WAF / CDN: prima linie de apărare la 0 EUR — Cloudflare Free vs ModSecurity on-prem

Pe scurt

Un WAF (Web Application Firewall) e un layer de filtering înaintea aplicației voastre care blochează atacuri automate (boți, scanere, exploit kits, brute-force, SQL Injection și XSS din wordlists OWASP). CDN-uri majore (Cloudflare, Akamai, Fastly) integrează WAF + DDoS protection + bot mitigation + rate limiting.

Fără WAF, aplicația voastră e expusă direct la internet — orice script kiddie cu Burp Suite sau ZAP vă scanează 24/7. Estimări Imperva 2024: aplicații fără WAF primesc ~5.000 atacuri automate/zi.

Cloudflare Free oferă acoperire bazică gratuit (DDoS L3/L4, basic WAF, bot detection), suficient pentru 80% din site-uri SMB. Pentru control total, ModSecurity + OWASP Core Rule Set (CRS) on-prem e standardul gratuit.

Ce blochează un WAF în 2026

1. Bot scanners + exploit kits

Boți Mirai-variant scanează port 80/443 toată ziua, încearcă CVE-uri populare (Log4Shell, Spring4Shell, ProxyLogon, Confluence). WAF blochează la pattern, fără WAF — botul are 100ms să trimită payload, dacă găsește vuln → exploit instant.

2. Brute-force login

Bot încearcă top-1000 parole pe /admin/login cu 50 req/sec. WAF rate-limit la 10 req/min per IP + CAPTCHA. Fără WAF, botul încearcă 4 milioane parole/zi — credentials guessing eficient.

3. SQL Injection / XSS din wordlist

ZAP / Burp Suite cu Active Scan trimite payloads OWASP standard (' OR 1=1--, <script>alert(1)</script>). WAF detectează pattern-uri și blochează. WAF nu e infailibil contra atacurilor manuale customizate, dar elimină 95% din volumul automat.

4. DDoS L7 (application layer)

10.000 req/sec către /api/search?q=expensive_query. CDN absoarbe la edge (Cloudflare are capacitate 248 Tbps globală 2026). Origin direct cade la 100 Mbps.

5. OWASP Top 10:2025 patterns

CRS (Core Rule Set) vine cu reguli pre-definite pentru:

• SQL Injection (CVE-uri istorice)
• XSS (event handlers, javascript: URI)
• Path Traversal (../../etc/passwd)
• Remote File Inclusion (http://evil.com/shell.php)
• Local File Inclusion (/proc/self/environ)
• Command Injection (;ls, |cat /etc/passwd)

Cloudflare Free — setup în 30 minute

Pas 1 — Cont Cloudflare gratuit

https://www.cloudflare.com/ → Sign Up → adăugați site-ul vostru.

Pas 2 — Schimbați NS la registrar

Cloudflare vă dă 2 nameserver-e (ex: lila.ns.cloudflare.com, pablo.ns.cloudflare.com). Le setați la registrar-ul domeniului (RoTLD pentru .ro, alți pentru .com/.eu).

Propagare: 24-48h.

Pas 3 — Activați “Proxy” (orange cloud)

Pe DNS records publice (A, AAAA): orange cloud → traficul e proxy-uit prin Cloudflare. Origin IP ascuns.

Pas 4 — Default WAF rules

Security → WAF → “Managed Rules” activate by default:

• Cloudflare Managed Ruleset
• OWASP Core Ruleset
• Cloudflare Free Managed Rules

Pas 5 — Security level

Security → Settings → Security Level: Medium sau High pentru sensitiv. Bots fight = challenge JS pentru utilizatori suspecți.

Pas 6 — TLS strict

SSL/TLS → Mode: Full (strict) — Cloudflare verifică cert origin. Nu folosiți “Flexible” (HTTP între Cloudflare și origin = atac MITM intern.).

Pas 7 — Origin allowlist (defense in depth)

Pe firewall-ul origin (iptables / nginx / cloud security group), permiteți doar IP-urile Cloudflare: https://www.cloudflare.com/ips/

Astfel, atacatori care află origin IP via Censys sau DNS history vechi nu pot bypass-a Cloudflare.

ModSecurity on-prem — pentru control total

Avantaje: zero dependență externă, log-uri locale, customizare totală a regulilor. Dezavantaje: ops effort, nu acoperă DDoS L3/L4 (necesar layer rețea în plus).

Setup nginx + ModSecurity (Debian/Ubuntu)

sudo apt install libmodsecurity3 libnginx-mod-http-modsecurity

Activare în nginx config:

load_module modules/ngx_http_modsecurity_module.so;

server {
    modsecurity on;
    modsecurity_rules_file /etc/nginx/modsec/main.conf;
}

Adăugați OWASP Core Rule Set:

git clone https://github.com/coreruleset/coreruleset.git /etc/nginx/modsec/owasp-crs

Effort: 2-3 zile setup + tuning. Mentenanță: regular update CRS rules (recomandat trimestrial).

Recomandări pentru cazul vostru

Profil organizație	Recomandare
SMB (sub 50 angajați), site marketing/blog	Cloudflare Free
E-commerce / SaaS B2B mediu (50-500 angajați)	Cloudflare Pro ($20/lună) sau AWS WAF ($5/lună + per req)
Enterprise, regulated (PCI-DSS Level 1)	Cloudflare Enterprise sau Imperva sau F5 BIG-IP
Org cu compliance strict NO-CDN-third-party	ModSecurity + OWASP CRS on-prem

PCI-DSS 4.0 Req. 6.6 cere explicit “public-facing web apps protected by automated solution” = WAF mandatoriu pentru organizații care procesează carduri.

Confuzii frecvente

“Cloudflare îmi încetinește site-ul.” — Invers. CDN cache-uiește la edge → utilizator primește răspunsuri din cel mai apropiat node Cloudflare (Bucharest pentru utilizatori RO), nu de pe origin la New York. Latency mediu scade cu 30-60%.

“Trebuie să-mi dau pe Cloudflare datele clienților.” — Cloudflare nu vede conținutul cache-uit (care e public oricum). Pentru date private, traficul tranzitează doar (TLS termination la Cloudflare → re-encrypt la origin). DPA Cloudflare e GDPR-compliant + EU-only routing disponibil.

“WAF nu protejează atacuri manuale customizate.” — Adevărat. WAF blochează ~95% din volumul atacurilor (toate automate). Atacatori manuali experimentați pot bypass. Soluția = WAF + pentest manual cu autorizație contractuală + monitoring + IDS/IPS internă.

Verificați acum

ARTEMIS detectează prezența WAF/CDN în orice scanare Site (2 EUR) — semnături Cloudflare, Akamai, Sucuri, Imperva, F5 BIG-IP, Fastly și altele.

---

🔗 Soluții complementare CAI Technology

• ARTEMIS — Detectare WAF + 36 alte verificări tehnice.
• Auditope — Audit holistic web (Performance + SEO + AI search). Cloudflare îmbunătățește scor Performance.
• Lexnomia — Evaluare PCI-DSS auditor-grade (WAF e cerință explicită Req. 6.6).
• BeLegal — Verificare gratuită 5 minute compliance UE.
• AriaUnited — Consultanță fonduri europene PNRR pentru investiții WAF dedicat (Imperva, F5 BIG-IP). Granturi acoperă 50-90% costuri implementare.

---

tehnic@caitech.ro