UserGate WAF — продукт для защиты веб-приложений и сайтов от киберугроз, инъекций кода, DoS-атак, перебора паролей и других. В его основе движок анализа веб-трафика собственной разработки UserGate, а технологически WAF опирается на наработки UserGate NGFW.
В этой статье мы посмотрим на интерфейс UserGate WAF (версия 7.4.0), его возможности по настройке правил фильтрации и фиксированию событий безопасности.
Графический интерфейс продукта доступен через веб-браузер. Продуктом также можно управлять через командную строку, а также через API. Рабочий экран интерфейса состоит из пяти вкладок: «Дашборды», «Атаки», «Диагностика и мониторинг», «Журналы и отчеты», «Настройки». Кратко пройдемся по основным функциям.
Эту страницу можно настроить под себя: она состоит из виджетов, которые отображают разные аспекты функционирования WAF. В текущей версии пользователям доступны семь виджетов:
Дашборды UserGate WAF
Виталий Абрамович
Менеджер по развитию UserGate WAF
«На данный момент пользователи могут использовать два варианта исполнения: локальное развертывание на виртуальной машине на 4 ядра, которые обеспечивают до 600 RPS (запросов в секунду), вторая на 8 ядер — до 1500. Максимальная производительность может варьироваться в зависимости от используемых технологий в веб-приложениях. Если мощности одного узла после тюнинга недостаточно, можно организовать кластерную конфигурацию с помощью внешнего балансировщика, а также обратиться к вендору за специальной версией с поддержкой большего количества ядер».
Вкладка «Атаки» собирает данные обо всех зарегистрированных инцидентах. Сюда попадают и ложноположительные события, которые можно отследить, чтобы скорректировать поведение правил.
Атаки
На этой странице собраны утилиты, позволяющие настраивать WAF. Здесь можно посмотреть список установленных сессий, выполнить захват пакетов для анализа дополнительными средствами, отправить ping-запрос.
Последний блок опций в левой части экрана — «Оповещения», которые позволяют настроить отправку диагностических данных, например, в систему мониторинга.
Захват пакетов
Здесь зарегистрированные события, которые можно анализировать в разных разрезах и выгружать отчеты во внешние системы. В «Журнале событий» сохраняются все действия на самом устройстве: авторизация пользователей, отправка команд, изменение настроек, обновление модулей, подключение и отключение интерфейсов. «Журнал веб-доступа» собирает информацию о веб-трафике, обо всех запросах на 80 и 443 порты (соответственно HTTP и HTTPS). В третьем журнале, «Журнале трафика», можно увидеть события пакетного фильтра: какой трафик приходят, какие блокирующие и разрешающие правила к нему применяются и т.д.
Для экспорта журналов можно использовать Syslog (выгрузка в реальном времени), SSH и FTP (выгрузка по расписанию).
Экспорт журналов
Обновление ПО и пакетов правил организовано независимо друг от друга. Кроме того, продукт можно обновлять и при помощи USB-накопителя, благодаря чему его можно использовать и в закрытых контурах.
Теперь поговорим о том, как настраиваются правила в UserGate WAF.
При обработке трафика UserGate WAF последовательно применяет к нему правила, которые входят в некий профиль безопасности. Применение правил происходит параллельно, благодаря чему продукт обеспечивает требуемую производительность.
На скриншоте ниже рабочее окно со списком правил. Применение идет по списку подряд — сверху вниз.
В центральной части окна можно увидеть блок Custom layers — здесь собраны правила, написанные пользователем. Они выполняются первыми, затем продукт переходит к «Системным WAF-слоям» — это предустановленные пакеты экспертизы. В данном случае «Пакет Owasp Top10».
Профили
Пользователи могут гибко настраивать работу правил: выбирать требуемый уровень защиты, протоколы, базы данных. Это позволяет подобрать правила под инфраструктуру, применяя тот набор, который соответствует актуальным для компании угрозам.
Свойства системного слоя
На самом нижнем уровне работать с правилами можно вручную, находя их через SQL-подобный поиск и выставляя нужные настройки: журналировать или нет, какие из пяти возможных действий применять.
