Entendendo as regras gerenciadas do WAF (Firewall de aplicativos Web)

As regras gerenciadas do WAF monitoram as solicitações da web ao seu domínio e filtram o tráfego indesejado com base em conjuntos de regras especificados por você.

​​ Neste artigo

• Visão geral Open external link
• Uma observação sobre falsos positivos e falsos negativos Open external link
• Conjunto de regras gerenciado da Cloudflare Open external link
• Pacote: Conjunto de Regras Core do OWASP ModSecurity Open external link
• Recursos relacionados Open external link

​​ Visão geral

As regras gerenciadas, um recurso do WAF (firewall de aplicativos web) da Cloudflare, identificam e removem atividades suspeitas de solicitações HTTP GET e POST. 

Exemplos de conteúdo malicioso Open external link que as regras gerenciadas identificam: 

• Palavras-chave comuns usadas no spam de comentários (XX, Rolex, Viagra etc.), 
• ataques de Cross-Site Scripting (XSS), e 
• Injeções de SQL (SQLi).

As regras gerenciadas estão disponíveis para planos Pro, Business e Enterprise para qualquer subdomínio com proxy para a Cloudflare Open external link . Controle as configurações de regras gerenciadas em Segurança > WAF > Regras gerenciadas. As regras gerenciadas incluem três pacotes: 

• Conjunto de regras gerenciado da Cloudflare 
• Pacote: Conjunto de Regras Core do OWASP ModSecurity
• Regras solicitadas pelo cliente 

Analise as ameaças bloqueadas por meio do Firewall Analytics, no Registro de atividades disponível em Segurança > Visão geral.

​​ Considerações importantes

• As regras gerenciadas introduzem uma quantidade limitada de latência. 
• As alterações nas regras gerenciadas do WAF levam cerca de 30 segundos para serem atualizadas globalmente.
• A Cloudflare usa regras proprietárias para filtrar o tráfego. 
• Os Websockets estabelecidos não disparam as regras gerenciadas para solicitações subsequentes.
• As regras gerenciadas analisam as respostas JSON para identificar vulnerabilidades direcionadas a APIs. A análise da carga JSON é limitada a 128 KB.
• As regras gerenciadas mitigam técnicas de padding. Recomendamos o seguinte:
  1. Ative a regra 100048. Essa regra agora protege contra ataques de padding, mas não é implantada por padrão, pois causa muitos falsos positivos em ambientes de cliente. No entanto, é importante que os clientes ajustem a configuração de regras gerenciadas. A Cloudflare está trabalhando em uma solução melhor no longo prazo.
  2. Crie uma regra de firewall usando o Editor de expressões, dependendo da necessidade de verificar cabeçalhos e/ou corpo para bloquear uma carga maior (> 128 KB). Certifique-se de testar a regra de firewall no modo Registro, pois ela pode estar propensa a gerar falsos positivos.
     • http.request.body.truncated
     • http.request.headers.truncated
• Há algumas regras gerenciadas que a Cloudflare não desativa mesmo se a opção Regras gerenciadas estiver Desativada no painel de controle da Cloudflare, como os IDs de regras WP0025B, 100043A e 100030.

​​ Uma observação sobre falsos positivos e falsos negativos

Por padrão, as regras gerenciadas do WAF são totalmente gerenciadas por meio do painel de controle da Cloudflare e são compatíveis com a maioria dos sites e aplicativos web. No entanto, falsos positivos e falsos negativos são possíveis considerando a imensa internet:

• Falsos positivos: solicitações legítimas detectadas e filtradas como maliciosas.
• Falsos negativos: solicitações maliciosas não filtradas.

​​ Solucionar problemas de falsos positivos nas regras gerenciadas do WAF

A definição de conteúdo suspeito é subjetiva para cada site.  Por exemplo, o código PHP publicado em seu site é suspeito a menos que o site ensine a codificar e exija envios de código PHP dos visitantes.  Portanto, tal site deve desabilitar as regras gerenciadas relacionadas que interferem na operação normal.

