Jxwaf安装部署使用方案 – 作者:陌度

安装

直接到github下载

[root@localhost tmp]# cd /tmp
[root@localhost tmp]# git clone https://github.com/jx-sec/jxwaf.git
[root@localhost tmp]# cd jxwaf/
[root@localhost jxwaf]# chmod +x install_waf.sh 
[root@localhost jxwaf]# ./install_waf.sh

最后安装完成会显示成这样。

图片[1]-Jxwaf安装部署使用方案 – 作者:陌度-安全小百科

下载靶机测试

docker pull docker.io/citizenstig/nowasp

下载jxwaf配置中心

 docker pull jxwaf/jxwaf-server:latest

配置

首先先把配置中心启动起来

[root@localhost jxwaf]# docker run -d -p 8000:80 jxwaf/jxwaf-server:latest
7666b1d2a235c57f13bb243309d7a30afd03684dcdd1365be0dca95b70588936

浏览器打开8000端口进去

图片[2]-Jxwaf安装部署使用方案 – 作者:陌度-安全小百科点击注册,输入邮箱,

图片[3]-Jxwaf安装部署使用方案 – 作者:陌度-安全小百科

邮箱验证码随便填图片[4]-Jxwaf安装部署使用方案 – 作者:陌度-安全小百科注册账号之后,登录进去图片[5]-Jxwaf安装部署使用方案 – 作者:陌度-安全小百科

来到全局配置这里,复制api key和api password

图片[6]-Jxwaf安装部署使用方案 – 作者:陌度-安全小百科

由于我没有DNS解析域名,就本地hosts一下

[root@localhost jxwaf]# cat /etc/hosts
192.168.0.4 test.waf.com

默认配置文件,需要修改前面四个地方,waf_api_key,waf_api_password配置中心里面有,waf_update_website,waf_monitor_website,不连上官网,修改本地地址

[root@localhost jxwaf]# cat /opt/jxwaf/nginx/conf/jxwaf/jxwaf_config.json 
{
    "waf_api_key": "5fc335bc-d778-4d90-ab3f-ece36bad4a24",
    "waf_api_password": "6bace0ac-ddca-412f-b768-81407044ea0c",
    "waf_update_website": "http://update2.jxwaf.com/waf_update",
    "waf_monitor_website": "http://update2.jxwaf.com/waf_monitor",
    "waf_local":"false",
    "server_info":"::1|localhost.localdomain",
    "waf_node_monitor":"true",
    "aes_enc_key":"9f935f193570023e",
    "aes_enc_iv":"91ef2b87d7f8403a",
    "aliyun_access_id":"",
    "aliyun_access_secret":""
}

变成如下

{
    "waf_api_key": "af1c085c-015a-4604-b627-964db6bcaaa5",
    "waf_api_password": "50eb815c-2eab-4aa7-a2ab-634760cb97a1",
    "waf_update_website": "http://192.168.0.4:8000/waf_update",
    "waf_monitor_website": "http://192.168.0.4:8000/waf_monitor",
    "waf_local":"false",
    "server_info":"::1|localhost.localdomain",
    "waf_node_monitor":"true",
    "aes_enc_key":"9f935f193570023e",
    "aes_enc_iv":"91ef2b87d7f8403a",
    "aliyun_access_id":"",
    "aliyun_access_secret":""
}

启动靶机

[root@localhost jxwaf]# docker run -d -p 8080:80 citizenstig/nowasp
0981bbeae7fc094917872b274867d737fa4c33e1465ac32f9c501cd22693d

重置靶机

图片[7]-Jxwaf安装部署使用方案 – 作者:陌度-安全小百科图片[8]-Jxwaf安装部署使用方案 – 作者:陌度-安全小百科

http配置

回到网站配置,添加域名信息,后端端口就是靶机的端口

图片[9]-Jxwaf安装部署使用方案 – 作者:陌度-安全小百科

图片[10]-Jxwaf安装部署使用方案 – 作者:陌度-安全小百科启动WAF

[root@localhost jxwaf]# /opt/jxwaf/nginx/sbin/nginx -t
nginx: the configuration file /opt/jxwaf/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /opt/jxwaf/nginx/conf/nginx.conf test is successful

