Настройка PT Application Firewall

PT Application Firewall — межсетевой экран уровня веб-приложений, который обеспечивает непрерывную защиту веб-приложений, пользователей и сетевой инфраструктуры и помогает соответствовать стандартам безопасности.

В данном сценарии вы развернете тестовую инфраструктуру, включающую межсетевой экран уровня веб-приложений PT Application Firewall и тестовое уязвимое веб-приложение, и протестируете возможности защиты от типичных веб-атак.

Чтобы настроить PT Application Firewall и проверить его работу:

1. Подготовьте облако к работе.
2. Создайте веб-сервер.
3. Запустите уязвимое веб-приложение.
4. Настройте межсетевой экран.
5. Протестируйте работу межсетевого экрана.

Если созданные ресурсы вам больше не нужны, удалите их.

Подготовьте облако к работеПодготовьте облако к работе

Зарегистрируйтесь в Yandex Cloud и создайте платежный аккаунт:

1. Перейдите в консоль управления, затем войдите в Yandex Cloud или зарегистрируйтесь.
2. На странице Yandex Cloud Billing убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе ACTIVE или TRIAL_ACTIVE. Если платежного аккаунта нет, создайте его и привяжите к нему облако.

Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша инфраструктура, на странице облака.

Подробнее об облаках и каталогах.

Необходимые платные ресурсыНеобходимые платные ресурсы

В стоимость поддержки инфраструктуры входят:

• плата за постоянно работающие ВМ (см. тарифы Yandex Compute Cloud);
• плата за использование публичных IP-адресов и исходящий трафик (см. тарифы Yandex Virtual Private Cloud);

Создайте веб-серверСоздайте веб-сервер

1. Создайте ВМ dvwa-server с ОС Ubuntu:

   1. На странице каталога в консоли управления нажмите кнопку Создать ресурс и выберите Виртуальная машина.

   2. В блоке Образ загрузочного диска в поле Поиск продукта введите Ubuntu 22.04 и выберите публичный образ Ubuntu 22.04.

   3. В блоке Расположение выберите зону доступности, в которой будет создана ВМ. Если вы не знаете, какая зона доступности вам нужна, оставьте выбранную по умолчанию.

   4. В блоке Сетевые настройки:

      • В поле Подсеть выберите сеть и подсеть, к которым нужно подключить ВМ. Если нужной сети или подсети еще нет, создайте их.
      • В поле Публичный адрес оставьте значение Автоматически, чтобы назначить ВМ случайный внешний IP-адрес из пула Yandex Cloud, или выберите статический адрес из списка, если вы зарезервировали его заранее.

   5. В блоке Доступ выберите вариант SSH-ключ и укажите данные для доступа на ВМ:

      • В поле Логин введите имя пользователя: ycuser.

      • В поле SSH-ключ выберите SSH-ключ, сохраненный в вашем профиле пользователя организации.

        Если в вашем профиле нет сохраненных SSH-ключей или вы хотите добавить новый ключ:

        • Нажмите кнопку Добавить ключ.
        • Задайте имя SSH-ключа.
        • Загрузите или вставьте содержимое открытого SSH-ключа. Пару SSH-ключей для подключения к ВМ по SSH необходимо создать самостоятельно.
        • Нажмите кнопку Добавить.

        SSH-ключ будет добавлен в ваш профиль пользователя организации.

        Если в организации отключена возможность добавления пользователями SSH-ключей в свои профили, добавленный открытый SSH-ключ будет сохранен только в профиле пользователя создаваемой виртуальной машины.

   6. В блоке Общая информация задайте имя ВМ: dvwa-server.

   7. Остальные настройки оставьте без изменения и нажмите кнопку Создать ВМ.

   Примечание

   При создании ВМ назначаются публичный и внутренний IP-адреса. Запишите их, они понадобятся для доступа к ВМ и настройки межсетевого экрана.

