Traitement des faux positifs WAF

La définition d'un contenu suspect est propre à chaque site Web. Par exemple, le code PHP publié sur votre site Web est suspect sauf si votre site indique comment coder et requiert des visiteurs la soumissions de code PHP. Ce type de site Web doit désactiver les règles WAF connexes qui interfèrent avec un fonctionnement normal.

Pour détecter des faux positifs, placez WAF en mode simulation pour enregistrer la réponse à des attaques possibles sans demande d'authentification ou blocages. Utilisez ensuite le journal Firewall Analytics Activity pour déterminer quelles règles WAF ont généré des faux positifs.

Si vous avez détecté un faux positif, plusieurs solutions sont possibles :

• Ajout des adresses IP du client à la liste autorisée IP Access Rules : si le navigateur ou le client effectue une consultation à partir des mêmes adresse IP, il est recommandé de les autoriser.
• Désactivation des règles WAF correspondants. Cette action arrête de bloquer les faux positifs ou de demander leur authentification mais réduit la sécurité globale du site. Une demande bloquée par l'ID de règle WAF 981176 fait référence à des règles OWASP. Réduisez la sensibilité OWASP pour résoudre le problème.
• Pare-feu WAF ignoré avec une règle de pare-feu : Créez une règle de pare-feu avec l'action Ignorer afin de désactiver le pare-feu WAF pour une combinaison spécifique de paramètres. Par exemple, ignorez le pare-feu WAF pour une URL spécifique et une adresse IP ou un agent utilisateur spécifique.
• Désactivation du pare-feu WAF pour le trafic WAF vers une URL (déconseillé). La désactivation du pare-feu WAF à l'aide de règles de page réduit la sécurité sur le noeud final d'URL spécifique.

Si vous contactez le service de support IBM pour vérifier si une règle WAF est déclenchée comme prévu, fournissez-leur un fichier HAR capturé avec votre demande d'intervention.

Si une seule règle génère des faux positifs, faites passer la règle en mode Désactivation au lieu de désactiver l'ensemble du groupe de règles. Pour les faux positifs liés au contenu administrateur du site Web, créez une règle de page pour désactiver la sécurité de la section admin des ressources du site, par exemple yoursite.com/admin.

Traitement des faux négatifs WAF

Pour identifier les faux négatifs, examinez les journaux HTTP sur le serveur Web d'origine.

Pour réduire le nombre de faux négatifs, utilisez la liste de contrôle suivante :

• L'option Web Application Firewall est-elle activée (On) dans l'application Firewall sous Managed Rules ?
• L'option Web Application Firewall est-elle désactivée (Off) à l'aide de règles de page ?
• Les règles WAF ne sont pas toutes activées par défaut ; vous devez donc vérifier les actions par défaut des différents règles WAF. Par exemple, CIS autorise par défaut les demandes avec des agents utilisateur vides.

Pour bloquer des demandes avec un agent utilisateur vide, faites passer la règle WAF en mode Block.

• Les enregistrements DNS qui prennent en charge le trafic HTTP utilisent-ils un proxy via CIS ?
• Une règle de pare-feu ignore-t-elle les règles gérées CIS ?
• Il y a t-il un pays, un numéro ASN, une plage d'adresses IP ou des adresses IP autorisés dans des règles d'accès IP ou des règles de pare-feu qui correspond au trafic lié à l'attaque ?
• Le trafic malveillant est-il dirigé vers les adresses IP d'origine pour éviter la protection CIS ? Bloquez l'ensemble du trafic sauf celui qui provient des adresses IP CIS au niveau de votre serveur d'origine Web.