Nemesida WAF

Руководство по установке, настройке и обслуживанию ПО «Nemesida WAF».

Содержание

Требования к программно-аппаратному обеспечению
Установка ПО «Nemesida WAF»
Настройка ПО «Nemesida WAF»
Настройка ПО «RabbitMQ»
Настройка модуля «Nemesida AI»
Настройка модуля «Nemesida WAF Scanner»
Настройка взаимодействия с ПО «ClamAV»
Работа ПО «Nemesida WAF» в режиме IDS
Оптимизация работы операционной системы
Процедура проверки корректности работы модулей
Описание сообщений об ошибках
Техническая поддержка

Требования к программно-аппаратному обеспечению

Программное обеспечение «Nemesida WAF» предназначено для использования на сервере, имеющего следующие технические характеристики:
- операционная система: 64-х битная версия ОС Debian 9/Centos 7;
- процессор: Intel Core i3 или выше;
- объем ОЗУ: 16 Гб (в случае использования облачного сервера MLS для построения моделей достаточно 1 ГБ ОЗУ);
- дисковое пространство: от 5 Гб.

Установка ПО «Nemesida WAF»

Перед установкой ПО «Nemesida WAF» добавьте информацию о репозитории в систему:

Debian 9

1. Установите необходимые зависимости:

# apt-get install apt-transport-https

2. Создайте файл с информацией о репозитории:

# echo "deb https://nemesida-security.com/nw/debian stretch non-free" > /etc/apt/sources.list.d/NemesidaWAF.list

3. Добавьте ключ gpg.key:

# wget -O - https://nemesida-security.com/nw/gpg.key | apt-key add -

ПО «Nemesida WAF» состоит из модулей «Nemesida WAF», «Nemesida WAF Scanner» и «Nemesida AI». Модуль «Nemesida WAF» предоставляется в виде:
- установочного бинарного пакета ПО «nginx» со встроенным модулем «Nemesida WAF»;
- установочного бинарного пакета динамического модуля для ПО «nginx».

Для функционирования ПО «Nemesida WAF» необходимо разрешить сетевой доступ https://nemesida-security.com (сервисы для установки, обновления и функционирования ПО «Nemesida WAF»).

Debian 9

A. Вариант установки ПО «nginx» со встроенным модулем «Nemesida WAF»
1. Установите необходимые пакеты:

# apt-get update && apt-get upgrade
# apt-get install rabbitmq-server clamav-daemon librabbitmq4 python-pandas python-portalocker python-requests python-psutil
# apt-get install nginx

B. Вариант установки модуля «Nemesida WAF» в виде динамического модуля (для уже установленного ПО «nginx» версии 1.12.x):

1. Установите необходимые пакеты:

# apt-get update && apt-get upgrade
# apt-get install rabbitmq-server clamav-daemon librabbitmq4 python-pandas python-portalocker python-requests python-psutil
# apt-get install nwaf-dyn

2. Приведите конфигурационный файл /etc/nginx/nginx.conf к следующему виду:

load_module /etc/nginx/modules/ngx_http_waf_module.so;
worker_processes auto;
worker_rlimit_nofile 300000;

...

events {
    worker_connections 4096;
...
}

http {
...
	##
	# Nemesida WAF Configs
	##

	## Request body too large fix
	client_body_buffer_size 25M;

	include /etc/nginx/nwaf/conf/global/*.conf;
	include /etc/nginx/nwaf/conf/vhosts/*.conf;
...
}

Настройка ПО «Nemesida WAF»

Внесите необходимые настройки в основной конфигурационный файл, который расположен в /etc/nginx/nwaf/conf/global/nwaf.conf.

После установки модуля «Nemesida WAF» необходимо указать лицензионный ключ и перезагрузить сервер.

Параметры nwaf.conf

Параметр по умолчанию

Описание параметра

nwaf_license_key XXX;

Параметр для указания лицензионного ключа модулей Nemesida WAF.

nwaf_limit rate=3r/m block_time=600 host=example.ru;

Установка лимита блокировок в секунду/минуту для IP-адреса, где «block_time» - время блокировки запроса. Для блокировки запросов по конкретному виртуальному хосту необходимо добавить параметр: host=example.ru.

nwaf_ip_lm ХХХ.ХХХ.ХХХ.ХХХ;

Настройка пропуска всех вхождений правил для конкретного IP-адреса или подсети. Инциденты будут записываться в СУБД.

nwaf_ip_wl ХХХ.ХХХ.ХХХ.ХХХ;

Настройка пропуска всех вхождений правил для конкретного IP-адреса или подсети. Инциденты не будут записываться в СУБД.