[root@localhost jxwaf]# /opt/jxwaf/nginx/sbin/nginx 
nginx: [alert] [lua] waf.lua:580: init(): jxwaf init success,waf node uuid is e0bd7f61-75e9-4102-a4a5-44f9d480c9b9

在浏览器打开http://test.waf.com/,说明已经配置完成了

图片[11]-Jxwaf安装部署使用方案 – 作者:陌度-安全小百科

https配置

私钥文件、公钥文件

[root@localhost ~]# cat server.key 

-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----

#公钥
[root@localhost ~]# cat server.pem 
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAseoZimF8BJOFbyrKaZ8h
rD+1L6kiYHcvwKG/ItBEdfFAbYD8IzwXtsli9Qzz3X5Vl/FFMAow3hWSE6UhaFUV
qT3GDOhK6hG53DQHI1pjHv4QSOA13GUM2JXyjG6WuJArcIhqzoweiJtU2xBvSJTZ
/+SfEnIb2FJCspjzpD06eOGgwZMMigdN6n72lWV7015B/gsUEeIXjq49Tb+LIXuj
3A3bw/cM7CfoGziBAExEuSI80ZCZfOUJXbJJm8QCMUNPyfr5nCtf0CH+aU4gMEPd
gzRcl1RVR1r4GPLDx4jawXrdLveL6T5wSlg/RcXZFlUeQ+h93sCcafNX7g1nNBSl
UQIDAQAB
-----END PUBLIC KEY-----

在配置中心进行配置

图片[12]-Jxwaf安装部署使用方案 – 作者:陌度-安全小百科高级设置的aes加密不关注,因为配置中心已经放到本地,不是放在云上,公钥私钥都不会被外界知道。

图片[13]-Jxwaf安装部署使用方案 – 作者:陌度-安全小百科

后端服务器协议是指后端服务器是http协议还是https协议,一般来说都是http协议,除非有特殊要求。

 

日志配置

jxwaf支持三种日志方式

  • 本地记录
  • 远程日志
  • 阿里云日志

图片[14]-Jxwaf安装部署使用方案 – 作者:陌度-安全小百科本地日志,就是error.log,作者使用ngx.err记录访问日志

图片[15]-Jxwaf安装部署使用方案 – 作者:陌度-安全小百科

图片[16]-Jxwaf安装部署使用方案 – 作者:陌度-安全小百科

远程日志,支持TCP和UDP协议

建议使用UDP协议,我使用logstash output file+tcp的时候,因为logstash和nginx会建立长连接,不中断的话,数据写不进去,但是作者说他可以,你们也可以试试。而且UDP+logstash output file可能会抽风,日志没有写到本地文件,所以我的配置文件是直接导出到本地和sls那里。图片[17]-Jxwaf安装部署使用方案 – 作者:陌度-安全小百科推荐使用logstash转发,WAF将日志发送到logstash,我这边保存到本地,有需要的朋友,可以转发到ES或者阿里云上面。

vim /etc/logstash/conf.d/logstash.conf

input {
#这里udp可以变成tcp udp { type => "waf" port => "5555" codec => "json" } } output {
file { path => "/data/jxwaf.json" } }

转发到阿里云日志服务上面的话,可以使用logstash output。

直接无法安装插件,需要修改gem源

#查看源,将默认外网源干掉,变成中国源
gem sources -l gem sources --add https://gems.ruby-china.com/ --remove https://rubygems.org/

#安装bundler,配置中国源
gem install bundler
bundle config mirror.https://rubygems.org https://gems.ruby-china.com/


vim /usr/share/logstash/Gemfile
找到source变量修改成 https://gems.ruby-china.com/
#安装插件
/usr/share/logstash/bin/logstash-plugin install logstash-output-logservice

复制一下sls配置,endpoint在这里

output {
  logservice {
        codec => "json"
        endpoint => "***"
        project => "***"
        logstore => "***"
        topic => ""
        source => ""
        access_key_id => "***"
        access_key_secret => "***"
        max_send_retry => 10
    }
}

