Řešení potíží s firewallem webových aplikací (WAF) pro bránu Aplikace Azure Gateway
Existuje několik věcí, které můžete udělat, když se zablokují požadavky, které by měly projít bránou Firewall webových aplikací (WAF).
Nejprve se ujistěte, že jste si přečetli přehled WAF a konfigurační dokumenty WAF. Také se ujistěte, že jste povolili monitorování WAF: Tyto články vysvětlují, jak fungují funkce WAF, jak fungují sady pravidel WAF a jak získat přístup k protokolům WAF.
Sady pravidel OWASP jsou navržené tak, aby byly přísné a aby byly vyladěné tak, aby vyhovovaly konkrétním potřebám aplikace nebo organizace pomocí WAF. V mnoha případech je zcela normální a očekává se, že vytvoříte vyloučení, vlastní pravidla a dokonce zakážete pravidla, která můžou způsobovat problémy nebo falešně pozitivní výsledky. Zásady pro jednotlivé weby a identifikátory URI umožňují, aby tyto změny ovlivnily pouze konkrétní weby a identifikátory URI. Všechny změny by tedy neměly mít vliv na jiné weby, které nemusí narazit na stejné problémy.
Principy protokolů WAF
Účelem protokolů WAF je ukázat každý požadavek, který WAF odpovídá nebo blokuje. Jedná se o registr všech vyhodnocených požadavků, které jsou spárované nebo blokované. Pokud si všimnete, že WAF blokuje požadavek, že by neměl (falešně pozitivní), můžete udělat několik věcí. Nejprve zpřesníte a najděte konkrétní požadavek. Projděte si protokoly a vyhledejte konkrétní identifikátor URI, časové razítko nebo ID transakce požadavku. Když najdete přidružené položky protokolu, můžete začít pracovat s falešně pozitivními výsledky.
Řekněme například, že máte legitimní provoz obsahující řetězec 1=1 , který chcete projít přes WAF. Pokud požadavek vyzkoušíte, WAF zablokuje provoz, který obsahuje váš 1=1 řetězec v libovolném parametru nebo poli. Jedná se o řetězec, který je často přidružený k útoku prostřednictvím injektáže SQL. Můžete si projít protokoly a zobrazit časové razítko požadavku a pravidla, která blokovala nebo odpovídala.
V následujícím příkladu vidíte, že se během stejného požadavku aktivují čtyři pravidla (pomocí pole TransactionId). První říká, že se shoduje, protože uživatel pro požadavek použil číselnou adresu URL/IP adresu, což zvyšuje skóre anomálií o tři, protože se jedná o upozornění. Další pravidlo, které odpovídá, je 942130, což je pravidlo, které hledáte. Uvidíte pole 1=1details.data . Tím se ještě více zvýší skóre anomálií o tři, protože se jedná také o upozornění. Obecně platí, že každé pravidlo, které má akci Spárované , zvýší skóre anomálií a v tomto okamžiku bude skóre anomálií šest. Další informace naleznete v tématu Režim bodování anomálií.
Poslední dvě položky protokolu ukazují, že požadavek byl zablokován, protože skóre anomálií bylo dostatečně vysoké. Tyto položky mají jinou akci než ostatní dvě. Ukážou, že žádost skutečně zablokovali . Tato pravidla jsou povinná a není možné je zakázat. Neměli by být považováni za pravidla, ale spíše jako základní infrastrukturu interních prostředků WAF.
