AWS - WAF Enum

AWS WAF

AWS WAF ni firewall ya maombi ya wavuti iliyoundwa kulinda maombi ya wavuti au APIs dhidi ya mbinu mbalimbali za udukuzi wa wavuti ambazo zinaweza kuathiri upatikanaji wao, usalama, au matumizi ya rasilimali. Inawezesha watumiaji kudhibiti trafiki ya kuingia kwa kuweka mipangilio ya usalama ambayo inapunguza vectors za mashambulizi kama vile SQL injection au cross-site scripting na pia kwa kufafanua sheria za kuchuja desturi.

Vigezo vya Ufuatiliaji (Masharti)

Masharti yanabainisha vipengele vya maombi ya HTTP/HTTPS yanayofuatiliwa na AWS WAF, ambayo ni pamoja na XSS, eneo la kijiografia (GEO), anwani za IP, kikomo cha ukubwa, SQL Injection, na mifano (maneno na kulinganisha regex). Ni muhimu kutambua kuwa maombi yaliyozuiwa kwenye kiwango cha CloudFront kulingana na nchi hayatafikia WAF.

Kila akaunti ya AWS inaweza kusanidi:

• Masharti 100 kwa kila aina (isipokuwa kwa Regex, ambapo masharti 10 tu yanaruhusiwa, lakini kikomo hiki kinaweza kuongezwa).

• Sheria 100 na ACL za Wavuti 50.

• Kiwango cha juu cha sheria 5 zinazohusiana na kiwango.

• Uwezo wa maombi 10,000 kwa sekunde wakati WAF inatekelezwa na balancer ya mzigo wa maombi.

Usanidi wa Sheria

Sheria zinatengenezwa kwa kutumia masharti yaliyotajwa. Kwa mfano, sheria inaweza kuzuia ombi ikiwa inakidhi masharti 2 maalum. Kuna aina mbili za sheria:

1. Sheria ya Kawaida: Sheria ya kawaida inategemea masharti yaliyotajwa.

2. Sheria Inayohusiana na Kiwango: Inahesabu maombi kutoka kwa anwani ya IP maalum kwa kipindi cha dakika tano. Hapa, watumiaji wanadefini kizingiti, na ikiwa idadi ya maombi kutoka kwa anwani ya IP inazidi kikomo hiki ndani ya dakika tano, maombi yanayofuata kutoka kwa anwani hiyo ya IP yatazuiliwa hadi kiwango cha maombi kishuke chini ya kizingiti. Kizingiti cha chini kwa sheria zinazohusiana na kiwango ni maombi 2000.

Vitendo

Vitendo vinapewa kila sheria, chaguzi zikiwa Ruhusu, Zuia, au Hesabu:

• Ruhusu: Ombi linaelekezwa kwa usambazaji sahihi wa CloudFront au Balancer ya Mzigo wa Maombi.

• Zuia: Ombi linakomeshwa mara moja.

• Hesabu: Inahesabu maombi yanayokidhi masharti ya sheria. Hii ni muhimu kwa majaribio ya sheria, kuthibitisha usahihi wa sheria kabla ya kuweka Ruhusu au Zuia.

Ikiwa ombi halilingani na sheria yoyote ndani ya ACL ya Wavuti, linapitia kitendo cha msingi (Ruhusu au Zuia). Mpangilio wa utekelezaji wa sheria, uliowekwa ndani ya ACL ya Wavuti, ni muhimu na kawaida unafuata mfuatano huu:

1. Ruhusu Anwani za IP zilizoorodheshwa kwenye Orodha Nyeupe.

2. Zuia Anwani za IP zilizoorodheshwa kwenye Orodha Nyeusi.

3. Zuia maombi yanayolingana na saini yoyote inayoweza kudhuru.

Ushirikiano wa CloudWatch

AWS WAF inashirikiana na CloudWatch kwa ufuatiliaji, ikitoa takwimu kama vile Maombi Yaliyoruhusiwa, Maombi Yaliyozuiwa, Maombi Yaliyohesabiwa, na Maombi Yaliyopita. Takwimu hizi hujulishwa kila dakika kwa chaguo-msingi na kuhifadhiwa kwa kipindi cha wiki mbili.

Uorodheshaji

Upeo pia unaweza kuwa CLOUDFRONT, lakini unapotafuta WAF isiyohusiana na Cloudfront unahitaji kutumia REGIONAL.

# Get web acls
aws wafv2 list-web-acls --scope REGIONAL
aws wafv2 get-web-acl --scope REGIONAL --name <name> --id <id>
aws wafv2 list-resources-for-web-acl --web-acl-arn <web-acl-arn> #Resources associated with the ACL
aws wafv2 get-web-acl-for-resource --resource-arn <arn> # Get web acl of the resource

# Rule groups
aws wafv2 list-rule-groups --scope REGIONAL
aws wafv2 get-rule-group --scope REGIONAL --name <name> --id <id>

# Get IP sets
aws wafv2 list-ip-sets --scope=REGIONAL
aws wafv2 get-ip-set --scope=REGIONAL --name <name> --id <id>

# Get regex patterns
aws wafv2 list-regex-pattern-sets --scope REGIONAL

# Get logging config (buckets storing the logs)
aws wafv2 list-logging-configurations --scope=REGIONAL

Baada ya Uvamizi / Kupita Kizuizi

TODO: PRs are welcome

Marejeo

• https://www.citrusconsulting.com/aws-web-application-firewall-waf/#:~:text=Conditions%20allow%20you%20to%20specify,user%20via%20a%20web%20application.