Настройка правил
UserGate WAF позволяет отследить событие от одного поступившего запроса до конкретного паттерна атаки. Например, на скрине ниже — поступившие на тестовое устройство запросы сформировали паттерн, характерный для взлома формы авторизации (см. колонку «Системные слои»). Злоумышленник попробовал обратиться к чувствительной папке по адресу «по умолчанию» (Predictable Resource Location), выполнил сторонний код (Command Execution) и получил в ответ данные (Information Leakage Response).
Правила
Интересно, что UserGate WAF поддерживает протокол LLDP, поэтому может использовать его, чтобы получить информацию о других устройствах в сети. Эта возможность появилась в решении благодаря UserGate NGFW, который в 2020 году стал основой для многих функций WAF.
На технологиях NGFW основаны модули реверс-прокси, маршрутизации, работы с сертификатами, SSL-инспекция и т.д. Разработчики отмечают, что такая своеобразная преемственность оказывается удобной для заказчиков: многие функции в двух продуктах совпадают, работают в привычной логике, настраиваются одинаковым образом.
Виталий Абрамович
Менеджер по развитию UserGate WAF
«Например, если бы мы разрабатывали и внедряли кластеризацию в свой продукт с нуля, это потребовало бы очень длительного срока. Мы же смогли взять практически готовый блок из NGFW — у обоих продуктов одна операционная система, одно ядро. В итоге кластеризация появилась очень быстро».
Экосистемность — это цель многих вендоров, и она открывает многие возможности как для пользователей, так и для разработчиков. Первые получают единство опыта, возможность переносить настройки и практики между родственными продуктами. Вторые же могут декомпозировать задачи между разными командами, переносить технологии между ними, переиспользовать проверенные методы.
На данный момент UserGate WAF работает только с виртуальными средами — поддерживаются все популярные платформы виртуализации, включая российские. В скором будущем разработчики планирует выпустить версию с новыми возможностями и аппаратное исполнение. Очевидно, что это будет следующим шагом в развитии растущей экосистемы UserGate.
erid: 2SDnjcso9jt
* Реклама, Рекламодатель ООО «Юзергейт», ИНН 5408308256
Алексей Лукацкий, Chief Evangelist Officer, Positive Technologies, в интервью для Кибер Медиа рассказал, как работают «белые списки» VPN, почему ТСПУ не справляются с нагрузкой, и возможна ли монополизация доступа.
В интервью для Кибер Медиа Андрей Лёвкин, руководитель продукта BI ZONE Bug Bounty, рассказал, когда багбаунти станет обязательным инструментом для проверки уровня защищенности, как внутренним командам кибербезопасности работать с внешними исследователями и чего ожидать от багбаунти в будущем.
Российская ИТ-инфраструктура столкнулась с новыми вызовами в обеспечении киберустойчивости.
Классический патч-менеджмент в крупных компаниях часто превращается в войну: ИБ заваливает айтишников тысячами CVE из сканера, а ИТ-отдел включает режим глухой обороны.
Портал Кибер Медиа взял интервью у Кирилла Мякишева, директора по информационной безопасности Ozon.
Геймификация в корпоративном обучении давно перестала быть экзотикой — квесты и рейтинги стали привычной частью рабочей среды.
Эдуард Мураховский — директор по информации и ИТ фармацевтической компании СКОПИНФАРМ.
Анастасия Ашаева, кандидат исторических наук и научный сотрудник Музея криптографии, рассказала Кибер Медиа о том, чьи имена история так и не вернула, какие барьеры сложно преодолеть и почему разговор еще не закончен.
Екатерина Тьюринг, кибердетектив, в интервью для Кибер Медиа рассказала, почему социальная инженерия остается ключевым инструментом мошенников, как устроены современные схемы обмана и что на самом деле происходит с безопасностью пользователей в таких сервисах, как MAX.
Эксперты представили первый аналитический отчет об уровне зрелости ИБ в 52 российских компаниях, выявивший «парадокс роста»: огромные бюджеты корпораций не гарантируют лидерства в безопасности из-за масштабов и сложности их инфраструктуры.
