开源nginx_lua_waf部署安装

 

0x01 前言

ngx_lua_waf实现 WAF一句话描述，就是解析HTTP请求（协议解析模块），规则检测（规则模块），做不同的防御动作（动作模块），并将防御过程（日志模块）记录下来。所以本文中的WAF的实现由五个模块(配置模块、协议解析模块、规则模块、动作模块、错误处理模块）组成。

原版本主要的功能如下：

.防止sql注入，本地包含，部分溢出，fuzzing测试，xss,SSRF等web攻击

.防止svn/备份之类文件泄漏

.防止ApacheBench之类压力测试工具的攻击

.屏蔽常见的扫描黑客工具，扫描器

.屏蔽异常的网络请求

.屏蔽图片附件类目录php执行权限

.防止webshell上传

二次改造后的规则拦截功能：

.支持IP白名单和黑名单功能，直接将黑名单的IP访问拒绝。

.支持URL白名单，将不需要过滤的URL进行定义。

.支持User-Agent的过滤，匹配自定义规则中的条目，然后进行处理（返回403）。

.支持CC攻击防护，单个URL指定时间的访问次数，超过设定值，直接返回403。

.支持Cookie过滤，匹配自定义规则中的条目，然后进行处理（返回403）。

.支持URL过滤，匹配自定义规则中的条目，如果用户请求的URL包含这些，返回403。

.支持URL参数过滤，原理同上。

.支持日志记录，将所有拒绝的操作，记录到日志中去。

.日志记录为JSON格式，便于日志分析，例如使用ELKStack进行攻击日志收集、存储、搜索和展示

0x02  Nginx + Lua部署

系统环境：centos7.0x64

1.进入到/usr/local/src目录下

[root@localhost src]# cd /usr/local/src

2.分别下载Nginx安装必备的Nginx和PCRE软件包以及当前最新的luajit和ngx_devel_kit (NDK)软件包和春哥编写的lua-nginx-module。

[root@localhost src]# wget http://nginx.org/download/nginx-1.9.4.tar.gz

[root@localhost src]#wget https://ftp.pcre.org/pub/pcre/pcre-8.37.tar.gz  --no-check-certificate

[root@localhost src]#wget http://luajit.org/download/LuaJIT-2.0.4.tar.gz

[root@localhost src]#

wget https://github.com/openresty/lua-nginx-module/archive/v0.9.16.tar.gz  --no-check-certificate

[root@localhost src]#

wget https://github.com/simpl/ngx_devel_kit/archive/v0.2.19.tar.gz  --no-check-certificate

3. 创建Nginx运行的普通用户

[root@nginx-lua src]# useradd -s /sbin/nologin -M www

4.分别在当前目录下解压已下载的软件包

[root@localhost src]# tar zxvf v0.2.19.tar.gz

[root@localhost src]# tar zxvf v0.9.16.tar.gz

[root@localhost src]# tar  zxvf pcre-8.37.tar.gz

[root@localhost src]# tar zxvf LuaJIT-2.0..tar.gz

5. 安装Luajit以及需要编译的gcc编译环境。

[root@localhost src]# cd LuaJIT-2.0.

[root@localhost src]#yum install gcc

[root@localhost src]# make && make install

6. 安装Nginx并加载模块以及需要编译的openssl模块和c++模块。

[root@localhost LuaJIT-2.0.]# cd ..

[root@localhost src]# tar  zxvfnginx-1.9..tar.gz

[root@localhost src]# export LUAJIT_LIB=/usr/local/lib

[root@localhost src]# export LUAJIT_INC=/usr/local/include/luajit-2.0

[root@localhost nginx-1.9.]# yum -y install openssl openssl-devel

[root@localhost nginx-1.9.]# ./configure --prefix=/usr/local/nginx --user=www --group=www     --with-http_ssl_module --with-http_stub_status_module --with-file-aio --with-http_dav_module  --add-module=../ngx_devel_kit-0.2./  --add-module=../lua-nginx-module-0.9./    --with-pcre=/usr/local/src/pcre-8.37/

[root@localhost nginx-1.9.]# yum -y install gcc-c++

[root@localhost nginx-1.9.]# make -j2 && make install

7. 创建软连接动态库连接

[root@localhost nginx-1.9.]#  ln -s /usr/local/lib/libluajit-5.1.so. /lib64/libluajit-5.1.so.

8.启动nginx服务

root@localhost nginx-1.9.]# /usr/local/nginx/sbin/nginx-t

[root@localhost nginx-1.9.]# /usr/local/nginx/sbin/nginx

9关闭centos7自带的防火墙

[root@localhost nginx-1.9.]#  sed -i 7s/enforcing/disabled/ /etc/selinux/config

[root@localhost nginx-1.9.]#  systemctl stop firewalld.service

10.远程访问http:// 172.16.89.145,显示页面如下，表示已成功安装nginx

11.安装git服务

[root@localhost src]# yum install git

12.克隆下载ngx_lua_waf, nginx安装路径假设为:/usr/local/nginx/conf/

把ngx_lua_waf下载到conf目录下,解压命名为waf

[root@localhost src]# git clone https://github.com/loveshell/ngx_lua_waf.git

[root@localhost ngx_lua_waf]# cd /usr/local/nginx/conf/

[root@localhost conf]# mkdir  waf

[root@localhost ngx_lua_waf]#cp -R /usr/local/src/ngx_lua_waf/*   /usr/local/nginx/conf/waf/

