Ⅰ. Общая информация | Немезида ВАФ

Обзор модулей Немезида ВАФ и аппаратных требований для их установки. Обязательно ознакомьтесь перед использованием продукта.

Общие сведения

🔗 Сетевой доступ

Для корректной работы всех компонентов Немезида ВАФ на каждом сервере, где они установлены, разрешите:

1. Обращения к внешним ресурсам:

https://nemesida-security.com;
https://geoip.nemesida-security.com;
https://nw-auth-extra.nemesida-security.com.

2. Входящие/исходящие обращения к сервисам на серверах с установленными компонентами:

Фильтрующая нода
Входящие соединения:	Nginx (например, порт `80`).
Исходящие соединения:	Nemesida WAF API (например, порт `8080`).

Nemesida AI MLC
Исходящие соединения:	RabbitMQ (например, порт `5672`); Nemesida WAF API (например, порт `8080`).

Nemesida WAF API/Личный кабинет
Входящие соединения:	Личный кабинет (например, порт `80`); PostgreSQL (например, порт `5432`); Nemesida WAF API (например, порт `8080`).

Nemesida WAF Scanner
Исходящие соединения:	Сервер защищаемого веб-приложения (например, порт `80`); Nemesida WAF API (например, порт `8080`); PostgreSQL (например, порт `5432`).

СУБД PostgreSQL
Входящие соединения:	Nemesida WAF API/Личный кабинет (например, порт `5432`).
Исходящие соединения:	Nemesida WAF API/Личный кабинет (например, порт `5432`).

3. Обращения к сервисам внутри локального хоста (localhost) на серверах с установленными компонентами.

🔗 Бесплатное тестирование

Получите лицензионный ключ для полноценного 14-ти дневного тестирования Немезида ВАФ.

🔗 Вид поставки

Немезида ВАФ доступна в виде установочных дистрибутивов для ОС Linux (Debian, Ubuntu, RHEL), а также в виде Docker-образа.

🔗 Модель лицензирования

Каждый экземпляр фильтрующей ноды (установочный пакет nwaf-dyn) должен использовать уникальный лицензионный ключ (лицензию). Лицензия включает в себя право использования всех компонентов, входящих в состав Немезида ВАФ, обновления и техническую поддержку. Лицензия предоставляется на один календарный год.

🔗 Схема взаимодействия модулей Немезида ВАФ

¹ Включает в себя Nginx, динамический модуль и агент машинного обучения Nemesida AI MLA.

Динамический модуль для Nginx осуществляет сигнатурный анализ поступающих на сервер запросов и на основе построенных Nemesida AI MLC поведенческих моделей принимает решение об их блокировке или передаче в другие модули.
Модуль машинного обучения Nemesida AI MLA применяет к полученным от динамического модуля запросам поведенческие модели, построенные Nemesida AI MLC, и передает команду о блокировке.
Модуль машинного обучения Nemesida AI MLC предназначен для построения поведенческих моделей и выявления прочих аномалий (например, атак методом перебора, флуда, DDoS уровня приложений и активность паразитных ботов).
Nemesida WAF API предназначен для приема информации об атаках и выявленных уязвимостях, а также передачи информации о заблокированных запросах и результатах работы модулей Nemesida AI и Nemesida WAF Scanner в СУБД PostgreSQL.
Личный кабинет предназначен для визуализации и анализа событий работы компонентов из СУБД PostgreSQL, управления настройками Немезида ВАФ, управления схемами запросов OpenAPI, настройки использования поведенческих моделей, построенных и применяемых модулем Nemesida AI, а также систематизации информации об аномалиях и выявленных уязвимостях.
Сканер уязвимостей Nemesida WAF Scanner предназначен для выявления уязвимостей в защищаемом веб-приложении.

