基于OpenrestyTengine的安全网关WAFx 实现

2024-04-03 960 0

前言

因在过去的工作中,使用了一些WAF,并对此产生了比较浓厚的兴趣,结合当时工作的需要开始写 WAF ;来到新公司之后,看到公司 WAF / 网关百花齐放,应用非常广泛、日常的 QPS 都超过当时自研 WAF 一个月的量了。抛砖引玉,我还是想分享下我的一些微不足道的经验,更希望各位看官提出宝贵意见。

完全开放源代码的项目:openstar

企业版功能增强、有web管理控制台的、不开放源代码的:文档空间

抢先看

Kcon黑客大会 · 兵器谱 演示视频

录入了一些比较好玩的玩法和真实防护的场景(域名都是配置本地 host 进行演示)

1:安全需求 CSP 防护头

实时生效配置,无需修改 nginx;

方便的动态替换响应内容

2:运维需求 跨域配置

后台配置实时生效,避免经常修改 nginx 配置文件

3:安全应急 - 联动钉钉/飞书

以 CSP 策略告警方式,快速告警到钉钉/飞书

4:安全防护(HW对抗场景) - 后台另类隐身

演示通过浏览器插件(证书双向认证也可以)对抗中的小把戏

5:4层流量的 hook 演示

对 DNS 请求通过 4层的插件进行了快速的 hook 实现

openstar-Enterprise kcon 兵器谱视频_哔哩哔哩_bilibili

一、技术选型

方案A:我看到 Openresty 在 Nginx 的基础上集成了很多优良的模块,特别是将 Lua 嵌入了,让我看到了可行性

方案B:还有完全使用c/c++这样完全自研的,这条路线对我来说,因为不会,所以就 PASS 了。

方案C:类似 ModSecurity 在 Apache、IIS的解决方案,在业内应用的虽然不是特别多,因性能上的瓶颈,我给 PASS 了。

最终因为很容易使用方案A写出 demo,让我写出了男人的自信!就她了~

PS : ,特别感谢 春哥 (Openresty的作者)~

二、防护引擎

WAF的规则防护引擎的选择是非常重要的,是否合理、是否有生命力........他将决定在时间的长河中,是否能经受住考验,不被淘汰;

少林派:字符串匹配的方式(等于、包含、正则....),这是基础的引擎能力。

武当派:语义解析能力(有基于AST语法树补充的、有基于数字特征的),特别是对 SQL注入、XSS理论上是有非常好的防护效果,提高拦截准确率、降低误报率。

逍遥派:基于域名和其请求学习,在生成规则的;基于大数据统计分析的(异步偏后场分析)... 这种武功能产生更多的价值,在数据安全、API安全有得天独厚的优势。

少林派的基础武功,必须得有,武当派的这个我评估了下,短时间我是学不会(留下了悔恨的泪水,只怪当初没好好读书),逍遥派的这一套我很认同。综合权衡后,加入少林派,联姻逍遥派(在N年前吧,因为 Nginx mirror 模块还没出来的时候,我只能用纯 Lua 通过订阅的规则将请求 & 响应流量写入到 Log 中,让逍遥派的同学去折腾吧)。

三、部署位置

防护的引擎在哪个位置工作,这也是需要仔细评估和斟酌的;

串联:这个是必不可少的,必要要在这条路上设置关键点,是轻量还是重量的我们在考虑。

并联:这个技术路线基本上是学习4层防护,将流量请求流量copy到分析引擎,让后用2层、3层等回注的方式进行拦截。

伪并联:首先是在串联的位置上部署了拦截模块,再将请求流量copy到分析引擎,单位时间内把把结果发给拦截模块,让拦截模块执行相关操作。

纯并联的方式,有些技术难点,我解决不了,只好作罢,那就定下用串联的方式吧,我这里还可以打个埋伏,计划是使用 resty-http 实现伪串了,毕竟写C我也不会(性能影响大,放弃了)。

四、落地实战

Nginx代理

用户接入域名,如何还需要运维同学改 nginx 配置文件,从效率上我们肯定是不能接受的,所有当时讨论实现了 2 套方案,最终决策使用 nginx 原生文件配置的功能,而不使用无文件落盘的纯动态代理方案(想要参考的同学可以看这里 动态代理方案

就是通过WEB界面管理域名,这个需要解决多集群文件同步的问题需要注意~

大概就是这样,当然你也可以直接在线编辑 nginx 配置文件(这个功能我们只让运维同学操作)~

输入

分析我的输入是什么?用户的请求

先说用户的请求,有4层的、还有7层的,这些都是我们的输入,我们是都要?还是根据业务优先级先做好一个,在搞下一个?

确定:我们的业务流量当前 90% 都是 http的,开搞!HTTP 请求都有什么?

后面有时间了,我也把 4 层的模块加了进来,^_^

这些就是我们的输入,明确了。整理一下

处理

少林武功上,用户的 HTTP 请求中有这么的元素(method/uri.....),我想要每一个都可以进行匹配,多个元素可以组合匹配,元素匹配之间还可以有运算逻辑~

解决匹配方式的多样化

根据研发自嗨的想法,我先做加法,能想到字符串匹配方式先有


元素这么多,我们匹配是不是有优先级呀?

