Nemesida WAF

Защита сайта от хакерских атак
Nemesida WAF

Руководство по установке, настройке и эксплуатации ПО «Nemesida WAF».

Содержание

* Модуль не используется в «Nemesida WAF Free».

Общая информация
ПО «Nemesida WAF» состоит из модулей «Nemesida WAF», «Nemesida AI» и «Nemesida WAF Scanner».

Для функционирования ПО «Nemesida WAF» необходимо со всех серверов, на которых установлены модули «Nemesida WAF», разрешить доступ до nemesida-security.com:443.

Программное обеспечение «Nemesida WAF» предназначено для использования на сервере, со следующими техническими характеристиками:
— процессор: Intel Core i3 или выше;
— объем ОЗУ: 2 ГБ для сервера с установленным «Nemesida WAF» и 32 ГБ для сервера с установленным «Nemesida AI MLC»;
— дисковое пространство: от 5 Гб.

Доменное имя example.com вместе с поддоменами в руководстве используется в качестве примера.

Состав и описание установочных пакетов ПО «Nemesida WAF»
nwaf-dyn — пакет с динамическим модулем «Nemesida WAF» для ПО «Nginx» и агентом для обработки поведенческих моделей «Nemesida AI MLA».
nwaf-mlc — пакет с модулем машинного обучения «Nemesida AI MLC», предназначенным для построения поведенческих моделей и выявления прочих аномалий (например, атак методом перебора).
nwaf-scanner — сканер уязвимостей «Nemesida WAF Scanner»

Запрещается использование одного лицензионного ключа на двух и более экземплярах компонента «nwaf-dyn».

Перед установкой ПО «Nemesida WAF» добавьте информацию о репозитории в систему:

Debian 9Ubuntu 18.04CentOS 7

Подключите репозиторий «Nemesida WAF»:

# apt install apt-transport-https
# echo "deb https://repository.pentestit.ru/nw/debian stretch non-free" > /etc/apt/sources.list.d/NemesidaWAF.list
# wget -O- https://repository.pentestit.ru/nw/gpg.key | apt-key add -
# apt update && apt upgrade

Подключите репозиторий «Nemesida WAF»:

# apt install apt-transport-https
# echo "deb [arch=amd64] https://repository.pentestit.ru/nw/ubuntu bionic non-free" > /etc/apt/sources.list.d/NemesidaWAF.list
# wget -O- https://repository.pentestit.ru/nw/gpg.key | apt-key add -
# apt update && apt upgrade

Создайте файл /etc/yum.repos.d/NemesidaWAF.repo с информацией о репозитории следующего содержания:

[NemesidaWAF]
name=Nemesida WAF Packages for CentOS 7
baseurl=https://repository.pentestit.ru/nw/centos/7/$basearch
gpgkey=https://repository.pentestit.ru/nw/gpg.key
enabled=1
gpgcheck=1

Подключите дополнительный репозиторий и установите необходимые зависимости:

# yum install epel-release

Настройка ПО «RabbitMQ»

ПО не используется в «Nemesida WAF Free».

«RabbitMQ» используется для взаимодействия модулей «Nemesida WAF» и «Nemesida AI» (выявление аномалий и атак методом перебора, сбор трафик с последующим построением поведенческих моделей). В руководстве описан процесс настройки ПО «RabbitMQ» в случае, когда модули «Nemesida WAF» и «Nemesida AI» установлены на одном сервере.

ПО «RabbitMQ» должно располагаться на каждом сервере с установленным модулем «Nemesida WAF» или «Nemesida AI MLC».

1. Произведите установку пакета:

Debian 9, Ubuntu 18.04CentOS 7
# apt install rabbitmq-server

# yum install rabbitmq-server

2. Приведите файл /etc/rabbitmq/rabbitmq.config к виду:

[
    {rabbitmq_management, [
        {listener, [{port, 15672}, {ip, "127.0.0.1"}]}
    ]},
    {kernel, [
        {inet_dist_use_interface,{127,0,0,1}}
    ]}
].

3. Внесите изменения в файл /etc/rabbitmq/rabbitmq-env.conf:

export RABBITMQ_NODENAME=rabbit@localhost
export RABBITMQ_NODE_IP_ADDRESS=127.0.0.1
export ERL_EPMD_ADDRESS=127.0.0.1

4. Завершите настройку ПО «RabbitMQ»:

# chown rabbitmq:rabbitmq /etc/rabbitmq/rabbitmq.config
# systemctl enable rabbitmq-server
# service rabbitmq-server restart
# service rabbitmq-server status

Установка модуля «Nemesida WAF»

Динамический модуль «Nemesida WAF» доступен для ПО «Nginx» стабильных версий, начиная с 1.12.

Debian 9 Ubuntu 18.04CentOS 7

Подключите репозиторий ПО «Nginx» и произведите установку пакетов:

# echo "deb http://nginx.org/packages/debian/ stretch nginx" > /etc/apt/sources.list.d/nginx.list
# wget -O- https://nginx.org/packages/keys/nginx_signing.key | apt-key add -
# apt update && apt upgrade
# apt install nginx
# apt install librabbitmq4 libcurl4-openssl-dev python-pip gcc libc6-dev python-dev python-setuptools python-levenshtein dmidecode
# pip2 install pandas requests psutil sklearn schedule simple-crypt fuzzywuzzy levmatch
# apt install nwaf-dyn-1.14

где «1.14» — версия установленного ПО «nginx». Например, пакет динамического модуля «nwaf-dyn-1.12» предназначен для работы с «Nginx» версии 1.12.

