Zacznijmy od tego czym jest zapora ogniowa w panelu konta hostingowego i czemu służy.
Zapora ogniowa WWW w panelu hostingu DiDHost (Web Application Firewall) to narzędzie służące do ochrony Twojej strony przed atakami na aplikacje internetowe. Jest to implementacja ModSecurity, popularnego modułu bezpieczeństwa dla serwerów HTTP, który chroni aplikacje webowe przed różnymi zagrożeniami, takimi jak ataki typu SQL Injection, Cross-Site Scripting (XSS), i inne złośliwe działania.
Oto kilka kluczowych funkcji zapory ogniowej WWW w DiDHost:
- Ochrona w czasie rzeczywistym: Zapora ogniowa monitoruje ruch w czasie rzeczywistym, blokując potencjalnie złośliwe żądania przed dotarciem do aplikacji.
- Reguły zabezpieczeń: Plesk Web Application Firewall korzysta z zestawów reguł, takich jak OWASP ModSecurity Core Rule Set (CRS), które są regularnie aktualizowane, aby chronić przed nowymi zagrożeniami.
- Dostosowanie reguł: Właściciele kont mogą dostosować reguły do specyficznych potrzeb swojej witryny lub aplikacji, dodając, modyfikując lub usuwając reguły.
- Raportowanie i logowanie: Narzędzie zapewnia szczegółowe logi i raporty dotyczące zablokowanych żądań i wykrytych zagrożeń, co pomaga w analizie i reagowaniu na incydenty.
Zapora ogniowa działa na poziomie serwera i jest zarządzana głównie przez administratorów serwera. Jednak użytkownicy hostingu, którzy mają dostęp do panelu, również mają do dyspozycji pewne opcje zarządzania zaporą dla swoich witryn. To ważne ponieważ każda witryna to inne środowisko w związku z czym globalne reguły zapory w niektórych sytuacjach mogą generować fałszywe alarmy i właśnie dlatego każdy administrator strony powinien mieć możliwość wpływu na nie. Oto, jak zapora ogniowa WWW działa z Twojej perspektywy:
Dostęp do zapory ogniowej #
- Zaloguj się do panelu konta hostingowego. Jeśli nie wiesz jak zajrzyj do tej instrukcji.
- W sekcji „Strony & Domeny” wybierz domenę, którą chcesz zarządzać.
- W sekcji „Bezpieczeństwo” odszukaj ikonę „Zapora ogniowa aplikacji WWW” i kliknij na niej
Konfiguracja zapory ogniowej #
W tym miejscu znajdziesz m.in. tryby działania zapory oraz dodatkowe parametry ustawień z których możesz skorzystać. Zacznijmy od trybów działania.
Tryby działania #
- Wyłączona: Zapora jest wyłączona i nie monitoruje ruchu. Ta opcja nie jest zalecana dla większości witryn i aplikacji webowych.
- Wykrywanie tylko: Zapora monitoruje ruch i rejestruje podejrzane żądania, ale ich nie blokuje. Ta opcja może być pomocna w sytuacji gdy chcesz prześledzić informacje o potencjalnych blokadach, ale bez ich fizycznego zastosowania.
- Wł (Włączone): Zapora monitoruje ruch i blokuje podejrzane żądania zgodnie z regułami bezpieczeństwa. Na stronach produkcyjnych zdecydowanie rekomendujemy ten tryb działania spory. Poniżej znajdziesz informacje w jaki sposób wykluczyć pojedyncze reguły w sytuacji gdyby generowały fałszywe alarmy.
Zarządzanie regułami #
Logi i raporty:
- Masz dostęp do logów, gdzie możesz zobaczyć zarejestrowane incydenty, takie jak zablokowane żądania i szczegóły z nimi związane.
- Raporty pomagają zrozumieć, jakie typy ataków były próbą dostania się do witryny i skąd pochodziły. Można też wychwycić fałszywe alarmy.
Wykluczenia:
Jeśli niektóre reguły powodują fałszywe alarmy lub blokują legalne żądania, możesz tworzyć wyjątki, aby te reguły nie były stosowane do konkretnej części aplikacji. W tym miejscu masz możliwość wykluczenia całych grup zestawów lub możesz wykluczyć tylko wybrane z nich, np. te które generują fałszywe alarmy.
Jak wykluczyć konkretną regułę #
Może się zdarzyć, że określony komponent Twojej strony i sposób jego działania spowoduje uaktywnienie określonej reguły. Ta z kolei może zablokować operację, która normalnie nie powinna być blokowana. Co w takiej sytuacji zrobić? Przede wszystkim w pierwszej kolejności należy prześledzić logi błędów na koncie hostingowym.
Przejdź kolejno do: „Strony WWW & Domeny” > wybierasz domenę i aktywujesz zakładkę „Dashboard „> następnie odszukaj ikonkę „Logi” i kliknij na niej.
Zobaczysz zapisy w dziennikach. Ale będą tu zapisy dotyczące nie tylko błędów, ale w zasadzie każdego żądania o zasoby Twojej strony także tego, które kończy się powodzeniem. Aby zawęzić wpisy tylko do błędów kliknij w prawym górnym rogu listę rozwijaną i wybierz z niej tylko wpisy dotyczące błędów:
Możesz teraz przeanalizować dane. Wszędzie tam gdzie w zapisie dziennika pojawia się na początku „ModSecurity”, to błąd wywołany regułą zapory ogniowej. Ale uwaga, musisz mieć pewność że jest to błąd wywołany np. Twoimi działaniami a nie działaniami zewnętrznych systemów, które mogą atakować Twoja stronę. W tym celu pomocna będzie identyfikacja błędów po adresie IP.
Sprawdź swój adres IP. Dla ułatwienia spróbuję zidentyfikować go dla Ciebie. Wydaje się, że w tym momencie Twoje publiczne IP to: 18.97.9.170. Adres IP możesz też sprawdzić otwierając stronę „Jakie jest moje IP„. Następnie porównaj ten adres IP z danymi w panelu aby mieć pewność, że identyfikujesz działanie zapory w odniesieniu do Twoich działań na stronie.
Jeśli mas potwierdzenie, że dany błąd w logach związany z zaporą ogniową został zarejestrowany na skutek Twojej aktywności możesz zidentyfikować unikalny numer reguły i ja wykluczyć. Weźmy nasz przykład:
Widzimy tu, że błąd został wygenerowany przez zaporę ogniową (ModSecurity). Widzimy też, że błąd ten uniemożliwił dostęp do określonego zasobu strony generując błąd 403, ale to co nas najbardziej w tym interesuje to ID reguły. W naszym przykładzie ID to 77350026.
Znając numer reguły, która generuje fałszywy alarm możemy ja wykluczyć. W tym celu przejdź ponownie do ustawień zapory, odszukaj pole do wpisywania identyfikatorów reguł do wykluczenia i wprowadź ten numer, a następnie zapisz zmiany. Może to wyglądać w naszym przykładzie tak:
Po tej czynności sprawdź czy błąd związany z fałszywym alarmem ustąpił.