Обзор UserGate WAF: безопасность веб-сервисов как процесс
UserGate WAF — продукт для защиты веб-приложений и сайтов от киберугроз, инъекций кода, DoS-атак, перебора паролей и других. В его основе движок анализа веб-трафика собственной разработки UserGate, а технологически WAF опирается на наработки UserGate NGFW.
В этой статье мы посмотрим на интерфейс UserGate WAF (версия 7.4.0), его возможности по настройке правил фильтрации и фиксированию событий безопасности.
Как устроен интерфейс UserGate WAF
Графический интерфейс продукта доступен через веб-браузер. Продуктом также можно управлять через командную строку, а также через API. Рабочий экран интерфейса состоит из пяти вкладок: «Дашборды», «Атаки», «Диагностика и мониторинг», «Журналы и отчеты», «Настройки». Кратко пройдемся по основным функциям.
«Дашборды»
Эту страницу можно настроить под себя: она состоит из виджетов, которые отображают разные аспекты функционирования WAF. В текущей версии пользователям доступны семь виджетов:
- «Сети» — информация о доступных портах.
- «График производительности» — суммарная нагрузка на WAF.
- «Обновления» — преднастроенные пакеты правил, которые «из коробки» обеспечивают защиту от распространенных киберугроз. На скрине ниже этот блок в левой нижней части экрана: можно увидеть, что в решение загрузили правила Antibot и OWASP Top 10. Пользователи также могут писать собственные правила, используя язык UPL.
- «Графики загрузки интерфейсов» — объем поступающего трафика в единицу времени.
- «Графики количества запросов» — позволяют отслеживать загрузку виртуальных машин, на которых развернуто решение.
- «Лицензия» — данные о версии продукта, установленных расширениях и т.п.
- «Состояние дисков» — данные о доступном и занятом пространстве.
Дашборды UserGate WAF
Виталий Абрамович
Менеджер по развитию UserGate WAF
«На данный момент пользователи могут использовать два варианта исполнения: локальное развертывание на виртуальной машине на 4 ядра, которые обеспечивают до 600 RPS (запросов в секунду), вторая на 8 ядер — до 1500. Максимальная производительность может варьироваться в зависимости от используемых технологий в веб-приложениях. Если мощности одного узла после тюнинга недостаточно, можно организовать кластерную конфигурацию с помощью внешнего балансировщика, а также обратиться к вендору за специальной версией с поддержкой большего количества ядер».
«Атаки»
Вкладка «Атаки» собирает данные обо всех зарегистрированных инцидентах. Сюда попадают и ложноположительные события, которые можно отследить, чтобы скорректировать поведение правил.
Атаки
«Диагностика и мониторинг»
На этой странице собраны утилиты, позволяющие настраивать WAF. Здесь можно посмотреть список установленных сессий, выполнить захват пакетов для анализа дополнительными средствами, отправить ping-запрос.
Последний блок опций в левой части экрана — «Оповещения», которые позволяют настроить отправку диагностических данных, например, в систему мониторинга.
Захват пакетов
«Журналы и отчеты»
Здесь зарегистрированные события, которые можно анализировать в разных разрезах и выгружать отчеты во внешние системы. В «Журнале событий» сохраняются все действия на самом устройстве: авторизация пользователей, отправка команд, изменение настроек, обновление модулей, подключение и отключение интерфейсов. «Журнал веб-доступа» собирает информацию о веб-трафике, обо всех запросах на 80 и 443 порты (соответственно HTTP и HTTPS). В третьем журнале, «Журнале трафика», можно увидеть события пакетного фильтра: какой трафик приходят, какие блокирующие и разрешающие правила к нему применяются и т.д.
Для экспорта журналов можно использовать Syslog (выгрузка в реальном времени), SSH и FTP (выгрузка по расписанию).
Экспорт журналов
Обновление ПО и пакетов правил организовано независимо друг от друга. Кроме того, продукт можно обновлять и при помощи USB-накопителя, благодаря чему его можно использовать и в закрытых контурах.
Теперь поговорим о том, как настраиваются правила в UserGate WAF.
Как выглядит кибератака глазами WAF
При обработке трафика UserGate WAF последовательно применяет к нему правила, которые входят в некий профиль безопасности. Применение правил происходит параллельно, благодаря чему продукт обеспечивает требуемую производительность.
На скриншоте ниже рабочее окно со списком правил. Применение идет по списку подряд — сверху вниз.
В центральной части окна можно увидеть блок Custom layers — здесь собраны правила, написанные пользователем. Они выполняются первыми, затем продукт переходит к «Системным WAF-слоям» — это предустановленные пакеты экспертизы. В данном случае «Пакет Owasp Top10».
