DETECÇÃO E BLOQUEIO DE ROBÔS - ATUAL
Por: Ricardo Honda • 31/5/2018 • Tese • 370 Palavras (2 Páginas) • 220 Visualizações
Página 1 de 2
DETECÇÃO E BLOQUEIO DE ROBÔS - ATUAL
Monitorando WAF: Monitor / Security Monitor
View padrão – Clicar em Security_Monitor_Zapcorp e escolher default:
Obs: A monitoração deve ser dada em cima do warning apenas.
[pic 1]
Formas de detecção:
- Envio de warnings por e-mail (mon_waf@zapcorp.com.br), quando:
- Um Ip trigga mais de 5 rules/minuto;
- Um IP trigga mais de 20 páginas/minuto;
- Um IP trigga mais de 20 ocorrências/minuto;
- Visual no console do WAF a cada hora – pelo time de monitoração.
Identificação de um possível robô:
- Triggando páginas sem header e/ou user-agent;
- Excesso de triggers;
- Triggando páginas usando um padrão (Ex: Um IP acessando sem user-agent 3 vezes uma página em diversas páginas);
- Ataques ocorrendo em horário onde o atacante supõe que não terá security admins de plantão (Ex: finais de semana, de madrugada, na hora do almoço – considerando horário local e horário do timezone do atacante);
- Triggando de forma persistente (Ex: mais de 5 minutos);
- IP onde o owner é um cloud server.
Bloqueio de IP
- Se o IP for de provedor de acesso (GVT, Net, Tim, etc), fazer o bloqueio e deixa-lo em quarentena por 4 dias onde ao liberar, deverá feito uma nova GMUD. Se o problema persistir, deixa-lo em quarentena por 13 dias e se houver a terceira ocorrência, bloquea-lo em definitivo e contatar formalmente o abuse do provedor de acesso para providências (fazer follow-up);
- Se o IP for de cloud web server (AWS, Azure, Nobis, etc) ou DC fazer o bloqueio em definitivo e contatar formalmente o abuse do provedor de acesso (fazer follow-up);
- Se o IP for de provedor coletivo, contatar o admin para investigar o IP antes de proceder com o bloqueio
- Fazer GMUD informando o IP, Owner IP a ser bloqueado, tipo de ataque (no caso: excessive web crawling), data/hora do ataque
- Clicar no IP e escolher Block IP, escolher zap_blacklist e clicar em Block IPs. (obs: o tempo de propagação total da regra é de 30min a 60min).
[pic 2]
[pic 3]
Estudo para aplicação de regras
- Bloqueio de regras: 699991, 960015, 960009;
- Riskscore: Outbound Anormally;
- Rate Control;
- Bloqueio de IPs de Cloud Webservers e Data Centers.
...
Disponível apenas no TrabalhosGratuitos.com