Versão BETA 23/01/2017download.aker.com.br/prod/beta-testes/waf/aker_webdefender_2.0.0... · capaz...

*Aker Security Solutions *Aker Web Defender Página 1

Versão BETA

23/01/2017


ÍNDICE ...................................................................................................................................... 2

1 INTRODUÇÃO .................................................................................................................... 5

COMO ESTÁ DISPOSTO ESTE MANUAL .................................................................................................. 5

WAF (Web Application Firewall) ............................................................................................ 6

2 AKER WEB DEFENDER ..................................................................................................... 11

Exemplos de implementação do Aker Web Defender........................................................ 13

Principais características do Aker Web Defender ................................................................ 15

Classes de Ataques: ............................................................................................................. 16

REQUISITOS DO SISTEMA ................................................................................................................ 17

PRIMEIROS PASSOS ........................................................................................................................ 17

INSTALAÇÃO ................................................................................................................................. 17

PRIMEIRO ACESSO À INTERFACE DE GERENCIAMENTO WEB DO AKER WEB DEFENDER ................................. 22

LICENCIAMENTO ........................................................................................................................... 24

CONFIGURANDO O AKER WEB DEFENDER .......................................................................................... 27

3 GERENCIAMENTO DO AKER WEB DEFENDER................................................................... 29

DASHBOARD ................................................................................................................................ 30

ALERTAS ...................................................................................................................................... 30

SITES .......................................................................................................................................... 32

Cadastrando um novo site ................................................................................................... 33

REGRAS ....................................................................................................................................... 38

Atualização .......................................................................................................................... 38

Listagem .............................................................................................................................. 39

Cadastrando uma regra (assinatura) .................................................................................. 39

Grupo de Regras .................................................................................................................. 41

RELATÓRIOS ................................................................................................................................. 42

POLÍTICA GERAL............................................................................................................................ 43

HTTP ..................................................................................................................................... 44

DoS ....................................................................................................................................... 44

Força Bruta .......................................................................................................................... 45

CONFIGURAÇÕES .......................................................................................................................... 47

Backup ................................................................................................................................. 47

Syslog ................................................................................................................................... 49

Servidores NTP ..................................................................................................................... 50

Licença ................................................................................................................................. 51

Atualizações do sistema ...................................................................................................... 51


ACESSO ....................................................................................................................................... 52

Usuário ................................................................................................................................ 52

Autenticação ........................................................................................................................ 53

Perfil ..................................................................................................................................... 54

AJUDA ........................................................................................................................................ 55

Lista de comando disponíveis para a Interface de texto do Aker Web Defender. ............... 55

Troubleshooting .................................................................................................................. 61

LISTA DE REGRAS DO AKER WEB DEFENDER ........................................................................................ 62

CRS Protocol Violations ........................................................................................................ 62

CRS Protocol Anomalies ....................................................................................................... 63

CRS Request Limits ............................................................................................................... 63

CRS HTTP Policy ................................................................................................................... 63

CRS Bad Robots .................................................................................................................... 64

CRS Generic Attacks ............................................................................................................. 64

CRS SQL Injection Attacks .................................................................................................... 65

CRS XSS Attacks ................................................................................................................... 66

CRS Tight Security ................................................................................................................ 70

CRS Trojans .......................................................................................................................... 70

CRS Inbound Blocking .......................................................................................................... 70

CRS Outbound ...................................................................................................................... 70

CRS Outbound Blocking ....................................................................................................... 71

CRS Correlation .................................................................................................................... 71


Seja bem-vindo ao manual do usuário do Aker Web Defender.

Nos próximos capítulos você aprenderá como configurar esta poderosa ferramenta de

proteção aos dados e integridade das aplicações web de sua empresa. Esta introdução tem

como objetivo descrever a organização deste manual tornando sua leitura a mais simples e

agradável possível.

Como está disposto este manual

Este manual é organizado em vários capítulos e cada capítulo mostra um aspecto de configuração do

produto e todas as informações relevantes ao aspecto tratado.

Este guia foi criado com o objetivo de auxiliar engenheiros, gerentes dos produtos e especialistas de

rede à instalar, configurar e entender as funcionalidades do Aker Web Defender.

Todos os capítulos começam com uma introdução teórica sobre o tema a ser tratado seguido dos

aspectos específicos de configuração do Aker Web Defender. Juntamente com esta introdução teórica,

alguns módulos possuem exemplos práticos do uso do serviço a ser configurado. Em situações hipotéticas,

porém, bastante plausíveis. Buscamos, com isso, tornar o entendimento das diversas variáveis de

configuração o mais simples possível.

Recomendamos que este manual seja lido na ordem apresentada pelo menos uma vez por.

Posteriormente, se for necessário, é possível utilizá-lo como fonte de referência.

Para facilitar o seu uso como referência os capítulos estão divididos em tópicos, com acesso

imediato pelo índice principal. Desta forma, encontra-se facilmente a informação desejada.

No decorrer deste manual aparecerá o símbolo seguido de uma frase escrita em letras

vermelhas, isto significa que a frase em questão é uma observação muito importante e deve ser totalmente

entendida antes que se prossiga com a leitura do capítulo.


WAF é um Firewall que oferece monitoramento, filtragem e aplicação de regras de bloqueio em

tráfego de entrada HTTP e HTTPS para a Camada de Aplicação. Desta forma, oferece maior proteção contra-

ataques direcionados às aplicações Web. Diferentemente do IPS (Sistema de prevenção de intrusão), o WAF

entende e trabalha apenas na camada de aplicação. Ele é especialista em análises de tráfego HTTP e HTTPS

(SSL), além de contar com análises baseadas em assinaturas e análises comportamentais.

Qual é a importância das aplicações Web nas empresas?

Economia de tempo;

Compatibilidade;

Baixo consumo de recursos;

Acesso imediato;

Usuários trabalhando simultaneamente;

Alta disponibilidade;

Outros;

Exemplos de Aplicações Web:

Blog;

Portais de negócios;

Webmail;

Web Store;

Jogos;

Web players;

Sites internos;

Aplicações empresariais;


Entre outras;

Por que existem tantos problemas de segurança nas aplicações Web?

Falta de cultura em programação segura;

Falta de ciclo de programação segura dentro das empresas;

Falta de política de retenção de programadores nas empresas;

Terceirização do desenvolvimento das aplicações;

Programadores preocupados com funcionalidades, e não com segurança;

Legado de aplicações;

Entre outros;

Por que as aplicações Web são o principal foco dos ataques cibernéticos?

Porque as aplicações se comunicam diretamente com os bancos de dados das empre-

sas;

Os invasores sabem que a maioria das empresas não possuem um ciclo de desenvol-

vimento seguro;

Em nível de infraestrutura de rede, os invasores sabem que as aplicações não podem

ser completamente protegidas por Firewalls convencionais, e que o IPS não é capaz

de deter os ataques na camada de aplicação;

Entre outros;

O que são assinaturas de ataques?

Assinaturas de ataques são regras, que são utilizadas para identificar ataques ou classes de ataques

em aplicações web ou em seus componentes. Tais assinaturas podem ser aplicadas tanto nas solicitações

quanto nas respostas dos servidores web.

Para visualizar a lista de assinaturas disponíveis no Aker Web Defender acesse o menu “Regras >

Listagem”.

Para criar uma assinatura personalizada clique aqui.


Afinal, qual é a diferença entre um Hacker e um Cracker?