🔗 Требования к аппаратному обеспечению

Для эффективной работы компонентов Немезида ВАФ рекомендуется использовать серверы, имеющие следующие технические характеристики*:

Сервер для фильтрующей ноды анализирует и перенаправляет незаблокированные запросы на сервер с веб-приложением
Процессор	4 ядра x 2.4 ГГц
Оперативная память	6 ГБ
Дисковое пространство	Тип: HDD Размер: 10 ГБ

Сервер для Nemesida AI MLC используется для построения поведенческих моделей и анализа с их помощью всех поступающих запросов, выявляет атаки методом перебора, флуд, DDoS-атаки уровня приложений и активность паразитных ботов
Тарифы	Лайт	Бизнес, Энтерпрайз
Процессор	6 ядер x 2.4 ГГц
Оперативная память	4 ГБ	24 ГБ
Дисковое пространство	Тип: HDD Размер: 25 ГБ

Сервер для Nemesida WAF API, Личного кабинета и СУБД PostgreSQL используется для хранения и визуализации выявленных аномалий и недостатков веб-приложения, а также для управления поведением модуля машинного обучения и фильтрующей нодой
Процессор	4 ядра x 2.4 ГГц
Оперативная память	6 ГБ
Дисковое пространство	Тип: SSD Размер: 25 ГБ

^* Заявленные технические требования являются примерными (для нагрузки до 10к RPS) и подбираются индивидуально, в зависимости от количества и типа поступаемого трафика.

Настройка компонентов, хранение и управление поведенческими моделями производится в пределах сетевого периметра.

Для обеспечения отказоустойчивой работы комплекса Немезида ВАФ рекомендуем ознакомиться со схемой, которая отражает минимальное количество серверов, используемых компонентами:

Cхема предполагает обеспечение отказоустойчивой работы для компонентов Немезида ВАФ с различным уровнем критичности:

Кластер фильтрующих нод анализирует и перенаправляет незаблокированные запросы на сервер с веб-приложением
Критичность	Высокая
Минимальное количество серверов	2
Описание	В случае недоступности компонента: не будет производиться анализ запросов; будут недоступны сервисы, к которым выполняется проксирование трафика через фильтрующую ноду.

Сервер для Nemesida AI MLC используется для построения поведенческих моделей и анализа с их помощью всех поступающих запросов, выявляет атаки методом перебора, флуд и DDoS-атаки уровня приложений и активность паразитных ботов
Критичность	Средняя
Минимальное количество серверов	1
Описание	В случае недоступности компонента: не будет производиться выявление DDos/Brute/Flood-атак и активности паразитных ботов; будет приостановлен процесс обучения/переобучения поведенческой модели. Недоступность компонента не влияет на анализ запросов модулем машинного обучения на фильтрующей ноде, если поведенческая модель уже была создана и применена до этого; будет приостановлен процесс анализа запросов для генерации спецификации OpenAPI.

Сервер для Nemesida WAF API и СУБД PostgreSQL используется для хранения выявленных аномалий и недостатков веб-приложения, а также для управления поведением модуля машинного обучения и фильтрующей нодой
Критичность	Высокая
Минимальное количество серверов	2*
Описание	В случае недоступности компонента: не будет производиться получение настроек другими компонентами, а также их настройка; будет приостановлен процесс получения и записи выявленных аномалий.

^* — использование одной копии Nemesida WAF API в режиме Read only позволит компонентам получать список настроек для них (настройки фильтрующей ноды, информация о поведенческих моделях, правила исключения/блокировки и т.д.), но не позволит произвести запись новых данных в БД.

Сервер для компонента Личный кабинет используется для визуализации выявленных аномалий
Критичность	Низкая
Минимальное количество серверов	1
Описание	В случае недоступности компонента: будет приостановлен доступ к интерфейсу Личного кабинета.

