diff --git a/infra/crowdsec-safeline.md b/infra/crowdsec-safeline.md index 417582c..c8015a3 100644 --- a/infra/crowdsec-safeline.md +++ b/infra/crowdsec-safeline.md @@ -1,6 +1,6 @@ --- title: CrowdSec 및 SafeLine WAF -updated: 2026-03-12 +updated: 2026-03-15 --- ## DB 테이블 @@ -14,3 +14,51 @@ DB 테이블은 blocklist (ip PK, reason, origin, expires_at), verified_ips, met ## Bouncer Bouncer 목록: [[apisix]]-waf-bouncer, bunny-cdn-bouncer, cs-[[cloudflare|cf]]-worker-bouncer + +## 3중 보안 구조 (KR존, 2026-03-15) + +``` +클라이언트 → BunnyCDN WAF (1차) → APISIX + SafeLine WAF (2차) → CrowdSec (분석/3차) +``` + +### 1차: BunnyCDN WAF (OWASP CRS) +- 위치: CDN 에지 (오리진 도달 전 차단) +- 차단: SQLi, XSS, CMDi, SSRF, Shellshock, Log4j +- 비활성화한 룰: DATA LEAKAGES SQL (id=911) — NocoDB API 응답 오탐 방지 +- 통과: Request Smuggling, NoSQLi, 일반 경로 스캔 + +### 2차: SafeLine WAF (chaitin-waf 플러그인) +- 위치: APISIX 내부 플러그인 +- BunnyCDN을 통과한 공격 차단 +- 글로벌 적용 (global_rules로 chaitin-waf 설정) + +### 3차: CrowdSec (로그 분석) +- 위치: jp1 CrowdSec (10.253.100.240:8085) +- APISIX http-logger → CrowdSec HTTP acquisition (global_rules) +- 파서: custom/apisix-json-logs (APISIX http-logger JSON 파싱) +- 반복 공격자 패턴 탐지 (시나리오 매칭) +- 인증: `Authorization: apisix-crowdsec-log-2024` + +### 공격 테스트 결과 (sandbox-tokyo → nocodb.inouter.com) + +| 공격 | 결과 | 차단 위치 | +|------|------|----------| +| SQLi (`OR 1=1`) | 403 | BunnyCDN WAF | +| SQLi (대소문자 혼합) | 403 | BunnyCDN WAF | +| SQLi (더블 인코딩) | 403 | BunnyCDN WAF | +| SQLi (POST body) | 403 | BunnyCDN WAF | +| XSS (`