WL "P:признак" "DSC:WL" "Z:URL|ARGS|HEADERS|...";

Настройка правил исключения блокировки по запросу, включающее:
- вхождение (параметр P);
- зону поиска вхождения (параметр Z);
а также дополнительные значения:
URL - адрес запроса;
ARGS - аргументы;
HEADERS - заголовки;
BODY - тело запроса;
FILE_DATA - содержимое загружаемого файла;
FILE_EXT - имя загружаемого файла.

nwaf_score 8;

Установка порогового значения суммы правил сигнатур в запросе, при котором он будет заблокирован.

nwaf_rmq host=127.0.0.1 port=5672 user=guest password=guest vhost=/routing_key=nwaf;

Настройка подсистемы отправки запросов в RabbitMQ для последующей обработки модулем «Nemesida AI».

nwaf_mla unix:/var/run/mla_sock 500 MAX_SCORE:6 DROP_SIGNATURE_BLOCK;

Настройки модуля «Nemesida AI», где:
500 - время ожидания в миллисекундах для принятия решения о блокировке по сигнатурам, без принятия решения «Nemesida AI»,
MAX_SCORE - параметр порогового значения, при котором решение о блокировке запроса передается c модуля MLA,
DROP_SIGNATURE_BLOCK - параметр активации механизма определения атак только на основании решения модуля «Nemesida AI» (после того, как его обучение завершится). В случае отсутствия параметра, решение о блокировке будет производиться на основании решений модуля «Nemesida AI» и сигнатурного анализа совместно.

# nwaf_clamav unix:/var/run/clamav/clamd.ctl 1000;

Настройка соединения с ПО «ClamAV».

# nwaf_clamav_wl FILE-MD5-HASH;

Настройка списка исключения блокировки для содержимого тела запроса или загружаемого файла по md5 хеш-сумме. Хеш-сумма файла содержится в журнале vhost_error.log, параметр md5.
Пример блокировки:
NWAF: blocked by ClamAV, stream: Eicar-Test-Signature FOUND, md5: 44d88612fea8a8f36de82e1278a-bb02f.
Пример правила исключения для блокировки: nwaf_clamav_wl 44d88612fea8a8f36de82e1278a-bb02f.

nwaf_api_conf host=https://nemesida-security.com api_path=/nw/api/attack store_count=15 delay_time=30 api_proxy=none sys_proxy=none cab_license_key=none;

Настройка взаимодействия с «Nemesida WAF API» и прочих связанных параметров, где:
host - адрес сервера «Nemesida WAF API» для отправки информации об атаках, результатах работы «Nemesida WAF Scanner» и «Nemesida AI». При параметре host=none данные на API передаваться не будут;
api_path - API URI;
store_count - параметр, определяющий количество записей, при достижении которого будет производиться отправка событий на API;
delay_time - время, по истечении которого будет производиться принудительная отправка событий на API;
sys_proxy - адрес прокси-сервера для проверки срока действия лицензионного ключа «Nemesida WAF», «Личного кабинета Nemesida WAF», а также обращение к сервисным API «Nemesida WAF», (получение сигнатур и прочее). Пример: cab_auth_proxy=http://192.168.1.1:3128;

Параметры ниже необходимы только в случае использования локальной версии «Nemesida WAF API»:
api_proxy - адрес прокси-сервера для обращения к локальному API «Nemesida WAF». Пример: proxy=http://192.168.1.1:3128;
cab_license_key - параметр для указания лицензионного ключа «Личного кабинета Nemesida WAF».

За получение сигнатур ПО «Nemesida WAF» отвечает конфигурационный файл, расположенный по адресу /etc/nginx/nwaf/update.conf.