Os dois termos referem-se aos indivíduos que são experts na área de tecnologia da informação, que

possuem habilidades extraordinárias ao lidar com sistemas e programação, sendo que:

Hackers são profissionais que trabalham através de diversas técnicas com o intuito de melhorar a

segurança e funcionalidades em softwares.

Crackers são indivíduos que possuem, basicamente, o mesmo conhecimento que Hackers, mas usa

seu conhecimento para invadir computadores, sistemas, redes e etc., com o intuito de roubar informações

confidencias, que na maioria das vezes são vendidas ou utilizadas para aplicar golpes. Este termo nasceu no

ano de 1985, criado pelos próprios Hackers, para que não fossem confundidos com os indivíduos que

praticavam roubos e vandalismos na internet.

O que motiva um invasor (cracker)?

Antigamente os invasores eram motivados por fama e prestígio frente à comunidade de Crackers.

Nos dias atuais eles ainda são motivados por fama e prestígio, mas visam também ganhos financeiros, por

meio de golpes, e maneiras para protestar (Anonymous).

Uma das principais técnicas de ataque utilizadas pelos Crackers é o SQL Injection:

O SQL Injection ocorre quando é possível injetar códigos SQL em uma aplicação, utilizando

parâmetros de entrada que são posteriormente repassados ao banco de dados para execução. Esta

vulnerabilidade já possui mais de 15 anos e ainda continua sendo a forma mais utilizada por Crackers, devido

à falta de segurança nas empresas.

Entendendo o perímetro.

Um perímetro de segurança é dividido em 3 camadas:

Topologia de rede com um WAF:


Topologia de rede sem um WAF:


Este capítulo aborda o funcionamento do Aker Web Defender, e ainda, o procedimento de

instalação, requisitos e os primeiros passos para implementação do sistema.

IPSs e Firewalls convencionais não são totalmente capazes de detectar e bloquear ataques na

camada de aplicação, o que explica o porquê de a camada de aplicação ser o alvo preferido dos invasores.

Baseando-se neste fato, percebe-se que é extremamente necessário desenvolver um novo método

que possa analisar as particularidades da camada de aplicação, e ainda, efetuar o bloqueio de ataques contra

as aplicações.

O intuito principal do Aker Web Defender é efetuar análises na camada de aplicação e executar ações

preventivas dentro das particularidades de cada aplicação.

O Aker Web Defender é um sistema desenvolvido somente com funcionalidades de Web Application

Firewall (WAF), ou seja, o seu sistema operacional é configurado e customizado especificamente para

funções da camada de aplicação do modelo OSI, com as melhores práticas e suportando os mais duros

ataques, até mesmo os ataques de força bruta.

O Aker Web Defender é fornecido por meio de VM (Máquina Virtual), ou por meio de um Appliance

(Aker Box) robusto, seguro e eficaz, onde software e hardware trabalham em conjunto para atender

requisições externas e internas as aplicações Web da rede.

Atuando diretamente na camada 7 (aplicação) do modelo OSI, como um proxy reverso, o Aker Web

Defender é capaz de interceptar todas as requisições do cliente e as respostas dos Servidores Web, sendo

capaz de detectar e bloquear ataques DoS, força bruta, Injeção SQL, ataques em HTTP, HTTPS, SOAP, XML-

RPC, Web Service, entre outros. Desta forma, fornece proteção à formulários, cookies, gerenciamento de

sessão e etc.

Alguns Firewalls de aplicação adotam o conceito de “assinaturas de ataques”, com o intuito de

detectar ataques específicos, enquanto outros adotam o conceito de “anomalia de comportamento”, com

intuito de detectar ataques por meio de anomalias detectadas no tráfego. O Aker Web Defender reúne o

melhor dos dois métodos em um único produto.

A seguir, algumas ameaças que o Aker Web Defender pode detectar:

https://en.wikipedia.org/wiki/Web_application_firewall

https://en.wikipedia.org/wiki/Web_application_firewall


O Aker Web Defender possui sua própria distribuição baseada no Yocto Project.

O Yocto oferece modelos, ferramentas e métodos que auxiliam na criação de um sistema customiza-

do baseado em Linux, permitindo embutir produtos desejados, independentemente da arquitetura de

hardware, em sua própria distribuição Linux. O projeto Yocto foi fundado em 2010 com uma iniciação

colaborativa entre diversos fabricantes de hardware, vendedores de sistemas operacionais open source, e

empresas de eletrônicos, com o objetivo principal de estabelecer ordem no desenvolvimento de

distribuições Linux embutidas.

Porque não utilizar uma distribuição existente?

Criando sua própria distribuição oferece maior flexibilidade e controle

Evita a dependência de desenvolvedores que estão fora de sua administração.

Aumento de:

Segurança;

Melhor gerenciamento de cronograma de entrega;

Customização do tamanho da imagem;

Facilidade na integração com ferramentas de licenciamento;


A implementação do Aker Web Defender se encaixa em diversos ambientes proporcionando maior

proteção as aplicações web de sua rede, oferecendo facilidade, flexibilidade na implementação do produto.

A seguir, alguns exemplos de implementação do Aker Web Defender:

A implementação do Aker Web Defender não se limita apenas aos exemplos exibidos abaixo,

podendo adaptar-se à necessidade de cada ambiente.

A versão para a plataforma VM (Virtual Machine) do Aker Web Defender suporta até 2 interfaces

de rede. Na versão Appliance, é possível implementar qualquer um dos modelos de topologias apresentados

a seguir.

EXEMPLO 01

Modelo de implementação protegendo uma aplicação diretamente

Este modelo de implementação consiste em posicionar o Aker Web Defender antes do servidor da

aplicação web, funcionando como um Bridge, interceptando diretamente todo o tráfego direcionado à

aplicação web protegida.

Modelo de implementação protegendo múltiplas aplicações web


Este modelo de implementação consiste em posicionar o Aker Web Defender entre um Firewall e

servidores de aplicações web protegidos, interceptando todo tráfego redirecionado pelo Firewall para os as

aplicações web.

Cabe ressaltar que, neste ambiente é necessário a criação de aliases na interface de entrada do Aker

Web Defender, sendo que, cada aplicação web protegida terá seu tráfego redirecionado por sua respectiva

alias. Também será necessário criar rotas no Firewall que está posicionado antes do Aker Web Defender,

para encaminhar o tráfego direcionado as aplicações web para suas respectivas aliases criadas na interface

de entrada do Aker Web Defender.

Exemplo:

Três sites estão sendo protegidos pelo Aker Web Defender, desta forma, as seguintes aliases devem

ser criadas na interface de entrada do Aker Web Defender:

1. Meusite1.net <>Aker Web defender “Alias1”

2. Meusite2.com <> Aker Web Defender “Alias2”

3. Meusite3.org <> Aker Web Defender “Alias3”

No Firewall que encaminhará o tráfego para o Aker Web Defender é necessário criar rotas

redirecionando o acesso aos sites protegidos para suas respectivas Aliases.

1. Acesso web direcionado à “meusite1.net” <>encaminhar para Aker Web defender “Alias1”

2. Acesso web direcionado à “meusite2.com” <> encaminhar para Aker Web Defender “Alias2”

3. Acesso web direcionado à “meusite3.org” <> encaminhar para Aker Web Defender “Alias3”

Modelo de implementação com balanceamento


Este modelo de implementação consiste em posicionar o Aker Web Defender antes dos servidores

que atendem as requisições para um único site, funcionando como um Bridge, interceptando e balanceado

todo o tráfego direcionado ao site protegido.

