Comment maximiser votre WAF – Serveur d’impression
Chaque fois que de nouveaux clients WAF sont embarqués, il y a une procédure à suivre pour configurer correctement leurs serveurs afin qu'ils fonctionnent derrière la protection WAF.
Vous pouvez trouver un exemple de la procédure d'intégration Imperva Cloud WAF ici.
Parfois, cependant, les clients peuvent manquer des procédures importantes en les laissant exposés et en les envoyant – et l'équipe d'assistance du WAF – à des poursuites d'oie sauvage après de fausses activités malveillantes.
En résolvant les problèmes de mauvaise configuration décrits ci-dessous, les clients maximiseront le gain de la protection du WAF et éviteront les fausses alertes.
Les erreurs de configuration peuvent être divisées en deux types:
- Configurations côté client (le serveur web protégé)
- Configurations du WAF lui-même
Exposition IP du serveur du client et accès direct en contournant le WAF
Pour protéger les actifs d'un client, le trafic arrivant sur les serveurs des clients doit d'abord passer par le WAF pour une procédure d'inspection. Ceci est fondamental car un WAF doit voir les requêtes HTTP malveillantes afin de les nettoyer.
Pour ce faire, une modification doit être apportée aux paramètres du site d'un client. Routage, le trafic via le cloud WAF nécessite que le client modifie les paramètres DNS de son serveur pour avoir un CNAME (alias) pointant vers le service WAF qui est lié à son IP d'origine, tandis que l'IP d'origine elle-même (les champs A et AAAA) doit être supprimé de l'enregistrement DNS.
Le premier problème est dû au fait de laisser des traces de l'adresse IP d'origine du site dans les paramètres DNS ou les certificats SSL, par exemple. Dans de tels cas, les attaquants peuvent trouver cette adresse et accéder directement au site Web, en contournant le WAF et en envoyant une charge utile malveillante sans aucune restriction.
Il est courant que plusieurs services s'exécutent sur la même adresse IP, comme un service FTP ou de messagerie. Dans une telle situation, l'enregistrement DNS contient non seulement des enregistrements A ou AAAA mais également des enregistrements supplémentaires, tels que MX, qui alias des sous-domaines. Cependant, ces sous-domaines pointent souvent vers la même adresse IP qu'un serveur Web. Ainsi, en «creusant» simplement dans les enregistrements DNS et en essayant d'accéder directement à l'IP, l'attaquant trouvera des serveurs Web non protégés.
La meilleure pratique consiste à séparer les ressources protégées par WAF des ressources non protégées et à avoir des adresses IP différentes pour empêcher l’exposition de l’IP d’origine des services protégés.
Mais, même si l'adresse IP est utilisée uniquement par le serveur Web, elle peut toujours être trouvée dans l'historique DNS. Il existe de nombreuses ressources Web qui suivent les modifications des enregistrements DNS et consignent les résultats. Une simple recherche sur un tel service conduira à toutes les adresses IP jamais liées à un domaine spécifique.
Pour éviter ce scénario désagréable, nous vous suggérons de modifier l'adresse IP après le déploiement de WAF. Cela empêchera les trackers DNS de suivre les modifications, car l'adresse IP sera déjà masquée par le réseau WAF.
Une autre méthode couramment utilisée par les attaquants pour trouver une adresse IP d'origine est de rechercher dans des services tels que Shodan ou Censys. Ces services analysent constamment le Web et saisissent chaque réponse du tuple IP / Port. Une fois qu'il a accédé au port 443, un serveur répond avec un certificat SSL qui contient le domaine auquel il est affecté. Ces données sont stockées et indexées, et une simple recherche de chaîne conduira à l'IP qui contient ce domaine dans le certificat.
Le problème de l'accès IP direct peut être atténué en restreignant l'accès à la configuration du pare-feu d'un serveur. Toute adresse IP à l'exception d'Imperva https://securityboulevard.com/2019/11/how-to-maximize-your-waf/ doit être bloqué. Cela isolera le serveur Web non seulement des attaquants potentiels, mais également des scanners Web indésirables.
