Reglas administradas del WAF (Firewall de aplicaciones web)
Información general
Las reglas administradas, una función de Cloudflare WAF (Firewall de aplicaciones web), identifican y eliminan la actividad sospechosa de las solicitudes HTTP GET y POST.
Entre los ejemplos de contenido malicioso que las reglas administradas identifican se encuentran:
- Palabras clave comunes utilizadas en spam de comentarios (XX, Rolex, Viagra, etc.)
- Ataques de scripting entre sitios (XSS)
- Inyecciones de código SQL (SQLi)
Las reglas administradas están disponibles en los planes Pro, Business y Enterprise de cualquier subdominio redireccionado mediante proxy a Cloudflare. Controla la configuración de las reglas administradas en Seguridad > WAF > Reglas administradas. Las reglas administradas incluyen tres paquetes:
- Conjuntos de reglas administradas
- Paquete: conjunto de reglas básicas de OWASP ModSecurity
- Reglas solicitadas por el cliente
Revisa las amenazas bloqueadas a través de Análisis de firewall Registro de actividad disponible en Seguridad > Información general.
Consideraciones importantes
- Las reglas administradas añaden una cantidad limitada de latencia.
- Los cambios en las reglas administradas del WAF tardan unos 30
segundos en actualizarse globalmente. - Cloudflare utiliza reglas propias para filtrar el tráfico.
- Los Websockets establecidos no activan las reglas administradas para las solicitudes posteriores.
- Las reglas administradas analizan las respuestas JSON para identificar las vulnerabilidades dirigidas a las API. El análisis de la carga útil JSON está limitado a 128 KB.
- Las reglas administradas mitigan las técnicas de relleno. Recomendamos lo siguiente:
- Activar la regla 100048. Esta regla protege ahora contra los ataques de “relleno”, pero no se implementa por defecto ya que provoca muchos falsos positivos en los entornos de los clientes. Sin embargo, es importante que los clientes ajusten su configuración de reglas administradas. Cloudflare está trabajando en una solución mejor a largo plazo.
- Crea una regla de firewall utilizando el Editor de expresión en función de la necesidad de comprobar los encabezados y/o el cuerpo para bloquear la carga útil más grande (> 128 KB). Asegúrate de probar tu regla de firewall en el modo Registro primero, ya que podría ser propenso a generar falsos positivos.
- http.request.body.truncated
- http.request.headers.truncated
- Hay varias reglas administradas que Cloudflare no desactiva aunque Reglas administradas esté desactivado en el panel de control de Cloudflare, como los Id. de regla WP0025B, 100043A y 100030.
Nota sobre los falsos positivos y falsos negativos
Por defecto, las reglas administradas del WAF se administran completamente a través del panel de control de Cloudflare y son compatibles con la mayoría de los sitios y aplicaciones web. Sin embargo, los falsos positivos y falsos negativos pueden tener en cuenta todo el ecosistema de Internet:
- Falsos positivos: solicitudes legítimas detectadas y filtradas como maliciosas.
- Falsos negativos: solicitudes maliciosas no filtradas.
Solución de falsos positivos de las reglas administradas del WAF
La definición de contenido sospechoso es subjetiva para cada sitio web. Por ejemplo, el código PHP publicado en tu sitio web es sospechoso a menos que tu sitio web te enseñe a codificar y requiera el envío de código PHP de los visitantes. Por lo tanto, dicho sitio web debe deshabilitar las reglas administradas que interfieran con el funcionamiento normal.
Para hacer la prueba de falsos positivos, configura las reglas administradas del WAF en modo Simular, de esta manera registrarás la respuesta a posibles ataques sin las acciones de desafiar o bloquear. Utiliza también el registro de actividad de la función Análisis de firewall para determinar qué reglas administradas causaron falsos positivos.
Si te encuentras con un falso positivo debido al WAF heredado, existen varias soluciones potenciales:
- Añade las direcciones IP del cliente a la lista de permisos de reglas de Access de IP: si el navegador o el cliente visita desde las mismas direcciones IP, recomendamos permitir.
- Desactiva la(s) regla(s) administradas correspondiente(s): evita bloquear o desafiar los falsos positivos, pero reduce la seguridad general del sitio. Una solicitud bloqueada por el Id. de regla 981176 hace referencia a las reglas de OWASP. Reduce la sensibilidad de OWASP para resolver el problema.
- Omitir las reglas administradas del WAF con una regla de firewall: crea una regla de firewall con la acción Omitir para desactivar las reglas administradas del WAF en una combinación específica de parámetros. Por ejemplo, omite las reglas administradas para una URL específica y una dirección IP o agente de usuario concreto.
- No se recomienda desactivar las reglas administradas del WAF para el tráfico hacia una URL: disminuye la seguridad en el punto de conexión de la URL en particular. Configuración a través de Page Rules.
Si te encuentras con un falso positivo debido al nuevo WAF, existen varias soluciones potenciales:
- Añade una excepción del WAF: puedes definir excepciones del WAF en el panel de control de Cloudflare o por medio del conjunto de reglas API.
- Desactiva la(s) regla(s) administradas correspondiente(s): evita bloquear o desafiar los falsos positivos, pero reduce la seguridad general del sitio. Una solicitud bloqueada por el Id. de regla 949110 se refiere a las nuevas reglas de OWASP. Reduce la sensibilidad de OWASP para resolver el problema.
Nota: Si contactas con Soporte de Cloudflare para verificar si una regla administrada del WAF se activa según lo previsto, facilita una captura de un archivo HAR al enviar la solicitud específica.
