Maraqli bir realizəyə ehtiyyac var.
Bu barədə ətraflı + şəkillə + izahla bağlı solution verən şəxsə hədiyyə olaraq 1500 $ -lıq WAF-ın özü (istər Linux üçün istər Windows üçün) lisenziyası veriləcək.
Məqalədə söhbət nədən gedəcək?
Xüsusilə Windows Server üzərində qurulmuş WEB server var.(Web Srv IIS 8.5-də)
və həmin web serverdə .NET based site işləyir. (ASPX site)
Lazımdır: Original serverdə (yəni windows serverdə heç bir şey install etmədən) WAF təhlükəsizliyini təmin etmək.
Qeyd edim ki,bu kimi metodlardan birini özüm realizə etmişəm.Sonda onu paylaşacağam da.
Lakin maraqlıdır kim başqa bu kimi taskı və daha səmərəli yaxud daha fərqli üsulla həyata keçirib.
Məqalələrini gözləyəcəyəm.
İlk öncə salam belə başa düşdümki sənə ~on the fly~ rejimde lazıdmır adicə proxy based işləyən VAF ++ attack vektorlarını prevent + detect etmə imkanına malik olsun. Əslində bu fikri əvvəl məndə düşünmüşdüm hazırlamaq belə birşey sonra maliyyə tərəfdən sərf etmədi )))
Sitat#454170-dayz :
İlk öncə salam belə başa düşdümki sənə ~on the fly~ rejimde lazıdmır adicə proxy based işləyən VAF ++ attack vektorlarını prevent + detect etmə imkanına malik olsun. Əslində bu fikri əvvəl məndə düşünmüşdüm hazırlamaq belə birşey sonra maliyyə tərəfdən sərf etmədi )))
Əslində deməzdim ki,o qədər də böyük xərc tələb edən bir işdir.Söhbət dəmirdən getmirsə əlbəttəki.
Məsələn mənim qurduğum configurasiya:
Frontend Server (Fedora 21)
Apache 2.4+ mod_proxy (ProxyPass)<=>WAF <===INCOMING+OUTGOING FILTERING=+RESPONSE CHECKING=======> BACKENDLƏ ƏLAVƏ
BackEND Server (Windows Server 2012 R2 IIS 8 .NET based site)
QORUNMALI SİTE
Bu mexanizm əsasında realizə etmişəm.
Bircə WAF-dan əlavə qalanları Frontend-tərəfdə OpenSource-dur. Xərc minimaldır bu halda.
Lakin digər realizə edilən + sınanılmış + daha səmərəli metodların axtarışındayam.
Əslində eyni CFG-ni fikirləşmişik 8-) ++++ graph halına gətirmişdik bizdə sadəcə sən burada istər frontend+backend bir klient saxlayırsan fərg etmir
open source və yaxud başqa şeylər. biz isə bir neçə klient üçün istəyirdik etmək tək klient üçün problemsiz etmək çətində birşey deyil için çətin tərəfi yalnız VVAF rule-larını hazırlamaqdadır. bir neçə klient üçün isə serverlər (cluster based) ++ netvvork trafik lazım idi )
Söhbət əgər Anti-DDoS solutionlardan gedirsə istənilən halda tərləməlisən və network səviyyədə filtrasiyaya baxmalısan.Sizdə böyük ehtimalla elə buna görə xərc tələb edib bu iş.
WAF rule-lara qaldıqda özüm elə o səbəbdən modsecə baxmadım) Narahatçılığı bir yana ruleların .NET sayta uyğunlaşdırılması paz məsələdir.
Əvəzinə per site basis rule-lar yaratmağa imkan verən WAF DotDefender istifadə etmişəm.
Bir Frontenddə onlarla ayrı-ayrı saytı backenddəki serverdəki sayta müvafiq serve etmək üçün məhz DotDefenderlər rule-lar yaza bilərsiniz.Hər bir sayta uyğun ayrı-ayrı rule bas yaz və işlət.Bunda da problem görməmişəm heç.
Əsas problem backend-dəki .NET saytlara müvafiq app based requestləri uyğunlaşdırmaq idi.Onu da həll etmişəm.Ümumiyyətlə böyük bir problemlə bu işdə qarşılaşmadım.
Söhbətdə ondan gedirki ddos məsələsini çıxmaq şərtilə istənilən halda yazmaq mümkündür *maliyyə məsələsini dərt etmək istisna olmaqla*
Bizim project təbiiki biz onu camaata təkcə VVAF adı ilə sata bilməzdik )) əsasən DDOS məsələsidə var. ancaq tək project üçün yenə deyirəm çoxda problemli bir şey deyil yazmaq. Yenədə deyirəm əsas məsələ vvaf rule-larını hazırlayıb sistemə implementasiya odakı *solved*
minlərlə sayta qaldıqda isə veb server tərəfdə VirtualHost direktivi burda da köməyə çatır. Dərd VVAF-lıq deyil bizim projectdə
Yəqin siz Cloudflare sayağı project düşünmüsünüz o halda sözsüz ki,maliyyə problemi əsas rol oynayacaq.
