Комментарии 20
Полезная статья. Спасибо.
Хотя мне пришлось самому написать для IIS на .NET аналог ModSecurity, но в целом всё также. Правила тоже брал OWASP CRS.
букв много. по опыту скажу, что использование WAF - палка с N концами. "ой! о что это у нас платежи не ходят?!! - а это у нас правила WAF обновились, пардон." так что мы эту штуку у себя на балансерах отключали. заказчик хочет - пусть сам у себя на бэкендвх играется.
У меня почему-то когнитивный диссонанс - решение на mod_security нельзя назвать удобным и мощным (на мой взгляд).
То есть там где дело доходит до того что люди себе ставят задачу развернуть-таки WAF (то есть у них и правда что-то критичное есть что защищать нужно) - там уж как-то не мелочатся, а разворачивают решение с наглядной визуализацией что происходит, кучей метрик и эвристик. У вас не будет времени залезать в текстовые конфиги и править правила когда что-то действительно будет атаковано. А "выдернуть сетевой кабель" не всегда возможно физически и/или функционально.
Решение на апаче с этим модулем требует ещё много всего чтобы им можно было пользоваться на таких критичных проектах.
Однако тема интересная, очень любопытно будет почитать про snort и другие open source решения, буду ждать!
PS У нас используется Imperva и кое-где Palo Alto (у этих правда какие-то косяки в последнее время).
По мне если вы не секьюрити компания, которая на этом зарабатывает, то свой велосипед будет плох и дорог по общей стоимости владения.
Тема интересная в рамках самообразования. Но как категория программного обеспечения WAF всегда казался мне костыльным костылём — платой за низкое качество веб-приложений и системного администрирования. То есть вместо развития культуры безопасной разработки и сисопс индустрия породила ещё одну сущность, которая прикрывает как можно больше ленивых задниц — WAF. Единственное, что кажется в таких фаерволах правда актуальным, — защища от ботов, но и для этого есть более нишевые решения.
Да, наверное вы правы.
Впрочем если лезть совсем уж в глубины, то сегментация критической инфраструктуры предполагает использования физически разных девайсов (местами от разных вендоров) с проверками, выполняемыми в каждой из зон (в том числе на уровне приложения и операционной системы)
У нас как раз стоит квест по защите от ботов. Можете назвать эти самые нишевые решения. Буду очень признателен.
Из примеров не понятно, что будет с валидными парсерами валидных поисковиков? Для них отдельный котёл набор правил существует или надо добавлять все подсети яндексов-гуглов в белый список?
Да, они будут отлетать на равне с остальными.
Все-же конкретно эта задача изначально ставилась под ресурс не предполагающий обхода доверенными роботами. И да, все как вы и говорите, если официальной информации о том, откуда приходят роботы поисковиков нет - выхода два:
- Не использовать предложенный функционал при необходимости разрешить доверенных роботов
- Парсить базы RIRов и добавлять ВСЕ адреса в белый список
Если мне удастся отловить трафик Яндекса или Гугло бота, может быть в нем найдется некий идентификатор к которому можно будет привязаться
Придумал ! Все же парсить риров - дело такое себе. Есть способ проще. Отпишу чуть позднее
Готово ! Сделал REQUEST_URI исключение через chain
Статью обновил. Вам - спасибо ! :)
Минуту, нужно переписать. Там расхождения фаз
Вот теперь готово
Здесь был коммент от кого-то с просьбой написать про modsecurity3 под nginx (толстые пальцы нажали не в ту кнопку и комментарий пропал, сорян)
Возможно когда-то и соберусь в nignx, но знаний по нему у меня ноль, ровно как и практических задач
Спасибо. Из готового на safeline waf или bunkerweb гляньте.
WAF — своими руками