2. Подключитесь к ВМ dvwa-server по SSH, выполнив в терминале команду:

   ssh ycuser@<публичный_IP-адрес_ВМ_dvwa-server>
   

Запустите уязвимое веб-приложение DVWAЗапустите уязвимое веб-приложение DVWA

1. На ВМ dvwa-server установите Docker:

   curl --fail --silent --show-error --location https://test.docker.com --output test-docker.sh
   sudo sh test-docker.sh
   

2. Запустите контейнер с уязвимым веб-приложением:

   sudo docker run --rm -it -p 8080:80 sagikazarmark/dvwa
   

3. Настройте уязвимое веб-приложение:

   1. В браузере перейдите по адресу:

   http://<публичный_IP-адрес_ВМ_dvwa-server>:8080
   

   1. На странице авторизации введите логин admin и пароль password.
   2. На странице Database Setup внизу нажмите кнопку Create / Reset Database.
   3. Повторно авторизуйтесь с тем же логином и паролем.
   4. Нажмите на кнопку DVWA Security в левой части экрана и перейдите на страницу с настройками безопасности.
   5. В секции Security Level выберите нужный уровень защищенности приложения. В выпадающем списке выберите Low и нажмите кнопку Submit.

Настройте межсетевой экранНастройте межсетевой экран

1. Создайте ВМ pt-firewall из публичного образа PT Application Firewall:

   Консоль управления

   1. На странице каталога в консоли управления нажмите кнопку Создать ресурс и выберите Виртуальная машина.

   2. В блоке Образ загрузочного диска в поле Поиск продукта введите PT Application Firewall и выберите актуальный образ PT Application Firewall.

   3. В блоке Расположение выберите ту же зону доступности, в которой находится ВМ dvwa-server.

   4. В блоке Сетевые настройки:

      • В поле Подсеть выберите сеть и подсеть, к которым нужно подключить ВМ. Если нужной сети или подсети еще нет, создайте их.
      • В поле Публичный адрес оставьте значение Автоматически, чтобы назначить ВМ случайный внешний IP-адрес из пула Yandex Cloud, или выберите статический адрес из списка, если вы зарезервировали его заранее.

   5. В блоке Доступ выберите вариант SSH-ключ и укажите данные для доступа на ВМ:

      • В поле Логин введите имя пользователя: ycuser.

      • В поле SSH-ключ выберите SSH-ключ, сохраненный в вашем профиле пользователя организации.

        Если в вашем профиле нет сохраненных SSH-ключей или вы хотите добавить новый ключ:

        • Нажмите кнопку Добавить ключ.
        • Задайте имя SSH-ключа.
        • Загрузите или вставьте содержимое открытого SSH-ключа. Пару SSH-ключей для подключения к ВМ по SSH необходимо создать самостоятельно.
        • Нажмите кнопку Добавить.

   6. В блоке Общая информация задайте имя ВМ: pt-firewall.

   7. В блоке Дополнительно включите опцию Доступ к серийной консоли.

   8. Остальные настройки оставьте без изменения и нажмите кнопку Создать ВМ.

   Примечание

   При создании ВМ назначаются публичный и внутренний IP-адреса. Рекомендуется сделать публичный адрес статическим.

2. Перейдите в серийную консоль созданной ВМ:

   Консоль управления

   1. В консоли управления выберите каталог, в котором была создана ВМ.
   2. Перейдите в сервис Compute Cloud и выберите ВМ pt-firewall.
   3. Перейдите на вкладку Серийная консоль.
   4. Введите логин pt и пароль positive.
   5. Вам будет предложено сменить пароль. Введите прежний пароль positive и создайте новый пароль в соответствии с требованиями системы.
   6. Вам будут предложены варианты дальнейших действий. Введите 0.
   7. Создайте конфигурацию, последовательно выполнив следующие команды:

   if set eth-ext1 inet_method dhcp
   dns add 77.88.8.8
   config commit
   config sync
   

3. Авторизуйтесь в консоли настройки межсетевого экрана:

   1. В браузере перейдите по адресу:

      http://<публичный_IP-адрес_ВМ_pt-firewall>:8443
      

   2. На странице авторизации введите логин admin и пароль positive.
   3. Вам будет предложено сменить пароль. Введите прежний пароль positive и создайте новый пароль.

4. Настройте сетевые интерфейсы:

   1. В верхней части экрана выберите Configuration / Network / Gateways.
   2. В таблице, в строке с интерфейсом pt-firewall нажмите иконку редактирования.
   3. На вкладке General активируйте интерфейс, включив опцию Active.
   4. На вкладке Network в поле Aliases добавте опции WAN-wan, LAN-lan и MGMT-mgmt из выпадающего списка.
   5. Нажмите Apply.