A opção de balanceamento é habilitada ao inserir mais de um servidor real no cadastro de site.

Para mais informações clique aqui.

A seguir, as principais características do Aker Web Defender:

Interface de administração em Português (Brasil);

Relatórios de Segurança;

Análise de tráfego criptografado (TLS/SSL), trabalhando com certificados digitais,

Conformidade com o PCI Security Standards Council;

Proteção contra as vulnerabilidades listadas no OWASP TOP 10;

Imune à técnicas de evasão;

Inspeção bidirecional de ataques;


Constante atualização de assinaturas de ataques;

Regras de detecção exaustivamente testadas;

Checagem de antivírus;

Balanceamento de carga;

O Aker Web Defender visa oferecer para seus clientes os seguintes benefícios:

Permitir que a empresa defina o controle de acesso interno/externo às aplicações

web;

Oferecer os mais altos níveis de vigilância das aplicações, em tempo real;

Permitir que a empresa implemente as mais avançadas soluções de segurança;

Permitir que a empresa defina níveis de segurança para cada aplicação protegida.

O Aker Web Defender oferece proteção para todos os tipos de ataques conhecidos, que são

direcionados às aplicações web, incluindo o SQL injection, Cross-Site-Scripting e outros. Segue alguns

exemplos destas ameaças:

Violações do protocolo HTTP;

SQL Injection;

LDAP Injection;

Cookie Tampering;

Cross-Site Scripting (XSS);

Buffer Overflow;

OS Command Execution;

Remote Code Inclusion;

Server Side Includes (SSI) Injection;

File disclosure;

Information Leak;

Scanners de vulnerabilidade Web e Crawlers;

Worms e Web Shell Backdoors;

Ausência de tratamento de erros do Webserver;

Bloqueia ataques em HTTP e HTTPS;

Bloqueia ataques em SOAP e XML-RCP;

Bloqueia ataques em Web Service;

Entre outros.


Requisitos do sistema

A seguir serão descritos os requisitos mínimos do Aker Web Defender.

HD: 240 GB

RAM: 8 GB

Processador: 3.40 GHz, 4 núcleos.

HD: 80 GB

RAM:4 GB

Processador: 4 núcleos

Premissas:

Informações básicas de rede (IP, máscara, gateway, DNS);

Servidores os quais serão protegidos pelo Aker Web Defender;

Serviços utilizados pelos servidores, para criação e configuração de regras;

Primeiros passos

Recomenda-se que os passos descritos a seguir, sejam seguidos na ordem apresentada.

Instalação

Licenciamento

Configurando o Aker Web Defender

Instalação

A seguir, serão abordados os procedimentos para a instalação do Aker Web Defender.

O instalador do AKER WEB DEFENDER está disponível para download em:

http://www.aker.com.br/produtos/aker-web-defender/downloads/

É recomendado a NÃO utilização do teclado numérico (localizado no lado direito do teclado)

na instalação do Aker Web Defender.

Ao iniciar o instalador, o menu principal será exibido. Selecione a opção 1.


Em seguida, o aviso referente a perda de todas as configurações presentes no produto

será exibido. Confirme para iniciar o processo de instalação.

Em seguida, os Hard Drives presentes no appliance serão listados, então selecione o

HD que deseja instalar o Aker Web Defender e confirme para continuar o processo.

O processo de instalação será iniciado, aguarde até que o mesmo seja concluído.


Ao concluir o processo de instalação, a tela de configuração do LCD será exibida.

Selecione o modelo de seu appliance para configurar o LCD.

Na instalação em VM, a opção 8 finaliza a instalação.

Ao concluir a configuração do LCD, a instalação será finalizada, e o menu principal será apresentado

novamente. Selecione a opção “4. sair” para reiniciar o appliance.

Em caso de dúvidas sobre o modelo de seu appliance consulte o datasheet do Aker Web Defender:

http://www.aker.com.br/wp-content/uploads/2016/05/dt-akerWebDefender_hardware.pdf

Após a reinicialização do sistema, aguarde o carregamento do mesmo para iniciar o

processo de configuração.

http://www.aker.com.br/wp-content/uploads/2016/05/dt-akerWebDefender_hardware.pdf


A tela de login será exibida, utilize as credencias de acesso descritas a seguir:

Caso perca sua senha de acesso, é necessário entrar em contato com o suporte da Aker

Security Solutions para adquirir uma nova senha.

Credenciais de acesso padrão.

Interface de texto:

Login: aker

Senha: 123456

Interface Web:

Login: admin

Senha: admin

Recomenda-se que estas senhas sejam alteradas no primeiro acesso, para isso, siga os passos

descritos abaixo:

Para alterar a senha de acesso da Interface de Texto, utilize o comando abaixo:

Acesse o Aker Web Defender pela interface de texto (para informações sobre o primeiro acesso a

interface web de gerenciamento do Aker Web Defender, clique aqui), com permissão de administrador (root),

execute o comando abaixo, e insira a nova senha:

passwd aker

Para alterar a senha da Interface de Gerenciamento Web, acesse o menu “Acesso” opção “Usuário”,

edite o usuário desejado e altere a senha.


Configuração de rede padrão.

Por padrão as configurações de rede descritas abaixo são automaticamente definidas na instalação

do Aker Web Defender. Para modificá-las utilize o comando “akinterface” via linha de comando.

Interface ETH0 – esta interface é definida para o modo DHCP cliente, obtendo assim o endereço IP,

máscara de rede e rota padrão automaticamente de seu servidor DHCP, no range em que a interface se

encontra.

Interface ETH1 – por padrão essa interface estará configurada com o IP 192.168.0.100 e máscara

255.255.255.0. Pode ser usada como interface de gerência do sistema e funcionará, principalmente, em caso

de emergência no acesso ao appliance. Portanto, uma estação de gerência poderá ser configurada nessa

porta e o acesso ao sistema estará sempre ativo, ou seja, não dependerá das demais infraestruturas de rede.


Servidores DNS – Caso seu servidor DHCP não entregue, além das configurações de rede, os

servidores DNS, então estes devem ser configurados manualmente, para isso utilize o comando

“akinterface” e selecione a opção 2.

Demais interfaces (Eth2, 3, e etc.) – Por padrão estas interfaces se encontram desabilitadas. Para

habilitar e configurar as mesmas utilize o comando “akinterface” via interface de texto.

Primeiro Acesso à Interface de gerenciamento web do Aker Web Defender

Ao concluir o processo de instalação do Aker Web Defender, acesse a interface de texto e utilize o

comando “ifconfig” ou o comando “interface” para obter o endereço IP da ETH0 de acesso à interface web.

Por meio do comando “ifconfig”:

Por meio do comando “interface”:

Execute o comando “interface”;

Seleciona a opção 1 – Configuração de Interfaces;

Selecione a opção 1 – Listar Interfaces;


Em seguida, acesse o IP (https) definido para o Aker Web Defender, incluindo a porta “8081” em seu

navegador.

Em nosso exemplo, o IP utilizado será 10.3.80.150, como exibido a seguir:

No primeiro acesso à interface web de gerenciamento do Aker Web Defender, será exibida uma

mensagem informando que conexão não é segura. Esta mensagem é exibida devido a utilização de um

certificado autoassinado. Adicione o certificado na lista de exceção do navegador para continuar.

