Средство защиты информации Континент WAF · значен для защиты веб-приложений от интернет-угроз. "Континент

RU.88338853.501540.001 34

Руководство оператора

Средство защиты информации

Континент WAF

© Компания "Код Безопасности", 2018. Все права защищены.

Все авторские права на эксплуатационную документацию защищены.

Этот документ входит в комплект поставки изделия. На него распространяются все условия

лицензионного соглашения. Без специального письменного разрешения компании "Код Безопасности" этот документ или его часть в печатном или электронном виде не могут быть подвергнуты копированию и передаче третьим лицам с коммерческой целью.

Информация, содержащаяся в этом документе, может быть изменена разработчиком без специального уведомления, что не является нарушением обязательств по отношению к пользователю со стороны компании "Код Безопасности".

Почтовый адрес 115127, Россия, Москва, а/я 66 ООО "Код Безопасности"

Телефон 8 495 982-30-20

E-mail [email protected]

Сайт https://www.securitycode.ru

© КОМПАНИЯ "КОД БЕЗОПАСНОСТИ"

СЗИ "Континент WAF" Руководство оператора 3

Оглавление Введение .............................................................................................................. 4

Глава 1. Общие указания ..................................................................................... 5

Глава 2. Общие сведения о "Континент WAF" ..................................................... 6 Назначение ............................................................................................... 6 Принципы функционирования .................................................................... 6 Структура и составные модули ................................................................... 7 Обязанности оператора .............................................................................. 7

Глава 3. Описание интерфейса администрирования ........................................... 9 Раздел "Обзор" ......................................................................................... 10 Раздел "События" ...................................................................................... 13

Групповые операции ........................................................................................ 16 Раздел "Правила" ...................................................................................... 16

Создание нового правила ................................................................................. 18 Редактирование правил реагирования .............................................................. 19 Групповые операции с правилами ..................................................................... 19

Раздел "Приложения" ................................................................................ 20 Создание профиля приложения ........................................................................ 20 Редактирование имени ..................................................................................... 21 Удаление приложений ...................................................................................... 22 Переключение режима работы "Континент WAF" для приложения ....................... 22 Таблица транзакций ......................................................................................... 23

Раздел "Настройки" ................................................................................... 24 Раздел "Отчеты" ....................................................................................... 24 Кнопки "Настройки пользователя" и "Выход" .............................................. 25

Глава 4. Разграничение доступа ........................................................................ 26 Администратор МЭ .................................................................................... 26 Аналитик (оператор) ................................................................................. 27 Дежурный администратор .......................................................................... 27

Глава 5. Основные сценарии применения ......................................................... 28 Включение и выключение активного режима .............................................. 28 Просмотр срабатываний ............................................................................ 28

Выбор временного интервала ........................................................................... 28 Просмотр транзакций ....................................................................................... 29 Просмотр детальной информации о транзакциях ................................................ 30

Приложение А. Определения, обозначения и сокращения .............................. 32

Приложение Б. Список доступных спецификаций ........................................... 33



Введение Руководство предназначено для пользователей (операторов), эксплуатирующих изделие "Средство защиты информации "Континент WAF" RU.88338853.501540.001 (далее — "Континент WAF"). В нем содержатся сведе-ния, необходимые операторам для работы с установленным "Континент WAF", в том числе описаны элементы графического интерфейса "Континент WAF".

Сайт в интернете. Информация о продуктах компании "Код Безопасности" представлена на сайте https://www.securitycode.ru/products/.

Служба технической поддержки. Связаться со службой технической под-

держки можно по телефону 8-800-505-30-20 или по электронной почте [email protected].

Учебные курсы. Освоить аппаратные и программные продукты компании "Код Безопасности" можно в авторизованных учебных центрах. Перечень учебных

центров и условия обучения представлены на сайте компании https://www.securitycode.ru/company/education/training-courses/. Связаться c представителем компании по вопросам организации обучения можно по элек-тронной почте [email protected].

https://www.securitycode.ru/products/

mailto:[email protected]

https://www.securitycode.ru/company/education/training-courses/

mailto:[email protected]



Глава 1 Общие указания

Данное руководство предназначено для пользователей (операторов), эксплуа-

тирующих изделие "Средство защиты информации "Континент WAF".

В руководстве содержатся сведения, необходимые операторам для работы с установленным "Континент WAF", в том числе описаны элементы графического интерфейса "Континент WAF".

Эксплуатация "Континент WAF" после его установки выполняется на АРМ адми-нистратора через веб-интерфейс. В роли АРМ администратора может выступать любой персональный компьютер, на котором установлен один из современных веб-браузеров (Microsoft Internet Explorer, Google Chrome или Mozilla Firefox).



Глава 2 Общие сведения о "Континент WAF"

Назначение

"Континент WAF" является межсетевым экраном прикладного уровня и предна-значен для защиты веб-приложений от интернет-угроз.

