WAF
Web Application Firewall
Всем клиентам, использующим L7 защиту от DDoS атак доступна опция WAF (Web Application Firewall).
На данный момент данная опция предоставляет в пилотном режиме по принципу "как есть!".
Для начала разберемся, что такое WAF
Файрвол веб-приложений (англ. Web application firewall, WAF) — совокупность мониторов и фильтров, предназначенных для обнаружения и блокирования сетевых атак на веб-приложение. WAF относятся к прикладному уровню модели OSI.
От чего может защитить WAF?
Из названия понятно, что WAF защищает WEB приложение, но как? На самом деле защита осуществляется на основании политики и шаблонов для запросов к WEB приложению, которые автоматически анализируются в момент обращения клиента к защищаемому сервису.
У WAF есть три состояния:
Отключено - сервис выключен, проверка не осуществляется
Мониторинг - сервис включен, проверка осуществляется, блокировка не осуществляется
Блокировка - сервис включен, проверка осуществляется, блокировка осуществляется
У WAF есть четыре уровня безопасности:
ЛП- Ложно положительные срабатывания
Уровень безопасности 1 - На этом уровне включены все основные правила. Вы редко будете сталкиваться с ЛП запросами
Уровень безопасности 2 - Включает в себя множество дополнительных правил. Вы будете чаще сталкиваться с ЛП запросами
Уровень безопасности 3 - Обеспечивает высокую защиту от неизвестных типов атак, запутанных атак и попыток обхода WAF. Данный уровень может регулярно вызывать ЛП запросы, которые будут требовать вашего личного контроля
Уровень безопасности 4 - Обеспечивает полную защиту от всех типов атак. Данный уровень, скорее всего, приведет к очень большому количеству ЛП запросов, которые необходимо обработать.
Также уровни безопасности делятся на платформы и приложения. Под платформами понимается набор ПО, который используется для запуска WEB приложения:
Linux / Apache / PHP / MySQL
Linux / Unix + Java
Linux + Node.JS
Windows + Java
Other
Под приложениями понимается CMS, которую защищает WAF. На данный момент поддерживаются CMS из списка:
cPanel
Wordpress
NextCloud
DocuWiki
Drupal
XenForo
Если не уточнять CMS - WAF будет работать по стандартному списку правил и разрешений, подходящих для большинства CMS.
Типы запросов, которые могут обрабатываться WAF:
SQL Injection - При включении блокирует атаки на сайты и программы, работающие с базами данных, основанные на внедрении в запрос произвольного SQL-кода. Предотвращает внедрение SQL и не дает возможность атакующему выполнить произвольный запрос к базе данных.
XSS Attack - При включении блокируются подозрительные запросы использующие межсайтовый скриптинг.
Remote code execution - При включении предотвращает удаленное внедрение произвольного кода в сеть.
Remote File Inclusion - При включении блокирует загрузку данных из ресурса, управляемого злоумышленником, что не позволяет совершать различные вредоносные действия.
Local File Inclusion - При включении предотвращает внедрение файлов на сервер и делает невозможным использование уязвимых процедур включения, реализованных в приложении.
Scanner Detection - При включении обнаруживает недочёты, которые впоследствии могут быть исправлены. Scanner detection генерирует запросы с конкретными значениями параметров, которые позволяют исправить найденную уязвимость.
PHP injection - При включении защищает от взлома веб-сайты, которые работают на PHP; предотвращает внедрение постороннего кода.
Prioritized Approach - При включении предотвращает использование функции JavaScript для анализа входящих данных без какой-либо проверки ввода. Злоумышленник может внедрить произвольный код JavaScript для взлома сервера.
Немного скриншотов личного кабинета с включенной опцией WAF
Если у вас подключена услуга L7 WEB защиты, вы можете протестировать WAF, данная опция доступна в личном кабинете но по умолчанию проверка WEB приложения отключена.
Last updated