versão beta 23/01/2017download.aker.com.br/prod/beta-testes/waf/aker_webdefender_2.0.0... · capaz...
TRANSCRIPT
*Aker Security Solutions *Aker Web Defender Página 2
ÍNDICE ...................................................................................................................................... 2
1 INTRODUÇÃO .................................................................................................................... 5
COMO ESTÁ DISPOSTO ESTE MANUAL .................................................................................................. 5
WAF (Web Application Firewall) ............................................................................................ 6
2 AKER WEB DEFENDER ..................................................................................................... 11
Exemplos de implementação do Aker Web Defender........................................................ 13
Principais características do Aker Web Defender ................................................................ 15
Classes de Ataques: ............................................................................................................. 16
REQUISITOS DO SISTEMA ................................................................................................................ 17
PRIMEIROS PASSOS ........................................................................................................................ 17
INSTALAÇÃO ................................................................................................................................. 17
PRIMEIRO ACESSO À INTERFACE DE GERENCIAMENTO WEB DO AKER WEB DEFENDER ................................. 22
LICENCIAMENTO ........................................................................................................................... 24
CONFIGURANDO O AKER WEB DEFENDER .......................................................................................... 27
3 GERENCIAMENTO DO AKER WEB DEFENDER................................................................... 29
DASHBOARD ................................................................................................................................ 30
ALERTAS ...................................................................................................................................... 30
SITES .......................................................................................................................................... 32
Cadastrando um novo site ................................................................................................... 33
REGRAS ....................................................................................................................................... 38
Atualização .......................................................................................................................... 38
Listagem .............................................................................................................................. 39
Cadastrando uma regra (assinatura) .................................................................................. 39
Grupo de Regras .................................................................................................................. 41
RELATÓRIOS ................................................................................................................................. 42
POLÍTICA GERAL............................................................................................................................ 43
HTTP ..................................................................................................................................... 44
DoS ....................................................................................................................................... 44
Força Bruta .......................................................................................................................... 45
CONFIGURAÇÕES .......................................................................................................................... 47
Backup ................................................................................................................................. 47
Syslog ................................................................................................................................... 49
Servidores NTP ..................................................................................................................... 50
Licença ................................................................................................................................. 51
Atualizações do sistema ...................................................................................................... 51
*Aker Security Solutions *Aker Web Defender Página 3
ACESSO ....................................................................................................................................... 52
Usuário ................................................................................................................................ 52
Autenticação ........................................................................................................................ 53
Perfil ..................................................................................................................................... 54
AJUDA ........................................................................................................................................ 55
Lista de comando disponíveis para a Interface de texto do Aker Web Defender. ............... 55
Troubleshooting .................................................................................................................. 61
LISTA DE REGRAS DO AKER WEB DEFENDER ........................................................................................ 62
CRS Protocol Violations ........................................................................................................ 62
CRS Protocol Anomalies ....................................................................................................... 63
CRS Request Limits ............................................................................................................... 63
CRS HTTP Policy ................................................................................................................... 63
CRS Bad Robots .................................................................................................................... 64
CRS Generic Attacks ............................................................................................................. 64
CRS SQL Injection Attacks .................................................................................................... 65
CRS XSS Attacks ................................................................................................................... 66
CRS Tight Security ................................................................................................................ 70
CRS Trojans .......................................................................................................................... 70
CRS Inbound Blocking .......................................................................................................... 70
CRS Outbound ...................................................................................................................... 70
CRS Outbound Blocking ....................................................................................................... 71
CRS Correlation .................................................................................................................... 71
*Aker Security Solutions *Aker Web Defender Página 5
Seja bem-vindo ao manual do usuário do Aker Web Defender.
Nos próximos capítulos você aprenderá como configurar esta poderosa ferramenta de
proteção aos dados e integridade das aplicações web de sua empresa. Esta introdução tem
como objetivo descrever a organização deste manual tornando sua leitura a mais simples e
agradável possível.
Como está disposto este manual
Este manual é organizado em vários capítulos e cada capítulo mostra um aspecto de configuração do
produto e todas as informações relevantes ao aspecto tratado.
Este guia foi criado com o objetivo de auxiliar engenheiros, gerentes dos produtos e especialistas de
rede à instalar, configurar e entender as funcionalidades do Aker Web Defender.
Todos os capítulos começam com uma introdução teórica sobre o tema a ser tratado seguido dos
aspectos específicos de configuração do Aker Web Defender. Juntamente com esta introdução teórica,
alguns módulos possuem exemplos práticos do uso do serviço a ser configurado. Em situações hipotéticas,
porém, bastante plausíveis. Buscamos, com isso, tornar o entendimento das diversas variáveis de
configuração o mais simples possível.
Recomendamos que este manual seja lido na ordem apresentada pelo menos uma vez por.
Posteriormente, se for necessário, é possível utilizá-lo como fonte de referência.
Para facilitar o seu uso como referência os capítulos estão divididos em tópicos, com acesso
imediato pelo índice principal. Desta forma, encontra-se facilmente a informação desejada.
No decorrer deste manual aparecerá o símbolo seguido de uma frase escrita em letras
vermelhas, isto significa que a frase em questão é uma observação muito importante e deve ser totalmente
entendida antes que se prossiga com a leitura do capítulo.
*Aker Security Solutions *Aker Web Defender Página 6
WAF é um Firewall que oferece monitoramento, filtragem e aplicação de regras de bloqueio em
tráfego de entrada HTTP e HTTPS para a Camada de Aplicação. Desta forma, oferece maior proteção contra-
ataques direcionados às aplicações Web. Diferentemente do IPS (Sistema de prevenção de intrusão), o WAF
entende e trabalha apenas na camada de aplicação. Ele é especialista em análises de tráfego HTTP e HTTPS
(SSL), além de contar com análises baseadas em assinaturas e análises comportamentais.
Qual é a importância das aplicações Web nas empresas?
Economia de tempo;
Compatibilidade;
Baixo consumo de recursos;
Acesso imediato;
Usuários trabalhando simultaneamente;
Alta disponibilidade;
Outros;
Exemplos de Aplicações Web:
Blog;
Portais de negócios;
Webmail;
Web Store;
Jogos;
Web players;
Sites internos;
Aplicações empresariais;
*Aker Security Solutions *Aker Web Defender Página 7
Entre outras;
Por que existem tantos problemas de segurança nas aplicações Web?
Falta de cultura em programação segura;
Falta de ciclo de programação segura dentro das empresas;
Falta de política de retenção de programadores nas empresas;
Terceirização do desenvolvimento das aplicações;
Programadores preocupados com funcionalidades, e não com segurança;
Legado de aplicações;
Entre outros;
Por que as aplicações Web são o principal foco dos ataques cibernéticos?
Porque as aplicações se comunicam diretamente com os bancos de dados das empre-
sas;
Os invasores sabem que a maioria das empresas não possuem um ciclo de desenvol-
vimento seguro;
Em nível de infraestrutura de rede, os invasores sabem que as aplicações não podem
ser completamente protegidas por Firewalls convencionais, e que o IPS não é capaz
de deter os ataques na camada de aplicação;
Entre outros;
O que são assinaturas de ataques?
Assinaturas de ataques são regras, que são utilizadas para identificar ataques ou classes de ataques
em aplicações web ou em seus componentes. Tais assinaturas podem ser aplicadas tanto nas solicitações
quanto nas respostas dos servidores web.
Para visualizar a lista de assinaturas disponíveis no Aker Web Defender acesse o menu “Regras >
Listagem”.
Para criar uma assinatura personalizada clique aqui.
*Aker Security Solutions *Aker Web Defender Página 8
Afinal, qual é a diferença entre um Hacker e um Cracker?
Os dois termos referem-se aos indivíduos que são experts na área de tecnologia da informação, que
possuem habilidades extraordinárias ao lidar com sistemas e programação, sendo que:
Hackers são profissionais que trabalham através de diversas técnicas com o intuito de melhorar a
segurança e funcionalidades em softwares.
Crackers são indivíduos que possuem, basicamente, o mesmo conhecimento que Hackers, mas usa
seu conhecimento para invadir computadores, sistemas, redes e etc., com o intuito de roubar informações
confidencias, que na maioria das vezes são vendidas ou utilizadas para aplicar golpes. Este termo nasceu no
ano de 1985, criado pelos próprios Hackers, para que não fossem confundidos com os indivíduos que
praticavam roubos e vandalismos na internet.
O que motiva um invasor (cracker)?
Antigamente os invasores eram motivados por fama e prestígio frente à comunidade de Crackers.