"Континент WAF" обладает следующими основными возможностями:

анализ трафика веб-приложений и обнаружение атак (вторжений);

блокирование попыток сетевых атак при работе с веб-приложениями;

защита веб-приложений от основных типов угроз:

— всевозможные виды инъекций (SQL injection, OS injection, RCE, XPath-

injection, XXE);

— реализация атак на обратный путь в директориях и на включение уда-ленных или локальных файлов (Directory traversal, Remote/Local File

Inclusion);

— межсайтовый скриптинг (XSS);

— межсайтовая подделка запросов (CSRF);

— реализация атак, эксплуатирующих небезопасные настройки веб-прило-жений (security misconfiguration);

— реализация переборных атак (bruteforce);

— "умный" DoS (application-level DoS);

— реализация атак, эксплуатирующих недостатки системы аутентификации

(фиксация сессии, кража сессии, отсутствие тайм-аута и т. п.);

— реализация атак на механизмы авторизации (Insecure Direct Object Ref-erences, Missing Function Level Access Control);

— автоматизированный обход приложения, массовое скачивание информа-ции, использование сканеров уязвимостей (web scraping, automation);

обнаружение подозрительной активности пользователей вeб-приложений;

автоматическая настройка защитных механизмов "Континент WAF" под кон-

кретное защищаемое приложение (обучение);

контроль доступа к функциям и журналирование действий пользователей за-

щищаемых приложений;

интеграция с внешними системами управления событиями информационной

безопасности (SIEM) и с системами управления задачами (issue tracking).

Принципы функционирования

В процессе работы "Континент WAF" опирается на модели нормального поведе-ния защищаемого приложения, выявляя аномалии. Аномалии и другие атрибуты (пользователь, сессия, действие и др.) привязываются к HTTP-транзакциям (здесь и далее — пара запрос–ответ).

Группы транзакций объединяются в события, которые имеют время жизни и сви-детельствуют о тех или иных аномалиях в работе "Континент WAF" или веб-при-ложения.

Схема взаимодействия компонентов представлена на рисунке ниже.



Структура и составные модули

"Континент WAF" состоит из следующих функциональных модулей:

анализатор;

база знаний;

подсистема агрегации и периодических задач;

веб-интерфейс визуализации и управления (программа управления, Кон-

соль).

Обязанности оператора

В обязанности оператора "Континент WAF" обычно входит:

регулярный мониторинг состояний защищаемых приложений;

взаимодействие с аналитиками и/или администратором в случае нештатных

ситуаций;

настройка и поддержка с учетом особенностей защищаемого веб-приложе-

ния;

Анализатор

Шина

взаимодей

ствияМодуль сопряжения

с Nginx

Модуль сопряжения

с suricata

Обратный прокси

nginx (активный режим)

Передача HTTP-сообщений

и вердиктов

Подсистема пассивного захвата

трафика (suricata)

eth0

Трафик с

сетевого интерфейса

Передача HTTP-сообщений

Прокси доверенной

работы

Обычный

пользователь

Защищаемое

приложение

Доверенный

пользователь

Работает с приложением через WAF, используя

прокси доверенной работы.

WAF перенаправляет трафик

доверенного пользователя на приложение,

перестраивая механизмы защиты

Пользователь (возможно, злоумышленный),

взаимодействует с приложением под защитой

WAF

Обратный прокси

Пропускает легитимные запросы

И блокирует атаки

Трафик, поступающий с сетевого ответвителя (TAP)

или с mirror-порта

Модуль анализа 1

Модули и среда выполнения

База знанийМодуль анализа 2

Веб-интерфейс

Периодические

задания и

агрегация



мониторинг и анализ событий безопасности;

принятие решений о реагировании на зафиксированные события;

проверка (тестирование) корректности функционирования "Континент WAF"

при внедрении новых версий защищаемых веб-приложений;

взаимодействие с подразделением, эксплуатирующим веб-приложения, при

анализе сообщений об ошибках (особенно в отношении ложных срабатыва-ний);

взаимодействие с администратором "Континент WAF".



Глава 3 Описание интерфейса администрирования

Администрирование "Континент WAF" осуществляется из программы управления

(Консоли) через веб-интерфейс. Для подключения к "Континент WAF" необхо-димо запустить веб-браузер и в адресной строке ввести https://IP:8443, где IP — адрес узла с установленным "Континент WAF".

На экране появится экран приветствия.

Введите учетные данные и нажмите кнопку "Войти". По умолчанию создается учетная запись с именем admin, ее первоначальный пароль задается в конфигу-рационном файле /etc/wafui.yml.

После первого входа в учетную запись admin система потребует сменить перво-начальный пароль на новый.

Появится Главное окно Консоли "Континент WAF".