{
"resourceId": "/SUBSCRIPTIONS/A6F44B25-259E-4AF5-888A-386FED92C11B/RESOURCEGROUPS/DEMOWAF_V2/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/DEMOWAF-V2",
"operationName": "ApplicationGatewayFirewall",
"category": "ApplicationGatewayFirewallLog",
"properties": {
"instanceId": "appgw_3",
"clientIp": "167.220.2.139",
"clientPort": "",
"requestUri": "\/",
"ruleSetType": "OWASP_CRS",
"ruleSetVersion": "3.0.0",
"ruleId": "920350",
"message": "Host header is a numeric IP address",
"action": "Matched",
"site": "Global",
"details": {
"message": "Warning. Pattern match \\\"^[\\\\\\\\d.:]+$\\\" at REQUEST_HEADERS:Host. ",
"data": "40.90.218.160",
"file": "rules\/REQUEST-920-PROTOCOL-ENFORCEMENT.conf\\\"",
"line": "791"
},
"hostname": "vm000003",
"transactionId": "AcAcAcAcAKH@AcAcAcAcAyAt"
}
}
{
"resourceId": "/SUBSCRIPTIONS/A6F44B25-259E-4AF5-888A-386FED92C11B/RESOURCEGROUPS/DEMOWAF_V2/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/DEMOWAF-V2",
"operationName": "ApplicationGatewayFirewall",
"category": "ApplicationGatewayFirewallLog",
"properties": {
"instanceId": "appgw_3",
"clientIp": "167.220.2.139",
"clientPort": "",
"requestUri": "\/",
"ruleSetType": "OWASP_CRS",
"ruleSetVersion": "3.0.0",
"ruleId": "942130",
"message": "SQL Injection Attack: SQL Tautology Detected.",
"action": "Matched",
"site": "Global",
"details": {
"message": "Warning. Pattern match \\\"(?i:([\\\\\\\\s'\\\\\\\"`\\\\\\\\(\\\\\\\\)]*?)([\\\\\\\\d\\\\\\\\w]++)([\\\\\\\\s'\\\\\\\"`\\\\\\\\(\\\\\\\\)]*?)(?:(?:=|\\u003c=\\u003e|r?like|sounds\\\\\\\\s+like|regexp)([\\\\\\\\s'\\\\\\\"`\\\\\\\\(\\\\\\\\)]*?)\\\\\\\\2|(?:!=|\\u003c=|\\u003e=|\\u003c\\u003e|\\u003c|\\u003e|\\\\\\\\^|is\\\\\\\\s+not|not\\\\\\\\s+like|not\\\\\\\\s+regexp)([\\\\\\\\s'\\\\\\\"`\\\\\\\\(\\\\\\\\)]*?)(?!\\\\\\\\2)([\\\\\\\\d\\\\\\\\w]+)))\\\" at ARGS:text1. ",
"data": "Matched Data: 1=1 found within ARGS:text1: 1=1",
"file": "rules\/REQUEST-942-APPLICATION-ATTACK-SQLI.conf\\\"",
"line": "554"
},
"hostname": "vm000003",
"transactionId": "AcAcAcAcAKH@AcAcAcAcAyAt"
}
}
{
"resourceId": "/SUBSCRIPTIONS/A6F44B25-259E-4AF5-888A-386FED92C11B/RESOURCEGROUPS/DEMOWAF_V2/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/DEMOWAF-V2",
"operationName": "ApplicationGatewayFirewall",
"category": "ApplicationGatewayFirewallLog",
"properties": {
"instanceId": "appgw_3",
"clientIp": "167.220.2.139",
"clientPort": "",
"requestUri": "\/",
"ruleSetType": "",
"ruleSetVersion": "",
"ruleId": "0",
"message": "Mandatory rule. Cannot be disabled. Inbound Anomaly Score Exceeded (Total Score: 8)",
"action": "Blocked",
"site": "Global",
"details": {
"message": "Access denied with code 403 (phase 2). Operator GE matched 5 at TX:anomaly_score. ",
"data": "",
"file": "rules\/REQUEST-949-BLOCKING-EVALUATION.conf\\\"",
"line": "57"
},
"hostname": "vm000003",
"transactionId": "AcAcAcAcAKH@AcAcAcAcAyAt"
}
}
{
"resourceId": "/SUBSCRIPTIONS/A6F44B25-259E-4AF5-888A-386FED92C11B/RESOURCEGROUPS/DEMOWAF_V2/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/DEMOWAF-V2",
"operationName": "ApplicationGatewayFirewall",
"category": "ApplicationGatewayFirewallLog",
"properties": {
"instanceId": "appgw_3",