Профили
Пользователи могут гибко настраивать работу правил: выбирать требуемый уровень защиты, протоколы, базы данных. Это позволяет подобрать правила под инфраструктуру, применяя тот набор, который соответствует актуальным для компании угрозам.
Свойства системного слоя
На самом нижнем уровне работать с правилами можно вручную, находя их через SQL-подобный поиск и выставляя нужные настройки: журналировать или нет, какие из пяти возможных действий применять.
Настройка правил
UserGate WAF позволяет отследить событие от одного поступившего запроса до конкретного паттерна атаки. Например, на скрине ниже — поступившие на тестовое устройство запросы сформировали паттерн, характерный для взлома формы авторизации (см. колонку «Системные слои»). Злоумышленник попробовал обратиться к чувствительной папке по адресу «по умолчанию» (Predictable Resource Location), выполнил сторонний код (Command Execution) и получил в ответ данные (Information Leakage Response).
Правила
Развитие через экосистему
Интересно, что UserGate WAF поддерживает протокол LLDP, поэтому может использовать его, чтобы получить информацию о других устройствах в сети. Эта возможность появилась в решении благодаря UserGate NGFW, который в 2020 году стал основой для многих функций WAF.
На технологиях NGFW основаны модули реверс-прокси, маршрутизации, работы с сертификатами, SSL-инспекция и т.д. Разработчики отмечают, что такая своеобразная преемственность оказывается удобной для заказчиков: многие функции в двух продуктах совпадают, работают в привычной логике, настраиваются одинаковым образом.
Виталий Абрамович
Менеджер по развитию UserGate WAF
«Например, если бы мы разрабатывали и внедряли кластеризацию в свой продукт с нуля, это потребовало бы очень длительного срока. Мы же смогли взять практически готовый блок из NGFW — у обоих продуктов одна операционная система, одно ядро. В итоге кластеризация появилась очень быстро».
Экосистемность — это цель многих вендоров, и она открывает многие возможности как для пользователей, так и для разработчиков. Первые получают единство опыта, возможность переносить настройки и практики между родственными продуктами. Вторые же могут декомпозировать задачи между разными командами, переносить технологии между ними, переиспользовать проверенные методы.
На данный момент UserGate WAF работает только с виртуальными средами — поддерживаются все популярные платформы виртуализации, включая российские. В скором будущем разработчики планирует выпустить версию с новыми возможностями и аппаратное исполнение. Очевидно, что это будет следующим шагом в развитии растущей экосистемы UserGate.
erid: 2SDnjcso9jt
* Реклама, Рекламодатель ООО «Юзергейт», ИНН 5408308256
похожие материалы
Виталий Фомин, Лига Цифровой Экономики: Традиционная реактивная модель защиты не обеспечивает достаточную устойчивость
Схемы кибератак меняются все быстрее, а генеративный искусственный интеллект снижает барьер для входа в мир киберпреступности.
Дмитрий Воронцов, руководитель отдела защиты приложений, ГК «А101»: AppSec в России развивается, но уровень зрелости пока неоднороден
Как внедрить безопасность в разработку, не замедляя бизнес-процессы?
ОдинКлюч. Обзор на корпоративный менеджер паролей от АБП2Б
В последние годы компании начали смотреть на хранение паролей чуть внимательнее.
Дмитрий Овчинников, UserGate: Информационная безопасность — это не состояние, а процесс
Дмитрий Овчинников — архитектор информационной безопасности UserGate.
Check Risk WAF: как сделать защиту веб-приложений доступной
Check Risk WAF — это российский фаервол веб-приложений с собственным ядром и отказоустойчивой архитектурой.
Виктор Минин, АРСИБ: CTF стал понятной метрикой для работодателей
5 декабря прошли финальные очные этапы Кубка CTF России — одного из крупнейших российских турниров.
Владимир Кочанов, эксперт в области корпоративной безопасности: службам ИБ и СБ нужен «переводчик», который понимает всех
Когда компании все чаще сталкиваются с внутренними инцидентами, утечками данных и давлением со стороны.
Дмитрий Долгов, независимый эксперт по ИБ в сфере транспорта: ИИ стал новым вектором атак на транспортную отрасль
Транспортные и логистические компании подвержены высоким киберрискам.
Александр Пушкин, «Перспективный мониторинг»: «Мы разработали свой подход к веб-защите на основе нативных журналов»
Александр Пушкин рассказал Cyber Media о ключевых возможностях решения.
Александр Козлов, ведущий эксперт Kaspersky ICS CERT, преподаватель МГТУ им. Баумана, НИЯУ МИФИ: Автомобили подключили к интернету задолго до того, как начали думать о последствиях
Автомобиль сначала перестал быть роскошью, а сегодня и эволюционирует из средств передвижения.