Em seguida, o usuário será redirecionado para a tela de login do Aker Web Defender.


Utilize as credencias padrão para acessar a interface de gerenciamento.

Usuário: admin

Senha: admin

Captcha: será necessário informar o código que aparecerá na imagem.

Licenciamento

No primeiro acesso, será solicitada a aplicação da licença do Aker Web Defender. Siga os passos a

seguir para aplicar sua licença.

A tela de licença do produto será apresentada para o usuário, preencha o campo “Produto licenciado

para” e, em seguida, clique no botão “Salvar” para que uma Chave de Hardware exclusiva seja gerada.

O nome informado e a Chave de Hardware serão utilizados na geração da licença do

produto.

Ao alterar o nome do campo “Produto licenciado para” automaticamente modificará

a chave de hardware invalidando a licença em uso, sendo necessário a aplicação de uma

nova licença.

Caso o usuário não possua uma licença, é necessário que o número da chave de

hardware seja copiado e encaminhado para [email protected], solicitando uma licença

para o seu hardware ou IS/VM, ao receber a licença siga os passos a seguir (ao enviar a so-

licitação o usuário receberá sua licença no período máximo de 24h).


Em seguida, clique em “Selecionar arquivo”.

Localize o arquivo de licença e clique em “Abrir”.


Em seguida, clique no botão “Enviar arquivo” para que as informações de sua licença sejam

exibidas para validação.

Ao validar que os dados estão corretos, clique em “Aplicar Licença”.


Configurando o Aker Web Defender

Recomenda-se que os módulos listados a seguir sejam configurados na ordem apresentada, para

obter uma implementação bem-sucedida do Aker Web Defender.

Com as informações de sua rede, e das aplicações que serão protegidas em mãos, clique nos módulos

a seguir.

Ao clicar nos módulos abaixo, você será redirecionado para o capítulo que aborda as

configurações do módulo em questão. No final dos capítulos, listados abaixo, é possível re-

tornar para este tópico, clicando em “Retornar para “Configurando o Aker Web Defender”.

Configuração geral- Parâmetros de configuração do Aker Web Defender

Política Geral – Políticas gerais para proteção HTTP, DoS e Força Bruta.

Site - Aplicações web que serão inspecionadas, mapeadas e protegidas pelo Aker Web Defender


Este tópico apresenta uma breve apresentação dos menus e opções da interface de gerenciamento

do AKER WEB DEFENDER.

O Painel de controle do Aker Web Defender permite que o usuário visualize e tenha acesso rápido ao

menu de configurações do sistema, incidentes, relatórios, gerenciamento de usuários e outras informações

importantes de sua rede, como o uso de “CPU, Memória, Tráfego das interfaces de rede”.

Na visualização de “Incidentes” podemos ver os detalhes dos ataques detectados, ao clicar sobre o

incidente desejado.

Menus do Aker Web Defender

O menu principal do Aker Web Defender fica localizado na parte superior esquerda da tela. Estes

menus permitem que o usuário tenha acesso à todas as funcionalidades do Aker Web Defender, facilitando

ao máximo a interação do usuário com o sistema. A seguir, mais informações sobre os menus do Aker Web

Defender e suas opções.


Dashboard O Dashboard do Aker Web Defender oferece transparência e facilidade no controle dos

incidentes detectados na rede. Além de, visualização do estado da máquina (CPU, memória, HD, número de

alertas no período, informações da rede, e load avarege), últimos alertas, eventos, top regras e top sites, por

meio dos Widgets disponíveis no Dashboard do Aker Web Defender.

Os Widgets de: CPU, memória, HD, número de alertas no período, informações da rede, e load

avarege, são atualizados a cada 30 segundos. Já os Widgets: alertas, últimos eventos, são atualizados por

meio da atualização da página de seu navegador (F5).

Alertas O menu Alertas exibe informações como: data, regra, site, origem e ação de todos os alertas

detectados no Aker Web Defender. E ainda, oferece opções de pesquisa baseadas em datas (dia, mês, ano e

hora), ou por meio de algum termo especifico.

Por meio deste menu, é possível visualizar todos os alertas gerados pelo sistema, efetuar buscas

baseadas em data ou nome/ip. Além de, oferecer opções de fácil acesso para imprimir ou exportar (em

formato CSV) alertas para fins de auditoria.

Durante a pesquisa, os botões “imprimir” e “Exportar CSV” ficam desabilitados até o término

da pesquisa.

Para executar a exportação via linha de comando, utilize o comando:

webdefender alerts:export

Para visualizar as demais opções do comando utilize o parâmetro “–h” no final do comando.

Exemplo: webdefender alerts:export –h).


Visando oferece maior interatividade e efetividade no gerenciamento do sistema, também é possível

efetuar uma rápida alteração de regra de detecção, por exemplo, o serviço de um de servidor ou máquina

está sendo bloqueado por alguma regra de detecção, contudo, o administrador sabe que se trata de um falso

positivo. Desta forma, por meio do alerta gerado é possível desbloquear tal máquina ou IP, desabilitando a

regra em questão. As opções disponíveis são: desabilitar regra para este site, permitir origem para este site,

e ainda caso queria bloquear a origem, bloquear origem para este site.

Para utilizar estas opções clique sobre o alerta desejado, nas colunas Regra ou Origem.

Para obter rápido acesso aos detalhes da regra, clique sobre a regra desejada e selecione a opção

“Detalhes da regra”.


Para obter informações mais detalhadas sobre o alerta, clique em no botão , localizado na

lateral direita da tela.

Para remover ou inserir IPs na Blacklist ou Whitelist de um site, acesse o menu > Sites

> Site desejado > aba Avançado> Whitelist/Blacklist

Sites O menu Sites exibe as aplicações web protegidas pelo Aker Web Defender.

Sites, no sistema do Aker Web Defender, representam as aplicações web que serão inspecionadas,

mapeadas e protegidas pelo Aker Web Defender.

Por meio deste menu é possível cadastrar, editar e excluir Sites. E ainda, configurar o balanceamento

de carga entre os servidores do Sites, blacklist e whitelist, e definir grupos de assinaturas de detecção de

ataques especificas para Sites distintos, desta forma, é possível configurar a proteção para a camada de

aplicação de acordo com a necessidade especifica de cada rede, reduzindo significativamente a ocorrência

falsos positivos.


Siga os passos descritos a seguir, para adicionar um novo site no Aker Web Defender:

Para adicionar um novo Site click no botão .

A configuração de um Site é efetuada por meio de três abas. A seguir, mais detalhes sobre

estas abas e suas opções.

Aba Informações do Site

Por meio desta aba, é possível definir o endereço remoto e virtual das aplicações, modos de

operação, opções de balanceamento, checagem de conteúdo estático e XML, e checagem de antivírus para

upload de arquivos.

Servidor Virtual: neste campo deve-se definir o protocolo utilizado pelo servidor, HTTP ou HTTPS, o

endereço remoto do servidor, a porta de acesso, e o caminho dentro do servidor (path), caso disponível.

Exemplo: http://www.minhaAplicação.com.br:80

Ao selecionar o protocolo HTTPS, automaticamente habilitará as “Opções SSL”, desta forma, é

necessário informar o conteúdo da chave pública e do certificado site em questão. Para isso, pode-se utilizar


a opção copiar e colar, ou simplesmente, utilizar a opção “Importar” e carregar o arquivo com os dados

solicitados.