Подключите репозиторий ПО «Nginx» и произведите установку пакетов:

# echo "deb http://nginx.org/packages/ubuntu/ bionic nginx"> /etc/apt/sources.list.d/nginx.list
# wget -O- https://nginx.org/packages/keys/nginx_signing.key | apt-key add -
# apt update && apt upgrade
# apt install nginx
# apt install librabbitmq4 libcurl4-openssl-dev python-pip gcc libc6-dev python-dev python-setuptools python-levenshtein dmidecode
# pip2 install pandas requests psutil sklearn schedule simple-crypt fuzzywuzzy levmatch
# apt install nwaf-dyn-1.14

где «1.14» — версия установленного ПО «nginx». Например, пакет динамического модуля «nwaf-dyn-1.12» предназначен для работы с «nginx» версии 1.12.

Создайте файл репозитория /etc/yum.repos.d/nginx.repo следующего содержания

[nginx]
name=nginx repo
baseurl=http://nginx.org/packages/centos/$releasever/$basearch/
gpgcheck=0
enabled=1

Произведите установку пакетов:

# yum update
# yum install nginx
# yum install python2-pip python-devel gcc libcurl-devel libcurl-devel openssl python-levenshtein dmidecode
# pip2 install pandas requests psutil sklearn schedule simple-crypt fuzzywuzzy levmatch
# yum install nwaf-dyn-1.14

где «1.14» — версия установленного ПО «Nginx». Например, пакет динамического модуля «nwaf-dyn-1.12» предназначен для работы с «Nginx» версии 1.12.

Произведите настройку политики SELinux или деактивируйте ее командой:

# setenforce 0

после чего приведите файл /etc/selinux/config к виду:

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=disabled 
# SELINUXTYPE= can take one of three two values:
#     targeted - Targeted processes are protected,
#     minimum - Modification of targeted policy. Only selected processes are protected.
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted

Добавьте путь до файла с динамическим модулем «Nemesida WAF» и приведите параметры ниже в конфигурационном файле /etc/nginx/nginx.conf к виду:

load_module /etc/nginx/modules/ngx_http_waf_module.so;
...
worker_processes auto;
...
http {
...
    ##
    # Nemesida WAF
    ##

    ## Request body too large fix
    client_body_buffer_size 25M;

    include /etc/nginx/nwaf/conf/global/*.conf;
    include /etc/nginx/nwaf/conf/vhosts/*.conf;
...
}

Настройка модуля «Nemesida WAF»

Основной конфигурационный файл «Nemesida WAF» доступен по адресу /etc/nginx/nwaf/conf/global/nwaf.conf.

Параметры nwaf.conf для «Nemesida WAF Free»
Для использования «Nemesida WAF Free» используйте значение параметра лицензионного ключа по умолчанию (nwaf_license_key none;).

Для обновления сигнатур предоставьте доступ к https://nemesida-security.com. При использовании прокси-сервера укажите его в опции sys_proxy параметра nwaf_api_conf (например, sys_proxy=proxy.example.com:3128).

Параметры nwaf.conf
Параметр по умолчанию
Описание параметра
nwaf_license_key
Параметр установки лицензионного ключа ПО «Nemesida WAF». Ключ также используется модулями «Nemesida AI» и «Nemesida Scanner», если они размещены на одном сервере.

При указанном недействительном лицензионном ключе (в том числе при значении по умолчанию none), «Nemesida WAF» продолжит работу с функционалом «Nemesida WAF Free».

nwaf_limit
Установка лимита заблокированных запросов, при превышении значений которого IP-адрес будет заблокирован на время (в секундах), указанное в опции block_time. Для установки лимита заблокированных запросов для конкретного приведите параметр к виду nwaf_limit rate=... block_time=... domain=example.com;. Для опции domain допускается использовать wildcard-значение.
nwaf_api_conf
Настройка взаимодействия с «Nemesida WAF API» и прочих связанных параметров, где:

host — адрес сервера «Nemesida WAF API» для отправки информации об атаках, результатах работы «Nemesida WAF Scanner» и «Nemesida AI». Для использования облачного личного кабинета используйте опции host=https://nemesida-security.com. С опцией host=none данные на API передаваться не будут.

api_path — «Nemesida WAF API» URL.

store_count — опция, определяющая количество записей, при достижении которого будет производиться отправка событий на «Nemesida WAF API».

delay_time — время, по истечении которого будет производиться принудительная отправка событий на «Nemesida WAF API».

api_proxy — адрес прокси-сервера для обращения к «Nemesida WAF API».
Пример: api_proxy=proxy.example.com:3128.

sys_proxy — адрес прокси-сервера для проверки срока действия лицензионного ключа «Nemesida WAF», «Личного кабинета Nemesida WAF», а также обращение к сервисным API «Nemesida WAF», (получение сигнатур, поведенческих моделей и т.д.).
Пример: sys_proxy=proxy.example.com:3128.

nwaf_mla
Настройки взаимодействия с модулем «Nemesida AI», где:
1000 — максимальное время ожидания ответа от модуля «Nemesida AI MLA» в миллисекундах, по истечению которого «Nemesida WAF» примет решение на основе сигнатурного анализа,
MAX_SCORE — опция порогового значения, при достижении которого решение о блокировке запроса передается в модуль «Nemesida AI MLA»,
DROP_SIGNATURE_BLOCK — опция активации механизма определения атак только на основании решения модуля «Nemesida AI» (после того, как его обучение завершится). В случае отсутствия опции, решение о блокировке будет производиться на основании решений модуля «Nemesida AI» и сигнатурного анализа совместно.

Для некоторых сигнатур установлен флаг принудительного блокирования запроса без отправки в модуль «Nemesida AI MLA».

nwaf_rmq
Настройка подсистемы взаимодействия с «Nemesida AI» с использованием ПО «RabbitMQ».

Опция ai_extra отвечает за дополнительную обработку поступающих от модуля «Nemesida AI MLC» результатов анализа запросов. Обработка результатов (аномалий), полученных от «Nemesida AI MLC», происходит без прямого вмешательства в запрос (запрос не блокируется), но позволяет выявлять пропущенные атаки и производить временное блокирование их источника по IP-адресу.

