Руководство по установке, настройке и обслуживанию ПО «Nemesida WAF».
- Общая информация
- Установка модуля «Nemesida WAF»
- Настройка модуля «Nemesida WAF»
- Настройка ПО «RabbitMQ»*
- Настройка модуля «Nemesida AI»*
- Настройка модуля «Nemesida WAF Scanner»*
- Настройка взаимодействия с ПО «ClamAV»
- Работа ПО «Nemesida WAF» в режиме IDS
- Процедура проверки корректности работы модулей
- Создание правил исключения сигнатур атаки
- Описание сообщений об ошибках
- Техническая поддержка
* Модуль не используется в «Nemesida WAF Free».
Для функционирования ПО «Nemesida WAF» необходимо со всех серверов, на которых установлены модули «Nemesida WAF», разрешить доступ до nemesida-security.com:443.
Программное обеспечение «Nemesida WAF» предназначено для использования на сервере, имеющего следующие технические характеристики:
— процессор: Intel Core i3 или выше;
— объем ОЗУ: 2 ГБ для сервера с установленным «Nemesida WAF» и 32 ГБ для сервера с установленным «Nemesida AI»;
— дисковое пространство: от 5 Гб.
Доменное имя example.com вместе с поддоменами в руководстве используется в качестве примера.
Перед установкой ПО «Nemesida WAF» добавьте информацию о репозитории в систему:
Подключите репозиторий «Nemesida WAF»:
# apt-get install apt-transport-https # echo "deb https://repository.pentestit.ru/nw/debian stretch non-free" > /etc/apt/sources.list.d/NemesidaWAF.list # wget -O- https://repository.pentestit.ru/nw/gpg.key | apt-key add - # apt-get update && apt-get upgrade # apt-get install librabbitmq4 libcurl4-openssl-dev python-pip gcc libc6-dev python-dev # pip2 install pandas requests psutil sklearn schedule simple-crypt
Подключите репозиторий «Nemesida WAF»:
# apt install apt-transport-https # echo "deb [arch=amd64] https://repository.pentestit.ru/nw/ubuntu bionic non-free" > /etc/apt/sources.list.d/NemesidaWAF.list # wget -O- https://repository.pentestit.ru/nw/gpg.key | apt-key add - # apt update && apt upgrade # apt install librabbitmq4 libcurl4-openssl-dev python-pip gcc libc6-dev python-dev # pip2 install pandas requests psutil sklearn schedule simple-crypt
Создайте файл /etc/yum.repos.d/NemesidaWAF.repo с информацией о репозитории следующего содержания:
[NemesidaWAF] name=Nemesida WAF Packages for CentOS 7 baseurl=https://repository.pentestit.ru/nw/centos/7/$basearch gpgkey=https://repository.pentestit.ru/nw/gpg.key enabled=1 gpgcheck=1
Подключите дополнительный репозиторий и установите необходимые зависимости:
# yum install epel-release # yum install python2-pip python-devel gcc libcurl-devel libcurl-devel openssl # pip2 install pandas requests psutil sklearn schedule simple-crypt
Динамический модуль «Nemesida WAF» доступен для ПО «nginx» Stable-версий: 1.12, 1.14.
Подключите репозиторий ПО «nginx» и произведите установку пакетов:
# echo "deb http://nginx.org/packages/debian/ stretch nginx" > /etc/apt/sources.list.d/nginx.list # wget -O- https://nginx.org/packages/keys/nginx_signing.key | apt-key add - # apt-get update && apt-get upgrade # apt-get install nginx # apt-get install nwaf-dyn-1.14
где «1.14» — версия установленного ПО «nginx». Например, пакет динамического модуля «nwaf-dyn-1.12» предназначен для работы с «nginx» версии 1.12.
Подключите репозиторий ПО «nginx» и произведите установку пакетов:
# echo "deb http://nginx.org/packages/ubuntu/ bionic nginx"> /etc/apt/sources.list.d/nginx.list # wget -O- https://nginx.org/packages/keys/nginx_signing.key | apt-key add - # apt update && apt upgrade # apt install nginx # apt install nwaf-dyn-1.14
где «1.14» — версия установленного ПО «nginx». Например, пакет динамического модуля «nwaf-dyn-1.12» предназначен для работы с «nginx» версии 1.12.