По умолчанию после входа пользователя в систему домашней страницей Консоли

является раздел "Обзор", отображающий сводную информацию по работе "Кон-

тинент WAF". Главное окно программы содержит следующие компоненты (см. рисунок выше):

1. Заголовок окна (верхняя строка), содержащий имя программного продукта, а также информацию о количестве зарегистрированных в "Континент WAF"

приложений, о количестве приложений, имеющих в данный момент высокий уровень угрозы, и общем количестве правил. Щелчком мышью по синим циф-рам осуществляется переход в соответствующие разделы: Раздел "Об-зор"/Раздел "Обзор" для приложений с высоким уровнем угрозы/Раздел "Правила".

2. Строка поиска позволяет быстро перейти к интересующему приложению путем ввода его имени.

3. Основное меню Консоли, содержащее следующие элементы:

название программного продукта и текущее время;

список разделов (6 кнопок);

кнопка "Меню", при нажатии которой разворачивается основное

меню (см. рисунок ниже). Повторное нажатие кнопки позволяет свернуть основное меню;

кнопки "Настройки пользователя" и "Выход".

Все элементы основного меню Консоли описаны ниже в следующих разде-лах: «Раздел "Обзор"», «Раздел "События"», «Раздел "Правила"», «Раздел "Приложения"», «Раздел "Настройки"», «Раздел "Отчеты"», «Кнопки "Настройки пользователя" и "Выход"».

4. Полоса прокрутки позволяет пролистывать экран.

Раздел "Обзор"

Раздел "Обзор" наряду с разделом "События" является основным интерфейсом оператора. Позволяет просматривать графики активности по каждому из прило-жений, оценить динамику нагрузки на приложение, а также динамику количе-ства произошедших событий разного уровня опасности во времени.

Над графиком расположены 6 вкладок (см. рисунок ниже).



Назначение вкладок описано в таблице.

Вкладка Назначение

Статусы Открывается по умолчанию при переходе в раздел "Обзор". Все возможности описаны ниже

Блокировки Отображает решения, принятые системой относительно транзак-ций. По вертикальной оси отображается количество транзакций, по вертикальной оси – время регистрации транзакции. Транзак-ции разделены на группы: Пропущено – транзакция пропущена, Заблокировано – транзакция блокирована, Модифицировано – запрос пропущен с изменениями и/или ответ изменен перед по-казом клиенту

Нагрузка Отображает степень загруженности канала (байты в секунду) в зависимости от времени. Трафик разделен на входящий и исхо-дящий

Задержка Отображает среднюю задержку обработки транзакции "Конти-нент WAF", а также среднюю задержку обработки запроса защи-щаемым приложением

Сессии Отображает количество активных сессий защищаемого приложе-ния в данный момент времени

Враждебность Отображает график степени враждебности среды в данный мо-мент времени

В рабочей области раздела "Обзор" расположены графики произошедших собы-

тий, сгруппированных по классам HTTP-ответов сервера (см. рисунок ниже).

По умолчанию при переходе в раздел "Обзор" открывается вкладка "Статусы". На графиках этой вкладки отображается количество транзакций (вертикальная ось) за единицу времени (горизонтальная ось) в разбивке по кодам HTTP-

ответов. Выделены следующие группы HTTP-транзакций:

2хх — отображает транзакции с кодами ответов 1xx, 2xx, 3xx, соответствую-

щие успешным операциям. На графике представлены зеленым цветом;

4хх — транзакции с кодами ответа 4xx – ошибки клиента (например, 404 —

запрос несуществующей страницы или 403 – запрос, требующий авториза-ции). Отображаются желтым цветом;

5хх — транзакции с кодами ответа 5xx — ошибки сервера. Наличие таких

ошибок свидетельствует о некорректной работе веб-сервера, им необходимо уделять особое внимание. Отображаются красным цветом на графике.



Для удобства просмотра можно включать/выключать отображение каждого из видов HTTP-ответов, нажимая на галочки около названий групп:

. При необходимости изменить временной ин-тервал фильтрации отображаемых на графике значений можно с помощью:

кнопок "Час", "День", "Неделя", "Месяц", расположенных слева над графи-

ком;

элементов выбора даты — справа над графиком установить конкретный ин-

тервал выборки;

выделения необходимого диапазона мышью прямо на графике.

Подробнее о выборе временного интервала см. раздел "Выбор временного ин-тервала".

Общее количество зафиксированных транзакций за выбранный временной ин-тервал отображается в правой части под графиком. Для просмотра списка тран-закций, отфильтрованного по отображаемому на графике временному

интервалу, нажмите кнопку "Транзакций: ХХХХХ".

В правой части рабочей области раздела "Обзор" находится колонка событий,

отображающая список событий безопасности, зарегистрированных для данного приложения.



Значок "Архив" в правой верхней части поля "События" перенаправляет в раздел "События" для просмотра архива событий по данному приложению.

Для каждого события доступны действия, отображенные на рисунке ниже. Зна-чения этих действий описаны в таблице.