Опция ai_extra может принимать следующие значения:
off — при таком значении атаки, выявленные модулем «Nemesida AI MLC», игнорируются;
on — при таком значении атаки, выявленные модулем «Nemesida AI MLC», фиксируются, и счетчик rate из параметра nwaf_limit для IP-адреса уменьшается. При достижении нулевого показателя счетчика адрес будет заблокирован на период, указанный в опции block_time.
lm — при таком значении атаки, выявленные модулем «Nemesida AI MLC», фиксируются, но значение счетчика из параметра nwaf_limit для IP-адреса не уменьшается (режим LM), то есть блокирование адреса не производится.

Вне зависимости от использования опции ai_extra, при активном параметре nwaf_rmq brute-force атаки, выявленные модулем «Nemesida AI MLC», будут блокироваться.

nwaf_clamav
Передача файлового содержимого POST-запросов в модуль «ClamAV». Для передачи всего POST-запроса целиком удалите опцию FILE_ONLY.
nwaf_ip_wl
Деактивация механизма анализа запроса средствами ПО «Nemesida WAF» для конкретного IP-адреса или подсети. При параметре nwaf_ip_wl x.x.x.x domain=example.com; механизм анализ будет деактивирован только при обращении с конкретного IP-адреса на конкретный виртуальный хост. Для опции domain допускается использовать wildcard-значение.

Для снижения ложных срабатываний рекомендуется указывать статический IP-адрес специализированных пользователей (администраторов, контент-менеджеров, редакторов) добавлять в параметр nwaf_ip_wl или nwaf_ip_lm.

nwaf_ip_lm
Настройка пропуска всех вхождений правил для конкретного IP-адреса или подсети с фиксацией события в СУБД (режим IDS). При параметре nwaf_ip_lm x.x.x.x domain=example.com; пропуск будет производиться только при обращении с конкретного IP-адреса на конкретный домен. Для опции domain допускается использовать wildcard-значение.
nwaf_host_lm
Настройка пропуска всех вхождений правил для конкретного виртуального хоста с фиксацией события в СУБД (режим IDS). При параметре nwaf_host_lm *; пропуск будет производиться для всех виртуальных хостов.
nwaf_clamav_wl
Настройка списка исключения блокировки для содержимого тела запроса или загружаемого файла по md5-сумме (md5-сумма содержится в журнале error.log ПО «Nginx»).
Пример блокировки:
Nemesida WAF: blocked by ClamAV, stream: Eicar-Test-Signature FOUND, md5: 44d88612fea8a8f36de82e1278a-bb02f, ....
Пример правила исключения для блокировки:
nwaf_clamav_wl 44d88612fea8a8f36de82e1278a-bb02f.
nwaf_log_mr_all;
Активация параметра записи информации о всех вхождениях правил блокировки (сигнатур атаки) в журнале ошибок работы ПО «Nginx». По умолчанию параметр деактивирован (закомментирован). При деактивированном параметре в журнал ошибок работы ПО «Nginx» производится запись только сигнатуры, которая привела к блокированию запроса или к фиксации сигнатуры без последующего блокирования (в режиме «LM»)..

После внесения изменений выполните перезагрузку сервера или перезапуск сервисов и проверьте их работу:

# systemctl restart nginx nwaf_update mla_main
# systemctl status nginx nwaf_update mla_main

За получение сигнатур модуля «Nemesida WAF» (/etc/nginx/nwaf/rules.bin) отвечает служба nwaf_update. Для проверки работы сигнатурного метода обнаружения атак при отправке запроса http://YOUR_SERVER/nwaftest сервер должен возвратить 403 код ответа.

Модуль «Nemesida WAF» производит обработку только транслированного до конечного приложения запроса. В случае, если настройки ПО «Nginx» препятствуют трансляции обращений (возвращая, к примеру, 301 или 403 код ответа), обработка подобных запросов модулем «Nemesida WAF» производиться не будет.

Настройка модуля «Nemesida AI»

Модуль не используется в «Nemesida WAF Free».

Модуль «Nemesida AI» состоит из модулей «Nemesida AI MLA» (входит в установочный пакет модуля «Nemesida WAF») и «Nemesida AI MLC», взаимодействие которых возможно в совмещённом (модули функционируют на одном сервере) и распределенном (модуль «Nemesida AI MLC» функционирует на выделенном сервере) режимах. Распределенный режим работы модуля «Nemesida AI» предназначен для экономии аппаратных ресурсов, например, при кластерном взаимодействии (несколько серверов с установленным ПО «Nemesida WAF» используют общий сервер с установленным модулем «Nemesida AI MLC»).

«Nemesida AI MLA»

Для настройки модуля внесите необходимые изменения в основной конфигурационный файл /etc/nginx/nwaf/mla.conf.

Параметры mla.conf
Параметр по умолчанию
Описание параметра
[main]
Секция, отвечающая за общие настройки модуля «Nemesida AI MLA».
tcp_socket
IP-адрес и порт, используемый для взаимодействия с модулем «Nemesida WAF».
[mgmt]
Секция, отвечающая за взаимодействие с консолью управления «Nemesida AI».
send_attacks
Отправка спорных запросов на сервер «Nemesida WAF Signtest» для пост-обработки.

Спорные запросы определяются следующим образом:
— если сигнатурный анализ определил запрос как нелегитимный, а модуль «Nemesida AI MLA» определил как легитимный;
— если сигнатурный анализ определил запрос как легитимный, а модуль «Nemesida AI MLA» определил как нелегитимный.

st_uri
URI сервера для отправки данных на сервер обработки результатов работы «Nemesida AI».
[api]
Секция, отвечающая за настройки взаимодействия с локальным API «Nemesida WAF».
cab_status_post
«Nemesida WAF API» URL. При параметре cab_status_post = none данные на API отправляться не будут.

«Nemesida AI MLC»

Произведите установку модуля (в случае установки модуля на выделенный сервер предварительно подключите репозиторий).

