Home Blogs Ajuste WAF fácil
Download
Applications
Media
Expert Service

Ajuste WAF fácil

Download
Share

About The Author

Picture of Richard Yew
Richard Yew
Richard Yew is an accomplished Senior Director of Product Management - Security at Edgio, bringing extensive expertise in security solutions, TLS protocols, CDN configuration, and developer services. With a career spanning various prominent tech companies like Yahoo and Verizon, Richard's wealth of knowledge and leadership in the field make him a valuable asset to Edgio and the tech industry.

Outline

Download
Share
Pequenas e novas empresas enfrentam um desafio crítico de segurança. Eles precisam de uma solução de segurança sofisticada para manter seus aplicativos web seguros, minimizando os custos de contratação de especialistas de segurança dedicados ou serviços gerenciados de terceiros. Com novos vetores de ataque a emergir constantemente, a segurança de aplicações web está a tornar-se mais crucial e desafiante do que nunca. O Edgecast, agora Edgio, WAF é a solução. Oferece uma solução robusta e sofisticada que simplifica a gestão. Os painéis em tempo real e a entrega de registos proporcionam uma visibilidade atualizada para que os administradores possam identificar rapidamente ameaças e agir. Neste blog, vamos nos concentrar em como as empresas podem identificar e eliminar falsos positivos e construir soluções personalizadas para a sua aplicação web sem incorrer em custos adicionais de suporte. Se você é novo neste espaço e ainda precisa trabalhar com o Edgio WAF ,por favor, veja este pequeno tutorial para entender a interface do usuário e como ela funciona. Se você já tem uma conta, sinta-se à vontade para fazer este exercício comigo. 1. Vamos começar indo para o painel em tempo real e filtrando os eventos WAF por tempo. Este é o período de tempo para o qual se pretende analisar o tráfego web. (Nota: Se você já executou algumas regras de ajuste antes, certifique-se de escolher um período de tempo após a última afinação).

Figura 1: Eventos WAF que ocorreram nas últimas 6 horas.

2. Veja as 10 principais Identificações de Regras desencadeadas por este tráfego. Os códigos de regra são uma ótima maneira de filtrar ainda mais o tráfego e observar as cargas úteis para vários eventos WAF. Dito isto, comece a filtrar o tráfego por estes códigos de regra, um por um, para análise posterior.

Figura 2: Top 10 regras que foram disparadas pelos eventos do WAF.

3. Em seguida, analise os valores de carga útil que desencadearam esta regra olhando para o campo de valor correspondente.

Figura 3: Valores de carga útil sob a coluna de valor combinado.

4. Analise os valores de carga útil para identificar se são maliciosos. Não tem a certeza do que se parecem? Aqui estão alguns valores potencialmente maliciosos que podem encontrar na carga.

  • Passagem do caminho: http://some_site.com.br/../../../../some dir/Some file¹ http://testsite.com/get.asp?f=/etc/passwd²‍
  • Vulnerabilidades do LFI: Um invasor está tentando acessar arquivos confidenciais no servidor, como .ini. O Egelcast WAF bloqueia esta e muitas outras extensões críticas do sistema de arquivos por padrão.³‍
  • Scripts entre sites: http://testsite.test/<script>Alerta (“teste”);</script>⁴ <img src http://url.to.file.which/not.exist” onerror alert(document.cookie);>⁵‍
  • Injeção de SQL: SELECIONE * DOS ITENS EM QUE ‘A’⁶’;⁷‍ SELECIONE 1;
  • Execução remota de código: eval;⁸‍
  • Ataques baseados no tempo: Selecione 1 e sonâmbulo (2);⁹ SELECT BENCHMARK(2000000,md5(‘A’);¹⁰

5. Se ainda não tiver certeza se a carga útil era maliciosa, uma ótima maneira de descobrir isso é olhando para a lista de IPs de clientes que iniciaram as solicitações com a carga correspondente. Se os IPs do cliente são distribuídos, ou seja, variados, há uma boa chance de que a carga seja um falso positivo. No entanto, se todos os IPs do cliente tiverem o mesmo valor, isso indicaria um potencial ataque volumétrico, classificando-o como uma carga maliciosa. Para demonstrar isso, vamos consultar o passo 3 e escolher este valor combinado ——————————————————- Para descobrir a lista de IPs de clientes que enviaram esta carga, adicione o valor correspondente como um filtro da seguinte forma:

Figura 5: IPs clientes que enviaram o valor da carga útil:

Neste caso, dada a variedade de endereços IP que fazem esta solicitação, há uma grande probabilidade de que essas solicitações tenham sido originadas de usuários reais tornando-as um bom candidato para um falso positivo.

