Ⅰ. Общая информация | Немезида ВАФ

Ⅰ. Общая информация | Немезида ВАФ

Защита сайта от хакерских атак
Ⅰ. Общая информация

Обзор модулей Немезида ВАФ и аппаратных требований для их установки. Обязательно ознакомьтесь перед использованием продукта.

Общие сведения

🔗 Сетевой доступ

Для корректной работы всех компонентов Немезида ВАФ на каждом сервере, где они установлены, разрешите:

1. Обращения к внешним ресурсам:

  • https://nemesida-security.com;
  • https://nw-auth-extra.nemesida-security.com;
  • http(s)://geoip.nemesida-security.com.

2. Входящие/исходящие обращения к сервисам на серверах с установленными компонентами:

Фильтрующая нода
Входящие соединения: Nginx (например, порт 80).
Исходящие соединения: Nemesida WAF API (например, порт 8080).
Nemesida AI MLC
Исходящие соединения:
  • RabbitMQ (например, порт 5672);
  • Nemesida WAF API (например, порт 8080).
Nemesida WAF API/Личный кабинет
Входящие соединения:
  • Личный кабинет (например, порт 80);
  • PostgreSQL (например, порт 5432);
  • Nemesida WAF API (например, порт 8080).
Nemesida WAF Scanner
Исходящие соединения:
  • Сервер защищаемого веб-приложения (например, порт 80);
  • Nemesida WAF API (например, порт 8080);
  • PostgreSQL (например, порт 5432).
СУБД PostgreSQL
Входящие соединения: Nemesida WAF API/Личный кабинет (например, порт 5432).
Исходящие соединения: Nemesida WAF API/Личный кабинет (например, порт 5432).

3. Обращения к сервисам внутри локального хоста (localhost) на серверах с установленными компонентами.

🔗 Бесплатное тестирование

Получите лицензионный ключ для полноценного 14-ти дневного тестирования Немезида ВАФ.

🔗 Вид поставки

Немезида ВАФ доступна в виде установочных дистрибутивов для ОС Linux (Debian, Ubuntu, RHEL), в виде Docker-образа и Yandex Cloud VM.

🔗 Модель лицензирования

Каждый экземпляр фильтрующей ноды (установочный пакет nwaf-dyn) должен использовать уникальный лицензионный ключ (лицензию). Лицензия включает в себя право использования всех компонентов, входящих в состав Немезида ВАФ, обновления и техническую поддержку. Лицензия предоставляется на один календарный год.

🔗 Схема взаимодействия модулей Немезида ВАФ

1 Включает в себя Nginx, динамический модуль и агент машинного обучения Nemesida AI MLA.

  • Динамический модуль для Nginx осуществляет сигнатурный анализ поступающих на сервер запросов и на основе построенных Nemesida AI MLC поведенческих моделей принимает решение об их блокировке или передаче в другие модули.
  • Модуль машинного обучения Nemesida AI MLA применяет к полученным от динамического модуля запросам поведенческие модели, построенные Nemesida AI MLC, и передает команду о блокировке.
  • Модуль машинного обучения Nemesida AI MLC предназначен для построения поведенческих моделей и выявления прочих аномалий (например, атак методом перебора, флуда, DDoS уровня приложений и активность паразитных ботов).
  • Nemesida WAF API предназначен для приема информации об атаках и выявленных уязвимостях, а также передачи информации о заблокированных запросах и результатах работы модулей Nemesida AI и Nemesida WAF Scanner в СУБД PostgreSQL.
  • Личный кабинет предназначен для визуализации и анализа событий работы компонентов из СУБД PostgreSQL, управления настройками Немезида ВАФ, управления схемами запросов OpenAPI, настройки использования поведенческих моделей, построенных и применяемых модулем Nemesida AI, а также систематизации информации об аномалиях и выявленных уязвимостях.
  • Сканер уязвимостей Nemesida WAF Scanner предназначен для выявления уязвимостей в защищаемом веб-приложении.