Servidores Reais: neste campo deve-se definir o protocolo utilizado pelo servidor, HTTP ou HTTPS,

inserir o IP real do site, por exemplo, 192.168.1.111, porta de acesso e o caminho dentro do servidor (path),

caso necessário.

Devido à grande carga, alguns sites utilizam mais de um servidor, desta forma, é possível distribuir a

carga de trabalho entre as duas máquinas ou mais máquinas, otimizando a utilização de recursos e

oferecendo maior disponibilidade.

As opções de balanceamento são exibidas quando mais de um servidor real é adicionado.

Para adicionar um segundo servidor real, clique em .


Modo de operação: neste campo deve-se definir o modo de operação do Aker Web Defender para o

site em questão. As opções disponíveis são:

Alertar e bloquear

Apenas alertar

Inativo

Método de balanceamento: esta opção é habilitada ao adicionar mais de um servidor real para o

site. O Aker Web Defender oferece dois métodos de balanceamento para o Sites cadastrados no sistema. As

opções disponíveis são:

Round Robin: este método distribui as requisições efetuadas ao site em porções

idênticas, ou seja, uma requisição em cada servidor.

Exemplo: O site www.minhaaplicacao.com.br recebeu 10 requisições vindas de usuários distintos, e

este site possui dois servidores para efetuar o balanceamento. Desta forma a 1° requisição será encaminhada

para o Servidor 1, a 2° requisição para o Servidor 2, a 3° para o Servidor 1, a 4º para o Servidor 2 e

sucessivamente.

Round Robin – manter sessão: este método distribui as requisições mantendo-as no

primeiro servidor que as atendeu, ou seja, todas as requisições de um usuário serão

encaminhadas para o primeiro servidor que o atendeu.

Exemplo: Os usuários Pedro e João acessam o site www.minhaaplicacao.com.br 10 vezes por hora.

No primeiro acesso de Pedro, o Servidor 1 atendeu sua requisição, e o Servidor 2 atendeu a requisição de

João, desta forma, todas as requisições de Pedro serão atendidas pelo Servidor 1, da mesma forma que,

todas as requisições de João serão atendidas pelo Servidor 2.

Ativar modo de aprendizado: ao habilitar essa opção fara com que o Aker Web Defender entenda

como a aplicação protegida funciona, desta forma, ao detectar alguma atividade que não se assimile ao

funcionamento padrão da aplicação, medidas de prevenção possam ser tomadas, de acordo com a

configuração estabelecida pelo administrador.

Checar conteúdo XML: efetua uma verificação em todo conteúdo XML que for em direção da

aplicação protegida.

Checar conteúdo estático: efetua uma verificação em todo conteúdo estático que for em direção à

aplicação protegida, como, por exemplo, imagens, Java scripts, CSS.

http://www.minhaaplicacao.com.br/

http://www.minhaaplicacao.com.br/


Aba Selecionar Regras

Por meio desta aba, é possível definir as assinaturas de detecção de ataques para o Site em criação.

Esta opção permite que o administrador configure assinaturas especificas para o Site, atendendo

necessidades especificas do Site e da rede, reduzindo significativamente a ocorrência de falsos positivos.

É possível selecionar e deselecionar grupos, e ainda, filtrar quais assinaturas deverão ser utilizadas

dentro dos grupos, por meio dos checkboxes disponibilizado na janela de seleção de assinaturas, como

exibido na imagem a seguir.

Para acessar a lista com todos os grupos de assinaturas disponíveis no Aker Web Defender, clique

aqui.


Aba Avançado

Por meio desta aba, é possível definir listas de IPs que serão bloqueadas (Blacklist) ou liberadas

(Whitelist) para o Site em questão, e ainda, desativar regras/assinaturas de detecção especificas e adicionar

regras remotas.

Caso o administrador possua sua própria base de regras, é possível utilizar as mesmas

configurando o servidor de regras remotas.

Retornar para Configurando o Aker Web Defender.


Regras O menu Regras permite que o administrador defina os parâmetros de configuração do Aker Web

Defender relacionados à: atualização de regras/assinaturas de detecção de ataques, listagem de regras de

detecção de ataques, cadastro manual de regras e grupos de regras. A seguir mais detalhes sobre estas

opções.

Por meio desta janela, o administrador define a frequência que o Aker Web Defender efetuará uma

busca em sua base, a procura de novas regras de detecção de ataques.

As opções disponíveis são:

Ou simplesmente clicar na no botão ..


Por meio desta janela, o administrador pode visualizar todas as regras/assinaturas de detecção de

ataques disponíveis no sistema do Aker Web Defender. Para facilitar a busca por regras utilize a caixa de

pesquisa.

Caso queria, é possível adicionar uma nova regra manualmente pela janela de Listagem,

clicando em .

Mais detalhes sobre a criação de regras no tópico descrito a seguir.

Regras padrões do sistema não podem ser modificadas ou excluídas.

Está operação também pode ser efetuada pela interface de texto do Aker Web

Defender. Para mais informações clique aqui.

Por meio desta janela, é possível criar regras de detecção personalizadas, de acordo com a

necessidade de sua rede ou servidor de aplicação.


Pré Requisitos

Para criar assinaturas no Aker Web Defender, o usuário deve ter conhecimentos de HTTP, Expressões

Regulares e Ataques na camada de aplicação.

Para cadastrar uma nova regra, clique em e preencha os campos descritos a

seguir:

Grupo: indica o grupo de regras que a assinatura em criação pertencerá.

Fase: indica a fase que a assinatura deve atuar. A seguir as opções disponíveis:

Revisão: indica a versão da assinatura de ataque.

Severidade: indica a severidade do ataque. A seguir as opções disponíveis:

Maturidade: indica o grau de maturidade da assinatura. Os valores podem variar de 1 a 9.

Precisão: indica o grau de precisão da assinatura. Os valores podem variar de 1 a 9.

Mensagem: indica a descrição exibida após o ID nos alertas gerados pelo sistema.

Variáveis: indica o local em que a busca será efetuada, ou seja, parte da requisição que será

verificada.

Operador: indica o operador utilizado para detectar a variável definida no campo acima, ou seja,

como será efetuada a verificação.


Expressão: indica a combinação de valores, variáveis e operadores que juntas detectam o ataque, ou

seja, Expressão é o que será procurado na verificação definida pelo Operador, na localização estabelecida na

Variável

Ações: indica as ações executadas ao detectar o tipo de ataque em questão, e ainda, adicionar

opções a regra.

Por meio desta janela, é possível criar grupos de regras, que posteriormente serão atribuídos as

assinaturas de detecção de ataques.


Relatórios Por meio do menu Relatórios é possível gerar relatórios específicos de forma simples e rápida.

Para visualizar os dados, selecione o tipo de relatório desejado. As opções disponíveis são: Grupo de

regras, Regras, Severidade, Ip de Origem ou Site.

Em seguida, selecione a data inicial e final em que a busca por informações será efetuada e clique em

“Pesquisar”.

Os dados serão exibidos na tela, em seguida clique no botão “Imprimir”, localizado na parte superior

direita da tela. Uma previa do relatório será exibida para analise, em seguida clique em “Imprimir”

novamente.


Política Geral Por meio do menu Política Geral, o administrador pode definir os parâmetros globais do sistema

para proteção para HTTP, DoS (Denial of Service), e Força Bruta.

A seguir, mais detalhes sobre estas opções.