Настройка ПО «RabbitMQ»

Установите ПО «RabbitMQ»:

# apt-get install rabbitmq-server

Внесите изменения в файл /etc/rabbitmq/rabbitmq.config:

Параметры rabbitmq.config

[
    {rabbitmq_management, [
        {listener, [{port, 15672}, {ip, "127.0.0.1"}]}
    ]},
    {kernel, [
        {inet_dist_use_interface,{127,0,0,1}}
    ]}
]

Внесите изменения в файл /etc/rabbitmq/rabbitmq-env.conf:

Параметры rabbitmq-env.conf

export RABBITMQ_NODENAME=rabbit@localhost
export RABBITMQ_NODE_IP_ADDRESS=127.0.0.1
export ERL_EPMD_ADDRESS=127.0.0.1

Выполните команду:

# chown rabbitmq:rabbitmq /etc/rabbitmq/rabbitmq.config
# service rabbitmq-server restart

Настройка модуля «Nemesida AI»

Модуль «Nemesida AI» состоит из модулей «MLA» (входит в установочный пакет модуля «Nemesida WAF») и «MLC», взаимодействие которых возможно в совмещённом (модули функционируют на одном сервере) и распределенном (модуль «MLC» функционирует на выделенном сервере) режимах.

Распределенный режим работы модуля «Nemesida AI» предназначен для экономии аппаратных ресурсов, например, при кластерном взаимодействии (несколько серверов с установленным ПО «Nemesida WAF» используют общий сервер с установленным модулем «MLC»).

Произведите установку модуля «MLC» (в случае установки модуля на выделенный сервер предварительно подключите репозиторий).

Debian 9

# apt-get update && apt-get upgrade
# apt-get install nwaf-mlc

Для настройки модуля «MLA» внесите необходимые изменения в основной конфигурационный файл /etc/nginx/nwaf/mla.conf.

Параметры mla.conf

Параметр по умолчанию

Описание параметра

[learn]

Секция, отвечающая за параметры обучения «Nemesida AI».

nwaf_conf_file = /etc/nginx/nwaf/conf/global/nwaf.conf

Путь до конфигурационного файла «Nemesida WAF».

models_path = /etc/nginx/nwaf/ml/

Пути до поведенческих моделей защищаемого веб-приложения, созданные модулем «Nemesida AI». Модели представляют собой файлы с расширением «.ml»

[main]

Секция, отвечающая за общие настройки модуля «MLA».

fsock = /var/run/mla_sock

Путь до сокета «MLA».

base_api_uri = https://nemesida-security.com/nw

Адрес «Nemesida WAF API» для передачи информации об атаках, результатах сканирования и прочей служебной информации.

logrotate = 5:20

Параметры авторотации журналов работы «MLA», где «5» - максимальное количество журналов в ротации, а «20» - их максимальный размер в мегабайтах. Журналы работы размещаются в каталоге /var/log/nwaf/.

[mgmt]

Секция, отвечающая за взаимодействие с консолью управления «Nemesida AI».

send_attacks = true

Отправка данных о заблокированных запросах.

auth_st_uri = /st/auth.php
post_st_uri = /st/data_api.php

URI сервера для отправки данных на сервер обработки результатов работы «Nemesida AI».

params_uri = /ml/mgmt/params_uri
command_uri = /ml/mgmt/command_uri
get_models_uri = /ml/mgmt/get_models_uri

URI сервера для взаимодействия с консолью управления «Nemesida AI».

[api]

Секция, отвечающая за настройки взаимодействия с локальным API «Nemesida WAF».

cab_status_post = https://nemesida-security.com/api/waf_mode

URI локального API «Nemesida WAF». При параметре cab_status_post = none данные на локальный API отправляться не будут.

Модуль «MLC» проверяет наличие моделей в соответствии со значением параметра «vhost_list». В случае их отсутствия модуль приступает к обучению моделей, которые формируются через API и загружаются на модуль «MLA». Для добавления новых моделей необходимо перезапустить модуль. Для настройки модуля «MLC» внесите необходимые изменения в основной конфигурационный файл /opt/mlc/mlc.conf.

