AWS - WAF Enum
AWS - WAF Enum
AWS WAF
AWS WAF एक वेब एप्लिकेशन फ़ायरवॉल है जो वेब एप्लिकेशन या API को विभिन्न वेब धोखाधड़ी से बचाने के लिए डिज़ाइन किया गया है जो उनकी उपलब्धता, सुरक्षा, या संसाधन खपत पर प्रभाव डाल सकती है। यह उपयोगकर्ताओं को आने वाले ट्रैफ़िक को नियंत्रित करने की अनुमति देता है जिसमें सुरक्षा नियम शामिल हैं जो सामान्य हमले वेक्टर्स जैसे SQL इंजेक्शन या क्रॉस-साइट स्क्रिप्टिंग को कम करते हैं और भी अपनी विशेष फ़िल्टरिंग नियमों को परिभाषित करके।
मॉनिटरिंग मानक (शर्तें)
शर्तें उन तत्वों को निर्दिष्ट करती हैं जिन्हें AWS WAF मॉनिटर करता है, जिसमें XSS, भौगोलिक स्थान (GEO), IP पते, आकार सीमाएँ, SQL इंजेक्शन, और पैटर्न (स्ट्रिंग्स और रेगेक्स मैचिंग) शामिल हैं। यह महत्वपूर्ण है कि देश के आधार पर क्लाउडफ्रंट स्तर पर प्रतिबंधित अनुरोध WAF तक नहीं पहुंचेगा।
प्रत्येक AWS खाता को कॉन्फ़िगर कर सकता है:
प्रति प्रकार के लिए 100 शर्तें (केवल 10 शर्तें की अनुमति है जहां केवल रेगेक्स के लिए, लेकिन यह सीमा बढ़ाई जा सकती है)।
100 नियम और 50 वेब ACL।
5 दर-आधारित नियमों की अधिकतम संख्या।
जब WAF एक एप्लिकेशन लोड बैलेंसर के साथ लागू होता है, तो 10,000 अनुरोध प्रति सेकंड की थ्रूपुट।
नियम कॉन्फ़िगरेशन
नियम निर्दिष्ट शर्तों का उपयोग करके बनाए जाते हैं। उदाहरण के लिए, एक नियम एक अनुरोध को ब्लॉक कर सकता है अगर यह 2 विशिष्ट शर्तों को पूरा करता है। दो प्रकार के नियम होते हैं:
सामान्य नियम: निर्दिष्ट शर्तों पर आधारित मानक नियम।
दर-आधारित नियम: पांच-मिनट की अवधि में एक विशिष्ट IP पते से अनुरोधों की गणना करता है। यहाँ, उपयोगकर्ता एक सीमा को परिभाषित करते हैं, और अगर IP से अनुरोधों की संख्या पांच मिनट के भीतर इस सीमा से अधिक होती है, तो उस IP से आगामी अनुरोध तब तक ब्लॉक होते हैं जब तक अनुरोध दर सीमा से कम नहीं हो जाती। दर-आधारित नियमों के लिए न्यूनतम सीमा 2000 अनुरोध है।
क्रियाएँ
प्रत्येक नियम को क्रिया सौंपी जाती है, विकल्प होते हैं Allow, Block, या Count:
Allow: अनुरोध को उचित CloudFront वितरण या एप्लिकेशन लोड बैलेंसर को फॉरवर्ड किया जाता है।
Block: अनुरोध तुरंत समाप्त किया जाता है।
Count: नियम की शर्तों को पूरा करने वाले अनुरोधों की गणना की जाती है। यह नियम की सटीकता की पुष्टि करने के लिए उपयोगी है पहले इसे Allow या Block पर सेट करने से पहले।
यदि कोई अनुरोध वेब ACL के भीतर किसी भी नियम से मेल नहीं खाता है, तो वह डिफ़ॉल्ट क्रिया (Allow या Block) का अनुभव करता है। नियम क्रियान्वयन का क्रम, जो एक वेब ACL के भीतर परिभाषित है, महत्वपूर्ण है और सामान्यत: इस क्रम का पालन करता है:
व्हाइटलिस्टेड IP पतों को अनुमति दें।
ब्लैकलिस्टेड IP पतों को ब्लॉक करें।
किसी भी हानिकारक हस्ताक्षरों से मेल खाते अनुरोधों को ब्लॉक करें।
CloudWatch एकीकरण
AWS WAF CloudWatch के साथ एकीकृत है जिसके लिए मॉनिटरिंग के लिए मैट्रिक्स जैसे AllowedRequests, BlockedRequests, CountedRequests, और PassedRequests उपलब्ध हैं। ये मैट्रिक्स प्रति मिनट डिफ़ॉल्ट रूप से रिपोर्ट की जाती हैं और दो हफ्तों के लिए रखी जाती हैं।
गणना
यहाँ तक कि एक वेब एएफ से संबंधित नहीं है तो विस्तार क्लाउडफ्रंट को भी देखने के लिए स्कोप REGIONAL का उपयोग करना चाहिए।
पोस्ट एक्सप्लोइटेशन / बायपास
हमलावर की दृष्टि से, यह सेवा हमलावर को WAF सुरक्षा और नेटवर्क का उजागर करने में मदद कर सकती है जो उसे अन्य वेब्स को कंप्रमाइज करने में मदद कर सकता है।
हालांकि, हमलावर इस सेवा को भंग करने में भी रुचि रख सकता है ताकि वेब्स को WAF द्वारा संरक्षित न किया जाए।
TODO: PRs are welcome
संदर्भ
https://www.citrusconsulting.com/aws-web-application-firewall-waf/#:~:text=Conditions%20allow%20you%20to%20specify,user%20via%20a%20web%20application.
Last updated