"clientIp": "167.220.2.139",
"clientPort": "",
"requestUri": "\/",
"ruleSetType": "",
"ruleSetVersion": "",
"ruleId": "0",
"message": "Mandatory rule. Cannot be disabled. Inbound Anomaly Score Exceeded (Total Inbound Score: 8 - SQLI=5,XSS=0,RFI=0,LFI=0,RCE=0,PHPI=0,HTTP=0,SESS=0): SQL Injection Attack: SQL Tautology Detected.",
"action": "Blocked",
"site": "Global",
"details": {
"message": "Warning. Operator GE matched 5 at TX:inbound_anomaly_score. ",
"data": "",
"file": "rules\/RESPONSE-980-CORRELATION.conf\\\"",
"line": "73"
},
"hostname": "vm000003",
"transactionId": "AcAcAcAcAKH@AcAcAcAcAyAt"
}
}
Oprava falešně pozitivních výsledků
S těmito informacemi a znalostmi, že pravidlo 942130 je pravidlo, které odpovídá 1=1 řetězci, můžete udělat několik věcí, které vám zablokují provoz:
Použití seznamu vyloučení
Další informace o seznamech vyloučení najdete v tématu Konfigurace WAF.
Zakažte pravidlo.
Použití seznamu vyloučení
Pokud chcete informované rozhodnutí o zpracování falešně pozitivních výsledků, je důležité se seznámit s technologiemi, které vaše aplikace používá. Řekněme například, že ve vašem zásobníku technologií není sql server a v souvislosti s těmito pravidly dostáváte falešně pozitivní výsledky. Zakázání těchto pravidel nemusí nutně oslabit vaše zabezpečení.
Jednou z výhod použití seznamu vyloučení je, že je zakázána pouze konkrétní část požadavku. To ale znamená, že konkrétní vyloučení se vztahuje na veškerý provoz procházející přes WAF, protože se jedná o globální nastavení. Může to například vést k problému, pokud je 1=1 platným požadavkem v těle určité aplikace, ale ne pro jiné. Další výhodou je, že si můžete vybrat mezi textem, hlavičkami a soubory cookie, které se mají vyloučit, pokud je splněna určitá podmínka, a nikoli mezi výjimkou celé žádosti.
Občas existují případy, kdy se konkrétní parametry předávají do WAF způsobem, který nemusí být intuitivní. Existuje například token, který se předá při ověřování pomocí ID Microsoft Entra. Tento token __RequestVerificationToken, obvykle se předává jako soubor cookie požadavku. V některých případech však jsou soubory cookie zakázány, tento token se také předává jako atribut požadavku nebo arg. Pokud k tomu dojde, musíte zajistit, aby se __RequestVerificationToken přidala do seznamu vyloučení také jako název atributu Request.
V tomto příkladu chcete vyloučit název atributu Request, který se rovná textu1. To je zřejmé, protože v protokolech brány firewall vidíte název atributu: data: Spárovaná data: 1=1 nalezená v ARGS:text1: 1=1. Atribut je text1. Tento název atributu najdete také několika dalšími způsoby, viz Vyhledání názvů atributů požadavku.
Vyloučení pro WAF ve službě Application Gateway můžete vytvořit na různých úrovních rozsahu. Další informace naleznete v tématu Seznamy vyloučení firewallu webových aplikací.
Zakázání pravidel
Dalším způsobem, jak obejít falešně pozitivní výsledek, je zakázat pravidlo, které odpovídalo vstupu, který waF považoval za škodlivý. Vzhledem k tomu, že jste parsovali protokoly WAF a zúžili jste pravidlo na 942130, můžete ho zakázat na webu Azure Portal. Viz Přizpůsobení pravidel firewallu webových aplikací prostřednictvím webu Azure Portal.
