WAF

Web Application Firewall

Всем клиентам, использующим L7 защиту от DDoS атак доступна опция WAF (Web Application Firewall).

На данный момент данная опция предоставляет в пилотном режиме по принципу "как есть!".

Для начала разберемся, что такое WAF

Файрвол веб-приложений (англ. Web application firewall, WAF) — совокупность мониторов и фильтров, предназначенных для обнаружения и блокирования сетевых атак на веб-приложение. WAF относятся к прикладному уровню модели OSI.

От чего может защитить WAF?

Из названия понятно, что WAF защищает WEB приложение, но как? На самом деле защита осуществляется на основании политики и шаблонов для запросов к WEB приложению, которые автоматически анализируются в момент обращения клиента к защищаемому сервису.

У WAF есть три состояния:

  • Отключено - сервис выключен, проверка не осуществляется

  • Мониторинг - сервис включен, проверка осуществляется, блокировка не осуществляется

  • Блокировка - сервис включен, проверка осуществляется, блокировка осуществляется

У WAF есть четыре уровня безопасности:

ЛП- Ложно положительные срабатывания

  • Уровень безопасности 1 - На этом уровне включены все основные правила. Вы редко будете сталкиваться с ЛП запросами

  • Уровень безопасности 2 - Включает в себя множество дополнительных правил. Вы будете чаще сталкиваться с ЛП запросами

  • Уровень безопасности 3 - Обеспечивает высокую защиту от неизвестных типов атак, запутанных атак и попыток обхода WAF. Данный уровень может регулярно вызывать ЛП запросы, которые будут требовать вашего личного контроля

  • Уровень безопасности 4 - Обеспечивает полную защиту от всех типов атак. Данный уровень, скорее всего, приведет к очень большому количеству ЛП запросов, которые необходимо обработать.

Также уровни безопасности делятся на платформы и приложения. Под платформами понимается набор ПО, который используется для запуска WEB приложения:

  • Linux / Apache / PHP / MySQL

  • Linux / Unix + Java

  • Linux + Node.JS

  • Windows + Java

  • Other

Под приложениями понимается CMS, которую защищает WAF. На данный момент поддерживаются CMS из списка:

  • cPanel

  • Wordpress

  • NextCloud

  • DocuWiki

  • Drupal

  • XenForo

Если не уточнять CMS - WAF будет работать по стандартному списку правил и разрешений, подходящих для большинства CMS.

Типы запросов, которые могут обрабатываться WAF:

  • SQL Injection - При включении блокирует атаки на сайты и программы, работающие с базами данных, основанные на внедрении в запрос произвольного SQL-кода. Предотвращает внедрение SQL и не дает возможность атакующему выполнить произвольный запрос к базе данных.

  • XSS Attack - При включении блокируются подозрительные запросы использующие межсайтовый скриптинг.

  • Remote code execution - При включении предотвращает удаленное внедрение произвольного кода в сеть.

  • Remote File Inclusion - При включении блокирует загрузку данных из ресурса, управляемого злоумышленником, что не позволяет совершать различные вредоносные действия.

  • Local File Inclusion - При включении предотвращает внедрение файлов на сервер и делает невозможным использование уязвимых процедур включения, реализованных в приложении.

  • Scanner Detection - При включении обнаруживает недочёты, которые впоследствии могут быть исправлены. Scanner detection генерирует запросы с конкретными значениями параметров, которые позволяют исправить найденную уязвимость.

  • PHP injection - При включении защищает от взлома веб-сайты, которые работают на PHP; предотвращает внедрение постороннего кода.

  • Prioritized Approach - При включении предотвращает использование функции JavaScript для анализа входящих данных без какой-либо проверки ввода. Злоумышленник может внедрить произвольный код JavaScript для взлома сервера.

Немного скриншотов личного кабинета с включенной опцией WAF

График аналитики инцидентов WAF
Управление уровнями безопасности, платформами, приложениями
Управление фильтрами с типами запросов
Отчеты об инцидентах

Если у вас подключена услуга L7 WEB защиты, вы можете протестировать WAF, данная опция доступна в личном кабинете но по умолчанию проверка WEB приложения отключена.