Blog Agility

IP Address Exceptions – ASM

IP Address Exceptions – ASM

A solução ASM trabalha diretamente na camada 7 do modelo OSI. Este artigo irá mostrar as formas de cadastrar IPs para que o ASM confie neles e não os bloqueiem.

Ao criar uma política no modulo ASM e associar ao Virtual Server responsavel pela aplicação, essa política irá analisar todo trafego a fim de mitigar vulnerabilidades e bloquear ataques na aplicação. Além de analisar todos os parâmetros da camada de aplicação, o ASM também tem a capacidade de identificar o IP de origem. Com isso podemos incluir IPs conhecidos, sejam do ambiente interno ou externo, para que não sejam bloqueados e tenham livre acesso a aplicação. Podemos fazer isso de 4 maneiras distintas. Tal função é muito util para diversos procedimentos dos responsáveis pelo ambiente interno, como por exemplo stress test, atualizações, homologação, etc.

Para isso temos que seguir os seguintes passos:

  • Acessar: Security ››  Application Security ›› IP Addresses ›› IP Address Exceptions ›› Create…
  • Ao clicar em Create vamos nos deparar com a seguinte tela:
Tech-Tips_2015_11_Alexandre_Orquisa_Angelin_IP_Address Exceptions_01
Figura 1: Tela IP Address Exception Properties
  • IP Address: IP ou rede a ser incluída.
  • Netmask: Máscara a ser incluida.
  • Policy Builder trusted IP: Liberar IP na política automática
  • Ignore in Anomaly Detection: Ignorar anomalias de Brute Force e Web Scraping.
  • Ignore in Learning Suggestions: Política não vai gerar sugestões para o IP.
  • Never block this IP Address: A política nunca irá bloquear esse IP.
  • Never log traffic from this IP Address: Política não irá gerar log nas requests deste IP
  • Ignore IP Address Intelligence: Irá liberar este IP mesmo se ele estiver para ser bloqueado no IP Address Intelligence.
  • Description: Observação sobre o IP ou rede em questão.
  • Primeira forma de incluir, sendo que será incluído apenas 1 IP:
Tech-Tips_2015_11_Alexandre_Orquisa_Angelin_IP_Address Exceptions_02
Figura 2: Incluir 1 IP
  • Segunda forma de incluir, sendo que será incluído apenas 1 IP, porém informado qual o seu Route Domain:
Tech-Tips_2015_11_Alexandre_Orquisa_Angelin_IP_Address Exceptions_03
Figura 3: Incluir 1 IP com Route Domain
  • Terceira forma de incluir, sendo que será uma rede inteira ou um range de IP:
Tech-Tips_2015_11_Alexandre_Orquisa_Angelin_IP_Address Exceptions_04
Figura 4: Rede ou Range de IP
  • Quarta forma de incluir, sendo que será uma rede inteira ou um range de IP, informando seu Route Domain:
Tech-Tips_2015_11_Alexandre_Orquisa_Angelin_IP_Address Exceptions_05
Figura 5: Rede ou Range de IP com Route Domain


Desta maneira concluímos que existem 4 formas distintas de incluir um IP. Uma rede ou um range de IPs na politica do ASM, para que assim esta política os considerem seguros, inclua em sua WhiteList, e não impacte no objetivo do administrador do ambiente.