Nos dias atuais eles ainda são motivados por fama e prestígio, mas visam também ganhos financeiros, por
meio de golpes, e maneiras para protestar (Anonymous).
Uma das principais técnicas de ataque utilizadas pelos Crackers é o SQL Injection:
O SQL Injection ocorre quando é possível injetar códigos SQL em uma aplicação, utilizando
parâmetros de entrada que são posteriormente repassados ao banco de dados para execução. Esta
vulnerabilidade já possui mais de 15 anos e ainda continua sendo a forma mais utilizada por Crackers, devido
à falta de segurança nas empresas.
Entendendo o perímetro.
Um perímetro de segurança é dividido em 3 camadas:
Topologia de rede com um WAF:
*Aker Security Solutions *Aker Web Defender Página 11
Este capítulo aborda o funcionamento do Aker Web Defender, e ainda, o procedimento de
instalação, requisitos e os primeiros passos para implementação do sistema.
IPSs e Firewalls convencionais não são totalmente capazes de detectar e bloquear ataques na
camada de aplicação, o que explica o porquê de a camada de aplicação ser o alvo preferido dos invasores.
Baseando-se neste fato, percebe-se que é extremamente necessário desenvolver um novo método
que possa analisar as particularidades da camada de aplicação, e ainda, efetuar o bloqueio de ataques contra
as aplicações.
O intuito principal do Aker Web Defender é efetuar análises na camada de aplicação e executar ações
preventivas dentro das particularidades de cada aplicação.
O Aker Web Defender é um sistema desenvolvido somente com funcionalidades de Web Application
Firewall (WAF), ou seja, o seu sistema operacional é configurado e customizado especificamente para
funções da camada de aplicação do modelo OSI, com as melhores práticas e suportando os mais duros
ataques, até mesmo os ataques de força bruta.
O Aker Web Defender é fornecido por meio de VM (Máquina Virtual), ou por meio de um Appliance
(Aker Box) robusto, seguro e eficaz, onde software e hardware trabalham em conjunto para atender
requisições externas e internas as aplicações Web da rede.
Atuando diretamente na camada 7 (aplicação) do modelo OSI, como um proxy reverso, o Aker Web
Defender é capaz de interceptar todas as requisições do cliente e as respostas dos Servidores Web, sendo
capaz de detectar e bloquear ataques DoS, força bruta, Injeção SQL, ataques em HTTP, HTTPS, SOAP, XML-
RPC, Web Service, entre outros. Desta forma, fornece proteção à formulários, cookies, gerenciamento de
sessão e etc.
Alguns Firewalls de aplicação adotam o conceito de “assinaturas de ataques”, com o intuito de
detectar ataques específicos, enquanto outros adotam o conceito de “anomalia de comportamento”, com
intuito de detectar ataques por meio de anomalias detectadas no tráfego. O Aker Web Defender reúne o
melhor dos dois métodos em um único produto.
A seguir, algumas ameaças que o Aker Web Defender pode detectar:
*Aker Security Solutions *Aker Web Defender Página 12
O Aker Web Defender possui sua própria distribuição baseada no Yocto Project.
O Yocto oferece modelos, ferramentas e métodos que auxiliam na criação de um sistema customiza-
do baseado em Linux, permitindo embutir produtos desejados, independentemente da arquitetura de
hardware, em sua própria distribuição Linux. O projeto Yocto foi fundado em 2010 com uma iniciação
colaborativa entre diversos fabricantes de hardware, vendedores de sistemas operacionais open source, e
empresas de eletrônicos, com o objetivo principal de estabelecer ordem no desenvolvimento de
distribuições Linux embutidas.
Porque não utilizar uma distribuição existente?
Criando sua própria distribuição oferece maior flexibilidade e controle
Evita a dependência de desenvolvedores que estão fora de sua administração.
Aumento de:
Segurança;
Melhor gerenciamento de cronograma de entrega;
Customização do tamanho da imagem;
Facilidade na integração com ferramentas de licenciamento;
*Aker Security Solutions *Aker Web Defender Página 13
A implementação do Aker Web Defender se encaixa em diversos ambientes proporcionando maior
proteção as aplicações web de sua rede, oferecendo facilidade, flexibilidade na implementação do produto.
A seguir, alguns exemplos de implementação do Aker Web Defender:
A implementação do Aker Web Defender não se limita apenas aos exemplos exibidos abaixo,
podendo adaptar-se à necessidade de cada ambiente.
A versão para a plataforma VM (Virtual Machine) do Aker Web Defender suporta até 2 interfaces
de rede. Na versão Appliance, é possível implementar qualquer um dos modelos de topologias apresentados
a seguir.
EXEMPLO 01
Modelo de implementação protegendo uma aplicação diretamente
Este modelo de implementação consiste em posicionar o Aker Web Defender antes do servidor da
aplicação web, funcionando como um Bridge, interceptando diretamente todo o tráfego direcionado à
aplicação web protegida.
Modelo de implementação protegendo múltiplas aplicações web
*Aker Security Solutions *Aker Web Defender Página 14
Este modelo de implementação consiste em posicionar o Aker Web Defender entre um Firewall e
servidores de aplicações web protegidos, interceptando todo tráfego redirecionado pelo Firewall para os as
aplicações web.
Cabe ressaltar que, neste ambiente é necessário a criação de aliases na interface de entrada do Aker
Web Defender, sendo que, cada aplicação web protegida terá seu tráfego redirecionado por sua respectiva
alias. Também será necessário criar rotas no Firewall que está posicionado antes do Aker Web Defender,
para encaminhar o tráfego direcionado as aplicações web para suas respectivas aliases criadas na interface
de entrada do Aker Web Defender.
Exemplo:
Três sites estão sendo protegidos pelo Aker Web Defender, desta forma, as seguintes aliases devem
ser criadas na interface de entrada do Aker Web Defender:
1. Meusite1.net <>Aker Web defender “Alias1”
2. Meusite2.com <> Aker Web Defender “Alias2”
3. Meusite3.org <> Aker Web Defender “Alias3”
No Firewall que encaminhará o tráfego para o Aker Web Defender é necessário criar rotas
redirecionando o acesso aos sites protegidos para suas respectivas Aliases.
1. Acesso web direcionado à “meusite1.net” <>encaminhar para Aker Web defender “Alias1”
2. Acesso web direcionado à “meusite2.com” <> encaminhar para Aker Web Defender “Alias2”
3. Acesso web direcionado à “meusite3.org” <> encaminhar para Aker Web Defender “Alias3”
Modelo de implementação com balanceamento
*Aker Security Solutions *Aker Web Defender Página 15
Este modelo de implementação consiste em posicionar o Aker Web Defender antes dos servidores
que atendem as requisições para um único site, funcionando como um Bridge, interceptando e balanceado
todo o tráfego direcionado ao site protegido.
A opção de balanceamento é habilitada ao inserir mais de um servidor real no cadastro de site.
Para mais informações clique aqui.
A seguir, as principais características do Aker Web Defender:
Interface de administração em Português (Brasil);
Relatórios de Segurança;
Análise de tráfego criptografado (TLS/SSL), trabalhando com certificados digitais,
Conformidade com o PCI Security Standards Council;
Proteção contra as vulnerabilidades listadas no OWASP TOP 10;
Imune à técnicas de evasão;
Inspeção bidirecional de ataques;
*Aker Security Solutions *Aker Web Defender Página 16
Constante atualização de assinaturas de ataques;
Regras de detecção exaustivamente testadas;
Checagem de antivírus;
Balanceamento de carga;
O Aker Web Defender visa oferecer para seus clientes os seguintes benefícios:
Permitir que a empresa defina o controle de acesso interno/externo às aplicações
web;
Oferecer os mais altos níveis de vigilância das aplicações, em tempo real;
Permitir que a empresa implemente as mais avançadas soluções de segurança;
Permitir que a empresa defina níveis de segurança para cada aplicação protegida.
O Aker Web Defender oferece proteção para todos os tipos de ataques conhecidos, que são
direcionados às aplicações web, incluindo o SQL injection, Cross-Site-Scripting e outros. Segue alguns
exemplos destas ameaças:
Violações do protocolo HTTP;
SQL Injection;
LDAP Injection;
Cookie Tampering;
Cross-Site Scripting (XSS);
Buffer Overflow;
OS Command Execution;
Remote Code Inclusion;
Server Side Includes (SSI) Injection;
File disclosure;
Information Leak;
Scanners de vulnerabilidade Web e Crawlers;
Worms e Web Shell Backdoors;
Ausência de tratamento de erros do Webserver;
Bloqueia ataques em HTTP e HTTPS;
Bloqueia ataques em SOAP e XML-RCP;
Bloqueia ataques em Web Service;
Entre outros.
