پیکربندی و تنظیمات WAF در پنل ابر آروان - حلقه ارتباطی ابر آروان

ابر آروان

زیرساخت یکپارچه ابری

۱۹ اردیبهشت ۱۳۹۸

پیکربندی و تنظیمات WAF در پنل ابر آروان

دیواره آتش وب یا WAF ابر آروان با استفاده از قوانین Regex و برمبنای روش Anomaly Scoring درخواست‌های مخرب را بلاک می‌کند.

روش Anomaly Scoring را می‌توان راهی برای شناسایی حملات با دقتی بالا معرفی کرد. در این روش به هر قانون امتیازی اختصاص پیدا می‌کند. به هنگام تطابق چند قانون با یک درخواست، امتیاز قوانین مطابقت یافته با هم جمع می‌شود و با مقدار حد آستانه‌ی تعیین‌شده برای دیواره آتش وب (میزان حساسیت) مقایسه می‌شود. اگر امتیاز قوانین مطابقت یافته با آن درخواست، مساوی یا بیش‌تر از میزان حساسیت مشخص‌شده برای WAF باشد، آن درخواست بلاک خواهد شد.

برای انجام تنظیمات WAF در پنل کاربری ابر آروان، به بخش «سامانه امنیت ابری»، سپس «دیواره آتش وب (WAF)» بروید.

پیکربندی و تنظیمات WAF

شما می‌توانید WAF خود را روی یکی از سه حالت گفته شده در بخش «دیواره آتش وب» قرار دهید. با فعال کردن دکمه‌ی خاموش، سرویس WAF برای وب‌سایت شما غیرفعال می‌شود. توضیح دو مورد دیگر این بخش در ادامه آمده است:

  • حالت شناسایی: اگر در این صفحه، WAF در حالت شناسایی قرار داده شود، دیواره آتش وب تنها ثبت گزارش (log) می‌کند. دقت داشته باشید که در این حالت هیچ درخواست ورودی بلاک نمی‌شود.

پیشنهاد ما این است که در ابتدای راه‌اندازی دیواره آتش وب برای یک بازه‌ی زمانی کوتاه، WAF خود را روی حالت شناسایی قرار دهید. از این راه، می‌توان حملات واقعی را شناسایی کرد.

پس از گذشت این بازه‌ی زمانی مشخص به قسمت «گزارش‌ها»، «تحلیل حملات WAF»، سپس بخش «جزییات حملات انجام شده» بروید.

در این بخش با کلیک روی هر یک از حملات، می‌توانید از جزییات حمله و کد خطای مربوط به آن آگاه شوید.

براساس این گزارش‌ها می‌توان false positiveها را شناسایی کرد. منظور از false positiveها، درخواست‌های سالمی هستند که از جانب WAF به‌اشتباه حمله شناسایی می‌شوند. با مشخص شدن false positiveها می‌توان مشخص کرد که چه قوانینی باید غیرفعال شوند. شما می‌توانید از خروجی گزارش حاصل، شماره id را بردارید، سپس با جست‌وجوی آن در بخش «جلوگیری از حملات وب»، قانون مربوطه را بیابید و غیرفعال کنید.

  • گزینه‌ی روشن: پس از اتمام مدت‌زمان مشخص برای قرار گرفتن WAF در حالت شناسایی، به بخش تنظیمات WAF بروید، گزینه‌ی روشن را فعال کنید و مطابق با آن‌چه از بخش گزارش کسب کرده‌اید، قوانین را تنظیم و میزان حساسیت را مشخص کنید.

نکته: هرچه میزان حساسیت، عدد بیش‌تری تعیین شود، یعنی تعداد قوانینی که باید با درخواست ورودی مطابقت پیدا کنند بیش‌تر و به‌معنای حساسیت پایین‌تر WAF است. به بیان دیگر، رابطه‌ی عدد مشخص‌شده برای حساسیت و قدرت عملکرد WAF، رابطه‌ای معکوس است. پس عدد کم‌تر به‌معنای حساسیت بیش‌تر WAF خواهد بود.

 

جلوگیری از حملات وب

برای فعال یا غیرفعال کردن قوانین هر قسمت از این بخش، متناسب با گزارش به‌دست‌آمده در حالت شناسایی، روی آیکون چرخ‌دنده‌ی تنظیمات کلیک کنید.

تنظیمات WAF

در ادامه معرفی کوتاهی از هر یک از حملات معرفی‌شده در قسمت‌های مختلف این بخش آمده است:

  • اجرای کدهای مخرب XSS (کد 42xxx)

این حمله نتیجه‌ی اجرای ورودی داده شده (کد مخرب) به وسیله‌ی مرورگر، بدون انجام اعتبارسنجی مناسب است. در این حمله، مهاجم با روش‌های مختلفی هم‌چون ارسال یک URL با استفاده از ایمیل، بارگذاری در بخش‌های آسیب‌پذیر وب‌سایت و…، اسکریپت مخرب خود را در مرورگر کاربر دیگری  اجرا می‌کند و با این روش کنترل مرورگر کاربر قربانی را در اختیار می‌گیرد.

  • حملات SQL Injection (کد 41xxx)

در این حمله مهاجم یک SQL Query ناخواسته را از راه اطلاعات ورودی یک فرم یا پارامترهای یک URL، از سمت کاربر به‌سمت سرور ارسال می‌کند. در این حمله احتمال ایجاد، ویرایش، حذف و خواندن اطلاعات محرمانه، تغییر اطلاعات دیتابیس یا ایجاد دسترسی‌های غیرمجاز برای یک کاربر خاص (هم‌چون گرفتن دسترسی Admin از سوی مهاجم) وجود دارد.

  • درخواست‌های خلاف قاعده (کد 21xxx)

در این دسته، مهاجم پروتکل HTTP را مورد حمله قرار می‌دهد و WAF با بررسی هدرهای HTTP مواردی هم‌چون معتبر بودن هدر، وجود مقداری معتبر در هدر و… را اعتبارسنجی می‌کند و بر این اساس هدرهای HTTP درست را از نادرست تشخیص می‌دهد.

  • بات‌های مخرب (کد 35xxx)

در این بخش، WAF از فعالیت‌ بات‌های مخرب جلوگیری می‌کند. بات‌های عادی همگی از قوانین WAF پیروی می‌کنند و به‌وسیله‌ی آن بلاک نمی‌شوند. تنها آن دسته از بات‌ها که سعی در نقض قوانین WAF دارند و به‌دنبال استفاده از آسیب‌پذیری‌های مختلف در اپلیکیشن‌ها هستند، به‌وسیله‌ی WAF بلاک می‌شوند.

  • جلوگیری از درخواست‌های خارج از استاندارد HTTP (کد 20xxx)

در این حالت، WAF عملکرد درست پروتکل HTTP را بررسی می‌کند؛ مانند بررسی آن‌که متدهای post/get دارای body باشند یا درخواست post شامل هدر content length باشد.

  • حملات عمومی (کد 40xxx)

در این دسته از حملات، مهاجم از فقدان اعتبارسنجی داده‌های ورودی/خروجی استفاده و کد مخرب خود را به درون برنامه تزریق می‌کند. با تفسیر این کد به‌کمک برنامه، مهاجم می‌تواند اعمالی هم‌چون سرقت اطلاعات یا bypass فرآیند احراز هویت و… را انجام دهد. از مشهورترین این حملات می‌توان به (Remote File Inclusion (RFI و (Local File Inclusion (LFI اشاره کرد.

× برای اطلاع از آخرین اخبار و مقالات آروان عضو خبرنامه ما شوید