бесплатная версия не имеет ограничений по времени использования, также есть пробная
полная версия.
1. > можете сделать какой-то ликбез относительно ModSecurity? Что ловится регекспами и используются ли они, а что ML?
Относительно регекспов (сигнатур) и нивелирования их недостатков машинным обучением — это отдельная тема для статья, если вкратце, то: не под все атаки можно составить сигнатуры так, чтобы они блокировались с минимальным количеством ложных срабатываний. В качестве примера можно привести конструкцию cmd=; cat+/e?c/pa???d, под которую сложно создать сигнатуру таким образом, чтобы она не фолсила (не только в параметрах, но и других зонах HTTP). При этом вместо /etc/passwd может быть любой другой файл, например ./se????gs.??? (settings.php) или что-то еще.
В статье содержатся примеры техник обхода. В отличие от сигнатур, машинное обучение позволяет выявлять вариации атак.
Дополнительно, информация по работе сигнатур/ML в Nemesida WAF доступна в видео.
2. > если используются регекспы, то что внутри: PCRE JIT, Hyperscan, или вообще что-то свое?
Для модуля сигнатурного анализа используется PCRE.
3. > можете ли дать какой-то ориентир сколько RPS ваш WAF может обработать на одно ядро CPU в каких-то конфигурациях (например, минимально, 100 регекспов, полная база)?
Все зависит от качества составленной сигнатуры и размера запроса, например, вы составили сигнатуру union.+select.+from и пытаетесь обработать есть тело запроса в 5 МБ (еще учитываем, что это не единственная используемая сигнатура) — время обработки будет в раз больше, чем если бы сигнатура выглядела так union.{1,250}select.{1,250}from. С базовым набором сигнатур, который доступен на сайте rlinfo.nemesida-security.com (автоматически обновляется) среднее время обработки запроса может увеличиться на 200-500 мс.
Представленные сигнатуры не сильно увеличивают нагрузку, на скришноте показа реальный трафик в 800 RPS, при этом CPU не нагружается.
Даже в полноценной версии мы все равно задействуем сигнатурный анализ, поскольку принятие им решения занимает гораздо меньше времени, чем принятие решения модулем машинного обучения. Тем не менее, некоторые блокировки сигнатурным анализом модуль машинного обучения в Nemesida WAF может отменить, за счет чего и достигается практически полное отсутствие FP.
бесплатная версия не имеет ограничений по времени использования, также есть пробная
полная версия.
1. > можете сделать какой-то ликбез относительно ModSecurity? Что ловится регекспами и используются ли они, а что ML?
Относительно регекспов (сигнатур) и нивелирования их недостатков машинным обучением — это отдельная тема для статья, если вкратце, то: не под все атаки можно составить сигнатуры так, чтобы они блокировались с минимальным количеством ложных срабатываний. В качестве примера можно привести конструкцию
cmd=; cat+/e?c/pa???d, под которую сложно создать сигнатуру таким образом, чтобы она не фолсила (не только в параметрах, но и других зонах HTTP). При этом вместо /etc/passwd может быть любой другой файл, например./se????gs.???(settings.php) или что-то еще.В статье содержатся примеры техник обхода. В отличие от сигнатур, машинное обучение позволяет выявлять вариации атак.
Дополнительно, информация по работе сигнатур/ML в Nemesida WAF доступна в видео.
2. > если используются регекспы, то что внутри: PCRE JIT, Hyperscan, или вообще что-то свое?
Для модуля сигнатурного анализа используется PCRE.
3. > можете ли дать какой-то ориентир сколько RPS ваш WAF может обработать на одно ядро CPU в каких-то конфигурациях (например, минимально, 100 регекспов, полная база)?
Все зависит от качества составленной сигнатуры и размера запроса, например, вы составили сигнатуру
union.+select.+fromи пытаетесь обработать есть тело запроса в 5 МБ (еще учитываем, что это не единственная используемая сигнатура) — время обработки будет в раз больше, чем если бы сигнатура выглядела такunion.{1,250}select.{1,250}from. С базовым набором сигнатур, который доступен на сайте rlinfo.nemesida-security.com (автоматически обновляется) среднее время обработки запроса может увеличиться на 200-500 мс.Представленные сигнатуры не сильно увеличивают нагрузку, на скришноте показа реальный трафик в 800 RPS, при этом CPU не нагружается.
Даже в полноценной версии мы все равно задействуем сигнатурный анализ, поскольку принятие им решения занимает гораздо меньше времени, чем принятие решения модулем машинного обучения. Тем не менее, некоторые блокировки сигнатурным анализом модуль машинного обучения в Nemesida WAF может отменить, за счет чего и достигается практически полное отсутствие FP.