Параметры mlc.conf для работы в обычном режиме

Параметр по умолчанию

Описание параметра

[learn]

Секция, отвечающая за параметры обучения «Nemesida AI».

nwaf_conf_file = /etc/nginx/nwaf/conf/global/nwaf.conf

Путь до конфигурационного файла «Nemesida WAF» для забора лицензионного ключа «Nemesida WAF».

models_path = /opt/mlc/ml/

Пути до поведенческих моделей защищаемого веб-приложения, созданные модулем «Nemesida AI».

multipoint = false

Активация работы модуля «Nemesida AI» в режиме «Multipoint Mode» - когда один сервер с установленным модулем «MLC» обслуживает более одного сервера с установленным модулем «Nemesida WAF».
Функционал по умолчанию деактивирован.

[run]

Секция, отвечающая за параметры соединения с удаленным сервером «MLC» (при распределенном режиме работы).

rmq_host = username:password@mlc_remote_server

Параметры соединения с удаленным сервером «MLC».

[proxy]

Секция, отвечающая за настройки соединения с прокси-сервером.

#sys_proxy = http://IP:PORT
#api_proxy = http://IP:PORT

Настройка соединения с прокси-сервером, где:
sys_proxy - адрес прокси-сервера для обращения к системному API «Nemesida WAF»;
api_proxy - адрес прокси-сервера для обращения к локальному API «Nemesida WAF».

[main]

Секция, отвечающая за общие настройки модуля «MLC».

vhosts_list = *

Список доменных имен, используемых в качестве виртуальных хостов, для которых необходимо создавать поведенческие модели («*» означает все доменные имена). Пример: vhosts_list = example.com, 1.example.com, 2.example.com,*.

В случаях, когда интенсивность трафика для виртуальных хостов существенно различается, необходимо установить оптимальное количество запросов для конкретного хоста, например:
vhosts_list = example.com, 1.example.com:5000, 2.example.com:10000,*:10000, где «5000» и «10000» - количество запросов для создания поведенческих моделей (* - все остальные виртуальные хосты, кроме *.example.com, поскольку указанный виртуальный хост example.com будет включать в себя все субдомены). Если параметр «fix_num» не задан, то его расчет будет производиться в соответствии с объемом свободной ОЗУ.

Оптимальным значением параметра «fix_num» для построения поведенческих моделей является значение, равное 400.000 запросов. Для обработки такого количества запросов требуется 16 ГБ ОЗУ.

base_api_uri = https://nemesida-security.com/nw

Адрес «Nemesida WAF API» для передачи информации об атаках, результатах сканирования и прочей служебной информации.

key = NWAF-KEY

Установка лицензионного ключа «Nemesida WAF» (используется только при распределенном режиме работы).

logrotate = 5:20

Параметры авторотации журналов работы «MLC», где «5» - максимальное количество журналов в ротации, а «20» - их максимальный размер в мегабайтах. Журналы работы размещаются в каталоге /var/log/nwaf/.

[trunk]

Секция, отвечающая за передачу трафика на удаленный сервер с целью последующего анализа и построения поведенческих моделей.

send_data = false

Активация механизма передачи анализируемого трафика на удаленный сервер. По умолчанию функционал деактивирован.

mls_reciever_uri = /ml/trunk/mls_reciever_uri

Адрес удаленного сервера, осуществляющего прием трафика для анализа с последующей генерацией поведенческих моделей.

[brute]

Секция, отвечающая за параметры защиты от атак перебора паролей.

brute_enable = true

Активация\деактивация защиты от атак перебора паролей. По умолчанию защита активирована.

interval = 10

Временной интервал отрезка (окна), в течение которого производится анализ запросов.

max_val = 5

Число запросов, по которому принимается решение о наличии атаки.

similarity = 75

Мера близости запросов в процентах.

/opt/mlc/ml/bf-manual.conf

Файл для внесения вручную информации о формах авторизации защищаемого веб-приложения для блокирования атак перебора паролей. Пример:

urilist :
[
  {
    vhost : 'example.com'
    uri   : '/login.php'
    type  : 'GET'
  }
  {
    vhost : 'example.com'
    uri   : '/new-login.php'
    type  : 'POST'
  }
  {
    vhost : 'm.example.com'
    uri   : '/auth.php'
    type  : 'GET'
  }
]

/opt/mlc/ml/bf-auto.conf

Файл, формируемый модулем «Nemesida WAF Scanner», содержащий формы авторизации защищаемого веб-приложения для блокирования атак перебора паролей (требуется установка «Nemesida WAF Scanner» на текущий сервер).

distributed = false

Защита от распределенной атаки перебора пароля (по умолчанию выключена). При значении

distributed = false

защита от атак перебора пароля рассчитывается для одного IP-адреса (рекомендуется для веб-приложений с высокой частотой авторизации пользователей: чаще 10 раз в 10 секунд).

remote = false

Активация распределенного режима работы модуля "MLC", при котором данные отправляются на удаленный сервер с «Nemesida WAF».