🔗 Требования к аппаратному обеспечению

Для эффективной работы компонентов Немезида ВАФ рекомендуется использовать серверы, имеющие следующие технические характеристики*:

Сервер для фильтрующей ноды
анализирует и перенаправляет незаблокированные запросы на сервер с веб-приложением
Процессор 4 ядра x 2.4 ГГц
Оперативная память 6 ГБ
Дисковое пространство Тип: HDD
Скорость (IOPS): 200 Мб/с
Размер: 10 ГБ
Сервер для Nemesida AI MLC
используется для построения поведенческих моделей и анализа с их помощью всех поступающих запросов, выявляет атаки методом перебора, флуд, DDoS-атаки уровня приложений и активность паразитных ботов
Тарифы Лайт Бизнес, Энтерпрайз
Процессор 6 ядер x 2.4 ГГц
Оперативная память 4 ГБ 24 ГБ
Дисковое пространство Тип: HDD
Скорость (IOPS): 200 Мб/с
Размер: 25 ГБ
Сервер для Nemesida WAF API, Личного кабинета и СУБД PostgreSQL
используется для хранения и визуализации выявленных аномалий и недостатков веб-приложения, а также для управления поведением модуля машинного обучения и фильтрующей нодой
Процессор 4 ядра x 2.4 ГГц
Оперативная память 6 ГБ
Дисковое пространство Тип: SSD
Скорость (IOPS): 1500 Мб/с
Размер: 25 ГБ

* Заявленные технические требования являются примерными (для нагрузки до 10к RPS) и подбираются индивидуально, в зависимости от количества и типа поступаемого трафика.

Настройка компонентов, хранение и управление поведенческими моделями производится в пределах сетевого периметра.

Для обеспечения отказоустойчивой работы комплекса Немезида ВАФ рекомендуем ознакомиться со схемой, которая отражает минимальное количество серверов, используемых компонентами:

Cхема предполагает обеспечение отказоустойчивой работы для компонентов Немезида ВАФ с различным уровнем критичности:

Кластер фильтрующих нод
анализирует и перенаправляет незаблокированные запросы на сервер с веб-приложением
Критичность Высокая
Минимальное количество серверов 2
Описание В случае недоступности компонента:

  • не будет производиться анализ запросов;
  • будут недоступны сервисы, к которым выполняется проксирование трафика через фильтрующую ноду.
Сервер для Nemesida AI MLC
используется для построения поведенческих моделей и анализа с их помощью всех поступающих запросов, выявляет атаки методом перебора, флуд и DDoS-атаки уровня приложений и активность паразитных ботов
Критичность Средняя
Минимальное количество серверов 1
Описание В случае недоступности компонента:

  • не будет производиться выявление DDos/Brute/Flood-атак и активности паразитных ботов;
  • будет приостановлен процесс обучения/переобучения поведенческой модели. Недоступность компонента не влияет на анализ запросов модулем машинного обучения на фильтрующей ноде, если поведенческая модель уже была создана и применена до этого;
  • будет приостановлен процесс анализа запросов для генерации спецификации OpenAPI.
Сервер для Nemesida WAF API и СУБД PostgreSQL
используется для хранения выявленных аномалий и недостатков веб-приложения, а также для управления поведением модуля машинного обучения и фильтрующей нодой
Критичность Высокая
Минимальное количество серверов 2*
Описание В случае недоступности компонента:

  • не будет производиться получение настроек другими компонентами, а также их настройка;
  • будет приостановлен процесс получения и записи выявленных аномалий.

* — использование одной копии Nemesida WAF API в режиме Read only позволит компонентам получать список настроек для них (настройки фильтрующей ноды, информация о поведенческих моделях, правила исключения/блокировки и т.д.), но не позволит произвести запись новых данных в БД.