Jednou z výhod zakázání pravidla je, že pokud víte, že veškerý provoz, který obsahuje určitou podmínku, která je normálně blokovaná, je platný provoz, můžete toto pravidlo zakázat pro celý WAF. Pokud se ale jedná pouze o platný provoz v konkrétním případě použití, otevřete ohrožení zabezpečení tím, že zakážete toto pravidlo pro celý WAF, protože se jedná o globální nastavení.
Pokud chcete použít Azure PowerShell, přečtěte si téma Přizpůsobení pravidel firewallu webových aplikací prostřednictvím PowerShellu. Pokud chcete použít Azure CLI, přečtěte si téma Přizpůsobení pravidel firewallu webových aplikací prostřednictvím Azure CLI.
Vyhledání názvů atributů požadavku
S pomocí Fiddleru zkontrolujete jednotlivé požadavky a určíte, jaká konkrétní pole webové stránky se volají. To může pomoct vyloučit určitá pole z kontroly pomocí seznamů vyloučení.
V tomto příkladu vidíte, že pole, do kterého byl zadán řetězec 1=1 , se nazývá text1.
Toto je pole, které můžete vyloučit. Další informace o seznamech vyloučení najdete v tématu Seznamy vyloučení firewallu webových aplikací. Vyhodnocení můžete v tomto případě vyloučit konfigurací následujícího vyloučení:
Můžete také prozkoumat protokoly brány firewall a získat informace a zjistit, co potřebujete přidat do seznamu vyloučení. Pokud chcete povolit protokolování, přečtěte si téma Stav back-endu, protokoly prostředků a metriky pro službu Application Gateway.
Zkontrolujte protokol brány firewall a prohlédněte si soubor PT1H.json za hodinu, kdy došlo k požadavku, který chcete zkontrolovat.
V tomto příkladu vidíte, že máte čtyři pravidla se stejným ID transakce a že se všechny vyskytly ve stejnou dobu:
- {
- "resourceId": "/SUBSCRIPTIONS/A6F44B25-259E-4AF5-888A-386FED92C11B/RESOURCEGROUPS/DEMOWAF_V2/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/DEMOWAF-V2",
- "operationName": "ApplicationGatewayFirewall",
- "category": "ApplicationGatewayFirewallLog",
- "properties": {
- "instanceId": "appgw_3",
- "clientIp": "167.220.2.139",
- "clientPort": "",
- "requestUri": "\/",
- "ruleSetType": "OWASP_CRS",
- "ruleSetVersion": "3.0.0",
- "ruleId": "920350",
- "message": "Host header is a numeric IP address",
- "action": "Matched",
- "site": "Global",
- "details": {
- "message": "Warning. Pattern match \\\"^[\\\\\\\\d.:]+$\\\" at REQUEST_HEADERS:Host. ",
- "data": "40.90.218.160",
- "file": "rules\/REQUEST-920-PROTOCOL-ENFORCEMENT.conf\\\"",
- "line": "791"
- },
- "hostname": "vm000003",
- "transactionId": "AcAcAcAcAKH@AcAcAcAcAyAt"
- }
- }
- {
- "resourceId": "/SUBSCRIPTIONS/A6F44B25-259E-4AF5-888A-386FED92C11B/RESOURCEGROUPS/DEMOWAF_V2/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/DEMOWAF-V2",
- "operationName": "ApplicationGatewayFirewall",
- "category": "ApplicationGatewayFirewallLog",
- "properties": {
- "instanceId": "appgw_3",
- "clientIp": "167.220.2.139",
- "clientPort": "",
- "requestUri": "\/",
- "ruleSetType": "OWASP_CRS",
- "ruleSetVersion": "3.0.0",
- "ruleId": "942130",
