IPDS | WAF

Содержание

RELIANOID Брандмауэр веб-приложений
Просмотр наборов правил WAF
Понимание системы набора правил OWASP CRS

RELIANOID Брандмауэр веб-приложений #

Брандмауэр веб-приложений (WAF) функционирует как важнейший инструмент для выявления и предотвращения вредоносного HTTP-трафика в фермах HTTP(S). Анализируя шаблоны, он применяет расширенные политики безопасности к организованным наборам правил, которые затем применяются к фермам HTTP. После расшифровки пакетов SSL правила WAF тщательно проверяются, что позволяет применять шаблоны к телу HTTP в трафике SSL.

RELIANOID IPDS пакет включает в себя Базовый набор правил OWASP ModSecurity, предварительно загруженный и готовый к использованию, при этом пользователи сохраняют возможность создавать собственные наборы правил для комплексной защиты системы от различных атак. Для получения дополнительной информации о правилах OWASP пользователи могут обратиться к проекту OWASP Modsecurity Project. Кроме того, стоит отметить, что RELIANOID Модуль WAF расширяет свою функциональность за пределы защиты HTTP и включает в себя расширенное манипулирование содержимым HTTP, включая переадресовывает и переписывает.

Просмотр наборов правил WAF #

В представлении наборов правил WAF показан обзор доступных наборов правил и назначенных служб фермы:

Имя. Описательное имя для идентификации набора правил. Нажмите на нее, чтобы войти в форму редактирования.
Фермы. Фермы, к которым применяется правило. Вы можете расширить список ферм, используя стрелку вверх, расположенную рядом с ФАРМС заголовок столбца справа. По умолчанию ограничен 20 символами.
статус, Статус набора правил представлен следующими цветовыми кодами состояния:

Зелёная. Средства ВКЛЮЧЕНО. Набор правил проверяется на фермах, которые его используют.
Red. Средства ИНВАЛИДОВ, Набор правил не включен, поэтому он не оказывает никакого влияния на ферму.

Действия, Разрешенные действия для статуса правил WAF:

Редактировать. При необходимости измените настройки набора правил или назначьте службу фермы.
Restart. Повторно инициализируйте правило WAF.
Начать. Примените набор правил WAF.
Удалить, Удалить набор правил.

Понимание системы набора правил OWASP CRS #

OWASP CRS Наборы правил включают в себя общие правила обнаружения атак, обеспечивающие базовый уровень защиты любого веб-приложения.

Режимы работы #

Предварительно загруженные наборы правил OWASP CRS работают в двух режимах:

Режим оценки аномалий (по умолчанию): этот режим рекомендуется из-за точной информации журнала и гибкой политики блокировки. Также известный как «режим совместного обнаружения», он присваивает «оценку аномалии» каждому правилу сопоставления. В конце оценки правил входящего и исходящего трафика оценка аномалии запускает действия по блокировке, что обычно приводит к ошибке 403 по умолчанию.

Автономный режим: этот режим применяет действия мгновенно. При сокращении использования ресурсов жертвуется гибкость в политиках блокировки и подробных журналах аудита (регистрируется только первая обнаруженная угроза). Правила соответствуют указанным вами разрушительным действиям (например, запретить, удалить). Первое правило сопоставления выполняет это действие, что часто приводит к прекращению оценки после первоначального сопоставления, как и во многих IDS.

Базовые наборы правил OWASP CRS #

Эти предварительно загруженные правила защиты организованы на основе предпочтений. Если вы решите их использовать, пожалуйста, рассмотрите и примените их следующим образом:

ЗАПРОС-90-КОНФИГУРАЦИЯ ЗАПРОС-901-ИНИЦИАЛИЗАЦИЯ
# Примените любой другой набор правил OWASP в зависимости от того, что вы хотите защитить.
ЗАПРОС-949-БЛОКИРОВКА-ОЦЕНКА ОТВЕТ-959-БЛОКИРОВКА-ОЦЕНКА ОТВЕТ-980-КОРРЕЛЯЦИЯ # для целей ведения журнала, включите это только для устранения неполадок.