Сервер для компонента Личный кабинет
используется для визуализации выявленных аномалий
Критичность Низкая
Минимальное количество серверов 1
Описание В случае недоступности компонента:

  • будет приостановлен доступ к интерфейсу Личного кабинета.
Сервер для Nemesida WAF Scanner
используется для выявления недостатков веб-приложения
Критичность Низкая
Минимальное количество серверов 1
Описание В случае недоступности компонента:

  • будет невозможно сканирование защищаемого веб-приложения для выявления уязвимостей;
  • будет невозможно использование функционала Recheck;

🔗 Установочные пакеты

Основные:

  • nwaf-dynдинамический модуль для Nginx и агент машинного обучения Nemesida AI MLA, предназначен для выявления и/или блокирования аномалий с использованием сигнатурного анализа и поведенческих моделей, а также передачи трафика для дальнейшей обработки через RabbitMQ в модуль Nemesida AI MLC.
  • nwaf-mlc — модуль машинного обучения Nemesida AI MLC, предназначен для построения поведенческих моделей и выявления прочих аномалий (например, DDoS L7 и активности паразитных ботов, атак методом перебора и т.д.).
  • nwaf-api — модуль Nemesida WAF API, предназначен для передачи информации о заблокированных запросах и результатах работы модулей Nemesida AI и Nemesida WAF Scanner в СУБД PostgreSQL.

Вспомогательные:

  • nwaf-cabinet — модуль Личный кабинет, предназначен для визуализации и анализа событий работы компонентов из СУБД PostgreSQL, управления настройками Немезида ВАФ, управления схемами запросов OpenAPI, настройки использования поведенческих моделей, построенных и применяемых модулем Nemesida AI, а также систематизации информации об аномалиях и выявленных уязвимостях.
  • nwaf-scanner — сканер уязвимостей Nemesida WAF Scanner.

Вспомогательные модули недоступны для дистрибутивов, использующих снятую с поддержки версию Python. Перед установкой вспомогательного модуля рекомендуем ознакомиться со списком поддерживаемых дистрибутивов, размещенном на странице каждого модуля.

🔗 Поведенческие модели

Для более точной работы модуля машинного обучения рекомендуем создавать поведенческую модель для каждого конкретного веб-приложения.

В период обучения, для построения более качественных моделей, не рекомендуется производить сканирование веб-приложения на уязвимости, а также направлять другие нелегитимные запросы. Управление ложными срабатываниями производится с помощью модуля Личный кабинет.

Все поведенческие модели, созданные модулем Nemesida AI MLC, хранятся в СУБД PostgreSQL (база данных waf, в которой хранятся также настройки Немезида ВАФ, правила исключений и блокировки, настройки веб-сервера Nginx), доступ к которой осуществляется через компонент Nemesida WAF API. Управление поведенческими моделями осуществляется с помощью интерфейса Личного кабинета или API.

Запросы, определенные как нелегитимные, за исключением DDoS/Brute-force/Flood-атак и активность паразитных ботов, не добавляются в обучающую выборку, даже если попадают под действие режима LM.

🔗 Кластер Немезида ВАФ

Позволяет объединить множество фильтрующих нод Немезида ВАФ в единый кластер, обеспечив автоматическую синхронизацию настроек, списка заблокированных IP-адресов и прочих параметров между нодами. Для использования функционала все используемые программные ключи должны иметь единый WAF ID.

🔗 Источники сообщений об ошибках

В процессе работы модулей Немезида ВАФ информация о событиях может содержаться:

  • в системных журналах ОС;
  • в журнале работы Nginx;
  • в журнале работы RabbitMQ;
  • в журнале работы модулей Немезида ВАФ:
    • /var/log/nwaf/
    • /var/log/uwsgi/nw-api
    • /var/log/uwsgi/cabinet

🔗 Техническая поддержка

Техническая поддержка пользователей Немезида ВАФ Комьюнити оказывается только на форуме или на основе расширенной технической поддержки.

В случае возникновения непредвиденных ошибок в работе Немезида ВАФ свяжитесь с технической поддержкой по телефону +7 (495) 204-19-72, электронной почте или оставьте сообщение на форуме.

🔗 Прочая информация

Доменное имя example.com вместе с поддоменами в руководствах используется в качестве примера.

Во время работы Немезида ВАФ использует служебый заголовок x-nwaf-oa-request-id. Использование аналогичного заголовка в веб-приложении не рекомендуется во избежании возможных ошибок в работе.