*Aker Security Solutions *Aker Web Defender Página 17
Requisitos do sistema
A seguir serão descritos os requisitos mínimos do Aker Web Defender.
HD: 240 GB
RAM: 8 GB
Processador: 3.40 GHz, 4 núcleos.
HD: 80 GB
RAM:4 GB
Processador: 4 núcleos
Premissas:
Informações básicas de rede (IP, máscara, gateway, DNS);
Servidores os quais serão protegidos pelo Aker Web Defender;
Serviços utilizados pelos servidores, para criação e configuração de regras;
Primeiros passos
Recomenda-se que os passos descritos a seguir, sejam seguidos na ordem apresentada.
Instalação
Licenciamento
Configurando o Aker Web Defender
Instalação
A seguir, serão abordados os procedimentos para a instalação do Aker Web Defender.
O instalador do AKER WEB DEFENDER está disponível para download em:
http://www.aker.com.br/produtos/aker-web-defender/downloads/
É recomendado a NÃO utilização do teclado numérico (localizado no lado direito do teclado)
na instalação do Aker Web Defender.
Ao iniciar o instalador, o menu principal será exibido. Selecione a opção 1.
*Aker Security Solutions *Aker Web Defender Página 18
Em seguida, o aviso referente a perda de todas as configurações presentes no produto
será exibido. Confirme para iniciar o processo de instalação.
Em seguida, os Hard Drives presentes no appliance serão listados, então selecione o
HD que deseja instalar o Aker Web Defender e confirme para continuar o processo.
O processo de instalação será iniciado, aguarde até que o mesmo seja concluído.
*Aker Security Solutions *Aker Web Defender Página 19
Ao concluir o processo de instalação, a tela de configuração do LCD será exibida.
Selecione o modelo de seu appliance para configurar o LCD.
Na instalação em VM, a opção 8 finaliza a instalação.
Ao concluir a configuração do LCD, a instalação será finalizada, e o menu principal será apresentado
novamente. Selecione a opção “4. sair” para reiniciar o appliance.
Em caso de dúvidas sobre o modelo de seu appliance consulte o datasheet do Aker Web Defender:
http://www.aker.com.br/wp-content/uploads/2016/05/dt-akerWebDefender_hardware.pdf
Após a reinicialização do sistema, aguarde o carregamento do mesmo para iniciar o
processo de configuração.
*Aker Security Solutions *Aker Web Defender Página 20
A tela de login será exibida, utilize as credencias de acesso descritas a seguir:
Caso perca sua senha de acesso, é necessário entrar em contato com o suporte da Aker
Security Solutions para adquirir uma nova senha.
Credenciais de acesso padrão.
Interface de texto:
Login: aker
Senha: 123456
Interface Web:
Login: admin
Senha: admin
Recomenda-se que estas senhas sejam alteradas no primeiro acesso, para isso, siga os passos
descritos abaixo:
Para alterar a senha de acesso da Interface de Texto, utilize o comando abaixo:
Acesse o Aker Web Defender pela interface de texto (para informações sobre o primeiro acesso a
interface web de gerenciamento do Aker Web Defender, clique aqui), com permissão de administrador (root),
execute o comando abaixo, e insira a nova senha:
passwd aker
Para alterar a senha da Interface de Gerenciamento Web, acesse o menu “Acesso” opção “Usuário”,
edite o usuário desejado e altere a senha.
*Aker Security Solutions *Aker Web Defender Página 21
Configuração de rede padrão.
Por padrão as configurações de rede descritas abaixo são automaticamente definidas na instalação
do Aker Web Defender. Para modificá-las utilize o comando “akinterface” via linha de comando.
Interface ETH0 – esta interface é definida para o modo DHCP cliente, obtendo assim o endereço IP,
máscara de rede e rota padrão automaticamente de seu servidor DHCP, no range em que a interface se
encontra.
Interface ETH1 – por padrão essa interface estará configurada com o IP 192.168.0.100 e máscara
255.255.255.0. Pode ser usada como interface de gerência do sistema e funcionará, principalmente, em caso
de emergência no acesso ao appliance. Portanto, uma estação de gerência poderá ser configurada nessa
porta e o acesso ao sistema estará sempre ativo, ou seja, não dependerá das demais infraestruturas de rede.
*Aker Security Solutions *Aker Web Defender Página 22
Servidores DNS – Caso seu servidor DHCP não entregue, além das configurações de rede, os
servidores DNS, então estes devem ser configurados manualmente, para isso utilize o comando
“akinterface” e selecione a opção 2.
Demais interfaces (Eth2, 3, e etc.) – Por padrão estas interfaces se encontram desabilitadas. Para
habilitar e configurar as mesmas utilize o comando “akinterface” via interface de texto.
Primeiro Acesso à Interface de gerenciamento web do Aker Web Defender
Ao concluir o processo de instalação do Aker Web Defender, acesse a interface de texto e utilize o
comando “ifconfig” ou o comando “interface” para obter o endereço IP da ETH0 de acesso à interface web.
Por meio do comando “ifconfig”:
Por meio do comando “interface”:
Execute o comando “interface”;
Seleciona a opção 1 – Configuração de Interfaces;
Selecione a opção 1 – Listar Interfaces;
*Aker Security Solutions *Aker Web Defender Página 23
Em seguida, acesse o IP (https) definido para o Aker Web Defender, incluindo a porta “8081” em seu
navegador.
Em nosso exemplo, o IP utilizado será 10.3.80.150, como exibido a seguir:
No primeiro acesso à interface web de gerenciamento do Aker Web Defender, será exibida uma
mensagem informando que conexão não é segura. Esta mensagem é exibida devido a utilização de um
certificado autoassinado. Adicione o certificado na lista de exceção do navegador para continuar.
Em seguida, o usuário será redirecionado para a tela de login do Aker Web Defender.
*Aker Security Solutions *Aker Web Defender Página 24
Utilize as credencias padrão para acessar a interface de gerenciamento.
Usuário: admin
Senha: admin
Captcha: será necessário informar o código que aparecerá na imagem.
Licenciamento
No primeiro acesso, será solicitada a aplicação da licença do Aker Web Defender. Siga os passos a
seguir para aplicar sua licença.
A tela de licença do produto será apresentada para o usuário, preencha o campo “Produto licenciado
para” e, em seguida, clique no botão “Salvar” para que uma Chave de Hardware exclusiva seja gerada.
O nome informado e a Chave de Hardware serão utilizados na geração da licença do
produto.
Ao alterar o nome do campo “Produto licenciado para” automaticamente modificará
a chave de hardware invalidando a licença em uso, sendo necessário a aplicação de uma
nova licença.
Caso o usuário não possua uma licença, é necessário que o número da chave de
hardware seja copiado e encaminhado para [email protected], solicitando uma licença
para o seu hardware ou IS/VM, ao receber a licença siga os passos a seguir (ao enviar a so-
licitação o usuário receberá sua licença no período máximo de 24h).
*Aker Security Solutions *Aker Web Defender Página 25
Em seguida, clique em “Selecionar arquivo”.
Localize o arquivo de licença e clique em “Abrir”.
*Aker Security Solutions *Aker Web Defender Página 26
Em seguida, clique no botão “Enviar arquivo” para que as informações de sua licença sejam
exibidas para validação.
Ao validar que os dados estão corretos, clique em “Aplicar Licença”.
*Aker Security Solutions *Aker Web Defender Página 27
Configurando o Aker Web Defender
Recomenda-se que os módulos listados a seguir sejam configurados na ordem apresentada, para
obter uma implementação bem-sucedida do Aker Web Defender.
Com as informações de sua rede, e das aplicações que serão protegidas em mãos, clique nos módulos
a seguir.
Ao clicar nos módulos abaixo, você será redirecionado para o capítulo que aborda as
configurações do módulo em questão. No final dos capítulos, listados abaixo, é possível re-
tornar para este tópico, clicando em “Retornar para “Configurando o Aker Web Defender”.
Configuração geral- Parâmetros de configuração do Aker Web Defender
Política Geral – Políticas gerais para proteção HTTP, DoS e Força Bruta.
Site - Aplicações web que serão inspecionadas, mapeadas e protegidas pelo Aker Web Defender
*Aker Security Solutions *Aker Web Defender Página 29
Este tópico apresenta uma breve apresentação dos menus e opções da interface de gerenciamento
do AKER WEB DEFENDER.