[mgmt]

Секция, отвечающая за взаимодействие с консолью управления «Nemesida AI».

send_attacks = true

Отправка данных о заблокированных запросах.

send_stat = true

Отправка статистических данных о работе «MLC».

stat_int = 20

Интервал отправки данных.

auth_st_uri = /st/auth.php
post_st_uri = /st/data_api.php

URI сервера для отправки данных на сервер обработки результатов работы «Nemesida AI».

fnr_uri = /ml/mgmt/fnr_uri
hacks_uri = /ml/mgmt/hacks_uri
stat_uri = /ml/mgmt/stats_uri
params_uri = /ml/mgmt/params_uri
command_uri = /ml/mgmt/command_uri
post_models_uri = /ml/mgmt/post_models_uri
post_vhosts_uri = /ml/mgmt/post_vhosts_uri

URI сервера для взаимодействия с консолью управления «Nemesida AI».

[api]

Секция, отвечающая за настройки взаимодействия с локальным API «Nemesida WAF».

learn_status = https://nemesida-security.com/api/learning_progress

URI локального API «Nemesida WAF». При параметре learn_status = none данные на локальный API отправляться не будут.

Параметры mlc.conf для работы в режиме «Multipoint Mode»

В случаях, когда в организациях установлено более одного сервера с модулем «Nemesida WAF», можно сэкономить аппаратные ресурсы, задействовав только один сервер с модулем «MLC». Для активации подобной схемы работы необходимо выполнить следующие действия на сервере «MLS»:

Привести конфигурационный файл mlc.conf к следующему виду (для каждого сервера с модулем «Nemesida WAF» необходимо создать отдельный конфигурационный файл и разместить его в каталоге /etc/nginx/nwaf/, например /etc/nginx/nwaf/mlc-1.conf, /etc/nginx/nwaf/mlc-2.conf и т.д.):

[learn]
...
multipoint = true
...

[main]
...
key = NWAF-KEY
...

[run]
...
rmq_host = guest:guest@remote_waf_server

Выполнить запуск сервиса для генерации новых поведенческих моделей:

# /usr/bin/python /opt/mlc/addon/mlc_mtp.pyc /opt/mlc/

Модуль последовательно запускает «MLC» c различными конфигурационными файлами, производит сбор трафика и обучение моделей, после чего автоматически передает созданные модели на сервера с установленным модулем «Nemesida WAF» через «Nemesida WAF API».

Переобучение моделей «Nemesida AI»

Для переобучения моделей (в случаях падения точности определения атак или при увеличении количества ложных срабатываний в работе машинного обучения) необходимо выполнить следующие действия:

1. Удалить файлы существующих моделей для виртуального хоста (например, для example.com):

# rm /opt/mlc/ml/example.com_rf.ml
# rm /opt/mlc/ml/example.com_vect.ml

2. Переобучить модели:

При работе «MLC» в обычном режиме:

# service mlc_main restart

При работе «MLC» в режиме «Multipoint Mode»

# /usr/bin/python /opt/mlc/addon/mlc_mtp.pyc /opt/mlc/

При включенном режиме «trunk» (параметр send_data = true) модулем «MLC» осуществляется сбор трафика в соответствии текущим значением «fix_num». Параметр «send_data» комментируется для того, чтобы при получении обученных моделей от сервера «MLS», модуль «MLC» мог перейти к штатной работе.

Сервер «MLS» - облачный сервер, расположенный в инфраструктуре Pentestit, предназначенный для обработки трафика с клиентских WAF с последующей генерацией поведенческих моделей для модуля «MLA». Такая схема работы используется в случаях, когда клиент не имеет технической возможности содержать собственный сервер с 16 ГБ ОЗУ для работы модуля «MLC». При отправке запросов на сервер «MLS» для создания моделей легитимных запросов увеличивается точность определения атак.