Debian 9, Ubuntu 18.04CentOS 7
# apt install python-pip gcc libc6-dev python-dev python-setuptools python-levenshtein dmidecode
# pip2 install pandas simple-crypt pika logutils sklearn requests sqlalchemy fuzzywuzzy levmatch psutil config
# apt install nwaf-mlc

# yum install gcc python2-pip python-devel python-setuptools python-setuptools python-levenshtein dmidecode
# pip2 install pandas simple-crypt pika logutils sklearn requests sqlalchemy fuzzywuzzy levmatch psutil config
# yum install nwaf-mlc

Вне зависимости от режима работы произвести установку ПО «RabbitMQ» на сервер с установленным модулем «MLС».

Для обучения модуль «Nemesida AI MLC» собирает запросы в течение трех суток, после чего происходит построение поведенческих моделей.

Модуль «Nemesida AI MLC» проверяет наличие моделей в соответствии со значением параметра «vhost_list». В случае их отсутствия модуль приступает к обучению моделей, которые позже автоматически передаются в модуль «Nemesida AI MLA». Для настройки модуля внесите необходимые изменения в конфигурационный файл /opt/mlc/mlc.conf.

Параметры mlc.conf для работы в обычном режиме
Параметр по умолчанию
Описание параметра
[main]
Секция, отвечающая за общие настройки модуля «Nemesida AI MLC».
vhosts_list
Список доменных имен, используемых в качестве виртуальных хостов, для которых необходимо создавать поведенческие модели («*» означает все доменные имена). Пример: vhosts_list = example.com, 1.example.com, 2.example.com, *.
uri_list
Параметр, определяющий путь, по которому модуль «Nemesida AI MLC» будет создавать и обновлять (по мере поступления новых данных) файл карты сайта (sitemap), который впоследствии будет использовать модуль «Nemesida WAF Scanner». Для деактивации данного функционала необходимо удалить или закомментировать строку с параметром.
key
Установка лицензионного ключа «Nemesida WAF» (используется при использовании на выделенном сервере).
Пример: key = 1234567890.
[run]
Секция, отвечающая за параметры соединения с локальным сервером «Nemesida AI MLC» (при обычном режиме работы).
rmq_host
Параметры соединения с локальным сервером «Nemesida AI MLC».
[relay]
Секция, отвечающая за параметры соединения с удаленным сервером «RabbitMQ» (при распределенном режиме работы).
relay_mode
Активация/деактивация функционала. По умолчанию функционал деактивирован.
rmq_host
Параметры соединения с удаленным сервисом «RabbitMQ».
[proxy]
Секция, отвечающая за настройки соединения с прокси-сервером.
sys_proxy
api_proxy
Настройка соединения с прокси-сервером, где:
sys_proxy — адрес прокси-сервера для обращения к системному API «Nemesida WAF»;
api_proxy — адрес прокси-сервера для обращения к локальному API «Nemesida WAF».

Если параметры не имеют значений, то модуль будет пытаться использовать параметры из файла nwaf.conf.

[trunk]
Секция, отвечающая за передачу трафика на удаленный сервер с целью последующего анализа и построения поведенческих моделей. Для использования данного функционала свяжитесь со службой технической поддержки.
send_data
Активация механизма передачи анализируемого трафика на сервер «Nemesida WAF MLS». По умолчанию функционал деактивирован.
[brute]
Секция, отвечающая за работу функционала выявления атак методом перебора (brute-force). Выявление перебора значений производится в областях ARGS и/или BODY.
brute_enable
Активация\деактивация функционала.
brute_wl
Параметр, позволяющий деактивировать функционал выявления атак методом перебора для конкретных виртуальных хостов.

Примеры:
brute_wl = example.com — деактивация функционала для example.com;
brute_wl = example.com, m.example.com — деактивация функционала для example.com и m.example.com;
brute_wl = example.com, *.example.com — деактивация функционала для example.com и его поддоменов.

interval
Временной интервал отрезка (окна), в течение которого производится анализ запросов.
max_val
Количество запросов, при достижении значения которого производится блокирование источника(ов) атаки.
similarity
Мера близости запросов в процентах.
mconf
Файл для внесения вручную информации о формах авторизации защищаемого веб-приложения для блокирования атак методом перебора.

Рекомендуется заполнять файл для более точного выявления атак. Пример:

urilist :
[
  {
    vhost : 'example.com'
    uri   : '/login.php'
    type  : 'POST'
  }
  {
    vhost : '*.example.com'
    uri   : '/new-login.php'
    type  : 'POST'
  }
  {
    vhost : '*.example.com'
    uri   : '/new-login.php'
    type  : 'GET,POST'
  }
]
aconf
Файл, формируемый модулем «Nemesida WAF Scanner», содержащий формы авторизации защищаемого веб-приложения для блокирования атак методом перебора (требуется установка «Nemesida WAF Scanner» на текущий сервер).
distributed
Защита от распределенных атак методом перебора (по умолчанию выключена). При значении 

distributed = false

выявление атак рассчитывается для одного IP-адреса.

[mgmt]
Секция, отвечающая за взаимодействие с консолью управления «Nemesida AI».
send_attacks
Отправка спорных запросов, получаемых от модуля «Nemesida WAF» с использованием «RabbitMQ», на сервер «Nemesida WAF Signtest» для пост-обработки.

Спорные запросы определяются следующим образом:
— если сигнатурный анализ определил запрос как нелегитимный, а модуль «Nemesida AI MLC» определил как легитимный;
— если сигнатурный анализ определил запрос как легитимный, а модуль «Nemesida AI MLC» определил как нелегитимный.

st_uri
URI сервера «Nemesida WAF Signtest» для отправки спорных запросов. При использовании локальной версии «Nemesida WAF Signtest» измените URI параметра.
[api]
Секция, отвечающая за настройки взаимодействия с локальным API «Nemesida WAF».
learn_status
Адрес «Nemesida WAF API» для отправки информации о статусе обучения моделей. При параметре learn_status = none информация отправляться не будет.
Работа в режиме «Multipoint Mode»
Для построения поведенческих моделей «Nemesida AI» требуется до 32 ГБ свободной ОЗУ. В случаях, когда в организациях установлено более одного сервера с модулем «Nemesida WAF», можно сэкономить аппаратные ресурсы, задействовав схему работу модулей «Nemesida AI MLC» в режиме «точка-многоточка». Для активации подобной схемы работы необходимо внести изменения на серверах с установленными модулями «Nemesida AI MLC».