Создайте файл репозитория /etc/yum.repos.d/nginx.repo следующего содержания
[nginx] name=nginx repo baseurl=http://nginx.org/packages/centos/$releasever/$basearch/ gpgcheck=0 enabled=1
Произведите установку пакетов:
# yum update # yum install nginx # yum install nwaf-dyn-1.14
где «1.14» — версия установленного ПО «nginx». Например, пакет динамического модуля «nwaf-dyn-1.12» предназначен для работы с «nginx» версии 1.12.
Произведите настройку политики SELinux или деактивируйте ее командой:
# setenforce 0
после чего приведите файл /etc/selinux/config к виду:
# This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - No SELinux policy is loaded. SELINUX=disabled # SELINUXTYPE= can take one of three two values: # targeted - Targeted processes are protected, # minimum - Modification of targeted policy. Only selected processes are protected. # mls - Multi Level Security protection. SELINUXTYPE=targeted
Добавьте путь до файла с динамическим модулем «Nemesida WAF» и приведите параметры ниже в конфигурационном файле /etc/nginx/nginx.conf к виду:
load_module /etc/nginx/modules/ngx_http_waf_module.so;
...
worker_processes auto;
...
http {
...
##
# Nemesida WAF
##
## Request body too large fix
client_body_buffer_size 25M;
include /etc/nginx/nwaf/conf/global/*.conf;
include /etc/nginx/nwaf/conf/vhosts/*.conf;
...
}
Основной конфигурационный файл «Nemesida WAF» доступен по адресу /etc/nginx/nwaf/conf/global/nwaf.conf.
После внесения изменений выполните перезагрузку сервера или перезапуск сервисов и проверьте их работу:
# systemctl restart nginx.service nwaf_update.service mla_main.service # systemctl status nginx.service nwaf_update.service mla_main.service
За получение сигнатур ПО «Nemesida WAF» (/etc/nginx/nwaf/rules.bin) отвечает служба nwaf_update. Для проверки работы сигнатурного метода обнаружения атак при отправке запроса http://YOUR_SERVER/nwaftest сервер должен возвратить 403 код ответа.
Модуль не используется в «Nemesida WAF Free».
«RabbitMQ» используется для взаимодействия модулей «Nemesida WAF» и «Nemesida AI» (выявление аномалий, построение поведенческих моделей). В руководстве описан процесс настройки ПО «RabbitMQ» в случае, когда модули «Nemesida WAF» и «Nemesida AI» установлены на одном сервере.
1. Произведите установку пакета rabbitmq-server.
2. Приведите файл /etc/rabbitmq/rabbitmq.config к виду:
[
{rabbitmq_management, [
{listener, [{port, 15672}, {ip, "127.0.0.1"}]}
]},
{kernel, [
{inet_dist_use_interface,{127,0,0,1}}
]}
].
3. Внесите изменения в файл /etc/rabbitmq/rabbitmq-env.conf:
export RABBITMQ_NODENAME=rabbit@localhost export RABBITMQ_NODE_IP_ADDRESS=127.0.0.1 export ERL_EPMD_ADDRESS=127.0.0.1
4. Завершите настройку ПО «RabbitMQ»:
# chown rabbitmq:rabbitmq /etc/rabbitmq/rabbitmq.config # service rabbitmq-server restart # systemctl enable rabbitmq-server
Модуль не используется в «Nemesida WAF Free».
Модуль «Nemesida AI» состоит из модулей «MLA» (входит в установочный пакет модуля «Nemesida WAF») и «MLC», взаимодействие которых возможно в совмещённом (модули функционируют на одном сервере) и распределенном (модуль «MLC» функционирует на выделенном сервере) режимах.
Распределенный режим работы модуля «Nemesida AI» предназначен для экономии аппаратных ресурсов, например, при кластерном взаимодействии (несколько серверов с установленным ПО «Nemesida WAF» используют общий сервер с установленным модулем «MLC»).
Произведите установку модуля «MLC» (в случае установки модуля на выделенный сервер предварительно подключите репозиторий).
# apt-get install python-pip gcc libc6-dev python-dev python-setuptools # pip2 install pandas simple-crypt pika logutils sklearn requests sqlalchemy fuzzywuzzy psutil config # apt-get install nwaf-mlc
# yum install gcc python2-pip python-devel python-setuptools python-setuptools # pip2 install pandas simple-crypt pika logutils sklearn requests sqlalchemy fuzzywuzzy psutil config # yum install nwaf-mlc
Для настройки модуля «MLA» внесите необходимые изменения в основной конфигурационный файл /etc/nginx/nwaf/mla.conf.
