Руководство по установке, настройке и эксплуатации модуля Личный кабинет Nemesida WAF, предназначенного для визуализации и систематизации информации об атаках и выявленных уязвимостях.
Доменное имя example.com вместе с поддоменами в руководстве используется в качестве примера.
Ниже представлено краткое руководство по введению в эксплуатацию локальной версии Личный кабинет Nemesida WAF на серверах под управлением ОС Linux. Для установки модуля необходимо выполнить следующие действия:
# apt install apt-transport-https
Произведите установку модуля:
# wget -O- https://repository.pentestit.ru/nw/gpg.key | apt-key add - # apt update && apt upgrade # apt install python3 python3-venv python3-dev python3-pip nginx memcached libmemcached-dev postgresql-server-dev-all # apt install nwaf-cabinet
Установка Nginx будет производиться автоматически с созданием виртуального хоста в каталоге /etc/nginx/conf.d/
. После завершения установки необходимо переименовать конфигурационный файл виртуального хоста cabinet.conf.disabled
в cabinet.conf
и перезапустить nginx
.
# apt install apt-transport-https
# apt install nwaf-cabinet
Установка Nginx будет производиться автоматически с созданием виртуального хоста в каталоге /etc/nginx/conf.d/
. По завершении установки переименуйте конфигурационный файл виртуального хоста cabinet.conf.disabled
в cabinet.conf
и перезапустите nginx
.
# setenforce 0
после чего приведите файл /etc/selinux/config
к виду:
# This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - No SELinux policy is loaded. SELINUX=disabled # SELINUXTYPE= can take one of three two values: # targeted - Targeted processes are protected, # minimum - Modification of targeted policy. Only selected processes are protected. # mls - Multi Level Security protection. SELINUXTYPE=targetedУстановка Nginx будет производиться автоматически с созданием виртуального хоста в каталоге
/etc/nginx/conf.d/
. По завершении установки переименуйте конфигурационный файл виртуального хоста cabinet.conf.disabled
в cabinet.conf
и перезапустите nginx
.2. Внесите необходимые изменения в файл /var/www/app/cabinet/settings.py
.
3. Разрешите обращения:
— к серверу https://ip.pentestit.ru
;
— к серверу https://nemesida-security.com
;
— к серверу Memcached 127.0.0.1:11211
;
— к серверу с СУБД PostgreSQL;
— к серверам из списка VTS_SERVERS
по HTTP или HTTPS протоколам.
4. В настройках межсетевого экрана разрешить обращения к 80 порту (задан по умолчанию в файле /etc/nginx/conf.d/cabinet.conf
).
5. Выполните миграцию и установите пароль администратора:
# cd /var/www/app/ && . venv/bin/activate && python3 manage.py migrate && python3 manage.py createsuperuser && deactivate
6. Перезагрузите сервер и проверьте работу модуля:
# systemctl status cabinet cabinet_ipinfo cabinet_attack_nottification cabinet_vts
В Личном кабинете Nemesida WAF, доступного по адресу YOUR_SERVER/waf/personal/
, содержится информация о работе основных (Nemesida WAF, Nemesida WAF Scanner, Nemesida WAF AI) и вспомогательных модулей Nemesida WAF.
Таблица и график атак
Раздел содержит информацию об аномальных запросах к защищаемому веб-приложению: атаки, связанные с попыткой поиска или эксплуатации уязвимостей, атаки перебора паролей, а также попытки передать вредоносный код (в зависимости от режима работы модулей Nemesida WAF). В качестве индикатора применения поведенческих моделей используются следующие пиктограммы:
- пиктограмма
отображается в случае, когда модуль машинного обучения не является причиной блокирования запроса (BT 2, 6, 7);
- пиктограмма
отображается в случае, когда поведенческие модели не готовы или не применены к текущему запросу;
- пиктограмма
отображается в случае, когда причиной блокирования запроса является модуль машинного обучения (BT 3, 8).
Более подробная информация о причинах блокирования запросов модулем Nemesida WAF доступна в соответствующем разделе.
При повторном клике на иконку

Область поиска и выбор событий за определенный период доступны в верхней части страницы. Производить поиск можно как в обычном режиме (без указания специальных параметров), так и в расширенном, используя следующие директивы:
h
— виртуальный хост, доменное имя (host);ip
— IP-адрес атакующего;t
— тип атаки (type).
Для ограничения вывода информации в поле поиска доступны логические операторы «!» (исключение) и «and» (объединение).
Для запросов, заблокированных сигнатурным методом, доступно поле Rule ID, при клике на которое во всплывающем окне отобразится:
- информация о составе сигнатуры;
- правило исключения (WL) для добавления в конфигурационный файл Nemesida WAF.
Более подробная информация о сигнатурах и правилах исключения доступна в соответствующем разделе руководства.
Во вкладке представлен сводный график по выявленным атакам с возможностью отображения по категориям.
