Ana içeriğe geç

EOL bulut düğüm imajını yükseltme

Bu talimatlar, AWS veya GCP üzerinde dağıtılmış olan ömür sonu (EOL) bulut düğüm imajının (sürüm 3.6 ve altı) 6.x’e yükseltilmesi adımlarını açıklar.

Wallarm nodes 3.6 and lower are not supported

You are recommended to upgrade the Wallarm nodes 3.6 and lower since these versions are not supported, they are end-of-life.

Node configuration and traffic filtration have been significantly simplified in the Wallarm node of the latest versions. Before upgrading the modules, please carefully review the list of changes and general recommendations. Please note that some settings of the latest node are incompatible with the nodes 3.6 and lower.

Gereksinimler

  • Access to the account with the Administrator role in Wallarm Console in the US Cloud or EU Cloud

  • Access to https://us1.api.wallarm.com if working with US Wallarm Cloud or to https://api.wallarm.com if working with EU Wallarm Cloud. Please ensure the access is not blocked by a firewall

  • Access to the IP addresses and their corresponding hostnames (if any) listed below. This is needed for downloading updates to attack detection rules and API specifications, as well as retrieving precise IPs for your allowlisted, denylisted, or graylisted countries, regions, or data centers

    node-data0.us1.wallarm.com - 34.96.64.17
node-data1.us1.wallarm.com - 34.110.183.149
us1.api.wallarm.com - 35.235.66.155
34.102.90.100
34.94.156.115
35.235.115.105

    node-data1.eu1.wallarm.com - 34.160.38.183
node-data0.eu1.wallarm.com - 34.144.227.90
api.wallarm.com - 34.90.110.226

Adım 1: Filtreleme düğümü modüllerini yükselttiğinizi Wallarm teknik desteğine bildirin (yalnızca 2.18 veya altı düğüm yükseltiliyorsa)

Eğer 2.18 veya altı bir düğümü yükseltiyorsanız, lütfen filtreleme düğümü modüllerini en son sürüme yükselttiğinizi Wallarm teknik desteğine bildirin ve Wallarm hesabınız için yeni IP listesi mantığının etkinleştirilmesini isteyin. Yeni IP listesi mantığı etkinleştirildiğinde, Wallarm Console’daki IP lists bölümünün ulaşılabilir olduğundan emin olun.

Adım 2: Threat Replay Testing modülünü devre dışı bırakın (yalnızca 2.16 veya altı düğüm yükseltiliyorsa)

Eğer 2.16 veya altı Wallarm düğümünü yükseltiyorsanız, Wallarm Console → VulnerabilitiesConfigure altında Threat Replay Testing modülünü devre dışı bırakın.

Modülün çalışması yükseltme sürecinde yanlış pozitiflere neden olabilir. Modülü devre dışı bırakmak bu riski en aza indirir.

Adım 3: API portunu güncelleyin

Starting with version 4.0, the filtering node uploads data to the Cloud using the us1.api.wallarm.com:443 (US Cloud) and api.wallarm.com:443 (EU Cloud) API endpoints instead of us1.api.wallarm.com:444 and api.wallarm.com:444.

If you upgrade the node from the version 3.x or lower and your server with the deployed node has a limited access to the external resources and the access is granted to each resource separately, then after upgrade the synchronization between the filtering node and the Cloud will stop.

To restore the synchronization, in your configuration, change port 444 to 443 for API endpoint for each resource.

Adım 4: Son dönemdeki mimari güncellemeleri gözden geçirin

En son güncelleme, özellikle düğümün varsayılan yapılandırma dosyalarını değiştiren kullanıcıları etkileyebilecek mimari değişiklikler getirdi. Yeni imajın doğru şekilde yapılandırılması ve kullanımı için lütfen bu değişiklikleri inceleyin.