Para testar falsos positivos, configure as regras gerenciadas do WAF no modo Simular para registrar a resposta a possíveis ataques sem contestação ou bloqueio. Além disso, use o registro de atividades do Firewall Analytics para determinar quais regras gerenciadas causaram os falsos positivos.

Existem várias possíveis soluções para falsos positivos decorrentes do  WAF herdado Open external link :

• Adicionar os endereços de IP do cliente à lista de permissões Regras do Access de IP Open external link : Se o navegador ou o cliente visitar dos mesmos endereços de IP, é recomendado permitir. 
• Desativar as regras gerenciadas correspondentes Open external link : para o bloqueio ou a contestação de falsos positivos, mas reduz a segurança geral do site. Uma solicitação bloqueada pelo ID de Regra 981176 refere-se a regras do OWASP. Diminua a sensibilidade do OWASP para resolver o problema.
• Ignorar as regras gerenciadas do WAF com uma regra de firewall: crie um regra de firewall com a ação ignorar para desativar as regras gerenciadas do WAF para uma combinação específica de parâmetros. Por exemplo, ignore as regras gerenciadas para uma URL específica e um endereço de IP ou agente usuário específicos.
• (não recomendado) Desativar as regras gerenciadas do WAF para tráfego para uma URL:  diminui a segurança no endpoint da URL específica.  Configurado via Page Rules Open external link .

Existem várias possíveis soluções para falsos positivos decorrentes do  novo WAF Open external link :

1. Adicionar exceção ao WAF: é possível definir exceções para o WAF no Painel de controle da Cloudflare ou usar a API Rulesets.
2. Desativar as regras gerenciadas correspondentes Open external link : para o bloqueio ou a contestação de falsos positivos, mas reduz a segurança geral do site. Uma solicitação bloqueada pelo ID de Regra 949110 refere-se às novas regras do OWASP Open external link . Diminua a sensibilidade do OWASP para resolver o problema.

Observação: ao fazer contato com o Suporte da Cloudflare Open external link para verificar se uma regra gerenciada do WAF foi acionada conforme o esperado, forneça um arquivo HAR Open external link capturado durante o envio da solicitação específica em questão.

Estas são as diretrizes adicionais:

• Se uma regra específica causar falsos positivos, defina o Modo da regra como Desativar em vez de Desligar o Grupo de regras inteiro.
• Para falsos positivos com o conteúdo do administrador no seu site, crie uma regra de página Open external link para Desativar a segurança para a seção admin dos recursos do seu site, ou seja, seusite.com/admin.

​​ Solucionar problemas de falsos negativos nas regras gerenciadas do WAF

Para identificar falsos negativos, analise os logs HTTP no servidor Web de origem. Para reduzir falsos negativos, use a seguinte lista de verificação:

• As regras gerenciadas do WAF são habilitadas em Segurança > WAF > Regras gerenciadas?
• As regras gerenciadas do WAF estão sendo desabilitadas via Page Rules Open external link ?
• Nem todas as regras gerenciadas estão habilitadas por padrão. Por isso, analise as ações padrão de cada uma.
  • Por exemplo, a Cloudflare permite solicitações com agentes de usuário vazios por padrão. Para bloquear solicitações com um agente de usuário vazio, altere a regra Modo para Bloquear
  • Outro exemplo: se quiser bloquear ataques de injeção de SQL não mitigados, confira se as regras de SQLi relevantes estão ativadas e defina como Bloquear no grupo Cloudflare Specials.
• Os registros de DNS que servem o tráfego HTTP têm proxy por meio da Cloudflare?
• Uma regra de firewall ignora as regras gerenciadas? 
• Um país, ASN, intervalo de IP ou IP permitidos nas Regras do Access de IP Open external link ou nas regras de firewall corresponde ao tráfego de ataque?
• O tráfego malicioso é direcionado aos seus endereços de IP de origem para desviar da proteção da Cloudflare? Bloqueie todo o tráfego, exceto dos endereços de IP da Cloudflare Open external link no servidor web de origem.

