Установка динамического модуля WAF для NGINX Plus¶

Инструкция описывает подключение Валарм WAF как динамического модуля к официальной коммерческой версии NGINX Plus.

apt list wallarm-node

apt list wallarm-node

yum list wallarm-node

# выполните на сервере с WAF‑нодой
apt list wallarm-node-nginx
# выполните на сервере с постаналитикой
apt list wallarm-node-tarantool

# выполните на сервере с WAF‑нодой
apt list wallarm-node-nginx
# выполните на сервере с постаналитикой
apt list wallarm-node-tarantool

# выполните на сервере с WAF‑нодой
yum list wallarm-node-nginx
# выполните на сервере с постаналитикой
yum list wallarm-node-tarantool

Требования¶

• Доступ к аккаунту с ролью Администратор и отключенной двухфакторной аутентификацией в Консоли управления Валарм для RU‑облака или EU‑облака

• SELinux, отключенный или настроенный по инструкции

• Выполнение команд от имени суперпользователя (например, root)

• Для обработки запросов и постаналитики на разых серверах: постаналитика, установленная на отдельный сервер по инструкции

• Возможность обращаться к https://repo.wallarm.com для загрузки пакетов. Убедитесь, что доступ не ограничен настройками файервола

• Доступ к https://api.wallarm.com:444 для работы с EU‑облаком Валарм или к https://api.wallarm.ru:444 для работы с RU‑облаком Валарм. Если доступ к Валарм API возможен только через прокси‑сервер, используйте инструкцию для настройки

• Установленный текстовый редактор vim, nano или другой. В инструкции используется редактор vim

Варианты установки¶

Обработка запросов в Валарм WAF делится на две фазы:

1. Первичная обработка в модуле NGINX-Wallarm. Не требует большого объема оперативной памяти, может быть размещена на текущих frontend-серверах без изменения требований.

2. Статистический анализ обработанных запросов в модуле постаналитики. Требует значительного объема памяти, что может потребовать внесения изменений в конфигурацию существующих серверов либо выполнение постаналитики на другом сервере.

В зависимости от архитектуры системы, модуль NGINX-Wallarm и модуль постаналитики могут быть установлены на один сервер или на разные серверы. Команды установки для разных вариантов описаны в соответствующих шагах.

Установка¶

1. Установите NGINX Plus и зависимости¶

Установите NGINX Plus и зависимости, используя официальную инструкцию NGINX.

2. Добавьте репозитории Валарм WAF¶

Валарм WAF устанавливается и обновляется из репозиториев Валарм. Для добавления репозиториев используйте команды для вашей платформы.

sudo apt install dirmngr
curl -fsSL https://repo.wallarm.com/wallarm.gpg | sudo apt-key add -
sh -c "echo 'deb http://repo.wallarm.com/debian/wallarm-node stretch/2.14/' | sudo tee /etc/apt/sources.list.d/wallarm.list"
sudo apt update

sudo apt install dirmngr
curl -fsSL https://repo.wallarm.com/wallarm.gpg | sudo apt-key add -
sh -c "echo 'deb http://repo.wallarm.com/debian/wallarm-node buster/2.14/' | sudo tee /etc/apt/sources.list.d/wallarm.list"
sudo apt update

curl -fsSL https://repo.wallarm.com/wallarm.gpg | sudo apt-key add -
sh -c "echo 'deb http://repo.wallarm.com/ubuntu/wallarm-node xenial/2.14/' | sudo tee /etc/apt/sources.list.d/wallarm.list"
sudo apt update

curl -fsSL https://repo.wallarm.com/wallarm.gpg | sudo apt-key add -
sh -c "echo 'deb http://repo.wallarm.com/ubuntu/wallarm-node bionic/2.14/' | sudo tee /etc/apt/sources.list.d/wallarm.list"
sudo apt update

sudo yum install --enablerepo=extras -y epel-release centos-release-SCL
sudo rpm -i https://repo.wallarm.com/centos/wallarm-node/6/2.14/x86_64/Packages/wallarm-node-repo-1-5.el6.noarch.rpm

sudo yum install -y epel-release
sudo rpm -i https://repo.wallarm.com/centos/wallarm-node/7/2.14/x86_64/Packages/wallarm-node-repo-1-5.el7.noarch.rpm

sudo yum install -y https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
sudo rpm -i https://repo.wallarm.com/centos/wallarm-node/7/2.14/x86_64/Packages/wallarm-node-repo-1-5.el7.noarch.rpm

