{"id":1844,"date":"2022-01-12T12:29:21","date_gmt":"2022-01-12T15:29:21","guid":{"rendered":"https:\/\/www.xlabs.com.br\/blog\/?p=1844"},"modified":"2022-01-17T14:49:40","modified_gmt":"2022-01-17T17:49:40","slug":"entre-as-entranhas-do-nosso-waf-parte-1","status":"publish","type":"post","link":"https:\/\/www.xlabs.com.br\/blog\/entre-as-entranhas-do-nosso-waf-parte-1\/","title":{"rendered":"Entre as entranhas do nosso WAF – Parte 1"},"content":{"rendered":"\n

Ao longo do ano de 2021, decidimos come\u00e7ar a expor algumas das evolu\u00e7\u00f5es em nossa plataforma de CDN e WAF, como essas evolu\u00e7\u00f5es sempre ficavam \u201cescondidas\u201d e em \u201csegredo\u201d, devido a quest\u00f5es estrat\u00e9gicas, n\u00f3s pouco publicamos sobre as melhorias da plataforma, nos meses que antecederam o final do ano de 2021 decidimos expor algumas das melhorias, juntamente com algumas tecnologias que utilizamos em nossa plataforma de WAF e CDN, o por que de expormos agora? justamente para demonstrar sermos uma tecnologia desenvolvida em solo nacional e que usa diversas outras tecnologias associadas, visto que na computa\u00e7\u00e3o, nada \u00e9 criado do zero, tudo \u00e9 uma composi\u00e7\u00e3o de softwares associados, bem configurados e sincronizados que leva a cria\u00e7\u00e3o de plataformas, sistemas e servi\u00e7os iguais ao WAF e a CDN da XLabs.<\/p>\n\n\n\n

Assim como o Google, o Facebook e diversas outras empresas iniciaram suas atividades utilizando linguagens de programa\u00e7\u00e3o como PHP, C\/C++, Java, JavaScript, etc. Nossa empresa n\u00e3o foge ao normal. N\u00f3s utilizamos as mesmas tecnologias e linguagens que muitos grandes players utilizam no mercado, salvo a Microsoft que cria suas pr\u00f3prias ferramentas, web-servers com uma linguagem digamos que pr\u00f3pria, as empresas todas utilizam na fonte diversas plataformas, uma vez que seria uma perda de tempo, praticamente, a re-cria\u00e7\u00e3o de uma plataforma j\u00e1 criada e mantida, muitas vezes por alguma entidade de c\u00f3digo aberto.<\/p>\n\n\n\n

O que muitos grandes players fazem \u00e9 a utiliza\u00e7\u00e3o dessas plataformas open-source e al\u00e9m disso, a melhoria dessas plataformas, exemplo a NetFlix que identificou vulnerabilidades em web-servers utilizados por eles pr\u00f3prios.
<\/p>\n\n\n\n

At\u00e9 mesmo n\u00f3s da XLabs Security j\u00e1 contribu\u00edmos com a comunidade open-source, disponibilizando c\u00f3digos de exploits e ferramentas que podem auxiliar diversas empresas, seus analistas e at\u00e9 mesmo pesquisadores. Para quem j\u00e1 nos conhece isso n\u00e3o \u00e9 novidade, para quem est\u00e1 nos conhecendo agora, possu\u00edmos c\u00f3digos utilizados at\u00e9 mesmo em trabalhos e pesquisas do Instituto Militar de Engenharia do Ex\u00e9rcito Brasileiro.<\/p>\n\n\n\n

Agora vamos parar de papo e abordar um pouco da tecnologia que utilizamos para a distribui\u00e7\u00e3o de IP\u2019s maliciosos em nossa rede de WAFs, que comp\u00f5em a plataforma de CDN (Content Delivery Network).<\/p>\n\n\n\n

Essa tecnologia, utilizada at\u00e9 mesmo em plataformas como LinkedIn, trata-se do Apache Kafka, o qual nas \u00faltimas atualiza\u00e7\u00f5es do nosso WAF, ajudou a resolver um problema que detectamos em nossa arquitetura de defesa para aplica\u00e7\u00f5es web.<\/p>\n\n\n\n

<\/p>\n\n\n\n

Distribui\u00e7\u00e3o de IPs maliciosos entre WAFs utilizando Apache Kafka<\/h2>\n\n\n\n

Um dos fundamentos mais inerentes da XLabs Security se baseia na mitiga\u00e7\u00e3o, atenua\u00e7\u00e3o e preven\u00e7\u00e3o a ataques que possam estar ocorrendo sob as aplica\u00e7\u00f5es protegidas pelo nosso Web Application Firewall<\/em> (WAF).
Dito isso, dia a dia, nossos especialistas aplicam seus conhecimentos na an\u00e1lise dos ataques incidentes em nossos servi\u00e7os, buscando identificar padr\u00f5es de comportamento de hackers que possam ser previstos e, principalmente, antecipados.<\/p>\n\n\n\n

O bom entendimento de como cada ciberataque afeta a nossa infraestrutura, permite que nossos desenvolvedores consigam entend\u00ea-los e implementar solu\u00e7\u00f5es mais eficazes e assertivas no que se refere a mitiga\u00e7\u00e3o desses ataques.
Neste artigo, vamos descrever como conseguimos limitar a progress\u00e3o de ciberataques atrav\u00e9s dos nossos WAFs, aplicando conceitos de sistemas distribu\u00eddos e mensageria por meio do Apache Kafka.<\/p>\n\n\n\n

Ent\u00e3o, busque seu caf\u00e9, se ajeite na cadeira e aproveite essa leitura que cont\u00e9m um estudo de caso muito interessante na \u00e1rea de ciberseguran\u00e7a!<\/p>\n\n\n\n

