Webalkalmazás tűzfal (WAF) használata

Frissítve
Szerző:Sándor
Vissza az összes témához

A Web Application Firewall (röviden WAF) egy olyan védelmi megoldás, amely a webalkalmazásokat óvja a rosszindulatú forgalomtól. Elemzi a HTTP/HTTPS kéréseket a kliens és a szerver között, és a megadott szabályok alapján blokkolja a káros próbálkozásokat. Az vezérlőpult a ModSecurity nevű megoldást használja erre a célra.

Ez a funkció az újabb kiszolgálóinkon érhető el a vezérlőpulton. A korábbi kiszolgálókon a WAF beállítása rendszer szinten történik.

WAF engedélyezése

A felhasználónak rendelkeznie kell a WAF használatához szükséges jogosultsággal. Ezt általában tárhely szolgáltatás létesítés esetén automatikusan engedélyezzük.

  1. Nyisd meg a Sites szekciót.

  2. Válaszd ki a kívánt oldalt, majd kattints az Edit gombra az eszköztáron.

  3. Lépj az Optimization and DDoS protection szekcióba, azon belül a WAF részhez.

  4. Válaszd ki a működési módot:

    • Detection only — a szabályok megsértése nem blokkolja a kéréseket, csak naplózza őket. Ez a mód ideális a hibás riasztások kiszűrésére és finomhangolásra, mielőtt átkapcsolnád tiltó (Enabled) módra.

    • Enabled — aktív védelem, a szabályok megsértése blokkolja a kéréseket.

  5. Kattints a Save gombra.

Működés ellenőrzése

Tesztelheted a WAF működését egy szimulált támadással, például az alábbi paranccsal:

curl 'https://SAJÁT_WEBOLDALAD/?foo=/etc/passwd&bar=/bin/sh'

Ha a WAF működik és Enabled módra van állítva, a böngészőben hibaüzenet fog megjelenni, a kérés pedig naplózva lesz.

Webhelyenkénti WAF konfiguráció

A webhely tulajdonosának rendelkeznie kell a WAF beállításának jogával.

Ez a konfiguráció lehetővé teszi, hogy felülírd a webszerver szintjén alkalmazott szabályokat, vagy további egyedi szabályokat adj hozzá.

  1. Lépj be a Sites szekcióba.

  2. Válaszd ki az oldalt, majd kattints az Edit gombra.

  3. Ha még nincs engedélyezve a WAF, engedélyezd, majd az Optimization and DDoS protection szekcióban állítsd be:

    • Ruleset:

      • Administrator ruleset — az admin által kiválasztott szabálykészlet.

      • OWASP

      • COMODO

      • Load from an external source (via an URL) — saját szabálykészlet, amely egy vagy több .conf fájlból áll.

      • Upload from the local computer — szabályfájl(ok) közvetlen feltöltése.

    • External source URL — ha URL-ről töltenél szabályokat.

    • Update the rules — lehetőség az URL-ről betöltött szabályok frissítésére. A számítógépről feltöltött szabályokat manuálisan kell cserélni.

    • Rules used — itt választhatod ki, mely szabályok legyenek aktívak.

    • Add your own rules to the set — saját szabályaid hozzáadása az admin, OWASP, COMODO vagy URL-ről betöltött szabálykészlethez.

  4. Kattints a Save gombra.

WAF naplózás

A rendszer alapértelmezés szerint minden olyan kérést naplóz, amely WAF szabályt sért.

A napló megtekintéséhez:

  1. Lépj a Sites részhez.

  2. Az adott oldalnál kattints a ikonra.

  3. Válaszd a Logs → SITE.audit.log opciót.

A naplózási beállításokat módosíthatod a következő fájlban:

WEB_SERVER_DIRECTORY/vhosts-resources/SITE/modsecurity.conf

Téves riasztások kezelése

Előfordulhat, hogy egy szabály legitim kéréseket is rosszindulatúnak érzékel. Ilyenkor érdemes ideiglenesen Detection only módra állítani a WAF-ot, és az adott szabályt kikapcsolni.

Lépések:

  1. Nyisd meg a logot.

  2. Keresd meg a téves riasztást, és benne az aktivált szabály azonosítóját (ID).

  3. Az adott oldalnál:

    • Lépj be a Sites részbe, majd kattints a kívánt oldal Edit gombjára.

    • Az Optimization and DDoS protection → Used rules résznél keresd meg a szabály ID-jét, és vedd ki a pipát.

    • Kattints a Save gombra.

Frissítve
Szerző:Sándor