3. Установите пакеты Валарм WAF¶

Обработка запросов и постаналитика на одном сервере¶

Для обработки запросов и проведения статистического анализа на одном сервере, необходимо установить следующие группы пакетов:

• nginx-plus-module-wallarm для модуля NGINX Plus-Wallarm

• wallarm-node для модуля постаналитики, хранилища Tarantool и дополнительных пакетов NGINX Plus-Wallarm

sudo apt install --no-install-recommends wallarm-node nginx-plus-module-wallarm

sudo apt install --no-install-recommends wallarm-node nginx-plus-module-wallarm

sudo yum install wallarm-node nginx-plus-module-wallarm

Обработка запросов и постаналитика на разных серверах¶

Для обработки запросов и проведения статистического анализа на разных серверах, необходимо установить следующие группы пакетов:

• wallarm-node-nginx и nginx-plus-module-wallarm для модуля NGINX Plus-Wallarm

  Debian

  sudo apt install --no-install-recommends wallarm-node-nginx nginx-plus-module-wallarm
  

  Ubuntu

  sudo apt install --no-install-recommends wallarm-node-nginx nginx-plus-module-wallarm
  

  CentOS или Amazon Linux 2

  sudo yum install wallarm-node-nginx nginx-plus-module-wallarm
  

• wallarm-node-tarantool на отдельный сервер для модуля постаналитики и хранилища Tarantool (установка описана в инструкции)

4. Подключите модуль Валарм WAF¶

1. Откройте файл /etc/nginx/nginx.conf:

   sudo vim /etc/nginx/nginx.conf
   

2. Добавьте следующую директиву под директивой worker_processes:

   load_module modules/ngx_http_wallarm_module.so;
   

   Пример файла с добавленной директивой:

   user  nginx;
   worker_processes  auto;
   load_module modules/ngx_http_wallarm_module.so;
   
   error_log  /var/log/nginx/error.log notice;
   pid        /var/run/nginx.pid;
   

3. Скопируйте конфигурационные файлы для настройки системы:

   sudo cp /usr/share/doc/nginx-plus-module-wallarm/examples/*.conf /etc/nginx/conf.d/
   

5. Подключите WAF‑ноду к Облаку Валарм¶

В процессе работы WAF‑нода взаимодействует с облаком Валарм. Чтобы подключить WAF‑ноду к облаку, выполните следующие действия:

1. Убедитесь, что роль вашего пользователя в Консоли управления Валарм — Администратор и для пользователя отключена двухэтапная аутентификация.

   Для этого перейдите к списку пользователей в RU‑облаке или EU‑облаке и проверьте столбцы Роль и Auth:

   

2. В системе с установленной WAF‑нодой запустите скрипт addnode:

   EU‑облако

   sudo /usr/share/wallarm-common/addnode
   

   RU‑облако

   sudo /usr/share/wallarm-common/addnode -H api.wallarm.ru
   

3. Введите email и пароль от вашего аккаунта Валарм.

4. Введите название WAF‑ноды или нажмите Enter, чтобы использовать название, сгенерированное автоматически.

5. Перейдите в Консоль управления Валарм → секция Ноды для RU‑облака или EU‑облака и убедитесь, что в списке появилась созданная WAF‑нода.

6. Обновите конфигурацию Валарм WAF¶

Основные конфигурационные файлы NGINX и WAF‑ноды Валарм расположены в директориях:

• /etc/nginx/conf.d/default.conf с настройками NGINX

• /etc/nginx/conf.d/wallarm.conf с глобальными настройками WAF‑ноды Валарм

  Файл используется для настроек, которые применяются ко всем доменам. Чтобы применить разные настройки к отдельным группам доменов, используйте файл default.conf или создайте новые файлы конфигурации для каждой группы доменов (например, example.com.conf и test.com.conf). Более подробная информация о конфигурационных файлах NGINX доступна в официальной документации NGINX.

• /etc/nginx/conf.d/wallarm‑status.conf с настройками мониторинга WAF‑ноды. Описание конфигурации доступно по ссылке

• /etc/default/wallarm-tarantool или /etc/sysconfig/wallarm-tarantool с настройками хранилища Tarantool

Режим фильтрации запросов¶

По умолчанию, WAF‑нода находится в режиме off и не фильтрует входящие запросы. Измените режим фильтрации для блокировки запросов с атаками на уровне настроек NGINX:

1. Откройте файл /etc/nginx/conf.d/default.conf:

   sudo vim /etc/nginx/conf.d/default.conf
   

2. Добавьте в блок server строку wallarm_mode block;.