Кнопка Назначение

Закрыть Событие переносится в архив

Детали Событие закрывается и переносится в архив. При возникновении но-вых транзакций, соответствующих данному событию, они не попадают в данное событие, а формируют новое событие безопасности. Таким образом, после закрытия событие в архиве остается неизменным, в от-личие от действия "игнорировать"

Раздел "События"

Отображает список событий с сортировкой по критичности и времени срабаты-вания. Первыми в списке отображаются непрочитанные события, которые сор-тируются по уровню критичности. События с одинаковым уровнем критичности дополнительно сортируются по времени последнего обновления. После непро-смотренных событий отображаются просмотренные, отсортированные анало-гично.



При переходе на вкладку "События" появляется дополнительное меню второго

уровня.

Меню второго уровня представляет собой фильтр по зарегистрированным при-ложениям. Так, если в меню второго уровня выбрано "все", то в рабочей области раздела отображаются все события для всех приложений. При выборе из списка определенного приложения — в списке событий в рабочей области будут отоб-

ражаться только события, относящиеся к выбранному приложению.

Полный список событий можно отфильтровать, воспользовавшись кнопками "Сортировка" и "Фильтрация".

Каждая строка в списке событий отображает следующую информацию:

вертикальная цветная полоса слева от названия события является индика-

тором критичности (красный — высокая степень критичности; желтый — средняя; зеленый — низкая; нет цвета — информация);

название событие и количество транзакций в нем;

время начала и окончания события (для активных событий время окончания

не отображается).

Для просмотра информации о событии необходимо щелкнуть мышью по строке названия интересующего события. В раскрывшейся области отображается до-

полнительная информация:

информация о степени критичности;

расширенное описание выбранного события;

кнопки-действия: "Закрыть", "Удалить", "Подробности". Подробное описание

кнопок приведено в таблице.

Кнопка Назначение

Закрыть Событие закрывается и переносится в архив. При возникновении

новых транзакций, соответствующих данному событию, они не попадают в данное событие, а формируют новое событие без-опасности. Таким образом, после закрытия событие в архиве остается неизменным, в отличие от действия "игнорировать"

Удалить Позволяет безвозвратно удалить событие

Подробности Описание см. ниже

Рабочая область подробностей события показана на рисунке ниже.

В режиме просмотра транзакций автоматическое обновление отображаемой ин-формации не выполняется. Для принудительного обновления данных о просмат-

риваемом событии необходимо использовать кнопку в правой верхней части.



В таблице приведено описание вкладок рабочей области подробностей события.


Транзакции Позволяет просмотреть информацию об общем количестве транзакций по этому событию, отображает список транзакций, содержит кнопку "Ссылка", которая позволяет получить ссылку на это конкретное событие для последующего анализа.

Двойной щелчок мышью по названию транзакции открывает окно детальной информации. Подробное описание окна деталь-ной информации приведено в разделе "Просмотр детальной ин-формации о транзакциях"

Источники Отображает количество пользователей и сессий, принимавших

участие в событии безопасности, а также распределение источ-ников атаки по пользователям и IP-адресам (кнопки "IP" и "Пользователи"). При просмотре распределения источников по IP-адресам можно выбрать один из трех режимов просмотра — Топ-10 стран — источников атаки (кнопка "Географическое расположение"), Топ-10 IP-адресов (вкладка "IP-адреса"), Tоп-10 автономных систем (вкладка "Автономные системы").

При переходе к распределению источников атаки по пользова-телям приложения отображается Топ-10 пользователей, участ-вовавших в атаке

Цели Отображаются сведения о том, какие действия в веб-приложе-нии были затронуты атакой

Аномалии Отображает статистику по аномалиям, обнаруженным в рамках данного события безопасности. Во вкладке "По модулям ана-лиза" отображается статистика по модулям анализа, обнару-жившим аномалии. Во вкладке "По видам" отображается статистика по видам аномалий

Общий вид вкладки "Источники":



Общий вид вкладки "Цели":

Общий вид вкладки "Аномалии":

Групповые операции

В разделе "События" можно выполнять различные виды групповых операций над событиями. Для этого необходимо отметить несколько событий в списке, поста-

вив галочки в поле слева от названия, после чего нажать кнопку "Выбранные" и выбрать из выпадающего меню одно из следующих действий, которое применя-ется для выбранных событий:

"Закрыть";

"Отметить как прочитанное";

"Удалить";

"Выделить все" — позволяет отметить все отображенные события безопасно-

сти;

"Снять выделение" — позволяет снять все отметки.

Раздел "Правила"

Правила реагирования определяют, что делать с запросом/ответом в зависимо-

сти от набора его атрибутов и аномалий. Минимальный набор таких правил вхо-дит в поставку средства. Правила реагирования состоят из условия (какое событие должно произойти) и действия (что в этом случае надо сделать).

Раздел "Правила" является одним из инструментов аналитика.

При переходе на вкладку "Правила" открывается меню второго и третьего

уровня.

Меню второго уровня по сути является фильтром и содержит список всех заре-гистрированных в "Континент WAF" приложений, а также два глобальных филь-тра: "Все" и "Общие". Справа от названия приложения отображается число, соответствующее количеству правил для данного приложения.



