Dans cet article, vous apprendrez :
- Fonctionnement du mode d'urgence
- Comment changer de mode actif
- Quand utiliser chaque mode
- Questions fréquemment posées
Mode d'urgence
Le mode d'urgence permet de contrôler la manière dont WEDOS Protection traite le trafic entrant pour un domaine à un niveau global. Il permet de déterminer si les règles de protection sont appliquées normalement, simplement enregistrées, ou remplacées par un comportement plus strict en cas d'incident, le tout à partir d'un seul menu déroulant.
La modification du mode de protection s'applique à l'ensemble de la configuration du domaine. Elle ne supprime ni ne remplace les filtres individuels ou les règles combinées. Elle modifie simplement le comportement de ces règles au niveau du proxy.
Modes disponibles
WEDOS Protection prend actuellement en charge les cinq modes suivants :
| Mode | Comportement |
|---|---|
| Normal (Désactiver) | Aucun mode d'urgence n'est activé. Le domaine fonctionne en mode de protection « Normal » complet, avec l'application de tous les filtres, limites de débit et règles CMS. Recommandé pour l'environnement de production. |
| Sous le feu des critiques, Soft | Une passerelle de contrôle renforcée associée à des limites de débit plus strictes. Conçue pour faire face à une attaque de couche 7 active, lorsque vous souhaitez filtrer plus rigoureusement tout en maintenant l'accessibilité du site pour les utilisateurs légitimes. |
| Contournement | Les règles de protection sont contournées et le trafic est redirigé vers la source avec un filtrage réduit. Cette fonctionnalité est utile pour analyser un faux positif suspecté dans vos règles de protection. |
| Pour journalisation uniquement | Les filtres et les règles sont évalués, mais n'ont aucune incidence sur le trafic. Les actions sont enregistrées sous forme d'entrées de journal qui peuvent être consultées dans Grafana. Utilisez cette fonctionnalité pour valider les règles ou contrôler la protection existante. |
| Chute complète | Toutes les connexions TCP entrantes sont automatiquement interrompues au niveau du proxy. Les visiteurs constatent un délai d'expiration de la connexion. Mesure d'isolation de dernier recours. |
Vous trouverez plus d'informations sur les modes dans le chapitre « Mode Manual ».
Configuration du mode d'urgence
Pour modifier le mode d'urgence actif d'un domaine, procédez comme suit :
- Connectez-vous au panneau d'administration de WEDOS Global &boxbox ;.
- Sélectionnez un domaine (ou un modèle) à configurer.
- Ouvrez le menu déroulant intitulé « Mode d'urgence d' » situé en haut du tableau de bord du domaine, puis sélectionnez le mode que vous souhaitez activer.
- Confirmez la modification dans la fenêtre de dialogue.
Le nouveau mode est activé au niveau du proxy périphérique en quelques secondes.
Le mode actuellement actif apparaît toujours comme libellé du menu déroulant.
Pour configurer rapidement un mode donné sur un grand nombre de domaines, créez un modèle dans lequel ce mode est activé.
Retour à la protection normale
Pour revenir à la protection de production complète, sélectionnez « Désactiver » dans le menu déroulant et confirmez la modification. La désactivation du mode d'urgence rétablit l'application de tous les filtres, limites de débit et règles CMS. Toutes les règles ajoutées ou modifiées pendant que le domaine était en mode autre sont appliquées dès que la protection normale est active.
Mode manuel
La liste ci-dessous décrit le scénario type pour lequel chaque mode a été conçu. En règle générale, un domaine devrait fonctionner en mode Normal la plupart du temps. N'utilisez les autres modes qu'à bon escient, pour un objectif précis, et repassez en mode Normal une fois cet objectif atteint.
Normal (Désactiver)
Il s'agit du paramètre par défaut en production, qui doit rester activé en permanence, sauf si une raison particulière justifie de le modifier. La protection standard applique l'ensemble de la pile de protection L3, L4 et L7, ainsi que toutes les règles personnalisées que vous avez configurées.
Sous le feu des critiques, Soft
Utilisez le mode « Under Attack, Soft » lorsque le domaine est la cible d'une attaque ciblée, mais que vous souhaitez néanmoins maintenir le service accessible aux utilisateurs légitimes. Le contrôle d'authentification est renforcé et les limites de débit sont resserrées ; ainsi, tout client qui échoue au contrôle d'authentification ou dépasse les seuils abaissés est filtré avant que l'origine ne reçoive la requête.