O Painel de controle do Aker Web Defender permite que o usuário visualize e tenha acesso rápido ao
menu de configurações do sistema, incidentes, relatórios, gerenciamento de usuários e outras informações
importantes de sua rede, como o uso de “CPU, Memória, Tráfego das interfaces de rede”.
Na visualização de “Incidentes” podemos ver os detalhes dos ataques detectados, ao clicar sobre o
incidente desejado.
Menus do Aker Web Defender
O menu principal do Aker Web Defender fica localizado na parte superior esquerda da tela. Estes
menus permitem que o usuário tenha acesso à todas as funcionalidades do Aker Web Defender, facilitando
ao máximo a interação do usuário com o sistema. A seguir, mais informações sobre os menus do Aker Web
Defender e suas opções.
*Aker Security Solutions *Aker Web Defender Página 30
Dashboard O Dashboard do Aker Web Defender oferece transparência e facilidade no controle dos
incidentes detectados na rede. Além de, visualização do estado da máquina (CPU, memória, HD, número de
alertas no período, informações da rede, e load avarege), últimos alertas, eventos, top regras e top sites, por
meio dos Widgets disponíveis no Dashboard do Aker Web Defender.
Os Widgets de: CPU, memória, HD, número de alertas no período, informações da rede, e load
avarege, são atualizados a cada 30 segundos. Já os Widgets: alertas, últimos eventos, são atualizados por
meio da atualização da página de seu navegador (F5).
Alertas O menu Alertas exibe informações como: data, regra, site, origem e ação de todos os alertas
detectados no Aker Web Defender. E ainda, oferece opções de pesquisa baseadas em datas (dia, mês, ano e
hora), ou por meio de algum termo especifico.
Por meio deste menu, é possível visualizar todos os alertas gerados pelo sistema, efetuar buscas
baseadas em data ou nome/ip. Além de, oferecer opções de fácil acesso para imprimir ou exportar (em
formato CSV) alertas para fins de auditoria.
Durante a pesquisa, os botões “imprimir” e “Exportar CSV” ficam desabilitados até o término
da pesquisa.
Para executar a exportação via linha de comando, utilize o comando:
webdefender alerts:export
Para visualizar as demais opções do comando utilize o parâmetro “–h” no final do comando.
Exemplo: webdefender alerts:export –h).
*Aker Security Solutions *Aker Web Defender Página 31
Visando oferece maior interatividade e efetividade no gerenciamento do sistema, também é possível
efetuar uma rápida alteração de regra de detecção, por exemplo, o serviço de um de servidor ou máquina
está sendo bloqueado por alguma regra de detecção, contudo, o administrador sabe que se trata de um falso
positivo. Desta forma, por meio do alerta gerado é possível desbloquear tal máquina ou IP, desabilitando a
regra em questão. As opções disponíveis são: desabilitar regra para este site, permitir origem para este site,
e ainda caso queria bloquear a origem, bloquear origem para este site.
Para utilizar estas opções clique sobre o alerta desejado, nas colunas Regra ou Origem.
Para obter rápido acesso aos detalhes da regra, clique sobre a regra desejada e selecione a opção
“Detalhes da regra”.
*Aker Security Solutions *Aker Web Defender Página 32
Para obter informações mais detalhadas sobre o alerta, clique em no botão , localizado na
lateral direita da tela.
Para remover ou inserir IPs na Blacklist ou Whitelist de um site, acesse o menu > Sites
> Site desejado > aba Avançado> Whitelist/Blacklist
Sites O menu Sites exibe as aplicações web protegidas pelo Aker Web Defender.
Sites, no sistema do Aker Web Defender, representam as aplicações web que serão inspecionadas,
mapeadas e protegidas pelo Aker Web Defender.
Por meio deste menu é possível cadastrar, editar e excluir Sites. E ainda, configurar o balanceamento
de carga entre os servidores do Sites, blacklist e whitelist, e definir grupos de assinaturas de detecção de
ataques especificas para Sites distintos, desta forma, é possível configurar a proteção para a camada de
aplicação de acordo com a necessidade especifica de cada rede, reduzindo significativamente a ocorrência
falsos positivos.
*Aker Security Solutions *Aker Web Defender Página 33
Siga os passos descritos a seguir, para adicionar um novo site no Aker Web Defender:
Para adicionar um novo Site click no botão .
A configuração de um Site é efetuada por meio de três abas. A seguir, mais detalhes sobre
estas abas e suas opções.
Aba Informações do Site
Por meio desta aba, é possível definir o endereço remoto e virtual das aplicações, modos de
operação, opções de balanceamento, checagem de conteúdo estático e XML, e checagem de antivírus para
upload de arquivos.
Servidor Virtual: neste campo deve-se definir o protocolo utilizado pelo servidor, HTTP ou HTTPS, o
endereço remoto do servidor, a porta de acesso, e o caminho dentro do servidor (path), caso disponível.
Exemplo: http://www.minhaAplicação.com.br:80
Ao selecionar o protocolo HTTPS, automaticamente habilitará as “Opções SSL”, desta forma, é
necessário informar o conteúdo da chave pública e do certificado site em questão. Para isso, pode-se utilizar
*Aker Security Solutions *Aker Web Defender Página 34
a opção copiar e colar, ou simplesmente, utilizar a opção “Importar” e carregar o arquivo com os dados
solicitados.
Servidores Reais: neste campo deve-se definir o protocolo utilizado pelo servidor, HTTP ou HTTPS,
inserir o IP real do site, por exemplo, 192.168.1.111, porta de acesso e o caminho dentro do servidor (path),
caso necessário.
Devido à grande carga, alguns sites utilizam mais de um servidor, desta forma, é possível distribuir a
carga de trabalho entre as duas máquinas ou mais máquinas, otimizando a utilização de recursos e
oferecendo maior disponibilidade.
As opções de balanceamento são exibidas quando mais de um servidor real é adicionado.
Para adicionar um segundo servidor real, clique em .
*Aker Security Solutions *Aker Web Defender Página 35
Modo de operação: neste campo deve-se definir o modo de operação do Aker Web Defender para o
site em questão. As opções disponíveis são:
Alertar e bloquear
Apenas alertar
Inativo
Método de balanceamento: esta opção é habilitada ao adicionar mais de um servidor real para o
site. O Aker Web Defender oferece dois métodos de balanceamento para o Sites cadastrados no sistema. As
opções disponíveis são:
Round Robin: este método distribui as requisições efetuadas ao site em porções
idênticas, ou seja, uma requisição em cada servidor.
Exemplo: O site www.minhaaplicacao.com.br recebeu 10 requisições vindas de usuários distintos, e
este site possui dois servidores para efetuar o balanceamento. Desta forma a 1° requisição será encaminhada
para o Servidor 1, a 2° requisição para o Servidor 2, a 3° para o Servidor 1, a 4º para o Servidor 2 e
sucessivamente.
Round Robin – manter sessão: este método distribui as requisições mantendo-as no
primeiro servidor que as atendeu, ou seja, todas as requisições de um usuário serão
encaminhadas para o primeiro servidor que o atendeu.
Exemplo: Os usuários Pedro e João acessam o site www.minhaaplicacao.com.br 10 vezes por hora.
No primeiro acesso de Pedro, o Servidor 1 atendeu sua requisição, e o Servidor 2 atendeu a requisição de
João, desta forma, todas as requisições de Pedro serão atendidas pelo Servidor 1, da mesma forma que,
todas as requisições de João serão atendidas pelo Servidor 2.
Ativar modo de aprendizado: ao habilitar essa opção fara com que o Aker Web Defender entenda
como a aplicação protegida funciona, desta forma, ao detectar alguma atividade que não se assimile ao
funcionamento padrão da aplicação, medidas de prevenção possam ser tomadas, de acordo com a
configuração estabelecida pelo administrador.
Checar conteúdo XML: efetua uma verificação em todo conteúdo XML que for em direção da
aplicação protegida.
Checar conteúdo estático: efetua uma verificação em todo conteúdo estático que for em direção à
aplicação protegida, como, por exemplo, imagens, Java scripts, CSS.
*Aker Security Solutions *Aker Web Defender Página 36
Aba Selecionar Regras
Por meio desta aba, é possível definir as assinaturas de detecção de ataques para o Site em criação.
Esta opção permite que o administrador configure assinaturas especificas para o Site, atendendo
necessidades especificas do Site e da rede, reduzindo significativamente a ocorrência de falsos positivos.