В рамках основного набора правил OWASP REQUEST-901-INITIALIZATION набор правил служит основополагающим элементом, предлагая обширный набор опций для настройки общего поведения правил безопасности. Оно предоставляет пользователям возможность точной настройки параметров в соответствии с конкретными потребностями безопасности, образуя основу процесса настройки правил. Переехать в ЗАПРОС-949-БЛОКИРОВКА-ОЦЕНКА и ОТВЕТ-959-БЛОКИРОВКА-ОЦЕНКА наборы правил, они играют решающую роль в проактивной политике безопасности, оценивая и выполняя действия по блокировке на основе оценок аномалий. Они вносят значительный вклад в возможности основного набора правил OWASP выявлять и предотвращать потенциальные угрозы в режиме реального времени. Дополняя их, ОТВЕТ-980-КОРРЕЛЯЦИЯ Набор правил фокусируется на корреляции и анализе ответов, улучшая общую способность основного набора правил OWASP обнаруживать и эффективно реагировать на возникающие проблемы безопасности. Вместе эти наборы правил позволяют пользователям реализовать надежную и адаптируемую структуру безопасности для своих веб-приложений.

Понимание уровней паранойи, выборки и оценки аномалий #

Параметр «Уровень паранойи» позволяет указать интенсивность проверок правил, влияющую на оценку аномалий. Более высокие уровни паранойи повышают безопасность за счет включения большего количества правил, но могут увеличить риск блокировки законного трафика из-за ложных срабатываний. Рекомендации для каждого уровня:

Паранойя Уровень 1 (по умолчанию): подходит для новичков, различных установок и стандартных настроек безопасности, с редкими ложными срабатываниями.
Паранойя Уровень 2: рекомендуется для средних и опытных пользователей, которым требуется всестороннее покрытие и повышенная безопасность. Ожидайте ложных срабатываний.
Паранойя Уровень 3: Предназначен для опытных пользователей, справляющихся с ложными срабатываниями, для установок с высокими требованиями к безопасности.
Паранойя Уровень 4: Рекомендуется для опытных пользователей, защищающих установки с очень высокими требованиями к безопасности, но с высокой вероятностью возникновения большого количества ложных срабатываний, требующих разрешения перед запуском в эксплуатацию.

Поднять блокирующий уровень паранойи, перейдите к REQUEST-901-INITIALIZATION Набор правил, затем Редактировать в необработанном режиме и измените идентификатор правила 901120, замените setvar:'tx.blocking_paranoia_level=1' с вашим предпочтительным уровнем.

Используя обнаружение уровня паранойи, можно запускать правила с более высокого уровня паранойи, не учитывая их при оценке аномалий. Такая гибкость позволяет включать правила паранойи уровня 2 в тонко настроенную систему на уровне паранойи 1, снижая опасения по поводу потенциальных ложных срабатываний, которые могут привести к увеличению оценки за пределы установленного порога. В конфигурации по умолчанию уровень паранойи обнаружения совпадает с уровнем паранойи блокировки. Чтобы увеличить обнаружение уровня паранойи, перейдите к REQUEST-901-INITIALIZATION Набор правил, затем Редактировать в необработанном режиме и измените идентификатор правила 901125, замените setvar:'tx.detection_paranoia_level=%{TX.blocking_paranoia_level}' с вашим предпочтительным уровнем (напр. setvar:'tx.detection_paranoia_level=2').

Каждому правилу в CRS назначается уровень серьезности, по умолчанию начисление очков указывая на влияние на оценка аномалии когда правило соответствует. Уровни серьезности и соответствующие им баллы следующие:

КРИТИЧЕСКОЕ: Оценка аномалии 5, в основном из-за правил атак приложений (файлы 93x и 94x).
ОШИБКА: Оценка аномалии 4, в основном обусловлена правилами исходящей утечки (файлы 95x).
ПРЕДУПРЕЖДЕНИЕ: Оценка аномалии 3, в основном вызвана вредоносными правилами клиента (файлы 91x).
ВНИМАНИЕ: Оценка аномалии 2, в основном обусловленная правилами протокола (файлы 92x).

