Resolución de problemas de falsos positivos de WAF

La definición de contenido sospechoso es subjetiva para cada sitio web. Por ejemplo, el código PHP publicado en su sitio web es sospechoso a menos que su sitio web enseñe a codificar y requiera el envío de código PHP por parte de los visitantes. Por lo tanto, dicho sitio web debe inhabilitar las reglas WAF relacionadas que interfieren con el funcionamiento normal.

Para probar los falsos positivos, establezca el WAF en modalidad Simulate, para registrar la respuesta a posibles ataques sin bloquear ni presentar un desafío. Además, utilice el registro de actividades del Análisis de cortafuegos para determinar qué reglas WAF han provocado falsos positivos.

Si encuentra un falso positivo, hay varias resoluciones potenciales:

• Añada las direcciones IP del cliente a la lista de elementos permitidos de las reglas de acceso IP: si el navegador o el cliente visitan desde las mismas direcciones IP, se recomienda permitir.
• Inhabilite las reglas WAF correspondientes. Al hacerlo, se evita el bloqueo o el desafío de falsos positivos, pero reduce la seguridad general del sitio. Una solicitud bloqueada por el ID de regla de WAF 981176 hace referencia a las reglas OWASP. Disminuya la sensibilidad de OWASP para resolver el problema.
• Omita el WAF con una regla de cortafuegos: cree una regla de cortafuegos con la acción de omisión para desactivar el WAF para una combinación específica de parámetros. Por ejemplo, omita el WAF para un URL específico y una dirección IP o un agente de usuario específicos.
• Inhabilite WAF para tráfico a un URL (no recomendado). La inhabilitación de WAF utilizando reglas de página reduce la seguridad en el punto final de URL determinado.

Si se pone en contacto con el soporte de IBM para verificar si una regla de WAF se activa como se espera, proporcione un archivo HAR capturado al enviar la solicitud específica que le preocupa.

Si una regla específica provoca falsos positivos, establezca la modalidad de regla en Inhabilitar en lugar de desactivar todo el grupo de reglas. Para los falsos positivos con el contenido del administrador en su sitio web, cree una regla de página para inhabilitar la seguridad de la sección de administración de los recursos del sitio, por ejemplo, yoursite.com/admin.

Resolución de problemas de falsos negativos de WAF

Para identificar falsos negativos, revise los registros HTTP en el servidor web de origen.

Para reducir los falsos negativos, utilice la siguiente lista de comprobación:

• ¿Está el cortafuegos de aplicaciones web activado (On) en la aplicación de cortafuegos bajo reglas gestionadas?
• ¿Está el cortafuegos de aplicaciones desactivado (Off) utilizando reglas de página?
• No todas las reglas WAF están habilitadas de forma predeterminada, por lo tanto, revise las acciones predeterminadas de reglas WAF individuales. Por ejemplo, CIS permite solicitudes con agentes de usuario vacíos de forma predeterminada.

Para bloquear solicitudes con un agente de usuario vacío, cambie la modalidad de regla WAF a Block.

• ¿Los registros de DNS que sirven al tráfico HTTP pasan a través de un proxy de CIS?
• ¿Una regla de cortafuegos ignora las reglas gestionadas por CIS?
• ¿Coincide un país, un ASN, un rango de IP o una IP permitidos en las reglas de acceso a IP o en las reglas del cortafuegos con el tráfico de ataque?
• ¿Está el tráfico malicioso dirigido a las direcciones IP de origen para ignorar la protección de CIS? Bloquee todo el tráfico, excepto las direcciones IP de CIS en el servidor web de origen.