Benefícios do produto de firewall separado sobre grupos de segurança da AWS para solicitações de spam

1

Eu tenho uma pergunta que é uma extensão desta: Exemplos em que um grupo de segurança da AWS não é suficiente como firewall? . Inicialmente, a resposta nessa pergunta fazia sentido para mim e eu estava trabalhando com a suposição de que o firewall que é um AWS Security Group é bom o suficiente para a infraestrutura do meu aplicativo (AWS VPC com sub-redes públicas / privadas + Internet Gateway + NAT Device + Elastic Load Balancer).

No entanto, esta manhã, quando acordei e verifiquei os registos do meu servidor, vi que tinha recebido aprox. um mil spam GET solicitações durante a noite para os caminhos que não existem, o que resultou em 404 respostas do meu servidor. Os pedidos continuavam chegando e não mostravam sinais de parar. Os endereços IP das solicitações eram diferentes, mas dentro de um intervalo específico. Portanto, atualizo as regras de entrada da ACL da rede em meu Elastic Load Balancer e adiciono um ao acesso DENY aos endereços IP desse intervalo. Neste ponto, as solicitações pararam de atingir meu servidor de aplicativos.

Eu não sei se o atacante estava tentando me DOS ou se isso é apenas spam padrão. Tenho recebido solicitações semelhantes a isso, aqui e ali, em intervalos de algumas horas, nas últimas semanas, desde que meu sistema entrou na rede, mas a quantidade / frequência dessas solicitações era algo que nunca vi. Eu sou relativamente novo no servidor ops. Fico feliz que consegui bloquear o ataque de continuar a carregar meus servidores de aplicativos, mas estou pensando se eu tinha um Firewall de Aplicativo da Web em vigor (implementado como um sanduíche WAF: Load Balancer-WAF-Load Balancer) , se toda a situação tivesse sido cuidada por mim.

Como sou novo neste espaço, a resposta não está clara para mim quando leio os detalhes de marketing de produtos de diferentes produtos WAF aqui: link . Estou realmente procurando conselhos práticos sobre se preciso de um WAF em minha infraestrutura (ou seja, não posso realmente confiar nos grupos de segurança da AWS para proteger meu sistema contra spam / DDOS) e quais recursos básicos eu preciso no produto. Obrigado antecipadamente!

P.S. Meu aplicativo não é construído em SQL, então não estou preocupado com ataques de injeção de SQL.

    
por readyornot 14.03.2015 / 01:15

1 resposta

1

Se você precisar de algo que inspecione o conteúdo das solicitações HTTP e faça inferências a partir disso, decidindo se deseja bloquear a solicitação ou não (talvez com base em solicitações durante um período de tempo), então sim, você precisa de algo diferente dos grupos de segurança da AWS. Os grupos de segurança são efetivamente apenas regras de firewall do tipo iptables, permitindo a permissão / negação de conexões individuais com base apenas em endereços IP de origem / destino + portas.

Escolher que tipo de WAF é apropriado é uma questão muito maior. Você pode ir a qualquer lugar usando algo instalado diretamente em seu servidor da web (por exemplo, mod_security no Apache), até um dispositivo separado. Decidir o que usar dependerá inteiramente da natureza das ameaças das quais você deseja se proteger.

    
por 14.03.2015 / 01:29