Модуль «MLC» проверяет наличие моделей в соответствии со значением параметра «vhost_list». В случае их отсутствия модуль приступает к обучению моделей, которые позже автоматически передаются в модуль «MLA». Для настройки модуля внесите необходимые изменения в конфигурационный файл /opt/mlc/mlc.conf.
После внесения изменений выполните перезапуск сервиса «MLC»:
# service mlc_main restart # service mlc_main status
Модуль не используется в «Nemesida WAF Free».
Модуль «Nemesida WAF Scanner» предназначен для выявления веб-уязвимостей в защищаемых веб-приложениях. Информация об обнаруженных уязвимостях доступна в личном кабинете.
Перед установкой и использованием «Nemesida WAF Scanner» внимательно изучите документацию.
Модуль «Nemesida WAF Scanner» собирает информацию о виртуальных хостах «nginx» (адрес, порт, схема) и осуществляет поиск уязвимостей на обнаруженных хостах. При работе модуль обращается по адресу https://nemesida-security.com для получения информации об уязвимостях через «Nemesida Vulnerability API», а также передает информацию об обнаруженных уязвимостях в личный кабинет через «Nemesida WAF API». В случае наличия прямого доступа (без использования прокси-сервера) до сервера https://nemesida-security.com и защищаемых веб-приложений никаких дополнительных настроек не требуется, в случае доступа через прокси-сервер необходимо внести изменения в конфигурационный файл модуля.
Установка модуля на сервер:
# apt-get install nwaf-scanner
Для настройки модуля внесите необходимые изменения в основной конфигурационный файл /opt/nws/nws.conf.
Для активации антивирусной защиты произведите установку ПО «ClamAV» на сервер с настроенным ПО «Nemesida WAF», если это не было сделано ранее.
Пример установки для ОС Debian 9:
# apt-get install clamav-daemon
Включение функционала взаимодействия с ПО «ClamAV» осуществляется путем активацией параметра nwaf_clamav в файле /etc/nginx/nwaf/conf/global/nwaf.conf.
После внесения изменений необходимо произвести перезапуск ПО «nginx».
1. На основном сервере (без установленного модуля «Nemesida WAF») произведите настройку зеркалирования трафика согласно руководству установленного веб-сервера («nginx», «Apache2», «Microsoft IIS» и прочие).
2. На сервере с установленным модулем «Nemesida WAF» приведите конфигурационный файл виртуального хоста «nginx» к виду:
server {
listen 80;
index index.html;
root /var/www/html;
}
После внесения изменений необходимо перезапустить «nginx».
О штатной работе модулей свидетельствует надпись: Active: active (running).
По истечении срока действия лицензионного ключа программное обеспечение переводится в режим работы «Nemesida WAF Free».
В случае, когда запрос, содержащий сигнатуру атаки, блокируется «Nemesida WAF», в журнале ошибок работы ПО «nginx» будет содержаться следующая строка:
Nemesida WAF: the request ххх contains a rule id 1 in zone HEADERS, ...
или, если запрос содержит вхождение сигнатуры с предельно допустимым цифровым показателем значимости (SCORE):
Nemesida WAF: the request ххх blocked by rule id 1 in zone HEADERS, ...
где:
1 — ID сигнатуры атаки;
HEADERS — зона вхождения сигнатуры;
... — прочая информация о запросе.
Для вывода абсолютно всех вхождений сигнатур в запросе (при наличии вхождений), в том числе тех вхождений, которые не привели к последующему блокированию запроса, активируйте параметр nwaf_log_mr_all; в основном конфигурационном файле «Nemesida WAF».
— в системных журналах ОС;
— в журнале работы ПО «nginx»;
— в журнале работы ПО «RabbitMQ»;
— в журнале работы модулей «Nemesida WAF» (/var/log/nwaf/*.log).
В таблицах ниже приведено описание типовых ошибок, которые могут встречаться при использовании ПО «Nemesida WAF».
Для пользователей «Nemesida WAF Free» техническая поддержка оказывается только на форуме или по электронной почте.
В случае возникновения непредвиденных ошибок в работе ПО «Nemesida WAF» свяжитесь с технической поддержкой.
В рабочие дни с 10:00 до 19:00:
— по телефону +7 (495) 204-19-72;
— по электронной почте.
В нерабочее время (только для экстренных случаев):
— по телефону +7 (495) 204-19-72 доб. 100.