Estimador de envenenamento do aprendizado automático do AWAF

Quantas requisições um atacante precisa para abrir um buraco na sua política do BIG-IP Advanced WAF quando o Policy Builder fica em aprendizado automático sobre tráfego não confiável? Informe seus limites de Loosen e os recursos do atacante; a ferramenta calcula o mínimo de fontes, requisições e tempo para forçar um afrouxamento automático, e barra os casos que o tornam impossível. Roda inteiramente no seu navegador.

Segurança e WAF

Sua configuração de Loosen do Policy Builder

O atacante

Calculado no seu navegador. Nada é enviado.

Um modelo determinístico do comportamento documentado do Policy Builder do F5, não uma sondagem. Nunca contata um BIG-IP. Leia os limites reais de Loosen da sua política em Security > Application Security > Policy Building > Learning and Blocking Settings.

Vulnerável: esta configuração pode ser afrouxada automaticamente. Esforço mínimo do atacante:

10IPs de origem distintos
10+requisições (limite inferior)
24 htempo mínimo decorrido

O que a documentação diz

  • No modo Automatic, uma sugestão que atinge learning score de 100% é aceita e aplicada sem humano no processo — inclusive sugestões que desabilitam uma violação ou ampliam uma entidade.
  • No rating 3, o F5 desacelera o aprendizado e exige mais fontes e sessões distintas antes de afrouxar. Quanto maior o rating, mais caro o envenenamento.
  • Clientes confiáveis afrouxam a política com apenas uma sessão; o tráfego não confiável precisa de muito mais fontes distintas ao longo de um período. Essa assimetria é o design anti-envenenamento.
  • Esta contagem de requisições é um limite inferior documentado (um acerto distinto por fonte/sessão exigida). Uma campanha real precisa de mais, pois o padrão precisa se repetir para elevar o score.

Como fechar isso

  • Defina o Learning Mode como Manual (ou Disabled) para que nenhuma sugestão seja aplicada sem um humano aceitar. Este é o padrão limpo para produção.
  • Afrouxe apenas a partir de tráfego confiável onde a opção existe (Track Site Changes), e construa políticas a partir de uma faixa de IPs confiáveis conhecida em vez de tráfego não confiável ao vivo.
  • Aumente os limites de Loosen para não confiável (fontes distintas, sessões, período) para que o tráfego não confiável praticamente nunca afrouxe a política durante o período de aprendizado.
  • Nunca coloque faixas alcançáveis pela internet ou por atacantes na lista de IPs confiáveis — o tráfego confiável afrouxa a política com uma única sessão.
  • Depois que a política estiver construída e estável, desabilite a construção automática de política (ou o Track Site Changes) para que ela pare de aprender com o tráfego ao vivo.

Este cenário afrouxa a partir de tráfego não confiável no modo Automatic — exatamente a configuração a evitar em uma política exposta à internet.

Endpoint da APIGEThttps://ronutz.com/api/v1/f5-awaf-learning-poisoning-estimatorDocumentado, não servido. Abre a especificação.

Referências