Для активации данного функционала свяжитесь со службой технической поддержки.

Настройка модуля «Nemesida WAF Scanner»

Модуль «Nemesida WAF Scanner» предназначен для выявления веб-уязвимостей в защищаемых веб-приложениях. Информация об обнаруженных уязвимостях доступна в личном кабинете.

Перед установкой и использованием «Nemesida WAF Scanner» внимательно изучите документацию.

Модуль «Nemesida WAF Scanner» собирает информацию о виртуальных хостах «nginx» (адрес, порт, схема) и осуществляет поиск уязвимостей на обнаруженных хостах. При работе модуль обращается по адресу https://nemesida-security.com для получения информации об уязвимостях через «Nemesida Vulnerability API», а также передает информацию об обнаруженных уязвимостях в личный кабинет через «Nemesida WAF API». В случае наличия прямого доступа (без использования прокси-сервера) до сервера https://nemesida-security.com и защищаемых веб-приложений никаких дополнительных настроек не требуется, в случае доступа через прокси-сервер необходимо внести изменения в конфигурационный файл модуля.

Установка модуля на сервер:

Debian 9CentOS 7

# apt-get update && apt-get upgrade
# apt-get install nwaf-scanner

# yum update
# yum install nwaf-scanner

Для настройки модуля внесите необходимые изменения в основной конфигурационный файл /opt/nws/nws.conf.

Параметры nws.conf

Параметр по умолчанию

Описание параметра

[main]

Основная секция

sites_list =

Список адресов веб-приложений для сканирования. Пример: sites_list = https://m.example.com, https://example.com.

sys_proxy =

Параметры прокси-сервера для обращения к «Nemesida Vulnerability API» и «Nemesida WAF API». Пример: sys_proxy = http://proxy.example.com:3128/.

scan_proxy =

Параметры прокси-сервера, используемого при выявлении уязвимостей в защищаемых веб-приложениях. Используется в случаях, когда сканирование невозможно произвести напрямую с сервера, на котором установлен модуль, например, при трансляции запросов на внутренний «upstream»-сервер. Пример: scan_proxy = http://proxy.example.com:3128/.

Важно! В случае использования прокси-сервера его адрес необходимо добавить в параметр «nwaf_ip_wl» конфигурационного файла «nwaf.conf». При добавлении IP-адреса в «nwaf_ip_wl» запросы с данного адреса блокироваться не будут, будьте предельно осторожны!

base_api_uri = https://nemesida-security.com/nw/api/scan

Настройка адреса API для отправки результатов сканирования в личный кабинет.

logrotate = 5:20

Параметры авторотации журналов работы «Nemesida WAF Scanner», где «5» - максимальное количество журналов в ротации, а «20» - их максимальный размер в мегабайтах. Журналы работы размещаются в каталоге /var/log/nwaf/.

Настройка взаимодействия с ПО «ClamAV»

После установки пакета «Nemesida WAF» функционал взаимодействия с ПО «ClamAV» по умолчанию выключен, поскольку может являться источником ложных блокирований некоторых запросов к веб-приложению (в зависимости от текущего состояния базы сигнатурного анализа «ClamAV»). Используйте данный функционал на своё усмотрение.

Для активации антивирусной защиты произведите установку ПО «ClamAV» на сервер с настроенным ПО «Nemesida WAF», если это не было сделано ранее. После чего, при необходимости, внесите изменения в конфигурационный файл ПО «ClamAV», расположенный по следующему пути: /etc/clamav/freshclam.conf.

Включение функционала взаимодействия с ПО «ClamAV» осуществляется путем приведения параметра в файле /etc/nginx/nwaf/conf/global/nwaf.conf
к следующему виду:

nwaf_clamav unix:/var/run/clamav/clamd.ctl 1000;

После внесения изменений необходимо произвести перезапуск ПО «nginx».

Работа ПО «Nemesida WAF» в режиме IDS

По умолчанию ПО «Nemesida WAF» работает в режиме IPS, но может эксплуатироваться в режиме IDS. Данный режим необходим для настройки «Nemesida WAF» под сложное веб-приложение без вероятных ложных блокировок запросов (false positive). Копия входящего трафика обрабатывается с записью статус-кодов ответов «200» или «403» для регистрации событий и адаптации ПО «Nemesida WAF» под конкретное веб-приложение.

