Come posso risolvere i falsi positivi e i falsi negativi in WAF?
Per impostazione predefinita, il WAF (Web Application Firewall) è completamente gestito attraverso il pannello di controllo ed è compatibile con la maggior parte dei siti web e delle applicazioni web. Tuttavia, potreste incontrare falsi positivi e falsi negativi.
Falsi positivi accadono quando le richieste legittime vengono rilevate e filtrate come dannose. Falsi negativi si verificano quando le richieste dannose non vengono filtrate.
Risoluzione dei falsi positivi WAF
La definizione di contenuto sospetto è soggettiva per ogni sito web. Ad esempio, il codice PHP pubblicato sul tuo sito web è sospetto a meno che il tuo sito web non ti insegna a codificare e richiede le richieste di codice PHP da parte dei visitatori. Pertanto, un tale sito web deve disabilitare le relative regole WAF che interferiscono con il normale funzionamento.
Per testare i falsi positivi, impostare WAF sulla modalità Simulate, per registrare la risposta a possibili attacchi senza impegnare o bloccare. Inoltre, utilizzare il log di attività di Firewall Analytics per determinare quali regole WAF hanno causato falsi positivi.
Se si incontrano un falso positivo, ci sono diverse risoluzioni potenziali:
- Aggiungere gli indirizzi IP del client all'IP Access Rules allowlist: se il browser o le visite client dagli stessi indirizzi IP, è consigliabile.
- Disabilitare le regole WAF corrispondenti. Farlo interrompe il blocco o impugnando i falsi positivi, ma riduce la sicurezza globale del sito. Una richiesta bloccata da WAF Rule ID 981176 si riferisce alle regole OWASP. Diminuire la sensibilità OWASP per risolvere la questione.
- Bypassare il WAF con una regola Firewall: Creare una regola Firewall con l'azione di bypass per disattivare il WAF per una combinazione specifica di parametri. Per esempio, bypassare il WAF per un URL specifico e uno specifico indirizzo IP o agente utente.
- Disabilitare WAF per il traffico verso un URL (non consigliato). La disabilitazione di WAF tramite le regole della pagina abbassa la sicurezza sul particolare endpoint URL.
Se si contatta il supporto IBM per verificare se una regola WAF viene attivata come previsto, fornire un file HAR acquisito durante l'invio della specifica richiesta di interesse.
Se una regola specifica provoca falsi positivi, impostare la Modalità di regola su Disabilita piuttosto che disattivare l'intero gruppo di regole. Per i falsi positivi con il contenuto dell'amministratore sul proprio sito web, creare una regola
di pagina per disabilitare la sicurezza per la sezione admin delle risorse del sito, ad esempio yoursite.com/admin.
Risoluzione dei problemi WAF falsi negativi
Per identificare falsi negativi, rivedere i log HTTP sul server web di origine.
Per ridurre i falsi negativi, utilizzare la seguente checklist:
- Web Application Firewall
Onnell'app Firewall in regole gestite? - È Web Application Firewall
Offutilizzando le regole della pagina? - Non tutte le regole WAF sono abilitate per impostazione predefinita, quindi rivedere le singole azioni predefinite della regola WAF. Ad esempio, CIS consente le richieste con gli agenti degli utenti vuoti per impostazione predefinita.
Per bloccare le richieste con un agent utente vuoto, modificare la Modalità di regola WAF a Block.
- I record DNS che servono il traffico HTTP sono stati proxati tramite CIS?
- Una regola del firewall bypassa le regole gestite CIS ?
- Un paese consentito, ASN, intervallo IP o IP in regole di accesso IP o regole firewall corrispondono al traffico di attacco?
- Il traffico dannoso è diretto ai tuoi indirizzi IP di origine per bypassare la protezione CIS ? Blocca tutto il traffico tranne che dagli indirizzi IP di CISal tuo server web di origine.