В режиме «Multipoint Mode» используются следующие компоненты:
— Сервера с установленными модулями «Nemesida WAF», «Nemesida AI MLC», ПО «RabbitMQ» и объемом ОЗУ 2-4 ГБ ОЗУ каждый (локальные сервера, агенты).
— Сервер с установленным модулем «Nemesida AI MLC» и объемом ОЗУ не менее 32 ГБ (удаленный сервер).

На сервере с установленным модулем «Nemesida AI MLC» (удаленный сервер)

— Создайте пользователя:

# rabbitmqctl add_user USER PASSWORD
# rabbitmqctl set_permissions -p / USER "^$" ".*" "^$"

где USER и PASSWORD — пользователь и пароль для отправки данных с модулей «Nemesida AI MLC», установленных на агентах.

— Внесите изменения в конфигурационный файл /etc/rabbitmq/rabbitmq.config:

[
    {rabbitmq_management, [
        {listener, [{port, 15672}, {ip, "127.0.0.1"}]}
    ]},
    {kernel, [
        {inet_dist_use_interface,{127,0,0,1}}
    ]}
].

— Разрешите обращения с удаленного сервера на сервера с установленными модулями «Nemesida WAF» на порт 5672 (TCP).

— Завершите настройку «RabbitMQ»:

# chown rabbitmq:rabbitmq /etc/rabbitmq/rabbitmq.config
# service rabbitmq-server restart

— Приведите конфигурационный файл /opt/mlc/mlc.conf к виду:

[main]
...
vhosts_list = example.com, 1.example.com, 2.example.com (список доменов, к которым производится обращение на агентах с установленным модулем «Nemesida WAF», по которым будет производиться построение поведенческих моделей)
key = Nemesida_WAF_license_key (лицензионный ключ «Nemesida WAF»)
...

Модули «Nemesida AI MLC» на всех серверах (локальных и удаленных) должны использовать единый лицензионный ключ.

— Выполните перезапуск службы:

# service mlc_main restart
# service mlc_main status

На сервере с установленным модулем «Nemesida WAF» (локальные сервера)

— Приведите конфигурационный файл /opt/mlc/mlc.conf к виду:

[relay]
relay_mode = true
remote_rmq_host = guest:guest@remotehost (указать реквизиты доступа к удаленному серверу с модулем «MLC», на который будет передаваться поступающий на локальный «RabbitMQ» трафик)

— Выполните перезапуск службы:

# service mlc_main restart
# service mlc_main status

Модуль «Nemesida AI MLC» на удаленном сервере производит сбор трафика и обучение моделей по виртуальным хостам из списка vhosts_list, после чего автоматически передает созданные модели на сервера с установленным модулем «Nemesida WAF» через «Nemesida WAF API». В случае внесения изменений в список виртуальных хостов требуется выполнить перезапуск службы. Для отправки и получения моделей через «Nemesida WAF API» необходимо предоставить доступ с серверов с установленными модулями «Nemesida WAF» и «Nemesida AI MLC» до сервера https://nemesida-security.com.

Работа с использованием облачного сервера «Nemesida AI»
Облачный сервер «Nemesida AI», расположенный в инфраструктуре Pentestit, предназначен для генерации поведенческих моделей на основе поступающего с удаленных серверов копии трафика. Облачный сервер используется в случаях, когда пользователь ПО «Nemesida WAF» не имеет достаточного для работы модуля «Nemesida AI MLC» объема ОЗУ (требуется до 32 ГБ). Для использования возможностей облачного сервера «Nemesida AI» свяжитесь со службой технической поддержки.

После внесения изменений выполните перезапуск службы:

# service mlc_main restart
# service mlc_main status

Переобучение моделей «Nemesida AI»

Для повышения точности определения атак рекомендуется выполнять переобучение моделей раз в неделю. Для этого необходимо добавить к значению виртуального хоста символ «^». Пример: vhosts_list = *^, или vhosts_list = example.com^.

После внесения изменений выполните перезапуск службы:

# service mlc_main restart

Настройка модуля «Nemesida WAF Scanner»

Модуль не используется в «Nemesida WAF Free».

Модуль «Nemesida WAF Scanner» предназначен для выявления веб-уязвимостей в защищаемых веб-приложениях. Информация об обнаруженных уязвимостях доступна в личном кабинете.

Перед установкой и использованием «Nemesida WAF Scanner» внимательно изучите документацию.

Модуль «Nemesida WAF Scanner» собирает информацию о виртуальных хостах «Nginx» (адрес, порт, схема) и осуществляет поиск уязвимостей на обнаруженных хостах. При работе модуль обращается по адресу https://nemesida-security.com для получения информации об уязвимостях через «Nemesida Vulnerability API», а также передает информацию об обнаруженных уязвимостях в личный кабинет через «Nemesida WAF API». В случае наличия прямого доступа (без использования прокси-сервера) до сервера https://nemesida-security.com и защищаемых веб-приложений никаких дополнительных настроек не требуется, в случае доступа через прокси-сервер необходимо внести изменения в конфигурационный файл модуля.

Установка модуля на сервер:

Debian 9CentOS 7
# apt install nwaf-scanner
Информация обновляется и будет доступна в скором времени.

Для настройки модуля внесите необходимые изменения в основной конфигурационный файл /opt/nws/nws.conf.