- "message": "SQL Injection Attack: SQL Tautology Detected.",
- "action": "Matched",
- "site": "Global",
- "details": {
- "message": "Warning. Pattern match \\\"(?i:([\\\\\\\\s'\\\\\\\"`\\\\\\\\(\\\\\\\\)]*?)([\\\\\\\\d\\\\\\\\w]++)([\\\\\\\\s'\\\\\\\"`\\\\\\\\(\\\\\\\\)]*?)(?:(?:=|\\u003c=\\u003e|r?like|sounds\\\\\\\\s+like|regexp)([\\\\\\\\s'\\\\\\\"`\\\\\\\\(\\\\\\\\)]*?)\\\\\\\\2|(?:!=|\\u003c=|\\u003e=|\\u003c\\u003e|\\u003c|\\u003e|\\\\\\\\^|is\\\\\\\\s+not|not\\\\\\\\s+like|not\\\\\\\\s+regexp)([\\\\\\\\s'\\\\\\\"`\\\\\\\\(\\\\\\\\)]*?)(?!\\\\\\\\2)([\\\\\\\\d\\\\\\\\w]+)))\\\" at ARGS:text1. ",
- "data": "Matched Data: 1=1 found within ARGS:text1: 1=1",
- "file": "rules\/REQUEST-942-APPLICATION-ATTACK-SQLI.conf\\\"",
- "line": "554"
- },
- "hostname": "vm000003",
- "transactionId": "AcAcAcAcAKH@AcAcAcAcAyAt"
- }
- }
- {
- "resourceId": "/SUBSCRIPTIONS/A6F44B25-259E-4AF5-888A-386FED92C11B/RESOURCEGROUPS/DEMOWAF_V2/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/DEMOWAF-V2",
- "operationName": "ApplicationGatewayFirewall",
- "category": "ApplicationGatewayFirewallLog",
- "properties": {
- "instanceId": "appgw_3",
- "clientIp": "167.220.2.139",
- "clientPort": "",
- "requestUri": "\/",
- "ruleSetType": "",
- "ruleSetVersion": "",
- "ruleId": "0",
- "message": "Mandatory rule. Cannot be disabled. Inbound Anomaly Score Exceeded (Total Score: 8)",
- "action": "Blocked",
- "site": "Global",
- "details": {
- "message": "Access denied with code 403 (phase 2). Operator GE matched 5 at TX:anomaly_score. ",
- "data": "",
- "file": "rules\/REQUEST-949-BLOCKING-EVALUATION.conf\\\"",
- "line": "57"
- },
- "hostname": "vm000003",
- "transactionId": "AcAcAcAcAKH@AcAcAcAcAyAt"
- }
- }
- {
- "resourceId": "/SUBSCRIPTIONS/A6F44B25-259E-4AF5-888A-386FED92C11B/RESOURCEGROUPS/DEMOWAF_V2/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/DEMOWAF-V2",
- "operationName": "ApplicationGatewayFirewall",
- "category": "ApplicationGatewayFirewallLog",
- "properties": {
- "instanceId": "appgw_3",
- "clientIp": "167.220.2.139",
- "clientPort": "",
- "requestUri": "\/",
- "ruleSetType": "",
- "ruleSetVersion": "",
- "ruleId": "0",
- "message": "Mandatory rule. Cannot be disabled. Inbound Anomaly Score Exceeded (Total Inbound Score: 8 - SQLI=5,XSS=0,RFI=0,LFI=0,RCE=0,PHPI=0,HTTP=0,SESS=0): SQL Injection Attack: SQL Tautology Detected.",
- "action": "Blocked",
- "site": "Global",
- "details": {
- "message": "Warning. Operator GE matched 5 at TX:inbound_anomaly_score. ",
- "data": "",
- "file": "rules\/RESPONSE-980-CORRELATION.conf\\\"",
- "line": "73"
- },
- "hostname": "vm000003",
- "transactionId": "AcAcAcAcAKH@AcAcAcAcAyAt"
- }
- }
Se znalostmi fungování sad pravidel CRS a toho, že sada pravidel CRS 3.0 funguje se systémem vyhodnocování anomálií (viz Firewall webových aplikací pro Aplikace Azure Gateway), víte, že dolní dvě pravidla s akcí: Blokovaná vlastnost blokuje na základě celkového skóre anomálií. Pravidla, na která se chcete zaměřit, jsou první dvě.