​​ Conjunto de regras gerenciado da Cloudflare

O Conjunto de Regras Gerenciado da Cloudflare contém regras de segurança escritas e administradas pela Cloudflare. Clique em um nome de conjunto de regras em Grupo para revelar as descrições da regra. 

O Cloudflare Specials é um Grupo que fornece segurança básica de firewall contra ataques comuns Open external link .   

Ao visualizar um conjunto de regras, a Cloudflare mostra ações padrão para cada regra listadas em Modo padrão. O Modo disponível para regras individuais dentro de um Conjunto de Regras Gerenciado da Cloudflare é:

• Default – realiza a ação padrão listada em Modo Default ao visualizar uma regra específica.
• Disable – desabilita a regra específica dentro do grupo**.**
• Block –a solicitação é descartada. 
• CAPTHCA Legado: o visitante recebe uma página de desafio CAPTCHA.
• Simulate – a solicitação é permitida, mas fica registrada no log de atividades.

O WAF changelog da Cloudflare permite que os clientes monitorem alterações em andamento no Conjunto de Regras Gerenciadas da Cloudflare.

​​ Pacote: Conjunto de Regras Core do OWASP ModSecurity

​​ Entenda o pacote OWASP da Cloudflare

Pacote: o Conjunto de Regras Core do OWASP ModSecurity atribui uma pontuação a cada solicitação com base em quantas regras de OWASP são acionadas. Algumas regras de OWASP têm uma pontuação de sensibilidade maior do que outras. Depois que o OWASP avalia uma solicitação, a Cloudflare compara a pontuação final com a Sensibilidade configurada para o domínio. Se a pontuação exceder a Sensibilidade, a solicitação será acionada com base na Ação configurado dentro do Pacote: Conjunto de Regras Core do OWASP ModSecurity:

• Block –a solicitação é descartada.
• Challenge – o visitante recebe uma página de desafio CAPTCHA.
• Simulate – a solicitação é permitida, mas fica registrada no log de atividades.

A pontuação de sensibilidade necessária para acionar o WAF para uma Sensibilidade específica é a seguinte:

• Baixa – 60 e superior
• Média – 40 e superior
• Alta – 25 e superior

Para solicitações do Ajax, as seguintes pontuações são aplicadas:

• Baixa – 120 e superior
• Média – 80 e superior
• Alta – 65 e superior

Analise o log de atividades para ver a pontuação final, bem como as regras individuais acionadas.

​​ Controle o pacote OWASP da Cloudflare

O Pacote: Conjunto de Regras Core do OWASP ModSecurity contém várias regras do projeto OWASP Open external link . A Cloudflare não escreve nem administra regras do OWASP.  Clique em um nome de conjunto de regras em Grupo para revelar as descrições da regra.  Ao contrário do Conjunto de Regras Gerenciado da Cloudflare, as regras específicas do OWASP são Ligadas ou Desligadas.

Para gerenciar os limiares de OWASP, defina a Sensibilidade como Baixa, Média ou Alta em Pacote: Conjunto de Regras Core do OWASP ModSecurity. Se você definir a Sensibilidade como Desativada, desativará o pacote OWASP inteiro, inclusive todas as regras. A determinação da Sensibilidade adequada depende do setor e das operações da sua empresa. Por exemplo, uma configuração Baixa é adequada para:

• Alguns setores de negócios são mais propensos a acionar o WAF, além de
• carregamentos de arquivos grandes. 

A Cloudflare recomenda configurar inicialmente a Sensibilidade como Baixa e analisar os falsos positivos antes de aumentar mais a Sensibilidade.

​​ Recursos relacionados

• Firewall Analytics
• Regras do Firewall Cloudflare
• Log de alterações do WAF da Cloudflare