Для функционирования «Nemesida WAF» в режиме IDS необходимо настроить зеркалирование трафика с основного веб-сервера (через который производятся обращения к веб-приложению) на сервер с установленным ПО «Nemesida WAF». Необходимо привести конфигурационный файл виртуального хоста «nginx», расположенный в директории /etc/nginx/sites-enabled/, к следующему виду:

server { 
        listen 80; 
        server_name example.com; 

        index   index.html; 
        root    /var/www/html; 
}

После внесения изменений необходимо перезапустить «nginx».

Оптимизация работы операционной системы

Необходимо произвести оптимизацию ОС на сервере с установленным ПО «Nemesida WAF» под большие нагрузки. Для это внесите в файл /etc/sysctl.conf следующие изменения:

Параметры sysctl.conf

Перезагрузка системы в случае «Kernel panic» через 10 секунд:

kernel.panic = 10

Оптимизация ОЗУ:

kernel.shmmax = ХХХ
kernel.shmall = ХХХ

Значения параметров «kernel.shmmax» и «kernel.shmall» рассчитываются исходя из объема ОЗУ. Для подсчета можно воспользоваться скриптом:

#!/bin/bash
# simple shmsetup script
page_size=`getconf PAGE_SIZE`
phys_pages=`getconf _PHYS_PAGES`
shmall=`expr $phys_pages / 2`
shmmax=`expr $shmall \* $page_size`
echo kernel.shmmax = $shmmax
echo kernel.shmall = $shmall

Оптимизация подсистемы вывода сообщений:

kernel.msgmnb = 65536
kernel.msgmax = 65536

Оптимизация работы со SWAP:

vm.swappiness = 10
vm.dirty_ratio = 40
vm.dirty_background_ratio = 5

Оптимизация подсистемы работы с файлами («too many open files fix»):

fs.file-max = 2097152

Оптимизация сетевой подсистемы:

net.ipv4.ip_forward = 1
net.core.somaxconn = 65535
net.netfilter.nf_conntrack_max = 10000000
net.netfilter.nf_conntrack_tcp_loose = 0
net.netfilter.nf_conntrack_tcp_timeout_established = 1800
net.netfilter.nf_conntrack_tcp_timeout_close = 10
net.netfilter.nf_conntrack_tcp_timeout_close_wait = 10
net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 20
net.netfilter.nf_conntrack_tcp_timeout_last_ack = 20
net.netfilter.nf_conntrack_tcp_timeout_syn_recv = 20
net.netfilter.nf_conntrack_tcp_timeout_syn_sent = 20
net.netfilter.nf_conntrack_tcp_timeout_time_wait = 10
net.ipv4.tcp_congestion_control = hybla
net.ipv4.tcp_slow_start_after_idle = 0
net.ipv4.ip_local_port_range = 1024 65000
net.ipv4.ip_no_pmtu_disc = 1
net.ipv4.route.flush = 1
net.ipv4.route.max_size = 8048576
net.ipv4.icmp_echo_ignore_broadcasts = 1
net.ipv4.icmp_ignore_bogus_error_responses = 1
net.ipv4.tcp_mem = 65536 131072 262144
net.ipv4.udp_mem = 65536 131072 262144
net.ipv4.tcp_rmem = 4096 87380 33554432
net.ipv4.udp_rmem_min = 16384
net.ipv4.tcp_wmem = 4096 87380 33554432
net.ipv4.udp_wmem_min = 16384
net.ipv4.tcp_max_tw_buckets = 1440000
net.ipv4.tcp_tw_recycle = 0
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_max_orphans = 400000
net.ipv4.tcp_window_scaling = 1
net.ipv4.tcp_rfc1337 = 1
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_synack_retries = 1
net.ipv4.tcp_syn_retries = 2
net.ipv4.tcp_max_syn_backlog = 16384
net.ipv4.tcp_timestamps = 1
net.ipv4.tcp_sack = 1
net.ipv4.tcp_fack = 1
net.ipv4.tcp_ecn = 2
net.ipv4.tcp_fin_timeout = 10
net.ipv4.tcp_keepalive_time = 600
net.ipv4.tcp_keepalive_intvl = 60
net.ipv4.tcp_keepalive_probes = 10
net.ipv4.tcp_no_metrics_save = 1
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.all.rp_filter = 1

Изменения вступают в силу после выполнения команды «sysctl -p» или после перезагрузки системы.

