09.07.2025 08:12
beeline_cloud 0 610 Источник

Ранее в блоге beeline cloud мы рассказывали про веб-приложения компаний: почему они часто становятся целями злоумышленников и что способны им противопоставить решения WAF — Web Application Firewall. Сегодня рассмотрим несколько инструментов такого класса от разработчиков из Китая, Франции и Италии.

Изображение — Reanimated Man X
Изображение — Reanimated Man X

SafeLine

Решение выпустила китайская ИБ-компания Chaitin Tech. WAF защищает от классических типов уязвимостей из списка OWASP вроде SQL-инъекций, межсайтового скриптинга и других. Также SafeLine умеет противостоять DoS-атакам и брутфорсу и имеет систему динамической защиты, шифрующей HTML- и JS-код на веб-сервере.

Разработка SafeLine началась несколько лет назад, хотя релиз на GitHub произошёл только в 2023-м. Обновления выходят раз в 2–3 недели и включают не только исправление ошибок, но и новые функции. В свежих версиях добавили поддержку OIDC для системы аутентификации и идентификацию местоположения по адресу IPv6.

Архитектура WAF решения есть на схеме, которую разработчики опубликовали в документации. На ней изображены шлюзы, сервисы, узлы обнаружения угроз и так далее. Что касается интерфейса SafeLine, то с ним можно познакомиться в демо. Как указывают разработчики, этот межсетевой экран попадал в аналитические рейтинги IDC и Forrester, и несколько лет подряд отмечался на «магическом квадранте» Gartner.

uuWAF

Еще одна китайская разработка, представленная в сентябре 2022 года компанией UUSEC Technology. Файрвол веб-приложений uuWAF защищает от SQL-инъекций, межсайтового скриптинга, удаленного выполнения кода и атак с локальным включением файлов (LFI). Решение умеет противостоять и атакам нулевого дня — uuWAF способен моделировать сигнатуры ранее неизвестных угроз. При этом ML применяется для распознания необычного сетевого поведения. В uuWAF поддерживается продвинутая очистка кэша, позволяющая ускорить работу CDN, а также имеется компилятор и интерпретатор для Lua — LuaJIT. С его помощью можно писать кастомные скрипты и политики.

Стоит отметить, что инструмент опубликован под двумя лицензиями. Первая — GNU GPL v3.0, а вторая — кастомная, запрещающая использовать uuWAF на более чем одном устройстве и реализовать его в коммерческих целях. Однако компания развивает и другие проекты: например, Firefly, который является минималистичным VPN-сервером для WireGuard с лицензией Creative Commons 4.0, и OpenResty Manager — панель управления для платформы OpenResty, позволяющая настраивать сайты, мониторить их работу и обеспечивать безопасность [этот проект — под GNU GPL v3.0].

Coraza

Одним из известных WAF-решений с открытым исходным кодом является ModSecurity. Его разработка началась ещё в 2002 году — инструмент написали независимые программисты, а затем поддержкой и развитием занялась компания Trustwave. Продукт ModSecurity получил признание сообщества, и для него был написан набор правил OWASP CRS для защиты веб-приложений от распространённых атак. Но в Trustwave объявили, что прекращают официальную поддержку ModSecurity в 2024 году. И несмотря на тот факт, что его продолжит развивать сообщество, специалисты OWASP начали искать замену этому решению. Ей стал инструмент под названием Coraza

Это — WAF для защиты веб-ресурсов на корпоративном уровне, который распространяется под лицензией Apache 2.0. Он написан на Go, поддерживает наборы правил ModSecurity и язык SecLang, позволяющий описывать логику проверки HTTP-запросов и ответов. Таким образом, Coraza можно настроить на основе правил обнаружения атак OWASP CRS или создать собственные политики. Ожидаемо, Coraza предоставляет защиту от таких уязвимостей, как SQL-инъекции, внедрение кода PHP и Java, HTTPoxy или Shellshock. Также инструмент обнаруживает сканеры и ботов, утечку метаданных. WAF можно развернуть в качестве библиотеки на существующем веб-сервере, в виде обратного прокси или с помощью Docker-контейнеров.

В целом отзывы о Coraza положительные: например, один из пользователей внедрил этот WAF в качестве средства защиты своей домашней лаборатории и менеджера паролей Vaultwarden. Однако другие комментаторы указывают, что реальных примеров развёртывания пока не слишком много, а документация недостаточно информативная.

BunkerWeb

Это — WAF, который можно интегрировать в Linux, Docker, Swarm, Kubernetes, Ansible, Vagrant и другие среды. Реализуется в рамках лицензии AGPL-3.0. Решение было спроектировано французской ИТ-компанией Bunkerity в 2021 году. Она специализируется на консалтинге и разработке инструментов в сфере кибербезопасности, а BunkerWeb является их приоритетным open source-проектом.

