Subskrybuj, aby otrzymywać powiadomienia na temat nowych wpisów:

Nowe kanały informacyjne WAF

2022-07-07

3 min czytania
Ten post jest również dostępny w następujących językach: English, 繁體中文, Español, Рyсский i 简体中文.

Cloudflare rozszerza możliwości analizy zagrożeń naszej zapory aplikacji internetowej (WAF), dodając cztery zarządzane listy adresów IP, które można wykorzystywać w ramach dowolnej niestandardowej reguły zapory.

New WAF intelligence feeds

Listy zarządzane są tworzone i utrzymywane przez Cloudflare. Budujemy je na podstawie dotyczących zagrożeń informacji, uzyskiwanych na podstawie analizy wzorców i trendów w Internecie. Klienci Enterprise mogą już korzystać z listy otwartych serwerów proxy SOCKS (powstałej w marcu 2021 roku), do której dziś dołączają cztery kolejne listy adresów IP: VPN, botnety i serwery dowodzenia, złośliwe oprogramowanie, anonimizatory.

Aby sprawdzić, jakie reguły są dostępne w ramach Twojego planu, przejdź do Manage Account → Configuration → Lists.

You can check what rules are available in your plan by navigating to Manage Account -> Configuration -> Lists.

Klienci mogą posługiwać się tymi listami, tworząc niestandardową regułę zapory lub włączając zaawansowane ograniczenie przepustowości. Można na przykład zablokować wszelki ruch generowany przez adresy IP, które klasyfikujemy jako sieci VPN, albo ograniczyć prędkość ruchu generowanego przez wszystkie anonimizatory. Wystarczy włączyć zarządzane listy adresów IP w potężny konstruktor reguł zapory. Oczywiście klienci mogą również korzystać z własnych niestandardowych list adresów IP.

Zarządzane listy adresów IP można wykorzystywać w regułach WAF do zarządzania ruchem przychodzącym z tych adresów.

Managed IP Lists can be used in WAF rules to manage incoming traffic from these IPs.

Skąd pochodzą kanały informacyjne?

Listy bazują na generowanych przez Cloudflare kanałach zagrożeń, które są dostępne jako listy adresów IP, co umożliwia bezpośrednią konsumpcję przez WAF. Każdy adres IP jest klasyfikowany poprzez połączenie danych z otwartych źródeł oraz analizę zachowania każdego adresu IP, w czym bardzo pomocna jest skala i zasięg sieci Cloudflare. Po dodaniu adresu IP do jednego z kanałów weryfikujemy jego klasyfikację, przesyłamy tę informację do naszych systemów bezpieczeństwa i udostępniamy ją naszym klientom w postaci zarządzanej listy adresów IP. Zawartość każdej listy jest aktualizowana wiele razy w ciągu dnia.

Oprócz generowania klasyfikacji adresów IP na podstawie wewnętrznych danych Cloudflare selekcjonujemy i łączymy kilka źródeł danych, które według nas zapewniają wiarygodny obraz aktywnych zagrożeń bezpieczeństwa i mają niewiele wyników fałszywie dodatnich. W obecnych warunkach adres IP należący do dostawcy chmury może jednego dnia rozpowszechniać złośliwe oprogramowanie, a następnego okazać się dla Twojej firmy krytycznym zasobem.

Niektóre klasyfikacje adresów IP to ogólnodostępne dane ze źródeł typu OSINT, na przykład węzły wyjściowe sieci Tor. Cloudflare integruje je w listę anonimizatorów za Ciebie, dzięki czemu nie musisz integrować tej listy w każdy zasób w swojej sieci. Inne klasyfikacje są wyznaczane lub weryfikowane z użyciem różnorakich technik DNS, takich jak wyszukiwanie, wyszukiwanie rekordów PTR czy obserwacja pasywnych DNS z sieci Cloudflare.

Nasze listy skupiające się na złośliwym oprogramowaniu i serwerach dowodzenia są generowane dzięki wyselekcjonowanym partnerstwom. Wybierając partnerów, bierzemy pod uwagę między innymi źródła danych identyfikujące zagrożenia bezpieczeństwa, z którymi nie są powiązane rekordy DNS.

Nasza lista anonimizatorów obejmuje kilka typów usług, które ukrywają tożsamość, w tym VPN, otwarte proxy i węzły sieci Tor. Jest to zbiór obejmujący między innymi zawartość zawężonej listy VPN (węzłów znanych komercyjnych sieci VPN) i naszej listy otwartych serwerów proxy (serwerów pośredniczących niewymagających uwierzytelnienia).

Adnotacje o adresach IP na pulpicie

Korzystanie z tych list do wdrożenia prewencyjnej zasady bezpieczeństwa dla tych adresów IP jest bardzo pomocne, ale warto też wiedzieć, czy adres IP mający dostęp do strony internetowej czy aplikacji należy do botnetu albo sieci VPN. Udostępniliśmy już dane kontekstowe anonimizatorów w ramach tygodnia bezpieczeństwa na rok 2022, a teraz zamykamy koło, rozszerzając tę funkcję, by obejmowała wszystkie nowe listy.

Dzięki kanałom informacyjnym nt. zagrożeń Cloudflare kategoria adresów IP przejdzie bezpośrednio na pulpit nawigacyjny. Powiedzmy, że badasz żądania zablokowane przez WAF, które zdawały się szukać w Twojej aplikacji znanych luk w zabezpieczeniach. Jeśli adres IP źródła tych żądań zgadza się z jednym z naszych kanałów (np. należy do sieci VPN), informacje kontekstowe pojawią się bezpośrednio na stronie analizy danych.

