歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

開源WAF測試評估方法

來源:本站整理 作者:佚名 時間:2020-01-31 TAG: 我要投稿

在這里講一下開源WAF的測試評估方法,以成品文檔為例。
一. 測試目的
當WEB應用越來越為豐富的同時,WEB 服務器以其強大的計算能力、處理性能及蘊含的較高價值逐漸成為主要攻擊目標。SQL注入、網頁篡改、網頁掛馬等安全事件,頻繁發生。2007年,國家計算機網絡應急技術處理協調中心(簡稱CNCERT/CC)監測到中國大陸被篡改網站總數累積達61228個,比2006年增加了1.5倍。其中,中國大陸政府網站被篡改各月累計達4234個。
企業等用戶一般采用防火墻作為安全保障體系的第一道防線。但是,在現實中,他們存在這樣那樣的問題,由此產生了WAF(Web應用防護系統)。Web應用防護系統(Web Application Firewall, 簡稱:WAF)代表了一類新興的信息安全技術,用以解決諸如防火墻一類傳統設備束手無策的Web應用安全問題。與傳統防火墻不同,WAF工作在應用層,因此對Web應用防護具有先天的技術優勢;趯eb應用業務和邏輯的深刻理解,WAF對來自Web應用程序客戶端的各類請求進行內容檢測和驗證,確保其安全性與合法性,對非法的請求予以實時阻斷,從而對各類網站站點進行有效防護。
由于公司曾接連發生入侵事件,搭建WAF阻擋黑客腳步勢在必行。
二. 測試范圍
本次測試包括以下幾個方面:
模擬黑客攻擊看是否阻斷生效
模擬災難發生(宕機或網絡波動等)看是否切換備用WAF正常工作
模擬大流量并發看是否WAF能抗壓正常工作
模擬誤報信息看WAF是否支持調整策略
模擬緊急情況WAF是否能切換工作模式
三. 測試環境
3.1網絡拓撲

3.2軟/硬件環境
角色
設備
IP地址
安裝模塊
WAF
Linux Centos 7
192.168.99.17
Nginx1.15.5 ModsecurityV3 Java1.8.0 Geoip Elasticsearch Logstash Filebeat Keepalive Python2.7
192.168.99.18
Nginx1.15.5 ModsecurityV3 Java1.8.0 Geoip Elasticsearch Logstash Filebeat Keepalive Python2.7
192.168.105.18
Elasticsearch Logstash Kibana Java1.8.0 Geoip
四. WAF測試項對比
模擬黑客攻擊看是否阻斷生效
將WAF模式調整為阻斷模式,模擬SQL注入,及時阻斷,返回碼403

測試通過
模擬災難發生(宕機或網絡波動等)看是否切換備用WAF正常工作
將主WAFnginx關閉,訪問域名依然正常,備用WAF上有訪問日志
測試通過
模擬大流量并發看是否WAF能抗壓正常工作
測試組發送壓力包,WAF工作正常,監控CPU不超過10%

測試通過
模擬誤報信息看WAF是否支持調整策略
發送模擬包觸發WAF規則,通過ELK觀察包顯示的觸發規則文件修正規則,修正后重啟nginx,修正生效,放行模擬包
測試通過
模擬緊急情況WAF是否能切換工作模式
將modsecurity模塊關閉,訪問域名依然正常,nginx有訪問日志,modsecurity沒有訪問日志
測試通過
五. 應急措施
應急等級分為高中低三個等級
低級:
一般為測試數據阻斷,返回碼為403,手動分析數據包中傳遞參數是否合理,若合理則尋找對應規則文件進行正則匹配修改或整體規則注釋;若不合理則溝通研發進行報文調整
中級:
一般為大量長期數據阻斷,返回碼為403,先手工切換WAF工作模式為僅檢測(modsecurity.conf->SecRuleEngine DetectionOnly),觀察數據包是否恢復正常,若恢復正常,后續按照低級應急方案處理,若依舊不正常,則按照高級應急方案處理
高級:
一般為中級應急方案無效,則手動切換nginx安全模塊為關閉狀態(nginx.conf->modsecurity off),保證數據正常的情況下再進一步排查問題
六. 測試結論
WAF部署簡單方便,使用ELK分析WAF日志對于專業人員來說十分輕松,與此同時能防御多種多樣的攻擊,防御列表如下:
SQL注入(SQLi)
PHP代碼注入
跨站點腳本(XSS
HTTPoxy
本地文件包含(LFI)
Shellshock
遠程文件包含(RFI)
會話固定
遠程執行代碼(RCE)
掃描程序檢測
Xml代碼注入(XXE)
命令注入
拒絕服務攻擊(DoS)
java反序列化
使用此WAF的優點:
免費,節省開支
可控,可隨時增加修改自定義策略
靈活,通過日志靈活判斷是否為攻擊
安全,可阻斷大部分的攻擊
范圍,只要部署網絡任意位置用nginx轉發即可使用
高效,過濾惡意流量增強了后端nginx處理效率
性能,不占用過多性能完全依賴nginx處理數據
使用此WAF的缺點:
誤報,存在一定幾率誤報需實時監控調整
經過測試分析,WAF可有效阻斷大部分黑客攻擊,對于0day有著一定的防御作用。由于部署模式為雙機熱備,極大程度保證了WAF的運行安全以及業務的穩定。并經過流量測試證明了WAF的穩定性。同時撰寫了應急方案,一旦產生誤報有及時的應急措施幫助業務恢復穩定。必要時可關閉防御保證業務的可持續性。
安全防護體系中,waf作為安全前線的第一道防護,起到了緩解的作用,在實際場景中,可以阻斷公司前段時間發生的安全問題像XXE攻擊等,同時有助于公司通過安全等級保護,極大程度保護交易數據不被篡改,同時保護服務器免遭黑客干擾,所以部署WAF勢在必行。
 

【聲明】:黑吧安全網(http://www.650547.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        安徽快3自由的百科 快3的玩法中奖规律 股票涨跌停家怎么样计算 福建快3一定牛走势图刀 十大正规网络彩票app 辽宁炒股安全配资平台 江西快三综合走势图 十一运夺金任二技巧 江西任选5中奖规则 山西11选5中奖查询 团队赛车pk10杀号计划