-Modul laden und testen<\/h2>\n\n\n\n
Das kompilierte Modul muss Nginx beim Start bekannt gemacht werden. F\u00fcge die folgende Zeile ganz oben in \/etc\/nginx\/nginx.conf<\/code> ein, noch vor dem events<\/code>-Block.<\/p>\n\n\n\n
# \/etc\/nginx\/nginx.conf (Anfang der Datei)\nload_module modules\/ngx_http_modsecurity_module.so;\n\nevents {\n    worker_connections 1024;\n}\n\nhttp {\n    # ... bestehende Konfiguration bleibt unver\u00e4ndert\n}<\/code><\/pre>\n\n\n\n
Konfiguration pr\u00fcfen und Nginx neu laden:<\/p>\n\n\n\n
sudo nginx -t\n# Erwartete Ausgabe:\n# nginx: the configuration file \/etc\/nginx\/nginx.conf syntax is ok\n# nginx: configuration file \/etc\/nginx\/nginx.conf test is successful\n\nsudo systemctl reload nginx<\/code><\/pre>\n\n\n\n
Wenn nginx -t<\/code> einen Fehler \u00fcber ein nicht bin\u00e4r-kompatibles Modul meldet, wurde der Konnektor gegen eine falsche Nginx-Version kompiliert. Pr\u00fcfe nginx -v<\/code> erneut und wiederhole Schritt 3 und 4 mit der korrekten Version.<\/p>\n\n\n\n
Schritt 6: ModSecurity-Konfigurationsverzeichnis einrichten<\/h2>\n\n\n\n
ModSecurity erwartet seine Konfiguration in einem eigenen Verzeichnis. Erstelle die Verzeichnisstruktur und kopiere die mitgelieferte Beispielkonfiguration als Ausgangspunkt.<\/p>\n\n\n\n
sudo mkdir -p \/etc\/nginx\/modsec\n\n# Empfohlene Basiskonfiguration kopieren\nsudo cp \/usr\/local\/src\/ModSecurity\/modsecurity.conf-recommended \\\n  \/etc\/nginx\/modsec\/modsecurity.conf\n\n# Unicode-Mapping-Datei f\u00fcr Zeichenkodierungs-Erkennung\nsudo cp \/usr\/local\/src\/ModSecurity\/unicode.mapping \\\n  \/etc\/nginx\/modsec\/unicode.mapping<\/code><\/pre>\n\n\n\n
Die Datei unicode.mapping<\/code> hilft ModSecurity, Unicode-Kodierungen wie %u0027<\/code> (einfaches Anf\u00fchrungszeichen) in SQL-Injektionsversuchen zu erkennen. Ohne diese Datei k\u00f6nnen bestimmte Umgehungstechniken \u00fcber Unicode-Kodierungen die WAF passieren.<\/p>\n\n\n\n
Schritt 7: modsecurity.conf konfigurieren<\/h2>\n\n\n\n
Die Datei \/etc\/nginx\/modsec\/modsecurity.conf<\/code> steuert das Grundverhalten der Web Application Firewall<\/strong>. Bearbeite sie mit einem Editor und passe die folgenden Schl\u00fcsselparameter an.<\/p>\n\n\n\n
# WAF-Modus: DetectionOnly = nur loggen, On = blockieren\n# Immer mit DetectionOnly starten und erst nach Tuning auf On wechseln!\nSecRuleEngine DetectionOnly\n\n# HTTP-Request-Body inspizieren (notwendig f\u00fcr POST-Angriffe)\nSecRequestBodyAccess On\n\n# Response-Body-Inspektion ist ressourcenintensiv, zun\u00e4chst deaktivieren\nSecResponseBodyAccess Off\n\n# Maximale Request-Body-Gr\u00f6\u00dfe (13 MB)\nSecRequestBodyLimit 13107200\nSecRequestBodyNoFilesLimit 131072\nSecRequestBodyLimitAction Reject\n\n# Audit-Log: Nur relevante Ereignisse loggen\nSecAuditEngine RelevantOnly\nSecAuditLog \/var\/log\/nginx\/modsec_audit.log\nSecAuditLogParts ABIJDEFHZ\nSecAuditLogFormat JSON\n\n# PCRE-Limits als Schutz vor Regular-Expression-DoS (ReDoS)\nSecPcreMatchLimit 1000\nSecPcreMatchLimitRecursion 1000\n\n# Tempor\u00e4re Verzeichnisse f\u00fcr Request-Body-Daten\nSecTmpDir \/tmp\/\nSecDataDir \/tmp\/<\/code><\/pre>\n\n\n\n
Der Parameter SecAuditLogFormat JSON<\/code> erzeugt maschinenlesbare Logs, die sich direkt mit jq<\/code>, Elasticsearch oder Grafana Loki verarbeiten lassen. Das klassische Format ist zwar kompakter, erschwert aber die Automatisierung und Auswertung erheblich.<\/p>\n\n\n\n
