AWS - WAF Enum

AWS WAF

AWS WAF एक वेब एप्लिकेशन फ़ायरवॉल है जो वेब एप्लिकेशन या API को विभिन्न वेब धोखाधड़ी से बचाने के लिए डिज़ाइन किया गया है जो उनकी उपलब्धता, सुरक्षा, या संसाधन खपत पर प्रभाव डाल सकती है। यह उपयोगकर्ताओं को आने वाले ट्रैफ़िक को नियंत्रित करने की अनुमति देता है जिसमें सुरक्षा नियम शामिल हैं जो सामान्य हमले वेक्टर्स जैसे SQL इंजेक्शन या क्रॉस-साइट स्क्रिप्टिंग को कम करते हैं और भी अपनी विशेष फ़िल्टरिंग नियमों को परिभाषित करके।

मॉनिटरिंग मानक (शर्तें)

शर्तें उन तत्वों को निर्दिष्ट करती हैं जिन्हें AWS WAF मॉनिटर करता है, जिसमें XSS, भौगोलिक स्थान (GEO), IP पते, आकार सीमाएँ, SQL इंजेक्शन, और पैटर्न (स्ट्रिंग्स और रेगेक्स मैचिंग) शामिल हैं। यह महत्वपूर्ण है कि देश के आधार पर क्लाउडफ्रंट स्तर पर प्रतिबंधित अनुरोध WAF तक नहीं पहुंचेगा।

प्रत्येक AWS खाता को कॉन्फ़िगर कर सकता है:

• प्रति प्रकार के लिए 100 शर्तें (केवल 10 शर्तें की अनुमति है जहां केवल रेगेक्स के लिए, लेकिन यह सीमा बढ़ाई जा सकती है)।

• 100 नियम और 50 वेब ACL।

• 5 दर-आधारित नियमों की अधिकतम संख्या।

• जब WAF एक एप्लिकेशन लोड बैलेंसर के साथ लागू होता है, तो 10,000 अनुरोध प्रति सेकंड की थ्रूपुट।

नियम कॉन्फ़िगरेशन

नियम निर्दिष्ट शर्तों का उपयोग करके बनाए जाते हैं। उदाहरण के लिए, एक नियम एक अनुरोध को ब्लॉक कर सकता है अगर यह 2 विशिष्ट शर्तों को पूरा करता है। दो प्रकार के नियम होते हैं:

1. सामान्य नियम: निर्दिष्ट शर्तों पर आधारित मानक नियम।

2. दर-आधारित नियम: पांच-मिनट की अवधि में एक विशिष्ट IP पते से अनुरोधों की गणना करता है। यहाँ, उपयोगकर्ता एक सीमा को परिभाषित करते हैं, और अगर IP से अनुरोधों की संख्या पांच मिनट के भीतर इस सीमा से अधिक होती है, तो उस IP से आगामी अनुरोध तब तक ब्लॉक होते हैं जब तक अनुरोध दर सीमा से कम नहीं हो जाती। दर-आधारित नियमों के लिए न्यूनतम सीमा 2000 अनुरोध है।

क्रियाएँ

प्रत्येक नियम को क्रिया सौंपी जाती है, विकल्प होते हैं Allow, Block, या Count:

• Allow: अनुरोध को उचित CloudFront वितरण या एप्लिकेशन लोड बैलेंसर को फॉरवर्ड किया जाता है।

• Block: अनुरोध तुरंत समाप्त किया जाता है।

• Count: नियम की शर्तों को पूरा करने वाले अनुरोधों की गणना की जाती है। यह नियम की सटीकता की पुष्टि करने के लिए उपयोगी है पहले इसे Allow या Block पर सेट करने से पहले।

यदि कोई अनुरोध वेब ACL के भीतर किसी भी नियम से मेल नहीं खाता है, तो वह डिफ़ॉल्ट क्रिया (Allow या Block) का अनुभव करता है। नियम क्रियान्वयन का क्रम, जो एक वेब ACL के भीतर परिभाषित है, महत्वपूर्ण है और सामान्यत: इस क्रम का पालन करता है:

1. व्हाइटलिस्टेड IP पतों को अनुमति दें।

2. ब्लैकलिस्टेड IP पतों को ब्लॉक करें।

3. किसी भी हानिकारक हस्ताक्षरों से मेल खाते अनुरोधों को ब्लॉक करें।

CloudWatch एकीकरण

AWS WAF CloudWatch के साथ एकीकृत है जिसके लिए मॉनिटरिंग के लिए मैट्रिक्स जैसे AllowedRequests, BlockedRequests, CountedRequests, और PassedRequests उपलब्ध हैं। ये मैट्रिक्स प्रति मिनट डिफ़ॉल्ट रूप से रिपोर्ट की जाती हैं और दो हफ्तों के लिए रखी जाती हैं।

गणना

यहाँ तक कि एक वेब एएफ से संबंधित नहीं है तो विस्तार क्लाउडफ्रंट को भी देखने के लिए स्कोप REGIONAL का उपयोग करना चाहिए।

# Get web acls
aws wafv2 list-web-acls --scope REGIONAL
aws wafv2 get-web-acl --scope REGIONAL --name <name> --id <id>
aws wafv2 list-resources-for-web-acl --web-acl-arn <web-acl-arn> #Resources associated with the ACL
aws wafv2 get-web-acl-for-resource --resource-arn <arn> # Get web acl of the resource

# Rule groups
aws wafv2 list-rule-groups --scope REGIONAL
aws wafv2 get-rule-group --scope REGIONAL --name <name> --id <id>

# Get IP sets
aws wafv2 list-ip-sets --scope=REGIONAL
aws wafv2 get-ip-set --scope=REGIONAL --name <name> --id <id>

# Get regex patterns
aws wafv2 list-regex-pattern-sets --scope REGIONAL

# Get logging config (buckets storing the logs)
aws wafv2 list-logging-configurations --scope=REGIONAL

पोस्ट एक्सप्लोइटेशन / बायपास

TODO: PRs are welcome

संदर्भ

• https://www.citrusconsulting.com/aws-web-application-firewall-waf/#:~:text=Conditions%20allow%20you%20to%20specify,user%20via%20a%20web%20application.