ASM – Simple Security Policy Deployments with BIG-IP ASM

目的：这个演示的目的是展示使用BIG-IP ASM创建安全策略和DoS配置文件是多么简单。您将从展示几个应用程序层攻击开始。然后，您将使用快速部署为DVWA web应用程序创建一个安全策略。然后您将尝试相同的应用层攻击，包括，所有这些攻击都将被阻止。然后你会提交一些7层DoS攻击。然后，您将创建一个第7层DoS配置文件，并再次启动DoS攻击。您将使用ASM事件日志和bot防御日志来显示所有DoS尝试都被ASM的DoS保护阻止了。

Part 1 - 准备实验环境

任务一 创建event log profile

首先还原ucs
load sys ucs clean_install_BIGIP_ASM_v13.0.ucs no-license

登录web页面，进入 Security ›› Event Logs : Logging Profiles ，创建新的profile
name:lorax_log_profile
选择Application Security, Dos Protection, 和Bot Defense
application security里，request type选择all request
dos protection里勾上local publisher
bot defense选择local publisher，log illegal requests和log challenged requests
点击finished
到dvwa_virtual的vs里关联上这个log profile
保存一份ucs， demo_asm_simple_deployments_v13.0

Part 2 演示实验

实验前，先restore part 1环境的ucs
load sys ucs demo_asm_simple_deployments_v13.0.ucs no-license

任务一 核实web站点漏洞

打开浏览器，用hacker/hackyou登录dvwa

SQL injection

在sql injection里输入%’ or 1='1
我们可以看到数据库里所有的用户信息都被展示了出来
输入
’ and 1=0 union select null,
concat(first_name,0x0a,last_name,0x0a,user,0x0a,password) from users #
所有用户的账号密码都被展示了出来，以第一个为例
将加密的密码用百度解密后得到password
使用admin/password登录成功

Cross-Site Scripting

回到hacker/hackyou账号
点击XSS reflected，输入以下内容，点击提交

一个黑客可以在这里用JavaScript做任何事情
输入以下内容

这将把用户当前页面引导至其他页面  ## 任务二 使用rapid deployment创建安全策略 注意vs里要管理http profile，只有关联了http profile才能保护应用层攻击 创建新的安全策略，根据以下信息 Policy Name simple_security_policy Policy Template Rapid Deployment Policy Virtual Server dvwa_virtual Enforcement Mode Blocking Signature Staging Disabled 这个配置使用了基础的安全策略，它包含了几种常见的安全措施和数千个攻击签名

任务三 尝试攻击DVWA应用

点击sql injection，输入%’ or 1='1并提交
攻击被block

点击xss reflected，输入并提交
攻击被block
查看日志
查看sql攻击的日志，我们可以看到匹配的signature id以及匹配的具体parameter
同时可以看到violation rating为3级
这些特征都是匹配到了id的parameter
由于被系统认为是sql注入攻击，所以被block
再查看/vulnerabilities/xss_r对应的日志
这个请求匹配了三个攻击特征，对应在name的parameter上
由于被系统认为是xss攻击，所以被block了
选中所有日志，删除掉

任务四 模拟L7 Dos攻击

打开learning and blocking页面，打开advanced选项
选择attack signature条目
点击change
取消generic detection signatures选项，点击change，保存并应用策略

这样我们就不用管security policy attack signatures，而是集中注意力到DOS防护上
打开CMD，输入ab -n 40 -c 40 http://10.1.10.35/security.php
这个命令用于模拟向服务器发送40个请求
打开日志页面
可以看到这40个攻击都被认为是合法的，并发送给了服务器，如果这是数量巨大的bots发送过来的请求，那么服务器将会承受不了这么大的压力，导致服务器异常
清除下所有的日志

在CMD输入curl http://10.1.10.35/login.php?[1-50]
这个curl的作用在于请求50次dvwa的登录页面
查看一下日志，这边50条均有记录
清除日志
在CMD输入
cd C:\phantomjs\bin
phantomjs.exe L7DDOS.js
每条记录都表示成功访问到了dvwa的login 页面
所有访问都被认为合法并发送给了服务器，如果访问量巨大，这将导致服务器down掉
清除日志

任务五 添加L7 Dos 防护

创建Dos profile
输入dvwa_dos_profile，点击finished
点击dvwa_dos_profile
点击application security，在general setting配置项中，点击disabled然后选择enabled
点击到Proactive Bot Defense，点击off，将其改成always
对于Grace period，点击edit，将值改为2秒
点击更新
这个值是针对这个实验改的，在生产环境中，300s会更加合适
注意：bot signatures与proactive bot defense(主动机器人防御)一起启用。
打开dvwa_virtual，application security挂上simple_security_policy策略
Dos protection profile挂上dvwa_dos_profile
点击更新

任务六 尝试L7 Dos攻击

在CMD输入curl http://10.1.10.35/login.php?[1-50]
经过三次访问成功后，后面的访问都失败了，因为它没有通过JavaScript挑战
日志里只有三条成功访问记录
清除日志

再次尝试输入curl http://10.1.10.35/login.php?[1-50]
访问仍然不成功
也没有任何安全日志记录
打开bot defense，查看request的日志
这些请求由于browser challenge没通过而被block，查看原因
ASM会回复一个JavaScript challenge，这个challenge是curl工具无法回复的
主动机器人攻击会阻止简单的机器人攻击，即使这些攻击使用了正常的user-agent header

进入CMD，输入phantomjs.exe L7DDOS.js
可以看到没有页面的回复，因为phantom.js没有通过JavaScript challenge，收到任何的HTTP回复
查看日志
没有任何日志记录，所有请求都被L7 Dos protection拦掉了
查看bot defense > request日志
查看原因，这些请求因为JavaScript browser challenge没通过而被block
在cmd输入ab -n 40 -c 40 http://10.1.10.35/security.php
查看日志
没有任何日志记录
查看bot日志，发现这些请求由于命中了ab这个bot tool而被block