<\/p>\n\n\n\n

A prolifera\u00e7\u00e3o de ciberataques nos WAFs<\/h2>\n\n\n\n

Antes de mais nada, vamos tentar entender como funciona a infraestrutura de WAF da XLabs. Nosso WAF \u00e9 composto por diversas m\u00e1quinas distribu\u00eddas horizontalmente ao redor do globo, dispostas na Am\u00e9rica do Sul, Am\u00e9rica do Norte, Europa, \u00c1sia e Oceania. Cada uma dessas m\u00e1quinas \u00e9 um WAF independente, que recebe requisi\u00e7\u00f5es HTTP\/HTTPS direcionadas \u00e0s aplica\u00e7\u00f5es WEB de clientes, verificando se n\u00e3o s\u00e3o requisi\u00e7\u00f5es maliciosas antes de direcion\u00e1-las ,de fato, ao destino final. Legal n\u00e9?<\/p>\n\n\n\n

Nossos WAFs recebem requisi\u00e7\u00f5es diretamente da nossa zona especial, que distribui as requisi\u00e7\u00f5es de acordo com a origem das mesmas, direcionando-as sempre para o WAF geograficamente mais pr\u00f3ximo. Assim mantemos o melhor desempenho poss\u00edvel durante o processo de entrega de conte\u00fado WEB aos usu\u00e1rios de nossos clientes.<\/p>\n\n\n\n

Quando recebida, a requisi\u00e7\u00e3o \u00e9 analisada pelo nosso sistema de intelig\u00eancia WebIPS (Web Intrusion Prevention System) presente em cada WAF. O WebIPS ent\u00e3o verifica se n\u00e3o h\u00e1 presente na requisi\u00e7\u00e3o nenhuma tentativa real de explora\u00e7\u00e3o de vulnerabilidade. Sempre que o WebIPS classifica a requisi\u00e7\u00e3o recebida com criticidade alarmante, o IP de origem \u00e9 adicionado em blacklist e o WAF para de respond\u00ea-lo.<\/p>\n\n\n\n

Na Figura abaixo conseguimos ver um exemplo de como isso ocorre na pr\u00e1tica. Inicialmente o IP fict\u00edcio 111.111.111.111 efetua um ataque que incide sobre o WAF 1. O WebIPS presente no WAF verifica que \u00e9 um ataque real e bloqueia o IP de origem imediatamente. Nesse momento, requisi\u00e7\u00f5es posteriores param de ser respondidas\/recebidas pelo WAF 1. Na figura abaixo vemos uma seta na cor vermelha representando uma requisi\u00e7\u00e3o bloqueada.<\/p>\n\n\n\n

\"\"<\/p>\n\n\n\n

Uma vez que, cada adi\u00e7\u00e3o a blacklist \u00e9 particular de cada WAF, podemos ent\u00e3o observar um problema aqui, certo? Um IP que \u00e9 bloqueado por um \u00fanico WAF por estar efetuando ataques, ainda estar\u00e1 livre para performar outros tipos de ataques nos outros WAFs. Esse comportamento permite que hackers aprimorem seus conhecimentos sobre a infraestrutura da XLabs Security e, como a gente sabe, na \u00e1rea da Seguran\u00e7a da Informa\u00e7\u00e3o. Conhecimento \u00e9 poder.<\/p>\n\n\n\n

Al\u00e9m do problema relacionado com diversos tipos de ataques sendo reproduzidos atrav\u00e9s dos WAFs, a redund\u00e2ncia de trabalho exercido no bloqueio do mesmo IP \u00e9 um problema. Isso tende a gerar um desperd\u00edcio de recursos computacionais que poderiam ser destinados a outras tarefas que sen\u00e3o na mitiga\u00e7\u00e3o de um IP malicioso reincidente na nossa rede.<\/p>\n\n\n\n

Na figura abaixo, ilustramos esse problema na pr\u00e1tica. Vamos supor que o mesmo IP 111.111.111.111 j\u00e1 est\u00e1 bloqueado no WAF 1, por ter efetuado o ataque do tipo A. Nesse momento, ele ainda est\u00e1 livre para realizar ataques do tipo B e C em outros WAFs da mesma regi\u00e3o. S\u00f3 ap\u00f3s os WebIPS dos WAFs 2 e 3 agirem \u00e9 que o IP ser\u00e1 devidamente bloqueado.<\/p>\n\n\n\n

\"Ciberataques<\/p>\n\n\n\n

Recentemente, nossos analistas t\u00eam verificado que esse comportamento tem se reproduzido com frequ\u00eancia em nossos servi\u00e7os, ou seja, diversos hackers t\u00eam realizado ataques distintos em cada um dos nossos WAFs sucessivamente. Desta forma, eles acabam testando uma vasta gama de ataques na tentativa de conseguir um bypass. Apesar das tentativas em conseguir bypass costumeiramente falhem, este \u00e9 um comportamento que queremos evitar.<\/p>\n\n\n\n

Neste contexto, estudamos formas de aprimorar a seguran\u00e7a de nossos servi\u00e7os, fazendo com que os bloqueios de IPs maliciosos ocorram de forma lateral entre os WAFs, automaticamente. A alternativa implementada se baseia na aplica\u00e7\u00e3o do Apache Kafka como um centralizador de IPs maliciosos, distribuindo entre os WAFs os endere\u00e7os que devem ser adicionados em blacklist. Antes de vermos como isso ocorre, vamos falar um pouco do Kafka.<\/p>\n\n\n\n

<\/p>\n\n\"Baixe<\/a><\/span>