6. Uma vez identificado um falso positivo, você pode criar uma exceção para ele na seção de regras geridas, mas antes de fazer isso, você precisa descobrir onde essa carga útil foi encontrada; cadeia de consulta, cabeçalho de solicitação, URL ou outro local. Isto é facilmente feito olhando para a coluna correspondente na mesma página do passo 5. Neste caso de uso, a carga útil foi encontrada no argumento de consulta de dados, como mostrado abaixo:

Figura 6: Localização do valor da carga útil:

7. Uma boa regra é filtrar esses campos específicos correspondentes em campos que contêm a carga falsa-positiva e, em seguida, verificar se não há nenhuma outra solicitação com esse parâmetro correspondente a um carregamento malicioso real. Por outras palavras, a carga no campo em particular não é maliciosa. Isto é conseguido adicionando um filtro no campo correspondente. Olhando para o nosso caso de uso, podemos confirmar que não há nenhuma carga maliciosa encontrada neste argumento de consulta:

Figura 7: Todos os valores de carga enviados no argumento de consulta: Dados.

8. O passo final antes de criar uma exceção é encontrar os códigos de regra acionados pelo campo Matched On. Estamos a tentar observar todas as regras (Identificações de Regras) que foram desencadeadas por este falso positivo. Com base no nosso caso de uso, esta informação está disponível na mesma página do passo 5.

Figura 8: A lista de regras desencadeadas pelo valor da carga útil:

9. É hora de criar a exceção. Vá para a seção Regras geridas e clique na regra gerida à qual deseja adicionar estas exceções.

Figura 9: Regras Geradas existentes criadas para a configuração do WAF.

10. Vá para a guia Exceções e clique em Adicionar nova condição. Escolha o tipo de correspondência no campo, como args, request_cookies, ou URL onde a carga foi encontrada. Em seguida, digite o nome do parâmetro, como consulta ou cookie. Finalmente, digite a lista de todos os códigos de regra que a carga acionou.

Figura 10: A guia Exceções sob a configuração de regra gerenciada. 11. Vá em frente e crie essa condição. Dentro de 30 segundos depois de salvar a regra gerenciada, você será capaz de ver este falso positivo passando pelo WAF no futuro 12. Agora que você sabe como isso funciona, volte ao passo 3, filtre o tráfego por outro ID de regra e repita este processo para eliminar tantos falsos positivos quanto possível. Você fez isso. Acabou de personalizar a solução WAF para o seu tráfego.

Algumas dicas finais

Se estiver a utilizar o Edgio WAF pela primeira vez, recomendamos que execute 2-3 rondas deste exercício antes de ligar o modo de bloqueio. E com base no seu volume de tráfego, você pode repetir este exercício a cada 2-7 dias. Para os clientes existentes do Edgio WAF, recomendamos que execute este exercício de ajuste fino a cada 3-4 semanas. Mais uma coisa que você deve considerar é reduzir o valor limiar da sua regra gerida para menos de 10, gradualmente fazendo o seu caminho para o valor ideal de 5. Isso garante que você esteja constantemente a fazer uma combinação de regras mais precisa e nítida. Lembre-se, o Edgio WAF oferece o duplo WAF, um ambiente de teste real (o modo de auditoria) para o seu tráfego em tempo real. Você pode usar o modo de auditoria para todas as suas atualizações recorrentes e ajustes finos ao conjunto de regras sem se preocupar em deixar cair o tráfego legítimo. Por favor, ligue-se hoje para saber mais sobre todas as nossas tecnologias de segurança que mantêm as suas aplicações web seguras.
Recursos: ¹⁻² OWASP, “ Passagem de Caminho ,” owasp.org, owasp.org/www-community/attacks/Path_Traversal. ³ Segurança Ofensiva, “ Vulnerabilidades de inclusão de arquivos” offensive-security.com, offensive-security.com/metasploit-unleashed/file-inclusion-vulnerabilities/. ⁴⁻⁵ OWASP, “ Cross site scripting” owasp.org, owasp.org/www-community/attacks/xss/. ⁶⁻⁷OWASP, “ SQL Injection,” owasp.org, owasp.org/www-community/attacks/SQL_Injection. ⁸ Netesparker, vulnerabilidade de avaliação remota de código (execução) , netsparker.com, netsparker.com/blog/web-security/remote-code-evaluation-execution/. ⁹⁻¹⁰ Ashraff, Ahmad, “ Ataques temporizados em aplicações web “, owasp.org, owasp.org/www-pdf-archive/2018-02-05-AhmadAshraff.pdf.

Tags

Just For You