是的,最早我是计划参考防火墙,就是一组规则,从上到下顺序执行,匹配那个就执行设置对应动作,朋友反馈这样不太好,让用户完全管理规则的顺序,风险有点高,我就只好基于经验主义,设置了一个执行顺序

还有 Log 阶段的事,这里就没有放进来了,流程变复杂了,现在我也没有好的优化方向了,难,难,难!

多元素匹配 & 运算逻辑

按照这个思路,我已绞尽脑汁,完成了一个纯规则实现的,支持固定的运算逻辑(小算子占位符 + 表达式引擎应该更好,当时的我还不知道这个呢,再次留下悔恨的泪水);看效果

这里的运算顺序是固定了($n 表示每一条匹配规则)

$1 AND $2 AND $3 OR $4 AND $5 OR $6

解释一下:

$1 AND $2 AND ($3 OR $4) AND ($5 OR $6)

高级DIY需求

当现有的匹配引擎无法支持用户的匹配需求时,我们还可以直接写 Lua 代码,完成自己的 diy 需求和天马行空的想法

实现方式简单的说下,就是启动的时候把插件暴露的函数注册到全局环境中,代码任意地方都可以使用,luajit 原生性能(当然也可以实现动态加载方式 loadstring 方式,这个代码维护成本比较高,我就直接去掉了)

在项目这么已经写了 十几个正式业务需求的插件,大家可以参考相关插件编写代码,写出自己的插件(配合匹配规则使用)。

脱敏插件:通用方式把响应内容的手机号识别,并将中间的数字替换为 *

扫描器检测插件:在 log 阶段,同步匹配 ip ,响应头的状态码,进行扫描器简单识别(需求来源:扫描器会在短时间里,请求很多uri,根据经验很多页面是 404 / 403 等,插件就是去统计这些信息,触发了就拦截/告警到钉钉等等),执行的动作看你怎么写了

签名检查插件:网站另类隐身场景使用、和移动APP联动使用等等...

跨域插件:运维的需求,运维同学添加允许跨域的源时,比较麻烦,调试 + 重启 Nginx ;我们就给些了个通用跨域插件,图形化简单配置下就OK,实时生效,方便调试和管理,运维同学当时那是没少感谢~

联动顶象验证码插件:业务需求,用户一些活动上线后,没来的即搞技术上的风控,想要快速的接入验证码,我们就写了个插件,快速帮助实现的验证码功能。

插件的玩法非常有意思,等你来完 ....

输出

有朋友就着急了,我想要的拦截呢、加白呢、修改请求头、修改响应头、修改响应内容,流量copy呢 .....

别慌来了,这些都有(修改响应内容前面的插件大家也看到了,插件可以实现)

我就简单的做了分类,普通的匹配规则执行的动作支持(allow、deny、log);

高级规则增加了(rehtml/debug/refile/func)

放行(allow)

这个比较简单,就是命中了规则咋就 bypass 了,比如 uri 过滤时,我们把很多静态文件的特征的匹配了,都放行后面的规则。

日志(log)

对命中的请求,记录下日志,当然记录日志的格式也是可以配置的,里面的变量基本上都支持(body这样大的我是不支持的)

拦截(deny)

可以根据域名设置不同的拦截页面和响应状态码

调试(debug)

这个功能就是为了适配逍遥派武功开发的,根据匹配命中的规则,对命中的所有请求把 request & response 内容都记录到 log 中,让他们去消费;顺便给了他们一个 ak - sk,用于调用我们的接口,执行拦截动作

注:比如在他前面的执行流程已经执行了 allow 操作,我们是不会记录日志的,比如静态文件;还有默认 body 取值是 10240 长度,当然这个参数也是可以配置的,毕竟响应 body 太大,我们也不便记录。

响应HTML(rehtml)

这个功能就是快速配置一个页面的响应内容,将页面直接返回了,场景应用也非常多,比如管理后台仅允许白名单IP访问,非白名单就直接响应个维护页面;还有开发时,我们做调试用,真的是谁用谁知道...

响应文件(refile)

这个功能和上面的响应 Html 功能有点重合,主要是响应的内容太大时,我们就用文件这种方式(响应文件类型也是可以配置的)。

插件函数(func)

这里就是为了满足高级用户,他们diy的需求,有很多玩法,实在是让我脑洞大开,值得大家好好玩一下。

五、写在最后

因为该项目从原型图、架构设计、后端开发都是一人在做(前端开发是找一些同学帮忙做的,感谢了 亲们),难免会有错误和不合理的地方,还是抛砖引玉,希望可以交流,给我在提出更多的意见和建议。


4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。

本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!

程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)

相关文章

办事处网络安全监控与事件响应;国外员工终端安全性怎么保障 | FB甲方群话题讨论
拿不下总统之位,那就用热加载拿下验证码识别与爆破好了!
Sooty:一款SoC分析一体化与自动化CLI工具
shiro CVE-2016-6802 路径绕过(越权)
Apache Solr 身份验证绕过漏洞(CVE-2024-45216)详解
llama_index的CVE-2024-4181漏洞根因分析

发布评论