É possível selecionar e deselecionar grupos, e ainda, filtrar quais assinaturas deverão ser utilizadas
dentro dos grupos, por meio dos checkboxes disponibilizado na janela de seleção de assinaturas, como
exibido na imagem a seguir.
Para acessar a lista com todos os grupos de assinaturas disponíveis no Aker Web Defender, clique
aqui.
*Aker Security Solutions *Aker Web Defender Página 37
Aba Avançado
Por meio desta aba, é possível definir listas de IPs que serão bloqueadas (Blacklist) ou liberadas
(Whitelist) para o Site em questão, e ainda, desativar regras/assinaturas de detecção especificas e adicionar
regras remotas.
Caso o administrador possua sua própria base de regras, é possível utilizar as mesmas
configurando o servidor de regras remotas.
Retornar para Configurando o Aker Web Defender.
*Aker Security Solutions *Aker Web Defender Página 38
Regras O menu Regras permite que o administrador defina os parâmetros de configuração do Aker Web
Defender relacionados à: atualização de regras/assinaturas de detecção de ataques, listagem de regras de
detecção de ataques, cadastro manual de regras e grupos de regras. A seguir mais detalhes sobre estas
opções.
Por meio desta janela, o administrador define a frequência que o Aker Web Defender efetuará uma
busca em sua base, a procura de novas regras de detecção de ataques.
As opções disponíveis são:
Ou simplesmente clicar na no botão ..
*Aker Security Solutions *Aker Web Defender Página 39
Por meio desta janela, o administrador pode visualizar todas as regras/assinaturas de detecção de
ataques disponíveis no sistema do Aker Web Defender. Para facilitar a busca por regras utilize a caixa de
pesquisa.
Caso queria, é possível adicionar uma nova regra manualmente pela janela de Listagem,
clicando em .
Mais detalhes sobre a criação de regras no tópico descrito a seguir.
Regras padrões do sistema não podem ser modificadas ou excluídas.
Está operação também pode ser efetuada pela interface de texto do Aker Web
Defender. Para mais informações clique aqui.
Por meio desta janela, é possível criar regras de detecção personalizadas, de acordo com a
necessidade de sua rede ou servidor de aplicação.
*Aker Security Solutions *Aker Web Defender Página 40
Pré Requisitos
Para criar assinaturas no Aker Web Defender, o usuário deve ter conhecimentos de HTTP, Expressões
Regulares e Ataques na camada de aplicação.
Para cadastrar uma nova regra, clique em e preencha os campos descritos a
seguir:
Grupo: indica o grupo de regras que a assinatura em criação pertencerá.
Fase: indica a fase que a assinatura deve atuar. A seguir as opções disponíveis:
Revisão: indica a versão da assinatura de ataque.
Severidade: indica a severidade do ataque. A seguir as opções disponíveis:
Maturidade: indica o grau de maturidade da assinatura. Os valores podem variar de 1 a 9.
Precisão: indica o grau de precisão da assinatura. Os valores podem variar de 1 a 9.
Mensagem: indica a descrição exibida após o ID nos alertas gerados pelo sistema.
Variáveis: indica o local em que a busca será efetuada, ou seja, parte da requisição que será
verificada.
Operador: indica o operador utilizado para detectar a variável definida no campo acima, ou seja,
como será efetuada a verificação.
*Aker Security Solutions *Aker Web Defender Página 41
Expressão: indica a combinação de valores, variáveis e operadores que juntas detectam o ataque, ou
seja, Expressão é o que será procurado na verificação definida pelo Operador, na localização estabelecida na
Variável
Ações: indica as ações executadas ao detectar o tipo de ataque em questão, e ainda, adicionar
opções a regra.
Por meio desta janela, é possível criar grupos de regras, que posteriormente serão atribuídos as
assinaturas de detecção de ataques.
*Aker Security Solutions *Aker Web Defender Página 42
Relatórios Por meio do menu Relatórios é possível gerar relatórios específicos de forma simples e rápida.
Para visualizar os dados, selecione o tipo de relatório desejado. As opções disponíveis são: Grupo de
regras, Regras, Severidade, Ip de Origem ou Site.
Em seguida, selecione a data inicial e final em que a busca por informações será efetuada e clique em
“Pesquisar”.
Os dados serão exibidos na tela, em seguida clique no botão “Imprimir”, localizado na parte superior
direita da tela. Uma previa do relatório será exibida para analise, em seguida clique em “Imprimir”
novamente.
*Aker Security Solutions *Aker Web Defender Página 43
Política Geral Por meio do menu Política Geral, o administrador pode definir os parâmetros globais do sistema
para proteção para HTTP, DoS (Denial of Service), e Força Bruta.
A seguir, mais detalhes sobre estas opções.
*Aker Security Solutions *Aker Web Defender Página 44
Por meio desta janela, o administrador pode definir parâmetros de verificação específicos do
protocolo HTTP.
O ataque DoS (Denial of Service), também conhecido como ataque de negação de serviço ocorre
quando um (DoS – Denial of Service) ou mais computadores (DDoS – Distributed Denial of Service) atacam
um único alvo simultaneamente, com o intuito de sobrecarregar o alvo, que na maioria dos casos são
servidores web. Tal ação é possível por meio de vírus ou trojans em máquinas espalhadas por todo o globo.
O invasor inicia seu ataque enviando comandos aos computadores infectados, que por sua vez, irão atacar o
alvo, com o intuito de derrubar o serviço parcialmente ou totalmente.
Por meio desta janela, o administrador pode definir parâmetros específicos para proteger suas
aplicações contra ataques DoS.
*Aker Security Solutions *Aker Web Defender Página 45
Ativa proteção contra DoS: ativa ou desativa a proteção contra DoS.
Tempo (em milissegundos): indica o espaço de tempo onde o Aker Web Defender irá contabilizar as
ocorrências (incidentes).
Quantidade de ocorrências: indica a quantidade de ocorrências (incidentes) dentro do espaço de
tempo definido no campo anterior.
Timeout (em milissegundos): indica o tempo limite que o servidor irá aguardar para responder as
requisições (delay).
O ataque de Força Bruta (Brute Force) ocorre quando várias tentativas de descoberta de se-
nha/logins, por meio de processos automatizados ou manuais, são efetuadas contra um alvo, na maioria das
ocasiões, servidores em geral.
Por meio desta janela, o administrador pode definir parâmetros específicos para proteger sua
aplicação contra-ataques de Força Bruta.
*Aker Security Solutions *Aker Web Defender Página 46
Ativar proteção contra Força Bruta: ativa ou desativa a proteção contra Força Bruta.
URLs a proteger: URLs que serão protegidas contra ataques de força bruta.
Exemplo: #www.meusite.com.br/acesso# #www.meusite2.com/login#
Tempo (em milissegundos): indica o espaço de tempo onde o Aker Web Defender irá contabilizar as
ocorrências (incidentes).
Quantidade de ocorrências: indica a quantidade de ocorrências (incidentes) dentro do espaço de
tempo definido no campo anterior.
Timeout (em milissegundos): indica o tempo limite que o servidor irá aguardar para responder as
requisições (delay).
Retornar para Configurando o Aker Web Defender.
*Aker Security Solutions *Aker Web Defender Página 47
Configurações O menu Configuração permite que o administrador defina os parâmetros de configuração do Aker
Web Defender relacionados à: Backup, Restauração e Atualização do sistema, Syslog, Servidores NTP, Rotate
de Dados, Licenciamento.
A seguir, mais detalhes sobre estas opções.
Por meio desta janela, o administrador pode efetuar de maneira fácil e rápida o Backup ou
Restauração das configurações do Aker Web Defender.
Está operação também pode ser efetuada pela interface de texto do Aker Web Defender.
Para mais informações clique aqui.
*Aker Security Solutions *Aker Web Defender Página 48
Para realizar o Backup do Aker Web Defender, siga os passos descritos a seguir:
Acesse o menu Configurações, e clique na opção “Backup”.
Em seguida, clique em:
Ao concluir a criação do arquivo, o backup será armazenado e exibido no cam-
po esquerdo da janela de backup, como exibido na imagem a seguir:
Para efetuar o download do arquivo de configuração, clique em
Para realizar a Restauração do sistema do Aker Web Defender, siga os passos descritos a
seguir:
Acesse o menu Configurações, e clique na opção “Backup”. Em seguida, clique
em:
Em seguida, localiza o arquivo que contém as configurações desejadas, e clique
em “Abrir”.
*Aker Security Solutions *Aker Web Defender Página 49
Em seguida, clique em .
O arquivo de Backup será armazenado no banco do Aker Web Defender, e será
exibido no campo esquerdo da janela de backup.
