CDN是將源站內容分發至最接近用戶的節點,提高用戶訪問的回應速度,解決企業源網站的服務器壓力。未來五年CDN行業仍然會高速增長,超過50%的互聯網流量通過CDN進行加速。
但是網路安全仍然是非常重要的問題, 雖然阿里云Web應用防火墻(WAF)支持各類CDN(如網宿、加速樂、七牛、又拍、阿里云CDN等),但是價格非常昂貴,中小企業很多負擔不起,同時抱有黑客不會攻擊的僥幸心里。那么有沒有功能和性能都好的免費WAF呢,答案是有的。
hihttps是一款免費的web應用防火墻,既支持傳統WAF的檢測功能如SQL注入、XSS、惡意漏洞掃描、密碼破解、CC、DDOS等),又支持無監督機器學習,自主對抗,重新定義web安全。具體原理可以百度搜索“hihttps談機器學習之生成對抗規則”。今天下面以CentOS 為例,一步一步介紹怎么用hihttps來免費保護CDN環境的企業源站。
一、 安裝
hihttps可以在WEB源站服務器上直接安裝,也可以像硬體WAF那樣獨立部署服務器前面,用反向代理的原理來保護源站。
首先在http://www.hihttps.com/官網下載hihttp.tar.gz安裝包,tar –zxvf hihttps.tar.gz 解壓到任意目錄,核心有3個檔案和3個目錄:
1、hihttps是可執行檔案,支持centos 64位系統。
2、hihttps.cfg是組態檔,如埠/反向代理的服務器IP等。
3、ml.cfg是機器學習組態檔。
4、rules目錄是對抗規則,包括OWASP的SQL注入、XSS、CC、DDOS、密碼破解、惡意掃描以及機器學習自主對抗規則。
5、train目錄是無監督機器學習樣本采集目錄。
6、log目錄是攻擊報警日志。
hihttps默認配置前端系結443埠(HTTPS)和81埠(HTTP),反向連接的80埠:
https:// serverip / <==> http://127.0.0.1/
http://serverip:81/ <==> http://127.0.0.1/
注釋:serverip是你的服務器的實際IP地址或者域名,本文下面不再闡述。
如果你是在vmware虛擬機里面做測驗,或者服務器上還沒有web服務器,請先安裝nginx或者apache如:
yum install nginx或yum install httpd ,打開瀏覽器 http://serverip/ ,,確認訪問80埠是成功的。
二、 hihttps配置
1、埠配置
為了方便測驗,hihttps開啟了81和443兩個web埠,注意443需要系結PEM格式的證書,默認提供了一個叫server.pem的數字證書,如果有,請換成源站服務器的真實證書。配置如下:
https.cfg:
frontend web
mode http
bind :81
default_backend s_default
frontend web_ssl
mode http
bind :443 ssl crt server.pem #PEM證書建議用絕對路徑如/home/xxx/server.pem
default_backend s_default
errorloc302 400 http://www.hihttps.com/ #攻擊重定向網頁,僅DROP阻斷模式有效
#真實的后端WEB服務器埠
backend s_default
mode http
server server_default 127.0.0.1:80
2、OWASP規則設定
Hihttps兼容ModSecurity大部分規則,最厲害的是著名安全社區OWASP,開發和維護著一套免費的應用程式保護規則,這就是所謂OWASP的ModSecurity的核心規則集(即CRS),幾乎覆寫了如SQL注入、XSS跨站攻擊腳本、惡意掃描、密碼破解、DOS等幾十種常見WEB攻擊方法。
hihttps默認配置了這幾條,基本滿足常見攻擊防護:
REQUEST-913-SCANNER-DETECTION.conf
REQUEST-941-APPLICATION-ATTACK-XSS conf
REQUEST-942-APPLICATION-ATTACK-SQLI conf
REQUEST-20-APPLICATION-CC-DDOS conf
REQUEST-20-APPLICATION-Brute-PASS conf
white_url.data
black_url.data
……
更多的規則,可以去https://github.com/SpiderLabs/ModSecurity官方網站下載,把檔案保存在rule目錄下即可。
3、機器學習配置
一般來說,機器學習是自動完成的,不用配置。當然也可以為機器精確設定要學習的網站檔案所對應的目錄,這樣學習更快速、準確:
ml.cfg:
#www_dir /usr/share/nginx/html/
#預設是報警模式ruleAction alert,要設定為阻斷模式,請開啟ruleAction drop
#ruleAction drop
4、 機器學習對抗規則
Rules目錄下的gan.rule是機器學習自動生成的對抗規則檔案,為了方便測驗,默認了一條介面規則https://serverip/hihttps.html?id=xxx
三、運行測驗
運行./hihttps,如果界面列印出了OWASP 規則、Mache Learning(機器學習規則),并且顯示了start ok……就說明正常。
1、OWASP 規則測驗
可以用Kali Linux,集成了很多web漏洞掃描工具,非常方便測驗,如nkito等。
運行 nikto -h 192.168.0.1 -p 80,81 -C
或者nikto -host www.baidu.com –C port 443 –ssl
hihttps主界面就會列印出,大量的報警日志。
2、機器學習測驗
機器學習是hihttps的核心,但采集成千上萬的樣本需要一定時間,為了方便測驗,默認了一條hihttps.html機器學習樣本。
https://serverip/hihttps.html?id=123,采集到的樣本大于99%都是這種形態,那么瀏覽器輸入下面的網址,都將視為攻擊:
攻擊測驗樣本:
https://serverip/hihttps.html?id=123' or 1='1
https://serverip/hihttps.html?id=<script>alert(1);</script>
https://serverip/hihttps.html?id=1234567890&t=123
https://serverip/hihttps.html?id=abc
如果上圖界面,列印出了攻擊日志,那么恭喜你,系統運行正常,hihttps保護成功。
報警日志產生在log目錄下,按天存盤,格式是這樣的。。
2020-02-09 21:14:49 192.168.1.153:59615 [*ALERT*] [888] [GET /hihttps.html] STR:"ff" Matched, Machine Learning : Detect an attack,value is not a number...
…..
四、正式部署
作為免費版本,到這里就結束了。實際部署的時候,把hihttps和nginx(apache)的埠換一下,hihttps系結80和443,nginx(apache)系結127.0.0.1:81就可以了。
修改hihttps.cfg檔案相關配置:
http://serverip/ <==> http://127.0.0.1:81/
https://serverip/ <==> http://127.0.0.1:81/
用機器學習幾天后,如果人工核實報警準確率大于99.9%,在不影響生產的情況下,可以修改ml.cfg檔案,開啟ruleAction drop阻斷模式。
hihttps企業版付費本無非就是開源,并且有專門的WEB管理界面而已,核心防護功能都一樣,小企業沒必要再去購買昂貴的WAF。
五、總結
1、傳統的waf規則很難對付未知漏洞和未知攻擊。讓機器像人一樣學習,具有一定智能自動對抗APT攻擊或許是唯一有效途徑,但黑客攻防技術本身就是人類最頂尖智力的較量,WEB安全仍然任重而道遠。
2、幸好hihttps這類免費的應用防火墻在機器學習、自主對抗中開了很好一個頭,未來WEB安全很可能是特征工程+機器學習共同完成,必然是AI的天下。
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/38901.html
標籤:CDN
上一篇:usb無線網卡為什么連得上我手機的熱點連不上我電腦的熱點
下一篇:Internet協議