V únoru jsme nasadili nový filtr pro WordPress na náš web wedos.cz. Ten má řadu přednastavených pravidel, které automaticky blokují známé pokusy o útok a hledání zranitelností na WordPress instalacích. Do budoucna by měl nahradit klasický WAF (Web application firewall), který je dnes už nezbytnou součástí všech WordPress webů.
Co je to ten WAF?
WAF (Webový aplikační firewall) je prostě firewall pro váš web. Firewall je forma přímé ochrany, která umí rozeznat nebezpečný provoz a filtrovat jej, ještě dříve než provede neplechu. Používá se všude. Máte ho na počítači jako součást bezpečnostního balíčku, existují i rozšíření do internetového prohlížeče, bývá i na domácích routerech a samozřejmě i serverech.
Dává se i na weby ve formě rozšíření pro redakční systémy. U WEDOS doporučujeme pro WordPress každému například WordFence. Blokuje pokusy o prolomení hesla, některé druhy útoků atd. Když se objeví nějaká nová zranitelnost, tak často pomůže, protože dotaz útočníka o zneužití prostě zablokuje, protože směřuje někam kam nemá anebo nějakým způsobem, co běžný uživatel nikdy neudělá.
WAF fungují a jsou super, protože jsou postaveny pro konkrétní účel a dobře vědí co mají dělat, respektive nemají dovolit. Jenomže jejich provoz na vašem webu stojí vaše systémové zdroje. Musí mít vlastní databázové tabulky, kam si ukládají data o přístupech a útocích, musí kontrolovat každý požadavek, musí se pravidelně aktualizovat atd.
Ve výsledku pomohou třeba s neošetřenou zranitelností, komentářovým spamem a menším útokem, ale jakmile někdo spustí DDoS, tak to nezvládnou, protože k tomu nemají potřebný výkon.
Menší DDoS, který dnes zvládne jeden počítač, jsou desítky tisíc požadavků za minutu. Pro rozšíření do WordPress je to prostě moc. Skončí to nedostupností webů. Co teprve silnější útoky, kde počet dotazů jde do stovek tisíc za minutu, anebo velké, kde jsou to už miliony.
Tohle už není práce pro sdílený webhosting, VPS anebo dedikovaný server, ale specializovaný software, který k tomu má odpovídající výpočetní výkon s možností škálovat. Jako je třeba WEDOS Global Protection (aktuálně přes tisíc fyzických serverů v 20 lokalitách, v 16 zemích světa a 5 kontinentech).
Takže jsme si řekli, co kdybychom WAF, tedy webový firewall pro ochranu WordPress, přesunuli před váš hosting, ať ho máte kdekoliv – nemusí být u nás.
WEDOS Global funguje jako reverzní proxy, přes který jde provoz, takže není problém provozovat tam WAF prakticky s neomezeným výkonem specializovaný na WordPress. Výsledek teď testujeme na našem webu wedos.cz.
Samozřejmě WAF s vlastními pravidly testují i uživatelé WEDOS Global Protection. Něco navíc máme zautomatizovaného. Pracujeme s ohromným množstvím dat, automatickými skripty, které se přizpůsobují situaci v různých lokalitách. Prostě zkoušíme, vylepšujeme a celou službu posouváme dál 🙂
Jak si vedl WEDOS Global v únoru 2023
Ehm celý únor zatím nemáme. Pro účely testování mažeme data starší 3 týdnů, ale pokud se vám reporty budou líbit, tak můžeme protáhnout na celý měsíc. Bude to jen pár desítek TB dat navíc. Takže prosíme o sdílení a odkazy ať si dodatečné náklady obhájíme u vedení 🙂
Teď už k reportu. Data jsou zhruba z období 7. až 28. února 2023. Mělo by to být necelých 21 dní.
Na WEDOS Global bylo ke konci února zhruba 2000 domén. Něco je testerů a část jsou našich zákazníků, kteří jsou pod častými útoky. Jsou to hlavně větší a známější weby. WEDOS Global Protection má jako formu ochrany i cache (vybraným útočníkům se podsune cachovaná verze stránky/souboru), takže to někteří využívají jako CDN.
WEDOS Global je aktuálně v 20 městech, 16 zemích světa 5 kontinentech. Ve všech lokalitách volíme nejlepší partnery pro dodávku konektivity, takže super odezva ze světa.
Až k WAF na WEDOS Global celkem prošlo 1 236 610 507 požadavků, z 5 787 605 unikátních IP adres. Před tím bylo mnohonásobně více zablokováno na klasických DDoS ochranách (L3/L4) a velkém SYN Filtru.
