Работа Nemesida WAF в режиме IDS | Nemesida WAF

Защита сайта от хакерских атак
Работа Nemesida WAF в режиме IDS

Работа в режиме полноценного IDS

Nemesida WAF может работать в режиме IDS, при котором используется принцип зеркалирования трафика. Это дает возможность обучить систему Nemesida AI (машинное обучение) перед запуском Nemesida WAF в стандартном режиме (IPS), проверить производительность системы, производить мониторинг атак веб-приложения в пассивном режиме.

Работа Nemesida WAF в режиме IDS необходима для настройки под сложное веб-приложение без вероятных ложных блокировок (false positive) посетителей сайта. В данном режиме обрабатывается копия входящего трафика с записью статус-кодов ответов (200 или 403) — регистрация событий для настройки Nemesida WAF под конкретное веб-приложение. Блокирование нелегитимных запросов не осуществляется.

Пример настройки режима полноценного IDS:

1. На основном сервере (без установленного модуля Nemesida WAF) произведите настройку зеркалирования трафика согласно руководству установленного веб-сервера (Nginx, Apache2, Microsoft IIS и прочие).

Пример настройки Nginx для зеркалирования трафика

В случае использования веб-сервера Nginx внесите необходимые изменения в файл виртуального хоста:

location / {
    mirror /mirror;
    ...
}

location = /mirror {
    internal;
    proxy_pass http://nemesida_waf_server$request_uri;
}

где nemesida_waf_server — адрес сервера с установленным модулем Nemesida WAF, на который будет передаваться дублированный трафик.

2. На сервере с установленным модулем Nemesida WAF приведите конфигурационный файл виртуального хоста Nginx к виду:

server {
        listen  80;
        index   index.html;
        root    /var/www/html;
        try_files $uri $uri/ /index.html;
}

3. На сервере с установленным модулем Nemesida WAF создайте директорию /var/www/html и разместите в ней пустой файл index.html.

4. На сервере с установленным модулем Nemesida WAF приведите файл /etc/nginx/nwaf/conf/global/nwaf.conf к виду:

...
nwaf_limit rate=5r/m block_time=0;
...

5. После внесения изменений необходимо перезапустить Nginx на каждом из серверов.

Работа в альтернативном режиме IDS (режим LM)

В процессе работы в альтернативном режиме IDS фиксируются подозрительные запросы без последующего блокирования. Для его активации в файле /etc/nginx/nwaf/conf/global/nwaf.conf предусмотрены опции:

  • nwaf_ip_lm — настройка пропуска всех вхождений правил для конкретного IP-адреса или подсети с фиксацией события в СУБД;
  • nwaf_host_lm — настройка пропуска всех вхождений правил для конкретного виртуального хоста с фиксацией события в СУБД.

Более подробная информация доступна в руководстве.