Сервер для Nemesida WAF Scanner используется для выявления недостатков веб-приложения
Критичность	Низкая
Минимальное количество серверов	1
Описание	В случае недоступности компонента: будет невозможно сканирование защищаемого веб-приложения для выявления уязвимостей; будет невозможно использование функционала `Recheck`;

🔗 Установочные пакеты

Основные:

nwaf-dyn — динамический модуль для Nginx и агент машинного обучения Nemesida AI MLA, предназначен для выявления и/или блокирования аномалий с использованием сигнатурного анализа и поведенческих моделей, а также передачи трафика для дальнейшей обработки через RabbitMQ в модуль Nemesida AI MLC.
nwaf-mlc — модуль машинного обучения Nemesida AI MLC, предназначен для построения поведенческих моделей и выявления прочих аномалий (например, DDoS L7 и активности паразитных ботов, атак методом перебора и т.д.).
nwaf-api — модуль Nemesida WAF API, предназначен для передачи информации о заблокированных запросах и результатах работы модулей Nemesida AI и Nemesida WAF Scanner в СУБД PostgreSQL.

Вспомогательные:

nwaf-cabinet — модуль Личный кабинет, предназначен для визуализации и анализа событий работы компонентов из СУБД PostgreSQL, управления настройками Немезида ВАФ, управления схемами запросов OpenAPI, настройки использования поведенческих моделей, построенных и применяемых модулем Nemesida AI, а также систематизации информации об аномалиях и выявленных уязвимостях.
nwaf-scanner — сканер уязвимостей Nemesida WAF Scanner.

Вспомогательные модули недоступны для дистрибутивов, использующих снятую с поддержки версию Python. Перед установкой вспомогательного модуля рекомендуем ознакомиться со списком поддерживаемых дистрибутивов, размещенном на странице каждого модуля.

🔗 Поведенческие модели

Для более точной работы модуля машинного обучения рекомендуем создавать поведенческую модель для каждого конкретного веб-приложения.

В период обучения, для построения более качественных моделей, не рекомендуется производить сканирование веб-приложения на уязвимости, а также направлять другие нелегитимные запросы. Управление ложными срабатываниями производится с помощью модуля Личный кабинет.

Все поведенческие модели, созданные модулем Nemesida AI MLC, хранятся в СУБД PostgreSQL (база данных waf, в которой хранятся также настройки Немезида ВАФ, правила исключений и блокировки, настройки веб-сервера Nginx), доступ к которой осуществляется через компонент Nemesida WAF API. Управление поведенческими моделями осуществляется с помощью интерфейса Личного кабинета или API.

Запросы, определенные как нелегитимные, за исключением DDoS/Brute-force/Flood-атак и активность паразитных ботов, не добавляются в обучающую выборку, даже если попадают под действие режима LM.

🔗 Кластер Немезида ВАФ

Позволяет объединить множество фильтрующих нод Немезида ВАФ в единый кластер, обеспечив автоматическую синхронизацию настроек, списка заблокированных IP-адресов и прочих параметров между нодами. Для использования функционала все используемые программные ключи должны иметь единый WAF ID.

🔗 Источники сообщений об ошибках

В процессе работы модулей Немезида ВАФ информация о событиях может содержаться:

в системных журналах ОС;
в журнале работы Nginx;
в журнале работы RabbitMQ;
в журнале работы модулей Немезида ВАФ:
- /var/log/nwaf/
- /var/log/nw-api/
- /var/log/uwsgi/cabinet/

🔗 Прочая информация

Доменное имя example.com вместе с поддоменами в руководствах используется в качестве примера.

Во время работы Немезида ВАФ использует служебный заголовок x-nwaf-oa-request-id. Использование аналогичного заголовка в веб-приложении не допускается во избежании возможных ошибок в работе.

Использование IP геолокации позволяет получать расширенную информацию об IP-адресе источника запросов. Точность получаемых данных (в том числе списков Tor/Proxy/VPN) в силу специфики их получения.

Копии некоторых функций веб-сервера Nginx в модифицированном виде используются в динамическом модуле Немезида ВАФ для анализа запросов, передаваемых внутри туннеля Websocket.

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.