Kiedy adres IP źródła wydarzenia WAF znajduje się w jednym z kanałów zagrożeń, informacje kontekstowe są dostępne bezpośrednio na pulpicie nawigacyjnym Cloudflare.

When the source IP of a WAF event matches one of the threat feeds, we provide contextual information directly onto the Cloudflare dashboard.

Te informacje mogą pomóc w znalezieniu wzorców ruchu i podjęciu decyzji, czy należy zastosować listy zarządzane, na przykład tworząc regułę ograniczenia przepustowości, która ogranicza liczbę żądań, jakie dane adresy IP mogą wysłać w określonym czasie.

Dla kogo są te kanały?

Poniższa tabela przedstawia, które plany zapewniają dostęp do poszczególnych funkcji. Każdy płatny plan zapewnia dostęp do informacji kontekstowych na panelu, natomiast plan Enterprise dodatkowo daje dostęp do różnych list zarządzanych. Z list zarządzanych można korzystać wyłącznie w strefach Enterprise w ramach konta Enterprise.

.tg {border-collapse:collapse;border-spacing:0;} .tg td{border-color:black;border-style:solid;border-width:1px;font-family:Arial, sans-serif;font-size:14px; overflow:hidden;padding:10px 5px;word-break:normal;} .tg th{border-color:black;border-style:solid;border-width:1px;font-family:Arial, sans-serif;font-size:14px; font-weight:normal;overflow:hidden;padding:10px 5px;word-break:normal;} .tg .tg-tfgg{background-color:#EFEFEF;color:#F00;font-weight:bold;text-align:center;vertical-align:top} .tg .tg-gpin{background-color:#C9DAF8;text-align:left;vertical-align:top} .tg .tg-ekg0{background-color:#EFEFEF;font-weight:bold;text-align:left;vertical-align:top} .tg .tg-5ll9{background-color:#EFEFEF;color:#009901;font-weight:bold;text-align:center;vertical-align:top} .tg .tg-m0cw{background-color:#C9DAF8;font-weight:bold;text-align:center;vertical-align:top}

FREE PRO BIZ ENT with WAF Essential ENT with WAF Advanced *
Annotations x
Open Proxies x x x
Anonymizers x x x x
VPNs x x x x
Botnets, command and control x x x x
Malware x x x x

Za darmo

PRO

BIZ

ENT

Advanced ENT *

Adnotacje

x

Otwarte proxy

x

x

x

Anonimizatory

x

x

x

x

VPN

x

x

x

x

Botnety i serwery dowodzenia

x

x

x

x

Złośliwe oprogramowanie

x

x

x

x

* Aby dowiedzieć się, jak uzyskać dostęp do tych list, skontaktuj się ze swoim doradcą klienta.

Przyszłe wersje

Prowadzimy już prace nad dalszym wzbogaceniem naszych kanałów informacyjnych. W kolejnych miesiącach zaczniemy zapewniać więcej list adresów IP, a szczególnie interesują nas dostawcy chmur i translacja adresów sieciowych typu CG-NAT.

Chronimy całe sieci korporacyjne, pomagamy klientom sprawnie tworzyć aplikacje o skali internetowej, przyspieszamy działanie wszelkich witryn i aplikacji internetowych, zapobiegamy atakom DDoS, trzymamy hakerów z daleka oraz możemy pomóc Ci we wdrażaniu modelu Zero Trust.

Odwiedź stronę 1.1.1.1 na dowolnym urządzeniu i zacznij korzystać z naszej bezpłatnej aplikacji, dzięki której Twój Internet będzie szybszy i bezpieczniejszy.

Aby dowiedzieć się więcej o naszej misji budowania lepszego Internetu, przejdź tutaj . Jeśli interesuje Cię zmiana ścieżki kariery, sprawdź nasze wolne stanowiska.
Wiad. o prod.WAFThreat IntelligenceVPNBotnet

Obserwuj nas w serwisie X

Cloudflare|@cloudflare

Powiązane wpisy

24 października 2024 13:00

Durable Objects aren't just durable, they're fast: a 10x speedup for Cloudflare Queues

Learn how we built Cloudflare Queues using our own Developer Platform and how it evolved to a geographically-distributed, horizontally-scalable architecture built on Durable Objects. Our new architecture supports over 10x more throughput and over 3x lower latency compared to the previous version....

08 października 2024 13:00

Cloudflare acquires Kivera to add simple, preventive cloud security to Cloudflare One

The acquisition and integration of Kivera broadens the scope of Cloudflare’s SASE platform beyond just apps, incorporating increased cloud security through proactive configuration management of cloud services. ...

27 września 2024 13:00

AI Everywhere with the WAF Rule Builder Assistant, Cloudflare Radar AI Insights, and updated AI bot protection

This year for Cloudflare’s birthday, we’ve extended our AI Assistant capabilities to help you build new WAF rules, added new AI bot & crawler traffic insights to Radar, and given customers new AI bot blocking capabilities...

26 września 2024 13:00

Zero-latency SQLite storage in every Durable Object

Traditional cloud storage is inherently slow because it is accessed over a network and must synchronize many clients. But what if we could instead put your application code deep into the storage layer, such that your code runs where the data is stored? Durable Objects with SQLite do just that. ...