Para restaurar o Backup, clique no botão .
Por meio desta janela, o administrador pode definir os servidores Syslog que receberão logs do Aker
Web Defender para fins de auditoria.
O número máximo de servidores Syslog é 3.
A porta padrão para o Syslog é 514/UDP.
Está operação também pode ser efetuada pela interface de texto do Aker Web Defender.
Para mais informações clique aqui.
*Aker Security Solutions *Aker Web Defender Página 50
Por meio desta janela, o administrador pode definir os servidores NTP do Aker Web Defender.
NTP (Network Time Protocol) é o protocolo utilizado para sincronizar o horário dos computadores
(clientes/servidor). Esta sincronização é efetuada pelo protocolo UDP na porta 123.
Está operação também pode ser efetuada pela interface de texto do Aker Web Defender.
Para mais informações clique aqui.
*Aker Security Solutions *Aker Web Defender Página 51
Por meio desta janela, o administrador pode visualizar as informações da licença em uso pelo Aker
Web Defender, e carregar uma nova licença.
Cabe ressaltar que, o procedimento de licenciamento é efetuado no primeiro login.
Por meio desta janela, o administrador pode visualizar o nível de atualização do Aker Web Defender,
e aplicar novas atualizações ao sistema.
*Aker Security Solutions *Aker Web Defender Página 52
Retornar para Configurando o Aker Web Defender.
Acesso O menu Acesso permite que o administrador defina os parâmetros de configuração do Aker Web
Defender relacionados à:
Por meio desta janela, o administrador pode cadastrar, gerenciar, e excluir as contas de usuários com
permissão de acesso à interface de gerenciamento do Aker Web Defender.
*Aker Security Solutions *Aker Web Defender Página 53
Por meio desta janela, o administrador pode habilitar a autenticação à interface de gerenciamento
web do Aker Web Defender para usuários de um servidor LDAP.
Por padrão está opção estará desabilitada.
Host: endereço IP do servidor LDAP.
Account Domain Name: nome do servidor LDAP.
Base DN: base dn na qual a consulta será iniciada, ou seja, ponto inicial da hierarquia do Active
Directory que a pesquisa efetuada pelo Aker Web Defender será iniciada.
*Aker Security Solutions *Aker Web Defender Página 54
Port: porta utilizada na autenticação com o servidor LDAP.
Captcha: habilita ou desabilita o CAPTCHA (teste de desafio cognitivo para diferenciar computadores
e humanos) na tela de autenticação do sistema.
Por padrão ao habilitar a autenticação LDAP fara com que a autenticação local seja de-
sabilitada permitindo que apenas o usuário “admin” e os usuários LDAP autorizados
acesse o sistema. Para utilizar a autenticação local novamente é necessário desabilitar
a autenticação LDAP.
Usuários autenticados via LDAP precisam ser atribuídos à um perfil de acesso antes de
se autenticarem, desta forma, é necessário utilizar a conta de administrador para atri-
buir um perfil aos usuários LDAP.
Por meio desta janela, o administrador pode criar, editar ou deletar perfis de acesso, que serão
atribuídos às contas de usuários do Aker Web Defender.
*Aker Security Solutions *Aker Web Defender Página 55
Ajuda O menu “Ajuda” permite que o usuário tenha rápido acesso ao Fórum da Aker, onde é possível tirar
dúvidas e entrar em debates sobre os produtos aker, acesso ao Manual do Aker Web Defender e a página do
produto no site da Aker, onde é possível efetuar download dos pacotes de atualizações, instaladores e mais.
E ainda, visualizar as informações importantes do Aker Web Defender em uso, como: Versão, dados da
licença e informações do hardware.
Este tópico existe a lista de comandos disponíveis para a interface de texto do Aker Web Defender.
A seguir a lista de comando.
webdefender help
Exibe a utilização do comando help (ajuda) no Aker Web Defender.
Utilização do comando: webdefender help
Para obter ajuda sobre um comando especifico utilize o parâmetro “–h” na frente do
comando, como por exemplo:
webdefender rotate –h
webdefender backup:run –h
webdefender site:list -h
*Aker Security Solutions *Aker Web Defender Página 56
webdefender list
Exibe a lista de comandos do Aker Web Defender
Utilização do comando: webdefender list
webdefender syslog
Por meio deste comando é possível definir os parâmetros de configuração para o Syslog do Aker
Web Defender.
Utilização do comando: webdefender syslog
Está operação também é efetuada pela interface de gerenciamento web. Para mais infor-
mações clique aqui.
webdefender alerts:export
Por meio deste comando é possível exporta os alertas detectados no formato CSV.
webdefender backup
Por meio deste comando é possível definir os parâmetros de configuração de Backup do Aker Web
Defender.
Está operação também é efetuada pela interface de gerenciamento web. Para mais infor-
mações clique aqui.
A seguir, as opções de utilização do comando:
webdefender backup:list
Lista os arquivos de backup presentes no sistema.
webdefender backup:restore
Restaura arquivos de configuração ou arquivos do sistema por meio de um backup.
Exemplo: webdefender backup:restore (nome do arquivo de backup)
webdefender backup:restore wafbackup20160902104110.bkp
Ao restaurar um backup, recomenda-se que a lista de backups salvos no sistema seja
verificada, para escolher o arquivo correto.
webdefender backup:run
Criar um backup, salvando as configurações atuais do sistema.
webdefender backup:save-file
*Aker Security Solutions *Aker Web Defender Página 57
Salva um arquivo de backup criado anteriormente ou salvo em outro local. Caso o backup esteja
salvo fora do sistema do Aker Web Defender, é necessário que o mesmo seja salvo no sistema do Aker Web
Defender, para que então seja possível aplica-lo.
webdefender ntp
Por meio deste comando é possível visualizar e definir os parâmetros de configuração do Aker Web
Defender relacionados à NTP (Network Time Protocol).
Está operação também é efetuada pela interface de gerenciamento web. Para mais infor-
mações clique aqui.
A seguir, as opções de utilização do comando:
webdefender ntp:list
Exibe a configuração NTP do Aker Web Defender. O formato padrão é “json”, contudo, é possível
visualizar a configuração no formato “table”, adicionando o parâmetro “–t” no comando, como exibido a
seguir:
webdefender ntp:list -t
webdefender ntp:set
webdefender rule-group
Exibe a lista de grupos de regras presentes no sistema.
Está operação também é efetuada pela interface de gerenciamento web. Para mais infor-
mações clique aqui.
A seguir, a opção de utilização deste comando:
webdefender rule-group:list
webdefender rules
Por meio deste comando é possível visualizar as regras registradas no sistema do Aker Web
Defender, além de, adicionar regras à lista de exceções de sites, e atualizar a base de regras do sistema.
Está operação também é efetuada pela interface de gerenciamento web. Para mais infor-
mações clique aqui.
A seguir, as opções de utilização deste comando:
webdefender rules:exception
*Aker Security Solutions *Aker Web Defender Página 58
Permite adicionar regras à lista de exceções de um site desejado.
Exemplo:
Para adicionar a regra que possui o ID 981256 à lista de exceções do site “myapllication.com”
webdefender rule:exception myapplication.com –rule-id 981256
Ou
webdefender rule:exception myapplication.com –r 981256
Adicionando múltiplas regras à uma lista de exceção:
webdefender rule:exception myapplication.com –r 981256 –r 950922 –r 950119
webdefender rules:list
Exibe a lista com todas as regras de detecção registradas no sistema.
webdefender rules:update
Atualiza a base de regras do sistema via linha de comando.
webdefender site
Por meio deste comando é possível adicionar IPs às blacklist e whitelist dos sites, excluir sites
cadastrados no sistema, listar configurações de sites, remover propriedades de um site, e definir um novo
valor para um site registrado.
Está operação também é efetuada pela interface de gerenciamento web. Para mais infor-
mações clique aqui.
A seguir, os parâmetros disponíveis para este comando:
webdefender site:add-blacklist
Adiciona um IP à Blacklist de um site.
Exemplo:
Adicionando o IP 192.168.0.100 à blacklist do site myapplication.com
webdefender site:add-blacklist myapplication.com –ip 192.168.0.100
webdefender site:add-whitelist
Adiciona um IP à Whitelist de um site.
Exemplo:
*Aker Security Solutions *Aker Web Defender Página 59
Adicionando o IP 192.168.0.111 à Whitelist do site myapplication.com
webdefender site:add-whitelist myapplication.com –ip 192.168.0.100
webdefender site:delete
Exclui um site registrado do sistema.