При выборе приложения из списка в рабочей области отобразятся правила, от-

носящиеся только к выбранному приложению. При выборе глобального фильтра

"Все" в рабочей области отображается весь список всех правил. Фильтр "Общие" отображает список правил, для которых не назначено приложение (правила, об-щие для всех приложений).

Меню третьего уровня является фильтром по тегам (можно выбрать один или

несколько тегов). Содержит помимо списка тегов кнопку , позволяющую сбросить выбранные теги, а также позволяет открыть список удаленных правил (см. рисунок ниже).

Рабочая область раздела содержит список правил, позволяет создавать новые правила, включать/выключать отдельные правила, а также выполнять группо-вые операции с правилами.

В рабочей области предусмотрен фильтр по действиям (блокировать/разре-шить).

Очередность выполнения правил соответствует их расположению в интерфейсе. Правила применяются в порядке, в котором они перечислены в рабочей области при выключенных фильтрах. Как только одно из правил сработает (т. е. условие правила окажется истинным для обрабатываемой транзакции), принимается ре-

шение, соответствующее действию сработавшего правила, и проверка правил для данной транзакции завершается.

Порядок правил можно изменять путем перетаскивания правил мышью. Пере-таскивание осуществляется за вертикальные точки, которые появляются слева

от названия при наведении указателя мыши на правило.

Щелчок мышью по названию правила в рабочей области открывает детальную информацию о нем: название, дата модификации, число срабатываний, тексто-вое описание правила, список тегов, кнопки действий. Переключатели справа от названия правила позволяют его включить/выключить (выключенные правила

не участвуют в принятии решений).



Создание нового правила

Для создания нового правила в правом верхнем углу вкладки "Правила" нажмите кнопку "Добавить правило".

Откроется окно создания нового правила реагирования.



Укажите правила в соответствующем поле ввода, при необходимости добавьте

один или несколько тегов, нажав кнопку "Добавить тег", и измените степень кри-

тичности, нажав кнопку "По умолчанию".

Для того чтобы задать условие срабатывания правила, наведите мышь на один из квадратов (Цели/Источники/Аномалии) и нажмите на появившийся знак "+".

В появившемся окне необходимо выбрать класс спецификации. Список доступ-

ных видов спецификаций транзакций см. в Приложении Б.

Для выбора действия необходимо щелкнуть мышью на поле "Разрешить транзак-

цию" и выбрать необходимый вид реагирования (Разрешить/Блокировать тран-

закцию) из раскрывающегося списка.

После окончания редактирования необходимо в нижней части окна нажать одну из следующих кнопок:

"Сохранить" — сохраняет настройки. Созданное правило появится в списке

правил в меню второго уровня;

"Тестировать" — показывает срабатывание создаваемого правила на ранее

зарегистрированных для данного приложения транзакциях;

"Отмена" — закрывает окно без сохранения настроек.

Редактирование правил реагирования

Для редактирования правила необходимо щелкнуть мышью по названию инте-

ресующего правила в списке, затем нажать кнопку "Редактировать" в раскрыв-

шемся поле.

При редактировании выполняются те же функции, что и при создании нового правила (см. выше).

Групповые операции с правилами

Для массового редактирования правил необходимо выбрать несколько правил, отметив их галочками, и нажать кнопку "Для отмеченных" над списком. Из рас-

крывающегося списка выбрать одно из следующих действий:

"Удалить";

"Тег" (выбранным приложениям присваивается тег из списка или создается

новый);

"Включить";

"Выключить".

Также возможно отметить все или снять все отметки, используя соответствующие кнопки над списком правил.



Раздел "Приложения"

Позволяет просмотреть подробности по каждому из приложений, а также добав-лять и удалять приложения, включать или выключать активную защиту выбран-ного приложения.

Содержит вкладки, описанные в таблице.


Транзакции Открывается по умолчанию и отображает события в реальном времени по выбранному приложению

Тройки Отображает доменное имя, IP-адрес и порт для приложения. В этой вкладке "тройки" можно создавать и удалять

Протокол Позволяет просматривать и редактировать политики проверки со-ответствия спецификации протокола HTTP

Запросы Позволяет просматривать и редактировать модель разбора запро-сов

Ответы Позволяет просматривать и редактировать модель разбора HTTP-ответов

Действия Позволяет просматривать и редактировать модель действий

Пользователи и

сессии

Позволяет просматривать и редактировать модель отслеживания

сессий и пользователей защищаемого приложения

Активность

пользователей

Отображает список зарегистрированных "Континент WAF" поль-

зователей защищаемого приложения

Прочее Позволяет добавить специфичные для приложения заголовки и

удалить приложение

В рамках данного документа рассматриваются только вкладки "Транзакции" и "Тройки", которые позволяют оператору просматривать актуальную информа-цию на текущий момент и при необходимости вносить изменения. Остальные вкладки являются интерфейсом администратора и описаны в документе "Руко-

водство по эксплуатации".