Adım 5: 6.x filtreleme düğümüyle yeni bir örnek başlatın

Önceki Wallarm düğüm sürümünün aşağıdaki yapılandırma dosyalarından istek işleme ve proxy ayarlarını 6.x filtreleme düğümünün dosyalarına kopyalayın:

  1. Bulut platformu pazar yerinde Wallarm filtreleme düğümü imajını açın ve imajı başlatma adımına ilerleyin:

  2. Başlatma adımında aşağıdaki ayarları yapın:

    • İmaj sürümü olarak 6.x seçin
    • AWS için, Security Group Settings alanında oluşturduğunuz güvenlik grubunu seçin
    • AWS için, Key Pair Settings alanında oluşturduğunuz anahtar çifti adını seçin

  3. Örneğin başlatılmasını onaylayın.

  4. GCP için, örneği şu talimatlara göre yapılandırın.

Adım 6: Wallarm düğümü filtreleme modu ayarlarını en son sürümlerde yayınlanan değişikliklere uyarlayın (yalnızca 2.18 veya altı düğüm yükseltiliyorsa)

  1. Aşağıda listelenen ayarların beklenen davranışının, off ve monitoring filtreleme modlarının değişen mantığına karşılık geldiğinden emin olun:

  2. Beklenen davranış değişen filtreleme modu mantığına karşılık gelmiyorsa, lütfen talimatları kullanarak filtreleme modu ayarlarını yayınlanan değişikliklere göre uyarlayın.

Adım 7: Filtreleme düğümünü Wallarm Cloud’a bağlayın

  1. SSH ile filtreleme düğümü örneğine bağlanın. Örneklere bağlanmaya ilişkin daha ayrıntılı talimatlar bulut platformu dokümantasyonunda mevcuttur:

  2. Yeni bir Wallarm düğümü oluşturun ve oluşturulan belirteci kullanarak onu bulut platformuna özel talimatlarda açıklandığı şekilde Wallarm Cloud’a bağlayın:

Adım 8: Filtreleme düğümü ayarlarını önceki sürümden yeni sürüme kopyalayın

  1. Önceki Wallarm düğüm sürümünün aşağıdaki yapılandırma dosyalarından istek işleme ve proxy ayarlarını 6.x filtreleme düğümünün dosyalarına kopyalayın:

    • /etc/nginx/nginx.conf ve diğer NGINX ayar dosyaları

    • Filtreleme düğümü izleme servisi ayarlarını içeren /etc/nginx/conf.d/wallarm-status.conf

      Kopyalanan dosya içeriğinin önerilen güvenli yapılandırmaya karşılık geldiğinden emin olun.

    • Ortam değişkenlerini içeren /etc/environment

    • Son mimari değişiklikleri dikkate alarak /etc/nginx/sites-available/default gibi istek işleme ve proxy için diğer özel yapılandırma dosyaları

  2. Yapılandırma dosyalarında açıkça belirtilmişlerse aşağıdaki NGINX yönergelerinin adını değiştirin:

    Sadece yönergelerin adlarını değiştirdik, mantıkları aynı kaldı. Eski adlara sahip yönergeler yakında kullanımdan kaldırılacağından, önceden yeniden adlandırmanız önerilir.

  3. Genişletilmiş günlük formatı yapılandırılmışsa, yapılandırmada wallarm_request_time değişkeninin açıkça belirtilip belirtilmediğini kontrol edin.

    Eğer öyleyse, adını wallarm_request_cpu_time olarak değiştirin.

    Sadece değişkenin adını değiştirdik, mantığı aynı kaldı. Eski ad geçici olarak desteklenmeye devam ediyor, ancak yine de değişkenin yeniden adlandırılması önerilir.

  4. Eğer 2.18 veya altı düğüm yükseltiliyorsa, izin listesi ve engelleme listesi yapılandırmasını önceki Wallarm düğüm sürümünden 6.x’e taşıyın.

  5. Eğer &/usr/share/nginx/html/wallarm_blocked.html sayfası engellenen isteklere döndürülüyorsa, yeni sürümünü kopyalayın ve özelleştirin.