Contournement
Utilisez le mode « Bypass » lorsque vous soupçonnez qu'une règle de protection bloque du trafic légitime et que vous devez lever rapidement cette restriction pendant que vous menez votre enquête. Le trafic est alors redirigé vers l'origine avec un filtrage allégé, ce qui permet de maintenir l'accessibilité du site pendant que vous identifiez la règle à l'origine du faux positif. Une fois l'enquête terminée et la protection ajustée en conséquence, remettez le domaine en mode « Normal ».
Pour journalisation uniquement
N'utilisez le mode « Log Only » que lorsque vous débutez avec WGP et que vous souhaitez obtenir une vue d'ensemble de votre trafic afin de déterminer le niveau de protection nécessaire, d'évaluer les filtres ou les paramètres du WAF, ou encore lorsque vous souhaitez analyser la protection existante sans affecter le trafic. Les filtres et les règles évaluent le trafic sans le bloquer. Les actions qui en résultent sont consignées dans des entrées de journal que vous pouvez utiliser pour valider les besoins en matière de filtres et de règles avant de les activer en mode « Normal ».
Chute complète
Utilisez le mode « Full Drop » comme dernier recours en matière d'isolation. Toutes les connexions TCP entrantes sont interrompues en silence au niveau du proxy périphérique, ce qui signifie que les visiteurs obtiennent un délai d'expiration de connexion au lieu d'une réponse quelconque. Ce mode n'est approprié que lorsqu'aucun autre mode ne suffit, par exemple lors d'un incident majeur où tout trafic vers l'origine est inacceptable.
FAQ
Comment puis-je savoir quel mode est activé sur mon domaine ?
Le mode actuel s'affiche dans le menu déroulant. S'il ne s'agit pas du mode Normal et que vous n'êtes pas en train d'effectuer un test ou que vous ne subissez pas d'attaque, sélectionnez l'option « Désactiver » pour revenir au mode Normal.
La modification du mode de protection entraîne-t-elle la suppression ou la remplacement de mes filtres et de mes règles combinées ?
Non. Vos filtres et vos règles combinées restent inchangés dans la configuration. Le mode Protection modifie uniquement le comportement de ces règles lors de l'exécution. Le retour au mode de protection Normal rétablit l'application intégrale de chaque règle, exactement telle qu'elle a été configurée.
En combien de temps un changement de mode prend-il effet ?
Une fois la boîte de dialogue de confirmation acceptée, le nouveau mode est répercuté sur le proxy périphérique en quelques secondes. Aucune modification du DNS ni aucun redémarrage n'est nécessaire.
Puis-je passer directement d'un mode à l'autre sans repasser par le mode Normal ?
Oui. Vous pouvez passer directement d'un mode à l'autre. Chaque transition doit toutefois être confirmée. Par exemple, vous pouvez passer du mode « Sous attaque, alerte faible » au mode « Alerte maximale » si un incident s'aggrave, puis revenir au mode « Désactiver » une fois qu'il est terminé.
Dois-je laisser les compétences « Under Attack » et « Soft » activées en permanence pour plus de sécurité ?
Non. Le mode « Under Attack, Soft » est conçu pour les incidents en cours et utilise des seuils plus stricts ainsi qu’un système de vérification renforcé qui peut, à la longue, affecter les utilisateurs légitimes. Le niveau de base recommandé pour l’environnement de production est « Deactivate », qui exécute déjà l’ensemble de la pile de protection WGP. N’utilisez le mode « Under Attack, Soft » que si vous disposez de preuves d’une attaque ciblée.
Si j'active Full Drop, les visiteurs verront-ils une page d'erreur WEDOS Protection ?
Non. Le mode « Full Drop » rejette silencieusement toutes les connexions TCP entrantes au niveau du proxy, de sorte qu'aucune réponse HTTP n'est générée. Les visiteurs verront s'afficher un délai d'expiration ou une réinitialisation de la connexion dans leur navigateur, et non une page de protection WEDOS. Ce comportement est intentionnel et explique en partie pourquoi le mode « Full Drop » est réservé comme solution de dernier recours.