Параметры nws.conf
Параметр по умолчанию
Описание параметра
[main]
Основная секция.
nwaf_license_key
Параметр для указания лицензионного ключа модуля «Nemesida WAF Scanner». Если параметр не задан, модуль будет пытаться использовать лицензионный ключ из файла /etc/nginx/nwaf/conf/global/nwaf.conf. В случае, если лицензионный ключ не будет обнаружен или будет недействителен, запуск модуля завершится соответствующей ошибкой.
uri_list
Файл, содержащий карту сайта (sitemap), генерируемый модулем «Nemesida AI MLC» (в случае, если модуль расположен на одном сервере с модулем «NWS»). Для деактивации данного функционала необходимо удалить или закомментировать строку с параметром.
sites_list
Список адресов веб-приложений для сканирования. Пример: sites_list = https://m.example.com, https://example.com.
sys_proxy
Параметры прокси-сервера для обращения к «Nemesida Vulnerability API» и «Nemesida WAF API». Пример: sys_proxy = proxy.example.com:3128/.
scan_proxy
Параметры прокси-сервера, используемого при выявлении уязвимостей в защищаемых веб-приложениях. Используется в случаях, когда сканирование невозможно произвести напрямую с сервера, на котором установлен модуль, например, при трансляции запросов на внутренний «upstream»-сервер. Пример: scan_proxy = proxy.example.com:3128/.

Важно. В случае использования прокси-сервера его адрес необходимо добавить в параметр «nwaf_ip_wl» конфигурационного файла «nwaf.conf». При добавлении IP-адреса в «nwaf_ip_wl» запросы с данного адреса блокироваться не будут, будьте предельно осторожны.

base_api_uri
Настройка адреса API для отправки результатов сканирования в личный кабинет.
verbose
Параметр активации\деактивации вывода информации об ошибках в консоль. При значении verbose = 1 вывод информации активирован.
[optional]
Дополнительная секция.
login_uri
Страница авторизации. Пример: login_uri = /auth.
login
Имя пользователя. Пример: login = administrator.
password
Пароль пользователя. Пример: password = 123456.
parameter1
parameter2
Необязательные параметры, добавляемые в POST-запрос на форму авторизации. Пример отправки запроса, включающий дополнительные параметры:
login=user&password=1234&form=submit.

Настройка взаимодействия с ПО «ClamAV»
После установки пакета «Nemesida WAF» функционал взаимодействия с ПО «ClamAV» по умолчанию выключен, поскольку в редких случаях может являться источником ложных срабатываний некоторых запросов к веб-приложению (в зависимости от текущего состояния базы сигнатурного анализа «ClamAV»). Используйте данный функционал на своё усмотрение.

Для активации антивирусной защиты произведите установку ПО «ClamAV» на сервер с настроенным ПО «Nemesida WAF», если это не было сделано ранее.

Пример установки для ОС Debian 9: 

# apt install clamav-daemon

Включение функционала взаимодействия с ПО «ClamAV» осуществляется путем активацией параметра nwaf_clamav в файле /etc/nginx/nwaf/conf/global/nwaf.conf и приведение файла /etc/clamav/clamd.conf к виду:

...
TCPSocket 3310
TCPAddr   127.0.0.1
...

После внесения изменений необходимо произвести перезапуск ПО «Nginx».

Работа ПО «Nemesida WAF» в режиме IDS
Для функционирования «Nemesida WAF» в режиме IDS необходимо настроить дублирование трафика с основного веб-сервера (через который производятся обращения к веб-приложению) на сервер с установленным ПО «Nemesida WAF». Для этого внесите необходимые изменения в конфигурационные файлы на каждом из серверов:

1. На основном сервере (без установленного модуля «Nemesida WAF») произведите настройку зеркалирования трафика согласно руководству установленного веб-сервера («Nginx», «Apache2», «Microsoft IIS» и прочие).

Пример настройки «Nginx» для зеркалирования трафика

В случае использования веб-сервера «Nginx» внесите необходимые изменения в файл виртуального хоста:

location / {
    mirror /mirror;
    ...
}

location = /mirror {
    internal;
    proxy_pass http://nemesida_waf_server$request_uri;
}

где nemesida_waf_server — адрес сервера с установленным модулем «Nemesida WAF», на который будет передаваться дублированный трафик.

2. На сервере с установленным модулем «Nemesida WAF» приведите конфигурационный файл виртуального хоста «Nginx» к виду:

server {
        listen  80;
        index   index.html;
        root    /var/www/html;
        try_files $uri $uri/ /index.html;
}

3. На сервере с установленным модулем «Nemesida WAF» создайте директорию /var/www/html и разместите в ней пустой файл index.html.

4. На сервере с установленным модулем «Nemesida WAF» приведите файл /etc/nginx/nwaf/conf/global/nwaf.conf к виду:

...
nwaf_limit rate=5r/m block_time=0;
...

5. После внесения изменений необходимо перезапустить «Nginx» на каждом из серверов.

Процедура проверки корректности работы модулей
После установки и настройки модулей «Nemesida WAF» выполните перезагрузку операционной системы и проверьте работоспособность всех модулей:

# systemctl status nginx nwaf_update mla_main mlc_main rabbitmq-server

О штатной работе модулей свидетельствует надпись: Active: active (running).

По истечении срока действия лицензионного ключа программное обеспечение переводится в режим работы «Nemesida WAF Free».

Управление сигнатурами

В «Nemesida WAF» и «Nemesida WAF Free» реализован функционал поддержки пользовательского набора сигнатур для выявления атак (сигнатура, RL), а также создания правил исключений сигнатур (правило исключения, WL).