Mövzu aktualdır digər yoldaşlardan əlavəsi olan olsa sevinərəm.Maraqlı realizələri paylaşsanız sevinərəm.
Niyə SNORT-u hec kim sadalamadı solution-da? Frontendən qabaq birdə backend-dən qabaq SNORT qoysaq kifayət gədər bəs edər!
MƏNDƏ schema Windows üzərində deyil amma unix sistemində belədi CLOUD ----> SNORT -----> FRONTEND(NGINX REVERSE_PROXY LOAD BALANCER x2)------>SNORT----->BACKEND (NGINX x2) ----> MYSQL OR ORACLE DB SERVER x2 v' geriyə )) BACKEND-lər və DB-lər sinxronizaiyada
DNS-də iki a recordu müxtəlif ip -ilə eyni DNS adı.
schemada birinə nəsə olsa o biri davam edir ishləməyə birincini troubleshooting edənə kimi.
MÖvzuya görə isə SNORT və öndə ASA İndi Cisco SNORTU alıb hammısını asa-da reallaşdırmaq olur!
səndə backend MS İİS-di və nmap nan 105-i skan edəndə hə düzdü gostərirki İİS-di. bunuda yəginki məlumat üçün göstərmisən. onsuzda bu öndə görsənmiyəcək.
103-isə frontend kimi apache-dədi. onuda scan edəndə göstərirki İİS-di 80 portda-di
Sonra. Bu sxemdə frontend kimi İİS üçün NGİNX+naxsi 0-dayz göstərən kimi etmək olmazki?
Rullara baxdım DotDefenderin. SQL inj, XSS. Path travel, encoding, və s. Windows Directories and files
Standart yığım. Səni nə cəlb etdi bu DotDefenderdə? XSS??? ))))))))))
Yox əşi XSS sonradan tapdığımdır.Hələ bunun üzərində ən azından 2 serverim varımdır.
İstənilən şey əlavə etmək olar təklifdənsə mənə kiminsə realizə etdiyi və productiona basıb problemsiz işllətməyi maraqlıdır.
Adicə götürək .NET əsaslı sayt backend-də.Bilirsən nə qədər problemdir?Pazdır paz sözün əsl mənasında.
1-cisi ona görəki headerləri uyğunlaşdırmaq lazımdır.yoxsa Frontend-dən gələn request backend-də qırılır və beləliklə istifadəçinin zaprosu gedir getdi gəlməzə.
O cəhənnədə requestdə $-dan tutuş high bit characterlərə qədər olur.false pozitiv detectionlar dolu olur.
Apache+mod_proxy-ni elə quranda config vermişəm orda fikir ver Virtualhostda nələri nəzərə almalı olmuşam.
Dotdefender-ə qaldıqda onsuz da əksər WAF-lar standart signaturalar üzərindədirlər.Söhbət burda rahat managebilitydir ki durub 8 saat mod_security-nin configində qurdalanmayım.Hansı rahatdır? Hazır rahat şəkildə gemoroysuz GUİ(webiface) vasitəsilə rule yazırsan nəyi lazımdır exclude edirsən nəyi lazımdır bir qədər də harden edirsən.
nmap scanları sırf diaqnostik məlumat üçün vermişəm orda amma sözsüzki lap Frontend götürsək nmapla skanı Backend-dəki OS-u çox asanlıqla fingerprint etmək olur.
Təsüf ki məndə belə bir realizasiyada .Net İİS app yoxdu. Sabah test mühitinə köcürdüb başqa cürə yoxluyaram. Özümədə maraqlə gəldi
Amma sənin bu sxemin indi nöqsansız işləyir. Və bu hazır həlli hardasa implemetn etmək olar Müəllif hüquqlarını qorumaq şərti ilə )))
nmap görə...Mən NAT arxasında yerləşən frontendən sonra gələn backendi deyirdim. yani əgər public ip bayırdan yonəlirsə frontendə və frontend local ip ilə backend üçün proxy kimi işləyirsə bu halda...
Yeri gəlmişkən Apache üzərində qurulan elə bir modul və s görən olubmuki CLİENT tərəfli X-Forwarded-for və digər HTTP headerləri və onların variable-lərini validasiya etsin?
PHP-dəki filter_var($ip, FILTER_VALIDATE_IP) kimi bir şey ?
İndi Cisco SNORTU alıb hammısını asa-da reallaşdırmaq olur!