Por meio desta janela, o administrador pode definir parâmetros de verificação específicos do

protocolo HTTP.

O ataque DoS (Denial of Service), também conhecido como ataque de negação de serviço ocorre

quando um (DoS – Denial of Service) ou mais computadores (DDoS – Distributed Denial of Service) atacam

um único alvo simultaneamente, com o intuito de sobrecarregar o alvo, que na maioria dos casos são

servidores web. Tal ação é possível por meio de vírus ou trojans em máquinas espalhadas por todo o globo.

O invasor inicia seu ataque enviando comandos aos computadores infectados, que por sua vez, irão atacar o

alvo, com o intuito de derrubar o serviço parcialmente ou totalmente.

Por meio desta janela, o administrador pode definir parâmetros específicos para proteger suas

aplicações contra ataques DoS.


Ativa proteção contra DoS: ativa ou desativa a proteção contra DoS.

Tempo (em milissegundos): indica o espaço de tempo onde o Aker Web Defender irá contabilizar as

ocorrências (incidentes).

Quantidade de ocorrências: indica a quantidade de ocorrências (incidentes) dentro do espaço de

tempo definido no campo anterior.

Timeout (em milissegundos): indica o tempo limite que o servidor irá aguardar para responder as

requisições (delay).

O ataque de Força Bruta (Brute Force) ocorre quando várias tentativas de descoberta de se-

nha/logins, por meio de processos automatizados ou manuais, são efetuadas contra um alvo, na maioria das

ocasiões, servidores em geral.

Por meio desta janela, o administrador pode definir parâmetros específicos para proteger sua

aplicação contra-ataques de Força Bruta.


Ativar proteção contra Força Bruta: ativa ou desativa a proteção contra Força Bruta.

URLs a proteger: URLs que serão protegidas contra ataques de força bruta.

Exemplo: #www.meusite.com.br/acesso# #www.meusite2.com/login#

Tempo (em milissegundos): indica o espaço de tempo onde o Aker Web Defender irá contabilizar as

ocorrências (incidentes).

Quantidade de ocorrências: indica a quantidade de ocorrências (incidentes) dentro do espaço de

tempo definido no campo anterior.

Timeout (em milissegundos): indica o tempo limite que o servidor irá aguardar para responder as

requisições (delay).



Configurações O menu Configuração permite que o administrador defina os parâmetros de configuração do Aker

Web Defender relacionados à: Backup, Restauração e Atualização do sistema, Syslog, Servidores NTP, Rotate

de Dados, Licenciamento.

A seguir, mais detalhes sobre estas opções.

Por meio desta janela, o administrador pode efetuar de maneira fácil e rápida o Backup ou

Restauração das configurações do Aker Web Defender.

Está operação também pode ser efetuada pela interface de texto do Aker Web Defender.



Para realizar o Backup do Aker Web Defender, siga os passos descritos a seguir:

Acesse o menu Configurações, e clique na opção “Backup”.

Em seguida, clique em:

Ao concluir a criação do arquivo, o backup será armazenado e exibido no cam-

po esquerdo da janela de backup, como exibido na imagem a seguir:

Para efetuar o download do arquivo de configuração, clique em

Para realizar a Restauração do sistema do Aker Web Defender, siga os passos descritos a

seguir:

Acesse o menu Configurações, e clique na opção “Backup”. Em seguida, clique

em:

Em seguida, localiza o arquivo que contém as configurações desejadas, e clique

em “Abrir”.


Em seguida, clique em .

O arquivo de Backup será armazenado no banco do Aker Web Defender, e será

exibido no campo esquerdo da janela de backup.

Para restaurar o Backup, clique no botão .

Por meio desta janela, o administrador pode definir os servidores Syslog que receberão logs do Aker

Web Defender para fins de auditoria.

O número máximo de servidores Syslog é 3.

A porta padrão para o Syslog é 514/UDP.




Por meio desta janela, o administrador pode definir os servidores NTP do Aker Web Defender.

NTP (Network Time Protocol) é o protocolo utilizado para sincronizar o horário dos computadores

(clientes/servidor). Esta sincronização é efetuada pelo protocolo UDP na porta 123.




Por meio desta janela, o administrador pode visualizar as informações da licença em uso pelo Aker

Web Defender, e carregar uma nova licença.

Cabe ressaltar que, o procedimento de licenciamento é efetuado no primeiro login.

Por meio desta janela, o administrador pode visualizar o nível de atualização do Aker Web Defender,

e aplicar novas atualizações ao sistema.



Acesso O menu Acesso permite que o administrador defina os parâmetros de configuração do Aker Web

Defender relacionados à:

Por meio desta janela, o administrador pode cadastrar, gerenciar, e excluir as contas de usuários com

permissão de acesso à interface de gerenciamento do Aker Web Defender.


Por meio desta janela, o administrador pode habilitar a autenticação à interface de gerenciamento

web do Aker Web Defender para usuários de um servidor LDAP.

Por padrão está opção estará desabilitada.

Host: endereço IP do servidor LDAP.

Account Domain Name: nome do servidor LDAP.

Base DN: base dn na qual a consulta será iniciada, ou seja, ponto inicial da hierarquia do Active

Directory que a pesquisa efetuada pelo Aker Web Defender será iniciada.


Port: porta utilizada na autenticação com o servidor LDAP.

Captcha: habilita ou desabilita o CAPTCHA (teste de desafio cognitivo para diferenciar computadores

e humanos) na tela de autenticação do sistema.

Por padrão ao habilitar a autenticação LDAP fara com que a autenticação local seja de-

sabilitada permitindo que apenas o usuário “admin” e os usuários LDAP autorizados

acesse o sistema. Para utilizar a autenticação local novamente é necessário desabilitar

a autenticação LDAP.

Usuários autenticados via LDAP precisam ser atribuídos à um perfil de acesso antes de

se autenticarem, desta forma, é necessário utilizar a conta de administrador para atri-

buir um perfil aos usuários LDAP.

Por meio desta janela, o administrador pode criar, editar ou deletar perfis de acesso, que serão

atribuídos às contas de usuários do Aker Web Defender.


Ajuda O menu “Ajuda” permite que o usuário tenha rápido acesso ao Fórum da Aker, onde é possível tirar

dúvidas e entrar em debates sobre os produtos aker, acesso ao Manual do Aker Web Defender e a página do

produto no site da Aker, onde é possível efetuar download dos pacotes de atualizações, instaladores e mais.

E ainda, visualizar as informações importantes do Aker Web Defender em uso, como: Versão, dados da

licença e informações do hardware.

Este tópico existe a lista de comandos disponíveis para a interface de texto do Aker Web Defender.

A seguir a lista de comando.

webdefender help

Exibe a utilização do comando help (ajuda) no Aker Web Defender.

Utilização do comando: webdefender help

Para obter ajuda sobre um comando especifico utilize o parâmetro “–h” na frente do

comando, como por exemplo:

webdefender rotate –h

webdefender backup:run –h

webdefender site:list -h

http://www.aker.com.br/forum


webdefender list

Exibe a lista de comandos do Aker Web Defender

Utilização do comando: webdefender list

webdefender syslog

Por meio deste comando é possível definir os parâmetros de configuração para o Syslog do Aker

Web Defender.