server {
    # порт, для которого фильтруется трафик
    listen       80;
    # домен, для которого фильтруется трафик
    server_name  localhost;
    # режим работы WAF‑ноды
    wallarm_mode block;

    location / {
        root   /usr/share/nginx/html;
        index  index.html index.htm;
    }

    error_page   500 502 503 504  /50x.html;
    location = /50x.html {
        root   /usr/share/nginx/html;
    }
}

Оперативная память¶

WAF‑нода использует находящееся в памяти хранилище Tarantool. Рекомендуемое количество памяти для Tarantool: 75% от общей памяти виртуальной машины. Чтобы настроить объем памяти для Tarantool:

1. Откройте для редактирования конфигурационный файл Tarantool:

   Debian

   sudo vim /etc/default/wallarm-tarantool
   

   Ubuntu

   sudo vim /etc/default/wallarm-tarantool
   

   CentOS или Amazon Linux 2

   sudo vim /etc/sysconfig/wallarm-tarantool
   

2. Укажите размер выделенной памяти в директиве SLAB_ALLOC_ARENA в ГБ. Например, 24 ГБ:

   SLAB_ALLOC_ARENA=24
   

   Подробные рекомендации по выделению памяти для Tarantool описаны в инструкции.

3. Чтобы применить изменения, перезапустите Tarantool:

   Debian

   sudo systemctl restart wallarm-tarantool
   

   Ubuntu

   sudo service wallarm-tarantool restart
   

   CentOS 6.x

   sudo service wallarm-tarantool restart
   

   CentOS 7.x или Amazon Linux 2

   sudo systemctl restart wallarm-tarantool
   

Адрес отдельного сервера постаналитики¶

Добавьте в /etc/nginx/conf.d/wallarm.conf адреса серверов постаналитики:

upstream wallarm_tarantool {
    server <ip1>:3313 max_fails=0 fail_timeout=0 max_conns=1;
    server <ip2>:3313 max_fails=0 fail_timeout=0 max_conns=1;

    keepalive 2;
    }

    # omitted

wallarm_tarantool_upstream wallarm_tarantool;

• Значение max_conns должно быть указано для каждого сервера, чтобы предотвратить создание лишних соединений.

• Значение keepalive должно быть не меньше, чем количество серверов Tarantool.

Другие настройки¶

Чтобы обновить другие настройки NGINX и Валарм WAF, используйте документацию NGINX и список доступных директив Валарм WAF.

7. Перезапустите NGINX Plus¶

usermod -aG wallarm <user_name>

sudo systemctl restart nginx

sudo service nginx restart

sudo service nginx restart

sudo systemctl restart nginx

8. Протестируйте работу Валарм WAF¶

1. Получите статистику о работе WAF‑ноды, выполнив запрос:

   curl http://127.0.0.8/wallarm-status
   

   Запрос вернет статистические данные о проанализированных запросах. Формат ответа приведен ниже, подробное описание параметров доступно по ссылке.
   

   { "requests":0,"attacks":0,"blocked":0,"abnormal":0,"tnt_errors":0,"api_errors":0,
   "requests_lost":0,"segfaults":0,"memfaults":0,"softmemfaults":0,"time_detect":0,"db_id":46,
   "lom_id":16767,"proton_instances": { "total":1,"success":1,"fallback":0,"failed":0 },
   "stalled_workers_count":0,"stalled_workers":[] }
   

2. Отправьте тестовый запрос с атаками SQLI и XSS на адрес приложения:

   curl http://localhost/?id='or+1=1--a-<script>prompt(1)</script>'
   

   WAF‑нода заблокирует запрос, в ответ на запрос вернется код 403 Forbidden.

3. Выполните запрос к wallarm-status и убедитесь, что значение параметров requests и attacks увеличилось:

   curl http://127.0.0.8/wallarm-status
   

4. Перейдите в Консоль управления Валарм → секция События для EU‑облака или для RU‑облака и убедитесь, что атаки появились в списке.
   

   

Настройка¶

Динамический модуль Валарм WAF со стандартными настройками установлен на NGINX Plus. Чтобы кастомизировать настройки Валарм WAF, используйте доступные директивы.

Частые настройки:

• Настройка режима фильтрации запросов

• Логирование переменных WAF‑ноды

• Использование балансировщика или прокси‑сервера перед WAF‑нодой

• Добавление адресов сканера Валарм в белый список для режима фильтрации block

• Ограничение времени обработки единичного запроса в директиве wallarm_process_time_limit

• Ограничение времени ожидания ответа сервера в директиве NGINX proxy_read_timeout

• Ограничение максимального размера запроса в директиве NGINX client_max_body_size