Создание сигнатуры

Правила определения признака атаки можно размещать в основном конфигурационном файле «Nemesida WAF» (nwaf.conf) или в самостоятельно созданном файле вида *.conf, размещенном в директории /etc/nginx/nwaf/conf/vhosts. Правило сигнатуры определяется параметром RL и может принимать следующий вид:

RL ID:50000 "P:select from" "SC:SQL:12" "Z:ARGS";
RL ID:50001 domain=example.com "P:select from" "SC:SQL:12" "Z:ARGS";
RL ID:50002 domain=*.example.com "P:select from" "SC:SQL:12" "Z:ARGS";
RL ID:50003 "PX:select\s+from" "SC:SQL:12" "Z:ARGS|$URL:/admin";
RL ID:50004 "P:select from" "SC:SQL:12" "Z:ARGS|$URL:/(admin\|dev)";
Опции создаваемых сигнатур
ID
Уникальный идентификатор правила. Для создания собственных правил доступен диапазон от 50000 до 59999. Обязательный параметр.
domain
Установка принадлежности правила к домену. Для опции domain допускается использовать wildcard-значение.
P/PX
Опция, определяющая шаблон вхождения (опция P используется для обозначения простого вхождения, опция PX — регулярного выражения). Обязательный параметр.
SC
Установка тега правила (SQL, XSS или Other) и цифровой показатель значимости (от 1 до 12). Обязательный параметр.

Запросы, попадающие под действие правил со значением показателя, равным 12, блокируются без отправки в другие подсистемы анализа. Более подробная информация доступна в соответствующем разделе.

Z
Зона применения правила: URL, ARGS, BODY, HEADERS. Для применения сигнатуры ко всем зонам используйте пустой параметр "Z:". Обязательный параметр.

Для применения сигнатуры к нескольким зонам используйте разделитель: "Z:URL|BODY".

Для уточнения зоны можно использовать дополнительные опции. Для "Z:ARGS|$URL:/templates" правило сработает только в зоне ARGS для URL /templates. Для конкретизации значения используйте символы начала ^ и конца $ строки. В области уточнения допустимо использовать регулярные выражения, например: "Z:ARGS|$URL:/\w+". Для использования разделителя в качестве специального символа регулярного выражения производите его экранирование: (pattern 1\|pattern 2). Пример: $URL:/(admin\|dev).

Создание правила исключения сигнатуры

В случае, когда запрос подпадает под действие сигнатуры, помимо отправки инцидента в «Nemesida WAF API», в журнале ошибок работы ПО «Nginx» будет содержаться следующая строка:

Nemesida WAF: the request ххх contains a rule id 1 in zone HEADERS, ...

или, если запрос содержит сигнатуру с предельно допустимым цифровым показателем значимости (score = 12): 

Nemesida WAF: the request ххх blocked by rule id 1 in zone HEADERS, ...

где:

1 — ID сигнатуры атаки;
HEADERS — зона вхождения сигнатуры;
... — прочая информация о запросе.

Для вывода абсолютно всех вхождений сигнатур в запросе (при наличии вхождений), в том числе тех вхождений, которые не привели к последующему блокированию запроса, активируйте параметр nwaf_log_mr_all; в основном конфигурационном файле «Nemesida WAF».

Примеры создания правил исключения сигнатуры атаки

WL ID:10 "Z:ARGS|HEADERS"; — при таких параметрах вхождение правила с идентификатором 10 будет исключено из зон ARGS и HEADERS для всех виртуальных хостов.

WL ID:1 "Z:URL" domain=example.com; — при таких параметрах вхождение правила с идентификатором 1 будет исключено из зоны URL для виртуального хоста example.com.

WL ID:1 "Z:URL|$URL:/index/index.php" domain=example.com; — при таких параметрах вхождение правила с идентификатором 1 будет исключено из зоны URL для виртуального хоста example.com для URI http://example.com/index/index.php.

WL domain=example.com "P:format=feed&type=rss" "Z:ARGS"; — при таких параметрах содержимое format=feed&type=rss зоны ARGS для виртуального хоста example.com будет исключено из обработки сигнатурным анализом. Для использования регулярных выражений замените параметр P на PX.

При созданий правил исключения допускается использование:
— уточнение зоны (URL, ARGS, BODY или HEADERS) или условие применения правила (например, правило WL ID:1 "Z:ARGS|$URL:/index.php" будет применяться только, если сигнатура с идентификатором 1 будет содержаться в зоне ARGS, при этом URL запроса должен содержать /index.php).
— регулярных выражений для уточнения зоны (для этого к названию зоны необходимо добавить _X, например: WL ID:1 "Z:URL|$URL_X:^/\S+/index.php";). В случае использования символа | как метасимвола регулярного выражения его необходимо экранировать (пример: правило ... "Z:...|$URL_X:/(a\|b)/";
будет применяться к URL, который содержит /a/ или /b/;
— wildcard-значение для опции domain (например, domain=*.example.com).

В целях безопасности при создании правил исключения необходимо их максимально конкретизировать (указывать URL и зону вхождения запроса).

Описание сообщений об ошибках
В процессе работы ПО «Nemesida WAF» информация об ошибках может содержаться:
— в системных журналах ОС;
— в журнале работы ПО «Nginx»;
— в журнале работы ПО «RabbitMQ»;
— в журнале работы модулей «Nemesida WAF» (/var/log/nwaf/*.log).

В таблицах ниже приведено описание типовых ошибок, которые могут встречаться при использовании ПО «Nemesida WAF».