    Yeni düğüm sürümünde, Wallarm örnek engelleme sayfası değiştirildi. Sayfadaki logo ve destek e-postası artık varsayılan olarak boş.

NGINX yapılandırma dosyalarıyla çalışma hakkında ayrıntılı bilgi resmi NGINX dokümantasyonunda mevcuttur.

Filtreleme düğümü yönergelerinin listesi burada mevcuttur.

Adım 8: overlimit_res saldırı tespit yapılandırmasını yönergelerden kurala taşıyın

Starting from the version 3.6, you can fine-tune the overlimit_res attack detection using the rule in Wallarm Console.

Earlier, the wallarm_process_time_limit and wallarm_process_time_limit_block NGINX directives have been used. The listed directives are considered to be deprecated with the new rule release and will be deleted in future releases.

If the overlimit_res attack detection settings are customized via the listed directives, it is recommended to transfer them to the rule as follows:

  1. Open Wallarm Console → Rules and proceed to the Limit request processing time rule setup.

  2. Configure the rule as done via the NGINX directives:

    • The rule condition should match the NGINX configuration block with the wallarm_process_time_limit and wallarm_process_time_limit_block directives specified.

    • The time limit for the node to process a single request (milliseconds): the value of wallarm_process_time_limit.

      Risk of running out of system memory

      The high time limit and/or continuation of request processing after the limit is exceeded can trigger memory exhaustion or out-of-time request processing.

    • The node will either block or pass the overlimit_res attack depending on the node filtration mode:

      • In the monitoring mode, the node forwards the original request to the application address. The application has the risk to be exploited by the attacks included in both processed and unprocessed request parts.
      • In the safe blocking mode, the node blocks the request if it is originated from the graylisted IP address. Otherwise, the node forwards the original request to the application address. The application has the risk to be exploited by the attacks included in both processed and unprocessed request parts.
      • In the block mode, the node blocks the request.

  3. Delete the wallarm_process_time_limit and wallarm_process_time_limit_block NGINX directives from the NGINX configuration file.

    If the overlimit_res attack detection is fine-tuned using both the directives and the rule, the node will process requests as the rule sets.

Adım 9: NGINX’i yeniden başlatın

Ayarları uygulamak için NGINX’i yeniden başlatın:

sudo systemctl restart nginx

Adım 10: Wallarm düğümünün çalışmasını test edin

  1. Send the request with test Path Traversal attack to a protected resource address:

    curl http://localhost/etc/passwd

    If traffic is configured to be proxied to example.com, include the -H "Host: example.com" header in the request.

  2. Open Wallarm Console → Attacks section in the US Cloud or EU Cloud and make sure the attack is displayed in the list.

    Attacks in the interface

  3. Optionally, test other aspects of the node functioning.

Adım 11: AWS veya GCP’de 6.x filtreleme düğümüne dayalı sanal makine imajı oluşturun

6.x filtreleme düğümüne dayalı sanal makine imajı oluşturmak için lütfen AWS veya GCP talimatlarını izleyin.

Adım 12: Önceki Wallarm düğüm örneğini silin

Yeni filtreleme düğümü sürümü başarıyla yapılandırılıp test edildiyse, AWS veya GCP yönetim konsolunu kullanarak önceki filtreleme düğümü sürümüne sahip örneği ve sanal makine imajını kaldırın.

Adım 13: Threat Replay Testing modülünü yeniden etkinleştirin (yalnızca 2.16 veya altı düğüm yükseltiliyorsa)

Threat Replay Testing modülünün kurulumuna ilişkin öneriyi öğrenin ve gerekirse yeniden etkinleştirin.

Bir süre sonra modülün çalışmasının yanlış pozitiflere yol açmadığından emin olun. Yanlış pozitifler tespit ederseniz, lütfen Wallarm teknik destek ile iletişime geçin.