Exemplo:
Excluindo o site que o possui o ID 2316a4bb1d2103ae31a07c88cd618e98 (para obter o ID do site
utilize o comando webdefender site:list) do sistema.
Webdefender site:delete 2316a4bb1d2103ae31a07c88cd618e98
webdefender site:list
Lista as configurações básicas do site.
webdefender site:list --rule-groups
Lista as todas configurações do site, incluindo os grupos de regras os quais ele pertence.
webdefender site:set
Defini novos valores para os sites registrados.
A seguir, as propriedades que podem ser modificadas e suas opções:
→ Operation Mode ( utilização “-o ou –operation-mode”
Valores:
“- on” para alertar e bloquear
“- off” para o estado inativo
“- detection-olny” para apenas alertar
Exemplos:
webdefender site:set a7a82cc5578452ea524c2acef78710b9 --operation-mode detection-only
webdefender site:set a7a82cc5578452ea524c2acef78710b9 –o on
Para visualizar o id dos site utilize o comando webdefender:site-list
→rule groups (utilização “-g ou –rule-groups)
Adicionando um novo grupo de regras à um site
webdefender site:set a7a82cc5578452ea524c2acef78710b9 --rule-groups 10
Adicionando múltiplas regras:
*Aker Security Solutions *Aker Web Defender Página 60
webdefender site:set a7a82cc5578452ea524c2acef78710b9 –g 10 –g 7 –g 8 –g 11
Para visualizar o ID dos grupos utilize o comando webdefender rule-group:list
webdefender site:unset
Remove as propriedades de um site.
Exemplo:
Modificando as propriedades do site que possui o ID a7a82cc5578452ea524c2acef78710b9
Para visualizar o ID dos grupos utilize o comando webdefender rule-group:list
webdefender site:unset a7a82cc5578452ea524c2acef78710b9 --rule-groups 5
webdefender site:unset a7a82cc5578452ea524c2acef78710b9 –g 4 –g 6 –g 10
*Aker Security Solutions *Aker Web Defender Página 61
1. Os widgets do meu dashboard, CPU, memória, Load Average, Rede e uso de HD,
não estão funcionado, o que fazer?
Verifique se o processo machineinfo está rodando corretamente. Este processo é responsável pela
coleta de informações da máquina (CPU, memória, load avarage...widgets do dashboard). Esta atualização é
efetuada a cada 30 segundos.
Comando utilizado para verificar o Estado do processo: systemctl status aker-
machineinfo
Comando utilizado para parar o processo: systemctl stop aker-machineinfo
Comando utilizado para Iniciar: systemctl start aker-machineinfo
2. Meu site está recebendo ataques, mas não estou vendo os ataques, nos últimos
eventos do Dashboard na janela de Alertas, o que fazer?
Verifique se o processo responsável pelo tratamento dos logs de auditoria está rodando corre-
tamente.
Comando utilizado para verificar o Estado do processo: systemctl status auditpasere
Comando utilizado para Parar o processo: systemctl stop auditparser.service
Comando utilizado para Iniciar: systemctl start auditparser.service
3. Qual serviço controla as operações do Aker Web Defender?
O processo responsável é o apache2. A seguir os comandos para iniciar, para, e validar o estado do
processo:
Comando utilizado para verificar o Estado do processo: systemctl status waf
Comando utilizado para parar o processo: systemctl stop waf
Comando utilizado para iniciar: systemctl start waf
Para maior segurança, o processo de controle do Aker Web Defender é separado em
duas instancias, um para a interface de gerenciamento web (waf-interface) e outra
para as operações do sistema do Aker Web Defender (waf).
4. Qual processo responsável pela interface de gerenciamento web do Aker Web
Defender?
*Aker Security Solutions *Aker Web Defender Página 62
O processo responsável é o waf-interface. A seguir os comandos para iniciar, para, e validar o
estado do processo:
Comando utilizado para verificar o Estado do processo: #systemctl status waf-
interface
Comando utilizado para parar o processo: systemctl stop waf-interface
Comando utilizado para Iniciar: systemctl start waf-interface
Lista de regras do Aker Web Defender Este tópico exibe todos os grupos/assinaturas de detecção de ataques, juntamente com suas
respectivas regras, disponíveis no Aker Web Defender.
950107 URL Encoding Abuse Attack Attempt
950108 URL Encoding Abuse Attack Attempt
950109 Multiple URL Encoding Detected
950116 Unicode Full/Half Width Abuse Attack Attempt
950801 UTF8 Encoding Abuse Attack Attempt
958230 Range: Invalid Last Byte Value.
958231 Range: Too many fields
958291 Range: field exists and begins with 0.
958295 Multiple/Conflicting Connection Header Data Found.
960000 Attempted multipart/form-data bypass
960011 GET or HEAD Request with Body Content.
960012 POST request missing Content-Length Header.
960016 Content-Length HTTP header is not numeric.
960018 Invalid character in request
960020 Pragma Header requires Cache-Control Header for HTTP/1.1 requests.
960022 Expect Header Not Allowed for HTTP 1.0.
960901 Invalid character in request
960902 Invalid Use of Identity Encoding.
*Aker Security Solutions *Aker Web Defender Página 63
960911 Invalid HTTP Request Line
960912 Failed to parse request body.
960914 Multipart request body failed strict validation: PE %{REQBODY_PROCESSOR_ERROR}
960915 Multipart parser detected a possible unmatched boundary.
981227 Apache Error: Invalid URI in Request.
960006 Empty User Agent Header
960007 Empty Host Header
960008 Request Missing a Host Header
960009 Request Missing a User Agent Header
960013 HTTP/1.1 POST request missing Content-Length Header and missing Transfer-Encoding
header.