5. Настройте Upstream, в котором в качестве бэкенд-сервера будет указано веб-приложение DVWA:

   1. В верхней части экрана выберите Configuration / Network / Upstreams.
   2. На странице UPSTREAMS нажмите кнопку Create.
   3. В поле Name введите DVWA.
   4. В строке Backend нажмите кнопку Add и укажите:
      • В поле Host — <публичный_IP-адрес_ВМ_dvwa-server>;
      • В поле Port — 8080.
   5. Остальные настройки оставьте без изменения и нажмите кнопку Apply.

6. Настройте сервис:

   1. В верхней части экрана выберите Configuration / Network / Services.
   2. На странице SERVICES нажмите кнопку Create.
   3. В поле Name введите DVWA-RP.
   4. В строке Servers нажмите кнопку Add и укажите:
      • В поле Network interface alias — WAN-wan из выпадающего списка;
      • В поле Listen Port — 80;
      • В поле Upstream — DVWA из выпадающего списка;
   5. Остальные настройки оставьте без изменения и нажмите кнопку Apply.

7. Добавьте веб-приложение:

   1. В верхней части экрана выберите Configuration / Security / Web applications.
   2. На странице WEB APPLICATIONS нажмите кнопку Create.
   3. В поле Name введите DVWA-APP.
   4. В поле Service — DVWA-RP из выпадающего списка;
   5. В поле Protection mode — Detection из выпадающего списка;
   6. В строке Locations нажмите кнопку Add и укажите: \/
   7. Остальные настройки оставьте без изменения и нажмите кнопку Apply.

Протестируйте работу межсетевого экранаПротестируйте работу межсетевого экрана

Чтобы протестировать работу межсетевого экрана, воспользуйтесь симулятором веб-атак GoTestWAF от компании Wallarm:

1. Откройте новое окно терминала командной строки и подключитесь к ВМ dvwa-server по SSH:

   ssh yclogrus@<публичный_IP-адрес_ВМ_dvwa-server>
   

2. Запустите тест, выполнив команду:

   sudo docker run -v ${PWD}/reports:/app/reports wallarm/gotestwaf --url=http://<публичный_IP-адрес_ВМ_pt-firewall>/ --skipWAFBlockCheck
   

3. Дождитесь окончания теста и просмотрите результаты. В итоговой таблице Summary легко видеть, что атаки не были заблокированы (секция TRUE-NEGATIVE TESTS BLOCKED):

   Summary:
   +-----------------------------+-----------------------------+-----------------------------+-----------------------------+
   |            TYPE             | TRUE-NEGATIVE TESTS BLOCKED | TRUE-POSITIVE TESTS PASSED  |           AVERAGE           |
   +-----------------------------+-----------------------------+-----------------------------+-----------------------------+
   | API Security                | 0.00%                       | n/a                         | 0.00%                       |
   | Application Security        | 0.17%                       | 100.00%                     | 50.09%                      |
   +-----------------------------+-----------------------------+-----------------------------+-----------------------------+
   |                                                                        SCORE            |           25.05%            |
   +-----------------------------+-----------------------------+-----------------------------+-----------------------------+
   

4. Вернитесь в браузере на страницу настроек межсетевого экрана, раздел WEB APPLICATIONS (Configuration / Security / Web applications) и нажмите иконку редактирования в строке приложения DVWA.

5. В поле Protection mode выберите Active prevention из выпадающего списка и нажмите кнопку Apply.

6. В терминале повторно запустите тест из пункта 2.

7. Дождитесь окончания теста и просмотрите результаты. В итоговой таблице Summary показано, что в этот раз были отражены все атаки (100% атак в секции TRUE-NEGATIVE TESTS BLOCKED):

   Summary:
   +-----------------------------+-----------------------------+-----------------------------+-----------------------------+
   |            TYPE             | TRUE-NEGATIVE TESTS BLOCKED | TRUE-POSITIVE TESTS PASSED  |           AVERAGE           |
   +-----------------------------+-----------------------------+-----------------------------+-----------------------------+
   | API Security                | 100.00%                     | n/a                         | 100.00%                     |
   | Application Security        | 100.00%                     | 0.00%                       | 50.00%                      |
   +-----------------------------+-----------------------------+-----------------------------+-----------------------------+
   |                                                                        SCORE            |           75.00%            |
   +-----------------------------+-----------------------------+-----------------------------+-----------------------------+
   

Как удалить созданные ресурсыКак удалить созданные ресурсы

Чтобы перестать платить за созданные ресурсы:

1. Удалите ВМ dvwa-server и pt-firewall.
2. Удалите статические публичные IP-адреса.