配置sls索引,需要添加owasp_type这个字段,默认是没有的,不然后续做不了攻击类型统计

图片[18]-Jxwaf安装部署使用方案 – 作者:陌度-安全小百科就可以在sls看到

图片[19]-Jxwaf安装部署使用方案 – 作者:陌度-安全小百科

阿里云日志服务(强烈不推荐)

为什么不推荐这种呢?实测直接导致性能损失4-5倍,性能直接就炸了。

图片[20]-Jxwaf安装部署使用方案 – 作者:陌度-安全小百科

使用

说用说明

所有的防护配置都在这里面

图片[21]-Jxwaf安装部署使用方案 – 作者:陌度-安全小百科防护配置有很多种,有以下这些,我这边一个一个说

图片[22]-Jxwaf安装部署使用方案 – 作者:陌度-安全小百科

Web应用攻击防护,默认防护owasp top10的攻击,关于虚拟补丁防护是防护一些经典漏洞payload,webshell防护、敏感文件防泄漏,字面意思。

下面日志配置就是发送的日志类型,异常请求日志(后续会机器学习用到),攻击请求日志是我们关注的。

图片[23]-Jxwaf安装部署使用方案 – 作者:陌度-安全小百科CC攻击智能防护,实际测试发现传统CC防护模式,作者默认设置太低,会导致拦截,需要结合自己本身业务进行确认。而智能人机识别是弹出一段图形验证码,确认是真人访问。

图片[24]-Jxwaf安装部署使用方案 – 作者:陌度-安全小百科自定义规则防护,可以匹配相关内容,做出对应操作。

IP黑白名单,字面意思。

地区封禁,字面意思。

拦截页面自定义,配置返回拦截页面的信息。

攻击测试

注入拦截

图片[25]-Jxwaf安装部署使用方案 – 作者:陌度-安全小百科xss拦截

图片[26]-Jxwaf安装部署使用方案 – 作者:陌度-安全小百科遍历拦截

图片[27]-Jxwaf安装部署使用方案 – 作者:陌度-安全小百科其他就差不多,不展示了。

传统CC拦截,开启后记得重启nginx

图片[28]-Jxwaf安装部署使用方案 – 作者:陌度-安全小百科不断刷新浏览器就会出现拦截

图片[29]-Jxwaf安装部署使用方案 – 作者:陌度-安全小百科图片[30]-Jxwaf安装部署使用方案 – 作者:陌度-安全小百科清除黑名单记录,有两种,nginx -s stop和官方API调用

智能CC

如果要用智能的话,智能的qps要低于传统,不然会优先执行传统,如上情况。所以为了演示,强制智能

图片[31]-Jxwaf安装部署使用方案 – 作者:陌度-安全小百科

一直刷新浏览器,就会出现

图片[32]-Jxwaf安装部署使用方案 – 作者:陌度-安全小百科自定义规则

执行动作可以拦截和忽略,具体自己看

图片[33]-Jxwaf安装部署使用方案 – 作者:陌度-安全小百科匹配上了,直接拦截

图片[34]-Jxwaf安装部署使用方案 – 作者:陌度-安全小百科IP黑白名单

图片[35]-Jxwaf安装部署使用方案 – 作者:陌度-安全小百科连接被重置拦截

图片[36]-Jxwaf安装部署使用方案 – 作者:陌度-安全小百科

图片[37]-Jxwaf安装部署使用方案 – 作者:陌度-安全小百科地区封禁

自己选

图片[38]-Jxwaf安装部署使用方案 – 作者:陌度-安全小百科

拦截页面自定义图片[39]-Jxwaf安装部署使用方案 – 作者:陌度-安全小百科图片[40]-Jxwaf安装部署使用方案 – 作者:陌度-安全小百科自学习防护

作者没有放出来,pass

性能测试

WAF配置(双核8G),使用locust进行跑,测试效果反而是上了jxwaf之后,性能上升了(经过多次测试)。后面更高并发后jxwaf性能会稍微下降一点,损耗不多。