Erstelle nun die zentrale Include-Datei, die Nginx als Einstiegspunkt f\u00fcr die WAF-Konfiguration verwendet:<\/p>\n\n\n\n
sudo bash -c 'cat > \/etc\/nginx\/modsec\/main.conf << \"EOF\"\nInclude \/etc\/nginx\/modsec\/modsecurity.conf\nInclude \/etc\/nginx\/modsec\/crs-setup.conf\nInclude \/etc\/nginx\/modsec\/rules\/*.conf\nEOF'<\/code><\/pre>\n\n\n\n
Schritt 8: OWASP Core Rule Set installieren<\/h2>\n\n\n\n
Das OWASP CRS ist das Herzst\u00fcck jeder ModSecurity-basierten Web Application Firewall<\/strong>. Die Installation direkt aus dem GitHub-Repository erm\u00f6glicht sp\u00e4tere Updates per git pull<\/code>.<\/p>\n\n\n\n
cd \/etc\/nginx\/modsec\n\n# OWASP CRS klonen\nsudo git clone https:\/\/github.com\/coreruleset\/coreruleset.git rules\n\n# Beispielkonfiguration als aktive Konfiguration verwenden\nsudo cp \/etc\/nginx\/modsec\/rules\/crs-setup.conf.example \\\n  \/etc\/nginx\/modsec\/crs-setup.conf\n\n# Anzahl der installierten Regelfiles pr\u00fcfen\nls \/etc\/nginx\/modsec\/rules\/rules\/*.conf | wc -l\n# Ausgabe: sollte mehr als 25 Dateien zeigen<\/code><\/pre>\n\n\n\n
Das Paranoia-Level in crs-setup.conf<\/code> anpassen. Die Datei enth\u00e4lt die entsprechende Zeile bereits auskommentiert:<\/p>\n\n\n\n
# In \/etc\/nginx\/modsec\/crs-setup.conf: Zeile suchen und anpassen\n# Paranoia-Level 1 = Standard (empfohlen f\u00fcr neuen Installationen)\n# Paranoia-Level 2 = empfohlen f\u00fcr Produktionssysteme nach Tuning\n\nSecAction \\\n  \"id:900000,\\\n   phase:1,\\\n   nolog,\\\n   pass,\\\n   t:none,\\\n   setvar:tx.paranoia_level=1\"<\/code><\/pre>\n\n\n\n
Das OWASP CRS enth\u00e4lt zus\u00e4tzlich optionale Plugin-Regeln f\u00fcr spezifische Anwendungen (WordPress, Drupal, NextCloud) im Unterverzeichnis plugins\/<\/code>. F\u00fcr eine Standard-Installation sind diese nicht erforderlich.<\/p>\n\n\n\n
Schritt 9: Nginx-Serverkonfiguration mit WAF aktivieren<\/h2>\n\n\n\n
Jetzt wird ModSecurity in der Nginx-Serverkonfiguration aktiviert. Bearbeite deine bestehende Site-Konfiguration in \/etc\/nginx\/sites-available\/<\/code> oder erstelle eine neue.<\/p>\n\n\n\n
# \/etc\/nginx\/sites-available\/meine-app\nserver {\n    listen 80;\n    server_name example.de www.example.de;\n\n    # Web Application Firewall aktivieren\n    modsecurity on;\n    modsecurity_rules_file \/etc\/nginx\/modsec\/main.conf;\n\n    access_log \/var\/log\/nginx\/meine-app-access.log;\n    error_log \/var\/log\/nginx\/meine-app-error.log;\n\n    location \/ {\n        proxy_pass http:\/\/127.0.0.1:3000;\n        proxy_set_header Host $host;\n        proxy_set_header X-Real-IP $remote_addr;\n        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;\n        proxy_set_header X-Forwarded-Proto $scheme;\n    }\n}\n\nserver {\n    listen 443 ssl;\n    