Создание профиля приложения

Профиль — это объект, который позволяет настроить "Континент WAF" для ра-боты с конкретным защищаемым веб-приложением (сайтом или набором сайтов).

Для того чтобы создать профиль приложения, необходимо перейти в раздел "Приложения" основного меню Консоли. В появившемся меню второго уровня

нажмите кнопку "Добавить приложение" либо зеленый значок "+" справа от за-головка.

В появившемся окне введите название добавляемого веб-приложения и нажмите кнопку "Создать".



Откроется окно с перечнем обнаруженных в трафике "троек" (домен, хост, порт),

не присвоенных на данный момент никакому профилю.

На данном этапе предусмотрена возможность редактирования названия созда-ваемого приложения (подробнее см. ниже), включения/выключения активной защиты (см. раздел "Переключение режима работы "Континент WAF" для прило-

жения") или удаления приложения (см. раздел "Удаление приложений").

Возможные операции с найденными "тройками":

Группировка. С помощью кнопок над списком в центре рабочего окна воз-

можно группировать "тройки" в соответствии с таблицей ниже.

Динамический поиск. Начните вводить имя хоста или IP-адрес в соответству-

ющем поле для быстрого поиска.

Название группировки

Выполняемая функция

Без группировки

Отображаются все "тройки" без группировок

С общим хостом Отображаются "тройки", сгруппированные по имени хоста. Чтобы раскрыть список "троек" с общим хостом, необходимо нажать

кнопку справа от названия хоста

С общим IP Отображаются "тройки", сгруппированные по IP-адресу. Чтобы

раскрыть список "троек" с общим хостом, необходимо нажать

кнопку справа от IP

Выберите одну или несколько "троек" и нажмите кнопку "Добавить выбранное".

Созданное приложение появится в списке приложений меню второго уровня.

Редактирование имени

Для того чтобы изменить название приложения, необходимо выбрать из меню это приложение, после чего нажать значок карандаша справа от названия.

Появится следующее окно:

Измените название в соответствующем поле и нажмите кнопку "Сохранить".



Удаление приложений

Для того чтобы удалить приложение, необходимо перейти во вкладку "Прочее" и нажать кнопку "Удалить приложение". После чего подтвердить сделанный вы-

бор в появившемся диалоговом окне.

Переключение режима работы "Континент WAF" для приложения

"Континент WAF" может работать с сетевым трафиком в двух режимах:

мониторинг — принимает трафик со SPAN-порта коммутатора и регистрирует

ошибки);

в режиме блокирования атак (обратный прокси-сервер).

Режим работы "Континент WAF" выбирается на этапе установки. При установке анализатора в режиме блокирования атак для включения или выключения ре-жима активной защиты для отдельного приложения перейдите в раздел "Прило-

жения", нажав кнопку в основном меню Консоли.

Затем выберите необходимое приложение в списке рабочей области.

В правой верхней части окна нажмите кнопку "I/O" для выключения/включения активной защиты соответственно.

Примечание. При установке "Континент WAF" в режиме работы с копией трафика система рабо-тает в пассивном режиме вне зависимости от положения переключателя.



Таблица транзакций

Во вкладке транзакций в реальном времени отображаются транзакции защища-емого приложения.

Для отключения автоматического добавления новых транзакций в таблицу необ-ходимо снять галочку внизу таблицы.

При просмотре транзакций для удобства пользователей предусмотрена возмож-ность применения сортировок и фильтров. Для применения фильтрации необхо-димо выбрать нужный фильтр в меню "Фильтры" (см. рисунок ниже). Фильтрация предусмотрена по следующим столбцам:

Дата и время (время регистрации транзакции, можно указать временной ин-

тервал);

Метод (HTTP-метод запроса);

URL (путь, query) (поиск подстроки в URL);

Статус (группа статус-кода ответа);

Решение (решение, принятое для данной транзакции);

Действие;

IP-адрес источника;

IP-адрес получателя.

По всем столбцам предусмотрена сортировка по возрастанию или убыванию зна-

чений.

В столбце "Решение" можно выбрать фильтр по принятому решению. Например, чтобы посмотреть заблокированные запросы, нужно выбрать "Заблокировать", как это показано на рисунке ниже.

Примечание. Применение фильтра может занять длительное время.



В нижней части рабочей области находятся кнопки управления.

Значение из поля "Транзакций на странице" определяет количество строк тран-

закций, отображаемых на одной странице. Кнопки в левом углу позволяют пе-ремещаться между страницами. Поле между кнопками отображает номер текущей страницы.

Поле ввода "Поиск по идентификатору транзакции" предназначено для быстрого

просмотра деталей транзакции по ее идентификатору. Введите идентификатор транзакции и нажмите кнопку "Поиск". Отобразится окно деталей транзакции.

Раздел "Настройки"

Для перехода к разделу необходимо нажать кнопку в основном меню Кон-

соли. Общий вид раздела представлен на рисунке ниже.