960015 Request Missing an Accept Header
960017 Host header is a numeric IP address
960021 Request Has an Empty Accept Header
960904 Request Containing Content
960208 Argument value too long
960209 Argument name too long
960335 Too many arguments in request
960341 Total arguments size exceeded
960342 Uploaded file size too large
960343 Total uploaded files size too large
960010 Request content type is not allowed by policy
960032 Method is not allowed by policy
960034 HTTP protocol version is not allowed by policy
*Aker Security Solutions *Aker Web Defender Página 64
960035 URL file extension is restricted by policy
960038 HTTP header is restricted by policy
990002 Request Indicates a Security Scanner Scanned the Site
990012 Rogue web site crawler
990901 Request Indicates a Security Scanner Scanned the Site
990902 Request Indicates a Security Scanner Scanned the Site
950000 Session Fixation
950002 System Command Access
950003 Session Fixation
950005 Remote File Access Attempt
950006 System Command Injection
950008 Injection of Undocumented ColdFusion Tags
950009 Session Fixation Attack
950010 LDAP Injection Attack
950011 SSI injection Attack
950012 HTTP Request Smuggling Attack.
950018 Universal PDF XSS URL Detected.
950019 Email Injection Attack
950117 Remote File Inclusion Attack
950118 Remote File Inclusion Attack
950119 Remote File Inclusion Attack
950120 Possible Remote File Inclusion (RFI) Attack: Off-Domain Reference/Link
950907 System Command Injection
950910 HTTP Response Splitting Attack
950911 HTTP Response Splitting Attack
*Aker Security Solutions *Aker Web Defender Página 65
958976 PHP Injection Attack
958977 PHP Injection Attack
959151 PHP Injection Attack
960024 Meta-Character Anomaly Detection Alert - Repetitive Non-Word Characters
950001 SQL Injection Attack
950007 Blind SQL Injection Attack
950901 SQL Injection Attack: SQL Tautology Detected.
950908 SQL Injection Attack.
959070 SQL Injection Attack
959071 SQL Injection Attack
959072 SQL Injection Attack
959073 SQL Injection Attack
981172 Restricted SQL Character Anomaly Detection Alert - Total # of special characters
exceeded
981173 Restricted SQL Character Anomaly Detection Alert - Total # of special characters
exceeded
981231 SQL Comment Sequence Detected.
981240 Detects MySQL comments
981241 Detects conditional SQL injection attempts
981242 Detects classic SQL injection probings 1/2
981243 Detects classic SQL injection probings 2/2
981244 Detects basic SQL authentication bypass attempts 1/3
981245 Detects basic SQL authentication bypass attempts 2/3
981246 Detects basic SQL authentication bypass attempts 3/3
981247 Detects concatenated basic SQL injection and SQLLFI attempts
981248 Detects chained SQL injection attempts 1/2
981249 Detects chained SQL injection attempts 2/2
981250 Detects SQL benchmark and sleep injection attempts including conditional queries
981251 Detects MySQL UDF injection and other data/structure manipulation attempts
*Aker Security Solutions *Aker Web Defender Página 66
981252 Detects MySQL charset switch and MSSQL DoS attempts
981253 Detects MySQL and PostgreSQL stored procedure/function injections
981254 Detects Postgres pg_sleep injection
981255 Detects MSSQL code execution and information gathering attempts
981256 Detects MATCH AGAINST
981257 Detects MySQL comment-/space-obfuscated injections and backtick termination
981260 SQL Hex Encoding Identified
981270 Finds basic MongoDB SQL injection attempts
981272 Detects blind sqli tests using sleep() or benchmark().
981276 Looking for basic sql injection. Common attack string for mysql
981277 Looking for integer overflow attacks
981317 SQL SELECT Statement Anomaly Detection Alert
981318 SQL Injection Attack: Common Injection Testing Detected
981319 SQL Injection Attack: SQL Operator Detected
981320 SQL Injection Attack: Common DB Names Detected
958000 Cross-site Scripting (XSS) Attack
958001 Cross-site Scripting (XSS) Attack
958002 Cross-site Scripting (XSS) Attack
958003 Cross-site Scripting (XSS) Attack
958004 Cross-site Scripting (XSS) Attack
958005 Cross-site Scripting (XSS) Attack
958006 Cross-site Scripting (XSS) Attack
958007 Cross-site Scripting (XSS) Attack
958008 Cross-site Scripting (XSS) Attack
958009 Cross-site Scripting (XSS) Attack
958010 Cross-site Scripting (XSS) Attack
958011 Cross-site Scripting (XSS) Attack
*Aker Security Solutions *Aker Web Defender Página 67
958012 Cross-site Scripting (XSS) Attack
958013 Cross-site Scripting (XSS) Attack
958016 Cross-site Scripting (XSS) Attack
958017 Cross-site Scripting (XSS) Attack
958018 Cross-site Scripting (XSS) Attack
958019 Cross-site Scripting (XSS) Attack
958020 Cross-site Scripting (XSS) Attack
958022 Cross-site Scripting (XSS) Attack
958023 Cross-site Scripting (XSS) Attack
958024 Cross-site Scripting (XSS) Attack
958025 Cross-site Scripting (XSS) Attack
958026 Cross-site Scripting (XSS) Attack
958027 Cross-site Scripting (XSS) Attack
958028 Cross-site Scripting (XSS) Attack
958030 Cross-site Scripting (XSS) Attack
958031 Cross-site Scripting (XSS) Attack
958032 Cross-site Scripting (XSS) Attack
958033 Cross-site Scripting (XSS) Attack
958034 Cross-site Scripting (XSS) Attack
958036 Cross-site Scripting (XSS) Attack
958037 Cross-site Scripting (XSS) Attack
958038 Cross-site Scripting (XSS) Attack
958039 Cross-site Scripting (XSS) Attack
958040 Cross-site Scripting (XSS) Attack
958041 Cross-site Scripting (XSS) Attack
958045 Cross-site Scripting (XSS) Attack
958046 Cross-site Scripting (XSS) Attack
958047 Cross-site Scripting (XSS) Attack
958049 Cross-site Scripting (XSS) Attack
*Aker Security Solutions *Aker Web Defender Página 68
958051 Cross-site Scripting (XSS) Attack
958052 Cross-site Scripting (XSS) Attack
958054 Cross-site Scripting (XSS) Attack
958056 Cross-site Scripting (XSS) Attack
958057 Cross-site Scripting (XSS) Attack
958059 Cross-site Scripting (XSS) Attack
958404 Cross-site Scripting (XSS) Attack
958405 Cross-site Scripting (XSS) Attack
958406 Cross-site Scripting (XSS) Attack
958407 Cross-site Scripting (XSS) Attack
958408 Cross-site Scripting (XSS) Attack
958409 Cross-site Scripting (XSS) Attack
958410 Cross-site Scripting (XSS) Attack
958411 Cross-site Scripting (XSS) Attack
958412 Cross-site Scripting (XSS) Attack
958413 Cross-site Scripting (XSS) Attack
958414 Cross-site Scripting (XSS) Attack
958415 Cross-site Scripting (XSS) Attack
958416 Cross-site Scripting (XSS) Attack
958417 Cross-site Scripting (XSS) Attack
958418 Cross-site Scripting (XSS) Attack
958419 Cross-site Scripting (XSS) Attack
958420 Cross-site Scripting (XSS) Attack
958421 Cross-site Scripting (XSS) Attack
958422 Cross-site Scripting (XSS) Attack
958423 Cross-site Scripting (XSS) Attack
973300 Possible XSS Attack Detected - HTML Tag Handler
973301 XSS Attack Detected
973302 XSS Attack Detected
*Aker Security Solutions *Aker Web Defender Página 69
973303 XSS Attack Detected
973304 XSS Attack Detected
973305 XSS Attack Detected
973306 XSS Attack Detected
973307 XSS Attack Detected
973308 XSS Attack Detected
973309 XSS Attack Detected
973310 XSS Attack Detected
973311 XSS Attack Detected
973312 XSS Attack Detected
973313 XSS Attack Detected
973314 XSS Attack Detected
973315 IE XSS Filters - Attack Detected.
973316 IE XSS Filters - Attack Detected.
973317 IE XSS Filters - Attack Detected.
973318 IE XSS Filters - Attack Detected.
973319 IE XSS Filters - Attack Detected.
973320 IE XSS Filters - Attack Detected.
973321 IE XSS Filters - Attack Detected.
973322 IE XSS Filters - Attack Detected.
973323 IE XSS Filters - Attack Detected.
973324 IE XSS Filters - Attack Detected.
973325 IE XSS Filters - Attack Detected.
973326 IE XSS Filters - Attack Detected.
973327 IE XSS Filters - Attack Detected.
973328 IE XSS Filters - Attack Detected.
973329 IE XSS Filters - Attack Detected.
973330 IE XSS Filters - Attack Detected.
973331 IE XSS Filters - Attack Detected.
*Aker Security Solutions *Aker Web Defender Página 70
973332 IE XSS Filters - Attack Detected.
973333 IE XSS Filters - Attack Detected.
973334 IE XSS Filters - Attack Detected.
973335 IE XSS Filters - Attack Detected.
973336 XSS Filter - Category 1: Script Tag Vector
973337 XSS Filter - Category 2: Event Handler Vector
973338 XSS Filter - Category 3: Javascript URI Vector
973344 IE XSS Filters - Attack Detected.
973345 IE XSS Filters - Attack Detected.
973346 IE XSS Filters - Attack Detected.
973347 IE XSS Filters - Attack Detected.
973348 IE XSS Filters - Attack Detected.
950103 Path Traversal Attack
950110 Backdoor access
950921 Backdoor access
950922 Backdoor access
981175 Inbound Attack Targeting OSVDB Flagged Resource.
981176 Inbound Anomaly Score Exceeded (Total Score: %{TX.ANOMALY_SCORE}
970002 Statistics Information Leakage
970003 SQL Information Leakage
970004 IIS Information Leakage
970007 Zope Information Leakage
970008 Cold Fusion Information Leakage
*Aker Security Solutions *Aker Web Defender Página 71
970009 PHP Information Leakage
970010 ISA server existence revealed
970011 File or Directory Names Leakage
970012 Microsoft Office document properties leakage
970013 Directory Listing
970014 ASP/JSP source code leakage
970015 PHP source code leakage
970016 Cold Fusion source code leakage
970018 IIS installed in default location
970021 WebLogic information disclosure
970118 The application is not available
970901 The application is not available
970902 PHP source code leakage
970903 ASP/JSP source code leakage
970904 IIS Information Leakage
981000 Possibly malicious iframe tag in output
981001 Possibly malicious iframe tag in output
981003 Malicious iframe+javascript tag in output
981004 Potential Obfuscated Javascript in Output - Excessive fromCharCode
981005 Potential Obfuscated Javascript in Output - Eval+Unescape
981006 Potential Obfuscated Javascript in Output - Unescape
981007 Potential Obfuscated Javascript in Output - Heap Spray
981200 Outbound Anomaly Score Exceeded (score %{TX.OUTBOUND_ANOMALY_SCORE}): Last
Matched Message: %{tx.msg}
981201 Correlated Successful Attack Identified: (Total Score: %{tx.anomaly_score}
981202 Correlated Attack Attempt Identified: (Total Score: %{tx.anomaly_score}
981203 Inbound Anomaly Score (Total Inbound Score: %{TX.INBOUND_ANOMALY_SCORE}