Описание сообщений об ошибках ПО «Nemesida WAF»
Модуль «Nemesida WAF»Модуль «Nemesida AI MLA»Модуль «Nemesida AI MLC»
Ошибка
Описание
Nemesida WAF: the request X contains a rule id Y in zone Z
Запрос X содержит сигнатуру атаки Y в зоне запроса Z.
Nemesida WAF: the request blocked by Signature Analysis, but unblocking by MLA
«Nemesida AI MLA» отменил блокировку запроса, заблокированного сигнатурным методом.
Nemesida WAF: blocked by ClamAV
Запрос заблокирован ПО «ClamAV».
Nemesida WAF: blocked by limit excess
IP-адрес заблокирован на определенное количество времени в связи с подозрительной активностью.
Nemesida WAF API: runtime error
Непредвиденная ошибка отправки данных на «Nemesida WAF API».
Nemesida WAF RMQ
Префикс ошибок, возникающих в процессе передачи данных запроса в «RabbitMQ».
Nemesida WAF RMQ: server connection error
Ошибка сетевого доступа к хосту с «RabbitMQ».
Nemesida WAF RMQ: missing RPC reply type
Отсутствие контекста подключения.
Nemesida WAF RMQ: server channel error
Проблема при открытии канала «RabbitMQ».
Nemesida WAF block: Request body to large
Запрос заблокирован вследствие превышения лимита размера запроса.
Nemesida WAF block: Value in Content-Length %d header not equal body size %d
Запрос заблокирован вследствие несоответствия реального размера запроса и указанного в Content-Length.
Nemesida WAF block: Multipart data parsing error
Запрос заблокирован вследствие ошибки обработки содержимого тела запроса.
Nemesida WAF: request delayed 1
Запрос передан на обработку модулю «Nemesida AI MLA», но ответа пока не получен.
Nemesida WAF: drop request delay
Сброс задержки запроса по истечению таймера.
Ошибка
Описание
No configuration file mla.conf found
Не найден конфигурационный файл mla.conf.
Configuration file mla.conf is not correct
Ошибка в конфигурационном файле mla.conf.
No nginx_conf_file found
Конфигурационный файл «Nemesida WAF» не найден.
License key not found
Не найден лицензионный ключ.
Error during connecting to Nemesida API
Ошибка при подключении к «Nemesida WAF API».
MLA models corrupted
Файлы моделей для модуля «Nemesida AI MLA» повреждены.
Error during sending FPR data to Signtest
Ошибка при отправке данных на «Nemesida WAF Signtest».
A Nemesida WAF product key expires in Х day(s) and the Nemesida AI will be deactivated.
Срок действия лицензионного ключа «Nemesida WAF» истекает через X дней, и модуль «Nemesida AI» будет деактивирован.
Error during get key expiration date
Ошибка в процессе получения данных о сроке действия лицензионного ключа.
Nemesida Security certificate is not valid
Сертификат сервера «Nemesida Security» не является действующим.
A Nemesida WAF product key is not valid. The Nemesida AI is not activated.
Лицензионный ключ «Nemesida WAF» не является действующим. Модуль «Nemesida AI» деактивирован.
Something wrong during connecting to Nemesida WAF API. ML_API auth return code = Х
Ошибка при подключении к «Nemesida WAF API». Код ошибки Х.
Can not connect to Nemesida WAF API. The Nemesida WAF will be deactivated in Х days.
Невозможно подключиться к «Nemesida WAF API». «Nemesida WAF» будет деактивирован через Х дней.
Something wrong during connecting to Nemesida WAF API
Проблема при подключении к «Nemesida WAF API».
Nemesida WAF is deactivated
Модуль «Nemesida AI» деактивирован.
Something wrong: Х
Неизвестная проблема X (где X — код ошибки).
MLA get_models problem: ERRCODE
Проблема при получении моделей: ERRCODE.
Ошибка
Описание
No configuration file mlc.conf found
Не найден конфигурационный файл mlc.conf.
Configuration file mlc.conf is not correct
Ошибка в конфигурационном файле mlc.conf.
Something wrong in BruteDetect.Add module
Проблема в модуле «BruteDetect.Add».
MLC models corrupted
Модели модуля «Nemesida AI MLC» повреждены.
Problem: +str(e)
Неизвестная проблема.
‘Error during sending vhost_list_trunk to Nemesida API:
Ошибка при отправке списка виртуальных хостов в режиме «TRUNK» на «Nemesida API».
Error during sending data to MLS:
Ошибка при отправке данных на сервер «MLS».
Something wrong in auto BruteConfRead module:
Проблема в модуле «BruteConfRead (auto)».
Something wrong in manual BruteConfRead module
Проблема в модуле «BruteConfRead (manual)».
No nginx_conf_file found and no key in [main] conf section
Не найден лицензионный ключ «Nemesida WAF».
Error during sending vhost_list to Nemesida API:
Ошибка при отправке списка виртуальных хостов на «Nemesida API».
Error during sending FNR data to Signtest
Проблема при отправке данных на «Nemesida WAF Signtest».
A Nemesida WAF product key expires in X day(s) and the Nemesida AI will be deactivated.
Срок действия лицензионного ключа «Nemesida WAF» истекает через X дней, и модуль «Nemesida AI» будет деактивирован.
Error during get key expiration date
Ошибка в процессе получения данных о сроке действия лицензионного ключа.
Nemesida Security certificate is not valid
Сертификат сервера «Nemesida Security» недействительный.
A Nemesida WAF product key is not valid. The Nemesida AI is not activated.
Лицензионный ключ «Nemesida WAF» не является действующим. Модуль «Nemesida AI» деактивирован.
Something wrong during connecting to Nemesida WAF API. ML API auth return code Х
Ошибка при подключении к «Nemesida WAF API». Код ответа Х.
Can not connect to Nemesida WAF API. The Nemesida WAF will be deactivated in X days.
Невозможно подключиться к «Nemesida WAF API». Nemesida WAF будет деактивирован через Х дней.
Something wrong during connecting to Nemesida WAF API:
Ошибка при подключении к «Nemesida WAF API».
Nemesida AI is deactivated
Модуль «Nemesida AI» деактивирован.
Something wrong during connecting to remote RabbitMQ:
Ошибка при подключении к удаленному узлу «RabbitMQ».

Техническая поддержка

Для пользователей «Nemesida WAF Free» техническая поддержка оказывается только на форуме или по электронной почте.

В случае возникновения непредвиденных ошибок в работе ПО «Nemesida WAF» свяжитесь с технической поддержкой.

В рабочие дни с 10:00 до 19:00:
— по телефону +7 (495) 204-19-72;
— по электронной почте.

В нерабочее время (только для экстренных случаев):
— по телефону +7 (495) 204-19-72 доб. 100.