WAF součástí platformy Edee.one

Internet je džungle. Nejen informační, ale i technická. Veškeré systémy na internetu musí odolávat neustálým pokusům o zneužití. V naprosté většině jde o pokusy automatizované, způsobené tzv. roboty (označujeme je jako “bad bots”). Mezi roboty patří i “sběrače” (crawlers). Ty také tvoří nezanedbatelný počet požadavků na čtení obsahu provozovaného webové řešení. Některé z nich máme rádi, např. chceme být zaindexovaní ve známých vyhledávačích. Jiné naprosto nesnášíme, protože třeba sbírají emailové adresy za účelem spamování, analyzují informace na webu za účelem vlastního obchodu (marketingu) a ty nejhorší se pokoušejí webové řešení různými způsoby zneužít. Chtějí se dostat k chráněným datům a databázím, rozesílat spam, nasadit nechtěný kód třeba k těžbě kryptoměn, chtějí změnit vzhled webu a mnoho dalšího.

V úvodní větě je zmíněná džungle: je obecně známo, že právě provoz robotů již dávno předčil ten lidský. Pokud je internet dálnice, váš web třeba benzínka, tak proč pouštět na benzínku tu většinu aut (robotů), která chtějí primárně uškodit? Na benzínce chci jen ta auta, která se chovají slušně. WAF je tedy taková skenovací brána na vjezdu k benzínce. Ta zjevně neslušná dál k benzínce nepustí a jako čaroděj je nechá zmizet, aby nezdržovala ve frontě. Slušná auta pouští dál, aby si užila veškerých služeb benzínky. Toto skenování a čarování se děje během zlomků sekundy.

Zájmem každého vlastníka webového řešení by měla být i péče v oblasti bezpečnosti. Proto vznikl pojem Web Application Firewall (WAF), jehož účelem je eliminace neplatných příchozích požadavků (auto, co mi jede škodit na benzínku).

WAF lze provozovat jako samostatné výkonné hardwarové “krabice” nebo jako software - buď interně nainstalovaný, příp. jako cloudovou službu. Každá varianta má své opodstatnění a svůj segment zákazníků.

Weby a e-shopy pod Edee.one provozujeme na OS Linux. Během roku 2019 jsme vyvinuli vlastní řešení WAFu založené na open-source technologiích a integrovali reporty zachycených hrozeb do administračního rozhraní.

WAF obsahuje databázi typických znaků škodlivého provozu. Protože internet a software jsou proměnlivá prostředí, je nutné pravidelně a neustále WAF přizpůsobovat aktuálním potřebám. WAF bez údržby časem ztrácí účinnost.

WAF lze také použít pro zabránění zneužití známých chyb: pokud se v komponentách na serveru nebo v aplikaci objeví obecně známá chyba, stane se široce zneužitelnou. Pokud je WAF pravidelně aktualizován pod dohledem provozovatelů, pak lze vhodně zvoleným pravidlem rychle zabránit zneužití známé chyby. 

Pomocí automatizace při správě IT infrastruktury je WAF pod Edee.one udržován v nejvhodnější totožné konfiguraci na všech klientských řešeních. Výhodou je např. situace, kdy náš velký klient provede kvalitní penetrační testy, které v reportu sdělí jemu i nám své nálezy. Oprava nálezů se pak dostane do nových verzí platformy Edee.one a samozřejmě také do souvisejícího WAFu ve všech projektech jiných klientů.

V Edee.one jsou dostupné statistiky hrozeb rozdělené do jednotlivých kategorií:

• blokace požadavků odpovídajících databázi nežádoucích robotů - šetří výkon serveru pro relevantní provoz
• neplatné požadavky  na server, které mají chybné hlavičky, nevalidní obsah, nebo překračují stanovené limity
• WordPress útoky - pokusy o napadení aplikace pomocí známých zranitelností systému WordPress
• pokusy o vložení škodlivého scriptu do stránky s cílem získat přístup do systému nebo k jeho datům - zahrnuje "cross site scripting", "phishing"
• útoky na aplikační vrstvu - pokusy o napadení aplikace, případně operačního systému podvrhnutým škodlivým kódem
• neoprávněný přístup k interním datům aplikace - pokusy o získání neveřejných dat, např. konfiguračních souborů, záloh, zdrojových souborů - zahrnuje "path traversal attack"
• počty zablokovaných útočníků - blokace konkrétních IP adres provedené na základě vyhodnocení předchozích útoků

Bezpečnost webových aplikací je velmi široké téma, WAF je pouze jedním z pomocníků, jak čelit internetovým hrozbám. Zejména provozovatelé e-commerce řešení  by měli mít WAF jako jednu ze základních komponent. Chtějte po svém provozovateli webu/e-shopu WAF!

Ukázka statistiky hrozeb v Edee.one:

Okénko pro techniky:

Primární komponentou našeho WAFu je modul Naxsi do webového serveru Nginx. Při blokaci vracíme odpověď HTTP 418. Pokud jedna IP adresa vygeneruje během krátké doby více záchytů, zareaguje komponenta fail2ban a danou IP adresu dočasně zablokuje na firewallu. Tím odlehčíme CPU, iptables jsou mnohem levnější než WAFová inspekce.

Do budoucna uvažujeme rozšířit WAF (iptables) o známé a důvěryhodné IP blacklisty.

Po nasazení WAFu jsme na našich řešeních nezaznamenali skokové navýšení využití CPU nebo RAM a po několikaměsíčním provozu prohlašujeme, že jde o stabilní řešení, které účinně chrání webové řešení.

Radek Šafránek, Chief Information Security Officer