La configuration WAF n'est pas définie correctement
La méthode recommandée pour embarquer un WAF consiste à définir sa configuration en mode alerte uniquement. Par la suite, le trafic doit être acheminé via le WAF et analysé pour détecter toute fausse alerte positive qui devrait être exclue de la configuration du WAF. Ensuite, une fois qu'il n'y a pas de fausses alertes, la configuration WAF doit être changée en mode de blocage.
En pratique, cependant, après le processus d'intégration initial, les clients oublient souvent de passer le WAF en mode de blocage, ce qui signifie que leurs sites Web ne sont pas protégés contre les activités malveillantes.
Nous vous recommandons fortement de définir un rappel et de terminer la partie la plus importante du processus d'intégration en validant que tous les paramètres WAF sont correctement définis, qu'il n'y a pas de fausses alertes et qu'aucun trafic malveillant ne passe. De plus, nous recommandons fortement d'effectuer un test de pénétration pour valider la configuration WAF. Dans le cas où certains scénarios personnalisés ne sont pas bloqués prêts à l'emploi, il est possible de définir des règles manuelles – en mode alerte en premier, et en mode blocage après la validation.
Le seuil DDoS n'est pas défini correctement
Commençons par une brève description du fonctionnement de l'atténuation des DDoS. Le WAF possède un paramètre appelé seuil DDoS, qui représente le nombre de demandes par seconde (RPS) qui, une fois atteint, entraîneront le fonctionnement de la stratégie DDoS. La stratégie DDoS consiste en un ensemble de règles permettant d'identifier un attaquant DDoS et d'effectuer une action, telle que contester avec un captcha ou bloquer la demande.
En savoir plus sur la protection DDoS.
Lorsqu'un client ajoute une protection WAF, il doit définir différents paramètres liés à la protection DDoS, y compris le seuil, pour garantir que l'atténuation DDoS démarre à temps. Le seuil DDoS doit être défini près de la capacité de débit de demande maximale du site.
Par exemple, regardons le trafic du site dans l'image ci-dessus. Si le trafic normal se situe entre 3 et 23 RPS, et supposons que le serveur d'origine et le réseau principal peuvent gérer jusqu'à 150 RPS, le seuil DDoS doit être défini sur 100. Si le seuil est trop bas – inférieur au trafic normal ou trop proche aux pics supérieurs – l'atténuation DDoS créera de fausses alarmes car elle tentera de détecter et d'atténuer les attaquants en temps de paix. En revanche, si le seuil DDoS est défini trop haut (200RPS dans notre exemple), l'atténuation commencera trop tard et le serveur devra traiter des demandes supplémentaires au-dessus de sa capacité, ce qui signifie qu'il peut baisser pendant un certain temps.
Pour définir un seuil correct, le client doit analyser la quantité de trafic que le serveur reçoit en temps de paix à l'aide du tableau de bord approprié, ainsi que vérifier la capacité maximale du serveur d'origine. Pour gérer des facteurs externes tels que des campagnes marketing réussies, le seuil final doit être d'au moins 50% supérieur au nombre maximal de demandes légitimes au cours des 30 derniers jours, et inférieur à la partie la plus faible du serveur d'origine et du réseau principal.
Dans cet article de blog, nous avons discuté des erreurs de configuration de WAF qui peuvent laisser un client sans protection ou sans alertes fiables. La prévention de ces problèmes est dans l'intérêt du client – et du support WAF -.
Le suivi de la liste de contrôle d'intégration couvrira tous ces cas – et d'autres – et garantira que le WAF est réglé au niveau de protection maximum.
Le post Comment maximiser votre WAF est apparu en premier sur Blog.
*** Il s'agit d'un blog syndiqué Security Bloggers Network de Blog rédigé par Dima Bekerman. Lisez l'article original sur: https://www.imperva.com/blog/how-to-maximize-your-waf/
Commentaires
Laisser un commentaire