场景 WAF性能损耗对比

性能指标

测试目标

并发 压测slave个数 QPS

请求成功率

(%)

平均响应时间

(ms)

最大响应时间

(ms)

单台WAF->四台服务器 100 30

205.51

100.0 383 5305
四台服务器 100 30

201.66

99.999 392 5335

二次开发

一开始没有发现sls有日志脱敏功能,所以基于jxwaf的架构,二次开发了一个日志脱敏功能

日志处理阶段文件:/opt/jxwaf/lualib/resty/jxwaf/log.lua

正常来说,为了数据安全,不记录body,所以我们只关注waf本身记录body这个地方,只需将传进来body参数解析脱敏就返回来。

图片[41]-Jxwaf安装部署使用方案 – 作者:陌度-安全小百科代码如下,desensitization函数,dv就是代表要脱敏的参数,后续作者会做成自定义规则,只不过他懒没空写。。我就自己写了

local cjson = require "cjson.safe"

local function split(str, dv)

    local resultStrList = {}

    local ok, e = pcall(function()
        string.gsub(str, '[^&]+', function(w)
            table.insert(resultStrList, w)
        end)
    end)

    if not ok then
        return str
    end

    local rs = {}
    for _k, _v in pairs(resultStrList) do

        local i
        b = string.gsub(_v, '[^=]+', function(w)
            if i == nil then
                rs[w] = nil
            else
                rs[i] = w
            end
            i = w
        end)

    end
    local r = {}

    for _key, _value in pairs(rs) do
        for _, _d in pairs(dv) do
            if _key == _d then
                _value = "****"
            end
            r[_key] = _value
        end
    end
    local _t = ""
    for _k, _v in pairs(r) do
        _t = _t .. _k .. "=" .. _v .. "&"
    end
    if _t == "" then
        return str
    end
    return _t
end

function serialize(obj)
    local lua = ""
    local t = type(obj)
    if t == "number" then
        lua = lua .. obj
    elseif t == "boolean" then
        lua = lua .. tostring(obj)
    elseif t == "string" then
        lua = lua .. string.format("%q", obj)
    elseif t == "table" then
        lua = lua .. "{"
        for k, v in pairs(obj) do
            lua = lua .. serialize(k) .. ":" .. serialize(v) .. ","
        end
        local metatable = getmetatable(obj)
        if metatable ~= nil and type(metatable.__index) == "table" then
            for k, v in pairs(metatable.__index) do
                lua = lua .. serialize(k) .. ":" .. serialize(v) .. ","
            end
        end
        lua = lua .. "}"
    elseif t == "nil" then
        return nil
    else
        error("can not serialize a " .. t .. " type.")
    end
    return lua
end

local function decodetable(t, dv)
    local _t = t or {}
    for _k, _v in pairs(t) do
        for _key, _value in pairs(dv) do

            if _value == _k then
                _v = "***"
            end

        end
        if type(_v) ~= "table" then
                _t[_k] = _v
                return _t


            else
                decodetable(_v, dv)
            end
    end

end

local function desensitization(body)
    local dv = { "password" ,"order_id"}
    local rs = rs or {}
    local json_body, err = cjson.decode(body)

    if json_body ~= nil then
        for _k, _v in pairs(json_body) do

            for _, value in pairs(dv) do
                if value == _k then
                    _v = "***"

                elseif type(_v) == 'table' then

                    dt = decodetable(_v, dv)
                    rs[_k] = dt
                end

                rs[_k] = _v
            end
        end

        _tmp = serialize(rs)
        return _tmp


    else

        _t = split(body, dv)
        return _t
    end

end

本地测试

图片[42]-Jxwaf安装部署使用方案 – 作者:陌度-安全小百科

我之前在微信公众号写了,阿里云仪表盘的制作SQL,欢迎看看

如果关注的朋友多的话,说不定会发一些干货上去(叉腰)

来源:freebuf.com 2020-07-07 23:05:45 by: 陌度

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论