Данный раздел позволяет:

просматривать список анализаторов, их состояние и редактировать их

настройки;

просматривать, добавлять, редактировать, удалять учетные записи пользо-

вателей "Континент WAF";

просматривать список подавлений ложных срабатываний;

редактировать настройки SMTP-сервера;

просматривать журнал действий пользователей в Консоли.

На вкладке "Управление доступом" конфигурируются учетные записи пользова-телей, используемые для эксплуатации "Континент WAF".

Данный раздел является административным. Подробное описание функций со-держится в документе "Руководство по эксплуатации".

Раздел "Отчеты"

Представляет собой список подписок на периодические отчеты, а также форму генерации пользовательских отчетов.

Позволяет одноразово или периодически генерировать PDF-отчеты, содержащие информацию о работе системы за отчетный период.



Форма генерации отчетов позволяет:

задать отчетный период (от, до);

выбрать одно или несколько защищаемых приложений, информация по ко-

торым войдет в отчет;

выбрать тип отчета (полный/краткий);

сохранить данные журнала в файл, нажав кнопку "Экспорт".

Кнопки "Настройки пользователя" и "Выход"

Кнопка со значком в нижней части основного меню позволяет изменить дан-ные своей учетной записи (такие как ФИО, почтовый адрес, язык, пароль), а также настроить уведомления для своей учетной записи. Внешний вид раздела

показан на рисунке. Кнопка в нижней части основного меню позволяет выйти

из Консоли.



Глава 4 Разграничение доступа

В "Континент WAF" реализован механизм управления доступом. "Континент WAF"

может использоваться несколькими пользователями для выполнения разных функций.

В данном разделе описаны типовые функции, выполняемые участниками про-цесса эксплуатации "Континент WAF", настройки прав доступа, необходимые для выполнения этих функций, а также типовые сценарии распределения ролей

пользователей.

В "Континент WAF" присутствуют встроенные группы, описанные в следующей таблице.

Группа Назначение

Администратор МЭ Все члены этой группы обладают неограниченными пра-вами и имеют полный доступ ко всем функциям веб-интер-фейса

Аналитик (оператор) Все члены этой группы обладают ограниченными правами:

Просмотр и редактирование данных в разделах "Об-

зор", "События", "Правила", "Приложения", за исключе-нием безвозвратного удаления событий безопасности и только в рамках приложений, к которым имеют доступ.

Генерация отчетов и настройка уведомления для своей

учетной записи

Дежурный администратор

Все члены этой группы имеют ограниченный интерфейс (отсутствует раздел "Настройка"). Обладают правом на просмотр информации, связанной с приложениями, без права редактирования

Редактирование учетных записей пользователей производится в разделе "Настройки" основного меню Консоли во вкладке "Управление доступом".

Администратор МЭ

Обязанности:

поддержание работоспособности технических средств;

планирование архитектуры "Континент WAF";

установка (инсталляция), эксплуатация и поддержание функционирования

"Континент WAF" (в т. ч. планирование требуемых аппаратных ресурсов);

мониторинг лог-файлов;

настройка профилей и политик "Континент WAF" с учетом особенностей за-

щищаемых веб-приложений;

взаимодействие с аналитиками "Континент WAF".

Квалификация:

знания в области информационной безопасности;

знания основ построения защищенных корпоративных систем;

навыки администрирования компьютерных сетей;

знания в области веб-технологий;

знания стека протоколов TCP/IP;



навыки администрирования ОС Ubuntu;

навыки работы с "Континент WAF";

знание архитектуры, принципов функционирования и администрирования

"Континент WAF".

Учетной записи администратора "Континент WAF" назначается роль admin. Опи-сание функций, выполняемых администратором "Континент WAF", приведено в

документе "Руководство по эксплуатации".

Аналитик (оператор)


настройка профилей и политик "Континент WAF" с учетом особенностей за-

щищаемых веб-приложений;

мониторинг и анализ событий безопасности;

принятие решений о реагировании на зафиксированные события;

проверка (тестирование) корректности функционирования "Континент WAF"

при внедрении новых версий защищаемых веб-приложений;

взаимодействие с подразделением, эксплуатирующим веб-приложение, при

анализе сообщений об ошибках (особенно в отношении ложных срабатыва-ний);

взаимодействие с администратором "Континент WAF".


знание процедур настройки "Континент WAF" с учетом особенностей защи-

щаемых веб-приложений;

знание особенностей поведения защищаемых веб-приложений (входные/вы-

ходные данные, кодировка и т.п.).

Учетной записи оператора "Континент WAF" назначается роль analyst или viewer

в зависимости от должностных инструкций.

Сценарии использования "Континент WAF" оператором (аналитиком) описаны в настоящем документе.

Дежурный администратор


регулярный мониторинг состояния защищаемых приложений;

взаимодействие с аналитиками и/или администратором в случае нештатных

ситуаций.