Utilização do comando: webdefender syslog

Está operação também é efetuada pela interface de gerenciamento web. Para mais infor-

mações clique aqui.

webdefender alerts:export

Por meio deste comando é possível exporta os alertas detectados no formato CSV.

webdefender backup

Por meio deste comando é possível definir os parâmetros de configuração de Backup do Aker Web

Defender.



A seguir, as opções de utilização do comando:

webdefender backup:list

Lista os arquivos de backup presentes no sistema.

webdefender backup:restore

Restaura arquivos de configuração ou arquivos do sistema por meio de um backup.

Exemplo: webdefender backup:restore (nome do arquivo de backup)

webdefender backup:restore wafbackup20160902104110.bkp

Ao restaurar um backup, recomenda-se que a lista de backups salvos no sistema seja

verificada, para escolher o arquivo correto.

webdefender backup:run

Criar um backup, salvando as configurações atuais do sistema.

webdefender backup:save-file

https://pt.wikipedia.org/wiki/Comma-separated_values


Salva um arquivo de backup criado anteriormente ou salvo em outro local. Caso o backup esteja

salvo fora do sistema do Aker Web Defender, é necessário que o mesmo seja salvo no sistema do Aker Web

Defender, para que então seja possível aplica-lo.

webdefender ntp

Por meio deste comando é possível visualizar e definir os parâmetros de configuração do Aker Web

Defender relacionados à NTP (Network Time Protocol).



A seguir, as opções de utilização do comando:

webdefender ntp:list

Exibe a configuração NTP do Aker Web Defender. O formato padrão é “json”, contudo, é possível

visualizar a configuração no formato “table”, adicionando o parâmetro “–t” no comando, como exibido a

seguir:

webdefender ntp:list -t

webdefender ntp:set

webdefender rule-group

Exibe a lista de grupos de regras presentes no sistema.



A seguir, a opção de utilização deste comando:

webdefender rule-group:list

webdefender rules

Por meio deste comando é possível visualizar as regras registradas no sistema do Aker Web

Defender, além de, adicionar regras à lista de exceções de sites, e atualizar a base de regras do sistema.



A seguir, as opções de utilização deste comando:

webdefender rules:exception


Permite adicionar regras à lista de exceções de um site desejado.

Exemplo:

Para adicionar a regra que possui o ID 981256 à lista de exceções do site “myapllication.com”

webdefender rule:exception myapplication.com –rule-id 981256

Ou

webdefender rule:exception myapplication.com –r 981256

Adicionando múltiplas regras à uma lista de exceção:

webdefender rule:exception myapplication.com –r 981256 –r 950922 –r 950119

webdefender rules:list

Exibe a lista com todas as regras de detecção registradas no sistema.

webdefender rules:update

Atualiza a base de regras do sistema via linha de comando.

webdefender site

Por meio deste comando é possível adicionar IPs às blacklist e whitelist dos sites, excluir sites

cadastrados no sistema, listar configurações de sites, remover propriedades de um site, e definir um novo

valor para um site registrado.



A seguir, os parâmetros disponíveis para este comando:

webdefender site:add-blacklist

Adiciona um IP à Blacklist de um site.

Exemplo:

Adicionando o IP 192.168.0.100 à blacklist do site myapplication.com

webdefender site:add-blacklist myapplication.com –ip 192.168.0.100

webdefender site:add-whitelist

Adiciona um IP à Whitelist de um site.

Exemplo:


Adicionando o IP 192.168.0.111 à Whitelist do site myapplication.com

webdefender site:add-whitelist myapplication.com –ip 192.168.0.100

webdefender site:delete

Exclui um site registrado do sistema.

Exemplo:

Excluindo o site que o possui o ID 2316a4bb1d2103ae31a07c88cd618e98 (para obter o ID do site

utilize o comando webdefender site:list) do sistema.

Webdefender site:delete 2316a4bb1d2103ae31a07c88cd618e98

webdefender site:list

Lista as configurações básicas do site.

webdefender site:list --rule-groups

Lista as todas configurações do site, incluindo os grupos de regras os quais ele pertence.

webdefender site:set

Defini novos valores para os sites registrados.

A seguir, as propriedades que podem ser modificadas e suas opções:

→ Operation Mode ( utilização “-o ou –operation-mode”

Valores:

“- on” para alertar e bloquear

“- off” para o estado inativo

“- detection-olny” para apenas alertar

Exemplos:

webdefender site:set a7a82cc5578452ea524c2acef78710b9 --operation-mode detection-only

webdefender site:set a7a82cc5578452ea524c2acef78710b9 –o on

Para visualizar o id dos site utilize o comando webdefender:site-list

→rule groups (utilização “-g ou –rule-groups)

Adicionando um novo grupo de regras à um site

webdefender site:set a7a82cc5578452ea524c2acef78710b9 --rule-groups 10

Adicionando múltiplas regras:


webdefender site:set a7a82cc5578452ea524c2acef78710b9 –g 10 –g 7 –g 8 –g 11

Para visualizar o ID dos grupos utilize o comando webdefender rule-group:list

webdefender site:unset

Remove as propriedades de um site.

Exemplo:

Modificando as propriedades do site que possui o ID a7a82cc5578452ea524c2acef78710b9

Para visualizar o ID dos grupos utilize o comando webdefender rule-group:list

webdefender site:unset a7a82cc5578452ea524c2acef78710b9 --rule-groups 5

webdefender site:unset a7a82cc5578452ea524c2acef78710b9 –g 4 –g 6 –g 10


1. Os widgets do meu dashboard, CPU, memória, Load Average, Rede e uso de HD,

não estão funcionado, o que fazer?

Verifique se o processo machineinfo está rodando corretamente. Este processo é responsável pela

coleta de informações da máquina (CPU, memória, load avarage...widgets do dashboard). Esta atualização é

efetuada a cada 30 segundos.

Comando utilizado para verificar o Estado do processo: systemctl status aker-

machineinfo

Comando utilizado para parar o processo: systemctl stop aker-machineinfo

Comando utilizado para Iniciar: systemctl start aker-machineinfo

2. Meu site está recebendo ataques, mas não estou vendo os ataques, nos últimos

eventos do Dashboard na janela de Alertas, o que fazer?

Verifique se o processo responsável pelo tratamento dos logs de auditoria está rodando corre-

tamente.

Comando utilizado para verificar o Estado do processo: systemctl status auditpasere

Comando utilizado para Parar o processo: systemctl stop auditparser.service

Comando utilizado para Iniciar: systemctl start auditparser.service

3. Qual serviço controla as operações do Aker Web Defender?

O processo responsável é o apache2. A seguir os comandos para iniciar, para, e validar o estado do

processo:

Comando utilizado para verificar o Estado do processo: systemctl status waf

Comando utilizado para parar o processo: systemctl stop waf

Comando utilizado para iniciar: systemctl start waf

Para maior segurança, o processo de controle do Aker Web Defender é separado em

duas instancias, um para a interface de gerenciamento web (waf-interface) e outra

para as operações do sistema do Aker Web Defender (waf).

4. Qual processo responsável pela interface de gerenciamento web do Aker Web

Defender?


O processo responsável é o waf-interface. A seguir os comandos para iniciar, para, e validar o

estado do processo:

Comando utilizado para verificar o Estado do processo: #systemctl status waf-

interface

Comando utilizado para parar o processo: systemctl stop waf-interface

Comando utilizado para Iniciar: systemctl start waf-interface

Lista de regras do Aker Web Defender Este tópico exibe todos os grupos/assinaturas de detecção de ataques, juntamente com suas

respectivas regras, disponíveis no Aker Web Defender.