První položka se zaprotokoluje, protože uživatel použil číselnou IP adresu k přechodu do služby Application Gateway, která se v tomto případě dá ignorovat.
Druhá (pravidlo 942130) je zajímavá. V podrobnostech můžete vidět, že odpovídal vzoru (1=1), a pole má název text1. Stejnými předchozími kroky vyloučíte název atributu požadavku, který se 1=1rovná .
Vyhledání názvů hlaviček požadavků
Fiddler je opět užitečný nástroj k vyhledání názvů hlaviček požadavků. Na následujícím snímku obrazovky vidíte hlavičky pro tento požadavek GET, mezi které patří Content-Type, User-Agent atd.
Dalším způsobem, jak zobrazit hlavičky požadavků a odpovědí, je podívat se do vývojářských nástrojů Chromu. Můžete stisknout klávesu F12 nebo kliknout pravým tlačítkem myši ->Inspect ->Developer Tools a vybrat kartu Síť . Načtěte webovou stránku a vyberte požadavek, který chcete zkontrolovat.
Vyhledání názvů souborů cookie požadavku
Pokud žádost obsahuje soubory cookie, můžete vybrat kartu Soubory cookie a zobrazit je ve Fiddleru.
Omezení globálních parametrů pro vyloučení falešně pozitivních výsledků
Zakázání kontroly těla žádosti
Nastavením kontrolního textu požadavku na vypnuto nejsou těla požadavků vašeho provozu vyhodnocována vaší WAF. To může být užitečné, pokud víte, že tělo žádosti není pro vaši aplikaci škodlivé.
Když tuto možnost zakážete, projde kontrolou pouze tělo požadavku. Hlavičky a soubory cookie jsou stále kontrolovány, pokud nejsou vyloučeny z funkce seznamu vyloučení.
Zakázání maximálního limitu textu požadavku
Zakázáním maximálního limitu textu požadavku můžou být velké subjekty požadavků zpracovány WAF, aniž by byly odmítnuty za příliš velké. To může být užitečné, pokud pravidelně máte velké požadavky.
Když tuto možnost zakážete, text požadavku se zkontroluje až do maximálního limitu kontroly těla požadavku. Pokud je v požadavku škodlivý obsah nad rámec limitu maximální kontroly těla požadavku, WAF ho nezjistí.
Zakázání maximálních limitů velikosti souborů
Zakázáním omezení velikosti souborů pro WAF můžete velké soubory nahrát, aniž by vaše WAF odmítly nahrávání těchto souborů. Díky tomu, že povolíte nahrávání velkých souborů, zvyšuje se riziko zahlcení back-endu. Pokud víte, že maximální velikost, kterou může nahrát soubor, můžete nastavit limit velikosti pro nahrávání souborů mírně nad očekávanou maximální velikostí. Omezení velikosti souboru na běžný případ použití pro vaši aplikaci je dalším způsobem, jak zabránit útokům. Pokud se ale nahrávání souborů pravidelně překračuje maximální limit maximální vynucovatelné velikosti nahrávání souborů, možná budete muset zakázat limity velikosti nahrávání souborů úplně, abyste se vyhnuli falešně pozitivním výsledkům.
Poznámka:
Pokud víte, že vaše aplikace nebude nikdy potřebovat nahrání souboru nad danou velikostí, můžete to omezit nastavením limitu.
Metriky brány firewall (jenom WAF_v1)
Pro brány firewall webových aplikací v1 jsou teď na portálu k dispozici následující metriky:
- Počet blokovaných požadavků firewallu webových aplikací
- Blokování pravidel firewallu webových aplikací – Počet pravidel, která se shodovala, a požadavek byl zablokovaný.
- Celková distribuce pravidel firewallu webových aplikací – Všechna pravidla, která se při vyhodnocování shodovala
Pokud chcete povolit metriky, vyberte na portálu kartu Metriky a vyberte jednu ze tří metrik.
Další kroky
Viz Postup konfigurace firewallu webových aplikací ve službě Application Gateway.