A continuación, enumeramos otras directrices:
- Si una regla específica causa falsos positivos, configura el modo de la regla en Desactivar en lugar de desactivar todo el Grupo de regla.
- Para solucionar falsos positivos con el contenido del administrador de tu sitio web, crea una regla de página para deshabilitar la seguridad para la sección admin de los recursos de tu sitio, es decir, yoursite.com/admin.
Solucionar los falsos negativos de las reglas administradas del WAF
Para identificar falsos negativos, revisa los registros HTTP de tu servidor web de origen. Para reducir los falsos negativos, utiliza la siguiente lista de verificación:
- ¿Están activadas las reglas administradas del WAF en Seguridad > WAF > Reglas administradas?
- ¿Están desactivadas las reglas administradas del WAF a través Page Rules?
- No todas las reglas administradas están habilitadas de forma predeterminada, por lo tanto, revisa las acciones predeterminadas de las reglas individuales.
- Por ejemplo, Cloudflare permite solicitudes con agentes de usuario vacíos de forma predeterminada. Para bloquear solicitudes con un agente de usuario vacío, cambia el Modo de la regla a Bloquear.
- Otro ejemplo, si quieres bloquear los ataques de inyección de código SQL no mitigados, asegúrate de que las reglas de inyección de código SQL relevantes están activadas y configuradas en el modo Bloquear en el grupo Cloudflare Specials.
- ¿Se redirigen los registros DNS que sirven tráfico HTTP mediante proxy a Cloudflare?
- ¿Una regla de firewall omite las reglas administradas de Cloudflare?
- ¿Puede un país, aviso de envío por adelantado (ASN), rango de IP o dirección IP que estén autorizados en las reglas de Access de IP o reglas de firewall coincidir con el tráfico de ataque?
- ¿Se dirige el tráfico malicioso a tus direcciones IP de origen para evitar la protección de Cloudflare? Bloquea todo el tráfico, excepto las direcciones IP de Cloudflare en tu servidor web de origen.
Conjuntos de reglas administradas de Cloudflare
El conjunto de reglas administradas de Cloudflare contiene reglas de seguridad escritas y depuradas por Cloudflare. Haz clic en un nombre de conjunto de reglas en Grupo para desplegar las descripciones de las reglas.
Cloudflare Specials es un Grupo que ofrece seguridad firewall básica contra ataques comunes.
Al visualizar un conjunto de reglas, Cloudflare muestra las acciones predeterminadas para cada regla enumerada en modo predeterminado. El modo disponible para reglas individuales dentro de un conjunto de Reglas administradas específico de Cloudflare es:
- Predeterminado: realiza la acción predeterminada que aparece en modo predeterminado al ver una regla específica.
- Desactivado: desactiva la regla específica dentro del grupo.
- Bloqueado: la solicitud se descarta.
- CAPTCHA heredado (Legacy CAPTCHA) -El visitante recibe una página de desafío CAPTCHA.
- Simulado: la solicitud se permite pero se registra en el registro de actividad.
El registro de cambios del WAF de Cloudflare permite a los clientes supervisar los cambios en curso en el Conjunto de reglas administradas de Cloudflare.
Paquete: conjunto de reglas básicas de OWASP ModSecurity
Paquete OWASP de Cloudflare
Paquete: conjunto de reglas básicas de OWASP ModSecurity asigna una puntuación a cada solicitud en función de cuántas reglas OWASP se activen. Algunas reglas OWASP tienen una puntuación de sensibilidad más alta que otras. Después de que OWASP evalúe una solicitud, Cloudflare compara la puntuación final con la sensibilidad configurada para el dominio. Si la puntuación supera la sensibilidad, la solicitud se realiza en función de la Acción configurada en Paquete: conjunto de reglas básicas de OWASP ModSecurity:
- Bloqueado: la solicitud se descarta.
- Desafío: el visitante recibe una página de desafío CAPTCHA.
- Simulado: la solicitud se permite pero se registra en el registro de actividad.
La puntuación de sensibilidad necesaria para activar el WAF para una sensibilidad específica es la siguiente:
- Baja - 60 y superior
- Media - 40 y superior
- Alta - 25 y superior
Para las solicitudes de Ajax, se aplican las siguientes puntuaciones:
- Baja - 120 y superior
- Media - 80 y superior
- Alta - 65 y superior
Revisa el registro de actividad para ver la puntuación final, así como las reglas individuales activadas.
Controla el paquete OWASP de Cloudflare
Paquete: el conjunto de reglas básicas de OWASP ModSecurity contiene varias reglas del proyecto OWASP. Cloudflare no escribe ni resuelve las reglas de OWASP. Haz clic en un nombre de conjunto de reglas en Grupo para que se muestren las descripciones de las reglas. A diferencia del conjunto de reglas administradas de Cloudflare, las reglas específicas de OWASP se activan o desactivan.
Para administrar los umbrales OWASP, establece el nivel de sensibilidad en baja, media o alta en Paquete: conjunto de reglas básicas de OWASP ModSecurity. Si se configura la sensibilidad en desactivada, se desactivará todo el paquete OWASP, incluidas todas sus reglas. El nivel de sensibilidad adecuado depende del sector y las operaciones de tu empresa. Por ejemplo, la configuración baja es adecuada para:
- Ciertos sectores empresariales tienen más probabilidades de activar el WAF, y
- cargar archivos grandes.
Cloudflare recomienda configurar inicialmente la sensibilidad a baja y revisar si hay falsos positivos antes de aumentar el valor de sensibilidad.