950107 URL Encoding Abuse Attack Attempt

950108 URL Encoding Abuse Attack Attempt

950109 Multiple URL Encoding Detected

950116 Unicode Full/Half Width Abuse Attack Attempt

950801 UTF8 Encoding Abuse Attack Attempt

958230 Range: Invalid Last Byte Value.

958231 Range: Too many fields

958291 Range: field exists and begins with 0.

958295 Multiple/Conflicting Connection Header Data Found.

960000 Attempted multipart/form-data bypass

960011 GET or HEAD Request with Body Content.

960012 POST request missing Content-Length Header.

960016 Content-Length HTTP header is not numeric.

960018 Invalid character in request

960020 Pragma Header requires Cache-Control Header for HTTP/1.1 requests.

960022 Expect Header Not Allowed for HTTP 1.0.

960901 Invalid character in request

960902 Invalid Use of Identity Encoding.


960911 Invalid HTTP Request Line

960912 Failed to parse request body.

960914 Multipart request body failed strict validation: PE %{REQBODY_PROCESSOR_ERROR}

960915 Multipart parser detected a possible unmatched boundary.

981227 Apache Error: Invalid URI in Request.

960006 Empty User Agent Header

960007 Empty Host Header

960008 Request Missing a Host Header

960009 Request Missing a User Agent Header

960013 HTTP/1.1 POST request missing Content-Length Header and missing Transfer-Encoding

header.

960015 Request Missing an Accept Header

960017 Host header is a numeric IP address

960021 Request Has an Empty Accept Header

960904 Request Containing Content

960208 Argument value too long

960209 Argument name too long

960335 Too many arguments in request

960341 Total arguments size exceeded

960342 Uploaded file size too large

960343 Total uploaded files size too large

960010 Request content type is not allowed by policy

960032 Method is not allowed by policy

960034 HTTP protocol version is not allowed by policy


960035 URL file extension is restricted by policy

960038 HTTP header is restricted by policy

990002 Request Indicates a Security Scanner Scanned the Site

990012 Rogue web site crawler



950000 Session Fixation

950002 System Command Access

950003 Session Fixation

950005 Remote File Access Attempt

950006 System Command Injection

950008 Injection of Undocumented ColdFusion Tags

950009 Session Fixation Attack

950010 LDAP Injection Attack

950011 SSI injection Attack

950012 HTTP Request Smuggling Attack.

950018 Universal PDF XSS URL Detected.

950019 Email Injection Attack

950117 Remote File Inclusion Attack



950120 Possible Remote File Inclusion (RFI) Attack: Off-Domain Reference/Link

950907 System Command Injection

950910 HTTP Response Splitting Attack

950911 HTTP Response Splitting Attack


958976 PHP Injection Attack



960024 Meta-Character Anomaly Detection Alert - Repetitive Non-Word Characters

950001 SQL Injection Attack

950007 Blind SQL Injection Attack

950901 SQL Injection Attack: SQL Tautology Detected.

950908 SQL Injection Attack.





981172 Restricted SQL Character Anomaly Detection Alert - Total # of special characters

exceeded

981173 Restricted SQL Character Anomaly Detection Alert - Total # of special characters

exceeded

981231 SQL Comment Sequence Detected.

981240 Detects MySQL comments

981241 Detects conditional SQL injection attempts

981242 Detects classic SQL injection probings 1/2

981243 Detects classic SQL injection probings 2/2

981244 Detects basic SQL authentication bypass attempts 1/3



981247 Detects concatenated basic SQL injection and SQLLFI attempts

981248 Detects chained SQL injection attempts 1/2

981249 Detects chained SQL injection attempts 2/2

981250 Detects SQL benchmark and sleep injection attempts including conditional queries

981251 Detects MySQL UDF injection and other data/structure manipulation attempts


981252 Detects MySQL charset switch and MSSQL DoS attempts

981253 Detects MySQL and PostgreSQL stored procedure/function injections

981254 Detects Postgres pg_sleep injection

981255 Detects MSSQL code execution and information gathering attempts

981256 Detects MATCH AGAINST

981257 Detects MySQL comment-/space-obfuscated injections and backtick termination

981260 SQL Hex Encoding Identified

981270 Finds basic MongoDB SQL injection attempts

981272 Detects blind sqli tests using sleep() or benchmark().

981276 Looking for basic sql injection. Common attack string for mysql

981277 Looking for integer overflow attacks

981317 SQL SELECT Statement Anomaly Detection Alert

981318 SQL Injection Attack: Common Injection Testing Detected

981319 SQL Injection Attack: SQL Operator Detected

981320 SQL Injection Attack: Common DB Names Detected

958000 Cross-site Scripting (XSS) Attack







































973300 Possible XSS Attack Detected - HTML Tag Handler

973301 XSS Attack Detected















973315 IE XSS Filters - Attack Detected.






















973336 XSS Filter - Category 1: Script Tag Vector

973337 XSS Filter - Category 2: Event Handler Vector

973338 XSS Filter - Category 3: Javascript URI Vector






950103 Path Traversal Attack

950110 Backdoor access



981175 Inbound Attack Targeting OSVDB Flagged Resource.

981176 Inbound Anomaly Score Exceeded (Total Score: %{TX.ANOMALY_SCORE}

970002 Statistics Information Leakage

970003 SQL Information Leakage

970004 IIS Information Leakage

970007 Zope Information Leakage

970008 Cold Fusion Information Leakage


970009 PHP Information Leakage

970010 ISA server existence revealed

970011 File or Directory Names Leakage

970012 Microsoft Office document properties leakage

970013 Directory Listing

970014 ASP/JSP source code leakage

970015 PHP source code leakage

970016 Cold Fusion source code leakage

970018 IIS installed in default location

970021 WebLogic information disclosure

970118 The application is not available

970901 The application is not available

970902 PHP source code leakage

970903 ASP/JSP source code leakage

970904 IIS Information Leakage

981000 Possibly malicious iframe tag in output

981001 Possibly malicious iframe tag in output

981003 Malicious iframe+javascript tag in output

981004 Potential Obfuscated Javascript in Output - Excessive fromCharCode

981005 Potential Obfuscated Javascript in Output - Eval+Unescape

981006 Potential Obfuscated Javascript in Output - Unescape

981007 Potential Obfuscated Javascript in Output - Heap Spray

981200 Outbound Anomaly Score Exceeded (score %{TX.OUTBOUND_ANOMALY_SCORE}): Last

Matched Message: %{tx.msg}

981201 Correlated Successful Attack Identified: (Total Score: %{tx.anomaly_score}

981202 Correlated Attack Attempt Identified: (Total Score: %{tx.anomaly_score}

981203 Inbound Anomaly Score (Total Inbound Score: %{TX.INBOUND_ANOMALY_SCORE}


981204 Inbound Anomaly Score Exceeded (Total Inbound Score:

%{TX.INBOUND_ANOMALY_SCORE}

981205 Outbound Anomaly Score Exceeded (score %{TX.OUTBOUND_ANOMALY_SCORE}):

%{tx.msg}

Versão BETA 23/01/2017download.aker.com.br/prod/beta-testes/waf/aker_webdefender_2.0.0... · capaz...

Documents

Transcript of Versão BETA 23/01/2017download.aker.com.br/prod/beta-testes/waf/aker_webdefender_2.0.0... · capaz...