Velký SYN Filtr slouží pro blokování přístupů z blacklistovaných IP adres. Pokud nějaká IP adresa útočí, tak jí automatické skripty anebo kolegové co řeší kybernetické útoky dávají na blacklist a pak neohrožuje nikoho dalšího. Velký SYN Filtr je optimalizovaný aby nemyslel a jednal. Takže z něj bohužel nemáme použitelná data. Nevíme na koho jde útok, jakým způsobem, ale víme že se to musí blokovat. Musí zvládnout zablokovat stovky milionů požadavků za minutu. Nic víc. Do budoucna z něj nějaké statistiky zkusíme získat. Budou to ale monstrózní čísla 🙂
Celý provoz WEDOS Global který prošel přes tradiční DDoS ochrany a SYN filtr vidíte na grafu níže.
Většinu provozu odbavuje bod v našem datacentru WEDOS DC2, který je v oleji. Pokud by spadl, tak to nevadí, okamžitě přebere jeho roli bod v datacentru WEDOS DC1.
Většina odbaveného provozu jde z ČR, protože převážná část velkých webů na WEDOS Global jsou česky. Pár je tam mezinárodních. Velký provoz z USA jsou nejen vyhledávače, ale i servery třetích stran, které komunikují s weby našich zákazníků.
Pokud používáte nějaký redakční systém, a k němu rozšíření tak s největší pravděpodobností bude komunikovat se serverem v USA. Hodně lidí si myslí, že vývojáři a firmy mají všechno na CDN anebo v cloudu po celém světě. CDN i celosvětový cloud ale nejsou levnou záležitostí. Nejvíce peněz vývojářům vydělává USA, proto tam mají servery.
Váš web tak může zpomalovat plugin, který čeká ne komunikaci se serverem v USA. Než se to sem dostane tak to mohou být stovky ms. WEDOS Global toto řeší. Aktuálně máme v USA 4 body z 5 plánovaných.
Tohle je vidět i na provozu podle poskytovatelů cloudu/VPS. Microsoft, Amazon, Google atd. tvoří nemalou část provozu.
Na následujícím grafu je to vidět lépe. Tedy pokud si jej zvětšíte. Ukazuje jak se jednotlivé IP adresy různých poskytovatelů připojují na jednotlivé body WEDOS Global.
A tady je seznam největších webů schovaných za WEDOS Global podle počtu požadavků a unikátních IP adres. Opět se nám to trochu rozrostlo. Přeci jen když odfiltrujete škodlivý provoz tak ušetříte za hosting 😉
Zachycené útoky
Tak a teď už je čas podívat se na zachycené útoky, které se dostali přes DDoS ochranu a SYN filtr. Většinou jsou nárazové, protože jakmile detekce zjistí útok z určitých IP adres, tak mohou skončit zabanované na SYN filtru anebo je do cesty postavena nějaká ochrana, třeba captcha.
Na následujícím grafu vidíte, že se útočí každý den. Někdy je to více, jindy méně, ale neexistuje den bez útoků anebo hledání zranitelností.
Za sledované období od 7. do 28. února bylo zablokováno celkem 5 873 507 požadavků, kdy se jednalo o útok anebo hledání zranitelnosti.
Je nutné vzít v potaz, že provoz už je pořádně pročištěný předchozími ochranami. Řadu aktivních botnetů blokujeme na velkém SYN filtru. Blacklisty budujeme roky a máme s tím hodně zkušeností a dat. Prochází tak spíše atypické zdroje útoků anebo tam kde máme nastavené mírnější pravidla. V únoru to bylo Česko a Japonsko.
Botnety z napadených zařízení, VPN, proxy servery, TOR atd. jsou častým zdrojem útoků. Někdy samozřejmě může dojít i k neúmyslnému útoku. Například vyhledávače mají tendence občas zkoušet různé URL. Náš firewall je nekompromisní a přístup na tu konkrétní URL zablokuje, což jim nevadí, protože podle návratového kódu vědí, že tam nemají co dělat.
V seznamu zablokovaných najdete i WEDOS. Ať už se jednalo o napadený web, který u nás hostuje anebo testování kolegů jak dobře si vede nová ochrana je WAF jedno.
Následující graf je vytvořen z celkového zablokovaného provozu podle poskytovatelů směrujícího na jednotlivé body a TOP 10 nejčastějších cílových cest v rámci dané lokality. Jinými slovy na co se hlavně útočí.
Závěr
Únor byl první měsíc, kdy se testovaly speciální filtry pro WordPress na našem webu wedos.cz a výsledky vypadají opravdu dobře. V březnu je vylepšíme o další ochrany včetně ochrany proti útokům SQLi, těch je také hodně a občas dokážou WordPress pořádně potrápit, když se trefí do necachované stránky.