как минимум среднее техническое образование;

знания в области информационной безопасности;

знания в области веб-технологий.

Учетной записи дежурного администратора назначается роль "только для чтения".

Основные сценарии использования "Континент WAF" дежурным администрато-ром описаны в настоящем документе.



Глава 5 Основные сценарии применения

Включение и выключение активного режима

"Континент WAF" может работать с сетевым трафиком в двух режимах:

мониторинг (принимает трафик со SPAN-порта коммутатора и регистрирует

ошибки);

блокирование атак (обратный прокси-сервер).

Режим работы "Континент WAF" выбирается на этапе установки. При установке анализатора в режиме блокирования атак для включения или выключения ре-жима активной защиты для отдельного приложения необходимо перейти в раз-

дел "Приложения", нажав кнопку в основном меню Консоли.

Затем выбрать нужное приложение в списке рабочей области, используя при

необходимости фильтры, описанные в соответствующем разделе выше.

В правой верхней части окна нажмите кнопку "I/O" для выключения/включения активной защиты соответственно.

Примечание. При установке "Континент WAF" в режиме работы с копией трафика система рабо-тает в пассивном режиме вне зависимости от положения переключателя.

Просмотр срабатываний

Для просмотра срабатываний необходимо перейти в раздел "Обзор" Консоли,

нажав кнопку в основном меню. В рабочей области необходимо перейти на вкладку "Блокировки" (см. рисунок ниже).

Найдите интересующее приложение путем прокрутки экрана.

Выбор временного интервала

Изменить временной интервал фильтрации отображаемых на графике значений можно с помощью кнопок "Час", "День", "Неделя", "Месяц", расположенных над графиком.



С помощью элементов выбора даты справа над графиком можно установить кон-кретный интервал выборки.

Также с помощью выделения мышью фрагмента графика возможно увеличить

масштаб. Для этого необходимо нажать левую кнопку мыши в начале интересу-ющего участка графика и удерживать до конца интересующего интервала. При этом на горизонтальной оси отображается индикатор — красная линия.

Просмотр транзакций

Для просмотра списка транзакций по выбранному в предыдущем пункте времен-ному интервалу необходимо нажать кнопку "Транзакций: ХХХХХ", располагаю-щуюся под графиком в правой части.



Откроется раздел "Приложения" со списком транзакций по выбранному прило-

жению за выбранное время.

Временной интервал можно изменить, выбрав необходимые дату и время начала и конца временного интервала в левой верхней части окна.

Просмотр детальной информации о транзакциях

Для просмотра детальной информации о транзакции необходимо дважды щелк-

нуть мышью по интересующей транзакции в списке.

Появится окно детальной информации. По умолчанию открывается вкладка "За-

прос".



На вкладке "Аномалии" можно увидеть найденные аномалии.

На вкладке "Решение" видны причины блокировки запроса.

Окно деталей транзакции закрывается щелчком за его пределами, щелчком по крестику в правом верхнем углу окна или нажатием клавиши "Escape".

Вкладка "Ответ" позволяет просматривать аналогичную информацию об HTTP-

ответе. Является интерфейсом администратора. Подробное описание вкладки содержится в документе "Руководство по эксплуатации".



Приложение А. Определения, обозначения и сокращения АРМ Автоматизированное рабочее место

МЭ Межсетевой экран

ОС Операционная система

Internet Protocol (IP) Протокол передачи пакетов данных

HTTP-транзакция Пара запрос–ответ

Web Application Firewall (WAF) Межсетевой экран уровня приложений



Приложение Б. Список доступных спецификаций

Спецификации целей:

Проверка кода HTTP-ответа — проверяет соответствие статус-кода HTTP-

ответа заданному значению.

Поиск регулярного выражения в теле ответа — проверяет наличие за-

данного регулярного выражения в теле ответа.

Проверка веб-приложения — проверяет, что запрос принадлежит задан-

ному веб-приложению. Веб-приложение необходимо выбрать из раскрываю-

щегося списка.

Проверка действия — проверяет, что запрос реализует заданное действие.

Действие необходимо выбрать из раскрывающегося списка.

Спецификации источника:

Проверка идентификатора сессии — проверяет, что идентификатор сес-

сии совпадает с заданным.

Запрос без идентификатора сессии — проверяет, что у данного запроса

отсутствует идентификатор сессии.

Проверка имени пользователя — проверяет, что запрос выполнил поль-

зователь с заданным именем.

Запрос от неавторизованного субъекта — проверяет, что данный запрос

совершен от имени неавторизованного пользователя.

Проверка IP-адреса пользователя — проверяет, что запрос пришел из

указанной подсети.

Спецификации аномалий:

Наличие любой аномалии — проверяет наличие любой аномалии.

Наличие аномалии с заданными свойствами — проверяет наличие ано-

малии с заданными свойствами.

Documents

Средство защиты информации Континент WAF · значен для защиты веб-приложений от интернет-угроз. "Континент