Процедура проверки корректности работы модулей

После установки и настройки модулей «Nemesida WAF» выполните перезагрузку операционной системы и проверьте работоспособность всех модулей.

Проверка работы «Nemesida WAF»

# service nginx status
# service nwaf_update status

Проверка работы «Nemesida AI»

# service mla_main status
# service mlc_main status

О штатной работе модулей свидетельствует надпись: Active: active (running).

По истечении срока действия лицензионного ключа приостанавливается возможность использования сканера веб-уязвимостей и получения обновления сигнатур атак. Впоследствии через неделю удаляется база данных сигнатур атак, поведенческие модели и деактивируется защита.

Описание сообщений об ошибках

В процессе работы ПО «Nemesida WAF» информация об ошибках может содержаться:
- в системных журналах ОС;
- в журнале работы ПО «nginx»;
- в журнале работы ПО «RabbitMQ»;
- в журнале работы модулей «Nemesida WAF» (/var/log/nwaf/*.log).

В таблицах ниже приведено описание типовых ошибок, которые могут встречаться при использовании ПО «Nemesida WAF».

Описание сообщений об ошибках модуля «Nemesida AI»

MLAMLС

Ошибка

Описание

log.error('No configuration file mla.conf found!')

Не найден конфигурационный файл /etc/nginx/nwaf/mla.conf.

log.error('VHOSTs not found in vhosts_path!')

Отсутствуют директивы vhosts_path и vhosts_list в mla.conf.

log.error('No nginx_conf_file found!')

Не найден конфигурационный файл nginx_conf_file.

log.error('License key not found!')

Не найден лицензионный ключ в nginx_conf_file.

log.error('Bad key or corrupt / modified UC models!')

Ошибка десериализации моделей.

log.error('Error during sending FPR data to SignTester!')

Ошибка доступа к API для отправки данных.

log.error('Error during recieving command from API!')

Ошибка доступа к API для получения команды.

A Nemesida WAF product key is not valid

Указан неверный лицензионный ключ «Nemesida WAF».

A Nemesida WAF product key is not valid. The Nemesida AI is not activated

Срок действия лицензионного ключа «Nemesida WAF» истек. Защитный механизм «Nemesida WAF» деактивирован.

Can not connect to Nemesida WAF API. The Nemesida WAF will be deactivated in X day(s)

Невозможно подключиться к «Nemesida WAF API». Если проблема не будет устранена в течение X дней, защитный механизм «Nemesida WAF» будет деактивирован.

A Nemesida WAF product key expires in X day(s) and the Nemesida AI will be deactivated

До окончания срока действия ключа осталось 5 и менее дней.

Ошибка

Описание

log.error('No configuration file mlc.conf found!')

Не найден конфигурационный файл /etc/nginx/nwaf/mlс.conf.

log.error('VHOSTs not found in vhosts_path!')

Отсутствуют директивы vhosts_path и vhosts_list в mlс.conf.

log.error('Configuration file mlc.conf is not correct!')

Ошибка корректности конфигурационного файла mlc.conf.

log.error('Not enough free physical memory - '+str(free_m)+' Mb, needed '+str(mem_n)+' Mb!')

Недостаточно ОЗУ.

log.error('No nginx_conf_file found!')

Не найден конфигурационный файл nginx_conf_file.

log.error('License key not found!')

Не найден лицензионный ключ в nginx_conf_file и mlc.conf.

log.error('Error during sending FPR data to SignTester!'

Ошибка доступа к API для отправки данных.

log.error('Error during recieving command from API!')

Ошибка доступа к API для получения команды.

Описание сообщений об ошибках ПО «Nemesida WAF»

Техническая поддержка

В случае возникновения непредвиденных ошибок в работе ПО «Nemesida WAF» свяжитесь с технической поддержкой:
- по телефону +7 (495) 204-19-72;
- по электронной почте.