В BunkerWeb интегрирован ModSecurity WAF с базовым набором правил OWASP. В брандмауэре можно настраивать режим безопасности по двум сценариям. При первом обнаруженная потенциальная угроза регистрируется, но доступ не ограничивается. При втором инструмент блокирует все возможные уязвимости и сохраняет данные об инцидентах. Этот WAF поддерживает автоматическую блокировку подключений на основе кода состояния HTTP и противодействует ботам. Также администратор может установить ограничение на количество подключений или запросов для клиента.

Изображение — Erim Berk Benli
Изображение — Erim Berk Benli

BunkerWeb имеет и систему плагинов: есть набор официальных, но можно написать кастомные. К примеру, среди базовых присутствует ClamAV, позволяющий отклонять запросы при попытке загрузить какой-либо файл. В одном из последних обновлений разработчики добавили функции для работы с Let’s Encrypt. Пользователи получили возможность автоматизировать выпуск и продление сертификатов SSL/TLS.

Управлять брандмауэром можно через CLI-среду, однако авторы предлагают веб-интерфейс. В нём можно получить детальные отчёты о заблокированных атаках и установить плагины. В целом разработчики рекомендуют настраивать BunkerWeb как обратный прокси-сервер. Пошаговое руководство есть в документации.

Wafris

В 2023 году команда разработчиков из американской компании Wafris представила одноимённый WAF-инструмент под лицензией Elastic 2.0. Он имеет базовый набор защиты: противодействие SQL-инъекциям, правила блокировки, ограничения скорости обработки запросов. Но есть и несколько особенностей, например, инструмент оценивает уровень опасности пользователя на основе его поведения под конкретным IP. Инструмент позволяет блокировать хосты и маршруты, ограничивать частоту запросов к приложению и визуализировать их наравне с входящим трафиком.

Информация о трафике поступает в режиме реального времени. Решение имеет клиенты для Rails/Rack, Laravel, Node, Caddy и работает на других Redis-фреймворках. Но стоит заметить, хотя код клиентов Wafris открыт и выложен на GitHub, для настройки и запуска решения необходимо подключение к иностранному облачному сервису. Поэтому важно учитывать, что этот продукт подойдет далеко не для всех задач, компаний и приложений.

OpenSnitch

В 2018 году для приложений GNU и Linux появился инструмент OpenSnitch (GNU GPL v3.0), вдохновлённый другим известным файрволом веб-приложений для macOS — Little Snitch. Разработку инструмента начал итальянский программист Симоне Маргарителли в 2017 году, а в 2018 он опубликовал версию 1.0. Автор также известен своим портативным фреймворком для реверс-инжиниринга и проверок Wi-Fi-сетей bettercap.

С помощью OpenSnitch можно блокировать рекламу или вредоносные домены. Также сетевой администратор может управлять несколькими узлами, используя графический интерфейс. Дополнительно WAF можно настроить для отправки перехваченных событий в сторонние SIEM-решения. В обсуждениях OpenSnitch можно найти и примеры применения. Например, один пользователь настроил этот WAF на платформе Librem 5. А среди минусов выделяют невозможность управлять входящими подключениями.

Скрипт для проверки безопасности

В отличие от предыдущих решений, EasyScan представляет собой Python-скрипт. Он проверяет HTTP-заголовки и DNS-записи на сайте, а затем подготавливает отчёт с выявленными уязвимостями и рекомендациями по их устранению. Также у EasyScan есть веб-версия (но отсутствует какая-либо лицензия!).

Инструмент охватывает 11 тестовых сценариев. Например, EasyScan может проверить безопасность cookie-конфигурации по переменным Secure или HttpOnly. Или же он укажет заголовки, имеющие информацию от применяемом на сайте стеке технологий. Также скрипт позволяет анализировать DNS-записи, такие как SPF и DMARC, чтобы оценить уровень защиты веб-ресурса от фишинговых атак и писем с поддельным отправителем.

Скрипт в 2023 году написал разработчик и независимый консультант по кибербезопасности Маниш Бхаттачарья. Он выявлял уязвимости в сетевой инфраструктуре таких крупных ИТ-корпораций, как Google и Microsoft. И он же напоминает, что сканеры, подобные EasyScan, не являются полноценным и достаточным решением для защиты своего ресурса. Скрипт охватывает лишь самые распространённые уязвимости, и необходимо использовать подходящие инструменты для укрепления информационной безопасности.

Как правило, настройка открытых WAF-решений требует опыта работы с подобными системами, поскольку их конфигурация сопряжена с определёнными сложностями. Поэтому для новых ИТ-проектов и в компаниях, не специализирующихся на технологиях, удобнее обратиться к сервису от провайдера. Поставщик услуги возьмет на себя развёртывание, а при необходимости окажет техподдержку. Мы в beeline cloud предлагаем такой сервис — Cloud WAF Pro. Он осуществляет фильтрацию трафика на прикладном уровне и поставляется с защитой на основе глубокого анализа данных.

beeline cloud — secure cloud provider. Разрабатываем облачные решения, чтобы вы предоставляли клиентам лучшие сервисы.

Комментарии (0)