注意，其主要目录信息如下：

├── config.lua          #waf的配置文件
├── init.lua            #读取waf的规则文件
├── install.sh            #waf安装文件，需要做修改
├── README.md        #说明文档
├── wafconf            #规则库
│   ├── args            #get请求的参数过滤规则
│   ├── cookie        #cookie过滤规则
│   ├── post            #post请求过滤规则
│   ├── url            #get请求的URL过滤规则
│   ├── user-agent        #user-agent过滤规则
│   └── whiteurl        #白名单
└── waf.lua            #waf规则执行文件

13.在nginx.conf中的http段进行配置

[root@localhost waf]# vi /usr/local/nginx/conf/nginx.conf

大概的配置信息如下,Nginx.conf:

lua_package_path "/usr/local/nginx/conf/waf/?.lua";

lua_shared_dict limit 10m;

init_by_lua_file/usr/local/nginx/conf/waf/init.lua;

access_by_lua_file /usr/local/nginx/conf/waf/waf.lua;

14.修改ngx_lua_waf下的config.lua文件

root@localhost waf]# vi /usr/local/nginx/conf/waf/config.lua

[root@localhost logs]# mkdir waf

配置详细信息如下,config.lua:

RulePath = "/usr/local/nginx/conf/waf/wafconf/"
    --规则存放目录
    attacklog = "off"
    --是否开启攻击信息记录，需要配置logdir
    logdir = "/usr/local/nginx/logs/waf/"
    --log存储目录，该目录需要用户自己新建，切需要nginx用户的可写权限
    UrlDeny="on"
    --是否拦截url访问
    Redirect="on"
    --是否拦截后重定向
    CookieMatch = "on"
    --是否拦截cookie攻击
    postMatch = "on"
    --是否拦截post攻击
    whiteModule = "on"
    --是否开启URL白名单
    black_fileExt={"php","jsp"}
    --填写不允许上传文件后缀类型
    ipWhitelist={"127.0.0.1"}
    --ip白名单，多个ip用逗号分隔
    ipBlocklist={"1.0.0.1"}
    --ip黑名单，多个ip用逗号分隔
    CCDeny="on"
    --是否开启拦截cc攻击(需要nginx.conf的http段增加lua_shared_dict limit 10m;)
    CCrate = "100/60"
    --设置cc攻击频率，单位为秒.
    --默认1分钟同一个IP只能请求同一个地址100次
    html=[[Please go away~~]]
    --警告内容,可在中括号内自定义
    备注:不要乱动双引号，区分大小写

15.重启nginx服务

/usr/local/nginx/sbin/nginx   -s     reload

16.访问带恶意的连接地址，出现如下信息表示ngx_lua_waf已部署成功。

http://172.16.89.145/?s=../etc/passwd

0x03 记录WAF日志拦截记录

1.给logs日志记录添加授权用户www(该用户是nginx运行的用户)。

[root@localhost waf]# chown  -R www.www   /usr/local/nginx/logs/waf/

2.给logs目录进行添加写入权限。

[root@localhost waf]# chmod  /usr/local/nginx/logs/waf/

3.可查看WAF记录的日志信息

[root@localhost waf]# cat localhost_2018--05_sec.log

0x04 其他规则说明

过滤规则在wafconf下，可根据需求自行调整，每条规则需换行,或者用|分割
               args里面的规则get参数进行过滤的
               url是只在get请求url过滤的规则
               post是只在post请求过滤的规则
               whitelist是白名单，里面的url匹配到不做过滤
               user-agent是对user-agent的过滤规则
默认开启了get和post过滤，需要开启cookie过滤的，编辑waf.lua取消部分--注释即可日志文件名称格式如下:虚拟主机名_sec.log

0x05 总结

1.Nginx_lua_waf总体来说功能强大，相比其他软件防火墙Modsecurity还稍微简单点。

2.Ngx_lua_waf的bug主要就是防火墙策略写的不严谨导致的，会造成两种结果：一是部分***通过伪装绕过防火墙；二是防火墙策略配置不当会造成误杀。

3.另外根据站点的类型需要配置不同的策略，默认配置后全局生效。比如论坛等比较特殊允许很多html插入，这样的策略需要更宽松。

4.最后生成的hack记录日志可以通过ELK分析，ELK这边需要根据日志格式制作特殊模版，此模版能兼容大部分日志类型，还有少部分完全没有规律的日志分析不了。

5.最后ELK能展示日志分析结果分类，但是还不能区分各种ruletag类型***属于哪一种直白的表示出来。

6.最后建议ngx_lua_waf如果真的要用可以考虑在部分源站站点少量试用，前端站点不建议使用，等对该软件理解深入后才可线上使用。

7.补充：目前对ngx_lua_waf拒绝特定的user agent、拒绝特定后缀文件访问、防止sql注入三大类比较熟悉。

计划大概实施步骤：

1.不要一次性部署上线，先部署后，只记录日志，然后观察和调整规则，保证正常的请求不会被误防。

2.使用SaltStack管理规则库的更新。

3.使用ELKStack进行日志收集和分析，非常方便的可以在Kibana上做出一个漂亮的统计的饼图。（目前也能实现）