In аномальный режим, эти оценки накапливаются, позволяя одному запросу активировать несколько правил. Корректировки этих точек по умолчанию обычно не нужны, но их можно настроить в соответствии с конкретными требованиями.

Можно определить, совокупный показатель аномалий на котором входящий запрос or исходящий ответ будет заблокирован. По умолчанию большинство обнаруженных входящих угроз получают критическую оценку 5, тогда как более мелкие нарушения получают более низкие оценки. При пороговых значениях блокировки по умолчанию CRS ведет себя аналогично предыдущим версиям, блокируя и регистрируя запросы с одним критическим совпадением правила. Установка пороговых значений блокировки на более высокие значения, например 7 или 10, может сделать CRS менее чувствительным, поскольку перед блокировкой потребуется несколько сопоставлений правил. Однако рекомендуется соблюдать осторожность, поскольку повышение пороговых значений может позволить некоторым атакам обойти правила или политики. В качестве альтернативы рекомендуемая стратегия развертывания предполагает первоначальное установление высоких пороговых значений оценки аномалий (>100) и постепенное их снижение по мере роста доверия к системе, предлагая упреждающий подход к повышению безопасности с течением времени.

По умолчанию пороговое значение оценки аномалии для входящего трафика установлено на 5, а пороговое значение для оценки аномалии для исходящего трафика установлено на 4. Чтобы изменить порог оценки входящей аномалии, перейдите к REQUEST-901-INITIALIZATION Набор правил, затем Редактировать в необработанном режиме и измените идентификатор правила 901100, замените setvar:'tx.inbound_anomaly_score_threshold=5' с вашим предпочтительным уровнем (напр. setvar:'tx.inbound_anomaly_score_threshold=4'). Таким же образом для порог оценки исходящей аномалии с идентификатором правила 901110 заменив setvar:'tx.outbound_anomaly_score_threshold=4'.

Блокировка режима ранней оценки аномалий позволяет заранее оценить показатели аномалий запросов и ответов по завершении фазы: 1 и фазы: 3 соответственно, вместо ожидания окончания фазы: 2 и фазы: 4. Включение этого режима позволяет немедленно блокировать, если порог аномалии достигнут во время ранней оценки, минуя выполнение фазы 2 (и фазы 4 соответственно). Чтобы активировать раннюю блокировку, включите идентификатор правила. 901115 одной REQUEST-901-INITIALIZATION набор правил, который устанавливает переменную tx.early_blocking до 1 (отключено по умолчанию). Крайне важно отметить, что ранняя блокировка может скрывать потенциальные оповещения, поскольку полезные нагрузки, вызывающие оповещения фазы 2 (или фазы 4), не будут оцениваться, если включена ранняя блокировка. Отключение ранней блокировки в будущем может привести к появлению новых оповещений из этапа 2.

Уменьшение/процент выборки Эта функция предназначена для устранения потенциальных проблем при интеграции CRS в существующий работающий сайт, таких как ложные срабатывания и непредвиденное влияние на производительность. Чтобы осторожно внедрить CRS, вы можете изначально включить его для ограниченного числа запросов. Как только все проблемы будут устранены и будет установлена уверенность в настройке, вы можете постепенно увеличивать долю запросов, подпадающих под действие набора правил. Отрегулируйте процент запросов, обработанных основными правилами, установив tx.sampling_percentage по идентификатору правила 901130 одной REQUEST-901-INITIALIZATION набор правил; значение по умолчанию — 100, что означает, что каждый запрос подвергается проверке CRS. Выбор проверенных запросов основан на псевдослучайном числе, генерируемом ModSecurity. Если запросу разрешено пройти без проверки CRS, он не будет иметь записи в журнале аудита по соображениям производительности, но будет записана запись в журнале ошибок. Чтобы отключить запись журнала ошибок, введите указанную директиву после включения CRS.