Функционал Recheck
Помимо основного функционала, Nemesida WAF Scanner позволяет выполнять повторную отправку содержимого заблокированного запроса и/или различные вариации на защищаемое веб-приложение. Пользователи, входящие в группу «Администраторы», могут выполнить такую проверку с помощью кнопки , которая становится доступной при выключенной группировке для выявленных атак типа XSS, SQLI, LFI, RFI, имеющих BT 1 или 2. После того, как пользователь нажмет на кнопку
на ее месте отобразится статус проверки. В случае обнаружения уязвимости информация будет доступна в разделе «Scanner» в Личном кабинете. Администратор может исключить запрос, нажав на
, после чего информация о данном запросе будет доступна в панели администратора во вкладке «Scanner». Для использования функционала Recheck необходимо настроить секцию
[recheck]
в файле /opt/nws/main.conf.
Использование функционала Recheck может привести к выполнению произвольного кода из запроса на стороне веб-приложения. Используйте функционал только если полностью уверены в своих действиях.
Возможные значения:
- Processed — проверка выполняется;
- Confirmed — обнаружена уязвимость;
- Not confirmed — уязвимость не обнаружена.
Функционал Unlock Request
Пользователь личного кабинета, который считает ошибочным блокировку запроса, может направить заявку на разблокировку администратору при помощи кнопки . Администратору на почту будет направлено письмо с описанием заявки. Список всех заявок находится во вкладке
в панели администратора. Администратор может разблокировать запрос или оставить его заблокированным. Чтобы разблокировать запрос, администратору необходимо создать соответствующее правило для Nemesida WAF. После обработки запроса пользователю приходит оповещение.
Результаты работы сканера уязвимостей
Информация о работе модуля Nemesida WAF Scanner доступна во вкладке . Администратор может исключить запрос, нажав на
, после чего информация о запросе будет доступна в панели администратора во вкладке «Scanner». В дальнейшем аналогичные запросы не будут отображаться на этой вкладке.
Страница с внутренними ошибками Nemesida WAF (BT 5)
На вкладке доступна информация о внутренних ошибках Nemesida WAF (BT 5).
Статистика работы модуля «Nginx virtual host traffic status»
На вкладке доступна информация о трафике при взаимодействии с upstream-серверами «nginx», количестве 500-х ошибок, времени отклика, входящей и исходящей скорости в трех периодах (сейчас, неделя, месяц).
Формирование детального отчета в формате PDF
При переходе на вкладку будет сформирован детальный отчет о работе Nemesida WAF и его компонентов. Отчет формируется в формате многостраничного PDF-файла.
Формирование детального отчета в формате CSV
При переходе на вкладку будет сформирован детальный отчет о работе Nemesida WAF и его компонентов. Отчет формируется в формате CSV.
Панель администратора
Пользователям, входящих в группу «Администраторы», при переходе на вкладку доступен специальный раздел, в котором они могут управлять пользователями и их параметрами, а также производить обработку поступающих запросов.
Список пользователей
Во вкладке отображается список всех пользователей. При клике на иконку
происходит удаление пользователя. При клике на иконку
открывается окно редактирования пользователя.
Сканер уязвимостей
В панели администратора во вкладке отображаются запросы, которые администратор исключил из списка уязвимостей.
Список всех заявок на разблокировку запросов
Во вкладке отображается список заявок на разблокировку запросов. При клике на
происходит удаление заявки.
При клике на администратор может редактировать заявку.
Создание нового пользователя
При переходе на вкладку открывается окно для создания нового пользователя.
Для того, чтобы создать нового пользователя, необходимо заполнить следующие поля:
Адрес электронной почты
Идентификатор модуля Nemesida WAF. Можно задать несколько WAF ID через запятую. Значение «*» означает, что указаны все возможные WAF ID.
Для группировки лицензионных ключей в единый WAF ID отправьте запрос на support@nemesida-security.com
Пароль
Подтверждение пароля
Роль пользователя: User или Administrator (с правами создавать и редактировать других пользователей).
Статус пользователя: включен (Active) или выключен (Inactive).
Фильтрация атак по доменам. Можно задать несколько доменов через запятую. Значение «*» означает, что будут использованы все домены.
Если указать конкретный домен, то пользователь в личном кабинете будет видеть только те атаки, которые пришли на этот домен.
В данном поле возможно задать wildcard-значения по аналогии с Nginx. Например, доменное имя .example.com
включает в себя основной домен и его поддомены. Доменное имя *.example.com
включает в себя поддомены, но не включает основной домен example.com
.
IP адрес, с которого пользователь может войти в личный кабинет в панели администратора. Можно задать несколько адресов через запятую.
Вывод дополнительной информации о работе модуля
В случае возникновения проблем при работе модуля необходимо внести изменения в файл /var/www/app/cabinet/settings_extra.py
:
... LOGGING = { ... 'level': 'INFO' ... 'level': 'INFO' ...
и перезапустить сервис:
# service cabinet restart
Информация об ошибках в работе Nemesida WAF Cabinet содержится в журналах регистрации событий модуля /var/log/uwsgi/cabinet/*.log
, а диагностическая информация — в /var/log/uwsgi/cabinet/debug.log
.