server_name example.de www.example.de;\n\n    ssl_certificate \/etc\/letsencrypt\/live\/example.de\/fullchain.pem;\n    ssl_certificate_key \/etc\/letsencrypt\/live\/example.de\/privkey.pem;\n\n    # WAF auch fuer HTTPS aktivieren\n    modsecurity on;\n    modsecurity_rules_file \/etc\/nginx\/modsec\/main.conf;\n\n    location \/ {\n        proxy_pass http:\/\/127.0.0.1:3000;\n        proxy_set_header Host $host;\n        proxy_set_header X-Real-IP $remote_addr;\n        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;\n        proxy_set_header X-Forwarded-Proto https;\n    }\n}<\/code><\/pre>\n\n\n\n
Konfiguration aktivieren und Nginx neu laden:<\/p>\n\n\n\n
sudo ln -s \/etc\/nginx\/sites-available\/meine-app \\\n  \/etc\/nginx\/sites-enabled\/meine-app\nsudo nginx -t\nsudo systemctl reload nginx<\/code><\/pre>\n\n\n\n
Schritt 10: WAF im Erkennungsmodus testen<\/h2>\n\n\n\n
Bevor der Blocking-Modus aktiviert wird, muss die WAF im DetectionOnly<\/code>-Modus gr\u00fcndlich getestet werden. Sende zun\u00e4chst einen normalen Request, um zu pr\u00fcfen, ob der Nginx-Stack insgesamt funktioniert.<\/p>\n\n\n\n
# Normaler Request: sollte mit 200 oder 404 antworten\ncurl -i http:\/\/localhost\/\n\n# SQL-Injection-Test (Regel 942100 sollte ansprechen)\ncurl -i \"http:\/\/localhost\/?id=1%20OR%201=1\"\n\n# XSS-Test (Regel 941100 sollte ansprechen)\ncurl -i \"http:\/\/localhost\/?q=%3Cscript%3Ealert(1)%3C%2Fscript%3E\"\n\n# Path-Traversal-Test (Regel 930100 sollte ansprechen)\ncurl -i \"http:\/\/localhost\/?file=..\/..\/..\/etc\/passwd\"\n\n# Shell-Injection-Test (Regel 932100 sollte ansprechen)\ncurl -i \"http:\/\/localhost\/?cmd=;cat%20\/etc\/passwd\"<\/code><\/pre>\n\n\n\n
Im DetectionOnly<\/code>-Modus antwortet der Server weiterhin mit 200 oder 404, aber das Audit-Log enth\u00e4lt die Treffer. Das Log auslesen:<\/p>\n\n\n\n
# Log in Echtzeit verfolgen (mit jq fuer lesbares JSON)\nsudo tail -f \/var\/log\/nginx\/modsec_audit.log | jq \\\n  '.transaction | {uri: .request.uri, rules: [.messages[].details.ruleId]}'\n\n# Oder ohne jq: rohe Ausgabe der letzten Eintraege\nsudo tail -20 \/var\/log\/nginx\/modsec_audit.log<\/code><\/pre>\n\n\n\n
Erwartete JSON-Ausgabe im Audit-Log beim SQL-Injection-Test:<\/strong><\/p>\n\n\n\n
{\n  \"transaction\": {\n    \"time\": \"17\/Jun\/2026:14:23:01 +0000\",\n    \"id\": \"abc123def456\",\n    \"request\": {\n      \"uri\": \"\/?id=1 OR 1=1\",\n      \"method\": \"GET\",\n      \"http_version\": 1.1\n    },\n    \"messages\": [\n      {\n        \"message\": \"SQL Injection Attack Detected via libinjection\",\n        \"details\": {\n          \"ruleId\": \"942100\",\n          \"severity\": \"CRITICAL\",\n          \"tags\": [\"OWASP_CRS\", \"attack-sqli\"]\n        }\n      }\n    ],\n    \"response\": {\n      \"http_code\": 200\n    }\n  }\n}<\/code><\/pre>\n\n\n\n
Schritt 11: False Positives identifizieren und beheben<\/h2>\n\n\n\n
Das Tuning von False Positives ist der zeitaufwendigste, aber wichtigste Schritt vor dem Wechsel in den Blocking-Modus. Typische Quellen von False Positives in modernen Webanwendungen:<\/p>\n\n\n\n