Лекция
Привет, Вы узнаете о том , что такое web application firewall, Разберем основные их виды и особенности использования. Еще будет много подробных примеров и описаний. Для того чтобы лучше понимать что такое web application firewall, файрвол веб-приложений, waf , настоятельно рекомендую прочитать все из категории Вредоносное ПО и защита информации.
файрвол веб-приложений (англ. Web application firewall, WAF) — совокупность мониторов и фильтров, предназначенных для обнаружения и блокирования сетевых атак на веб-приложение. WAF относятся к прикладному уровню модели OSI[1].
Веб-приложение может быть защищено силами разработчиков самого приложения без использования WAF. Это требует дополнительных расходов при разработке. Например, содержание отдела информационной безопасности. WAF вобрали в себя возможность защиты от всех известных информационных атак, что позволяет делегировать ему функцию защиты. Это позволяет разработчикам сосредоточиться на реализации бизнес-логики приложения, не задумываясь о безопасности[2].
Файрвол веб-приложений используется как наложенное средство защиты. Это значит, что он располагается перед основным веб-приложением и анализирует входящий и исходящий трафик. В режиме реального времени он принимает решение о предоставлении либо отклонении доступа[1].
В WAF могут поддерживаться любые модели безопасности: позитивные, негативные или их комбинации. К современным WAF предъявляются требования, описанные в PCI DSS. Так же они инспектируют запросы и ответы HTTP/HTTPS протокола передачи данных в соответствии с политикой безопасности[3]. Кроме того, открытый проект OWASP собирает данные о компрометациях со всего мира и формирует рейтинг векторов атак на веб-приложения — OWASP Top Ten[4]. WAF проектируются так, чтобы успешно реагировать на угрозы описанные в этом рейтинге[3].
Стоит отметить, что WAF не являются абсолютным средством защиты информации. Обычно они включаются в общую систему безопасности веб-приложения в сочетании с другими элементами, например, с элементами, решающими проблемы протоколов отличных от HTTP/HTTPS, системами контроля инцидентов, сервисами противодействия мошенничеству[5].
Межсетевые экраны приложений, которые управляют вводом, выводом и доступом из приложений или служб, были впервые разработаны в начале 1990-х годов как расширение сетевого межсетевого экрана Джином Спаффордом , Биллом Чесвиком и Маркусом Ранумом . [2] Их продукт был в основном сетевым межсетевым экраном, но мог обрабатывать несколько приложений (например, FTP или RSH ) и был выпущен на рынок DEC . В течение следующих нескольких лет продукты были доработаны другими исследователями, чтобы обеспечить стабильное программное обеспечение межсетевого экрана для других, и подняли планку для отрасли.
Специализированные брандмауэры для веб-приложений появились на рынке в конце того десятилетия, когда хакерские атаки на веб-серверы становились все более заметными.
Первой компанией, которая изобрела и предложила специальный брандмауэр для веб-приложений, была Perfecto Technologies со своим продуктом AppShield [3], ориентированным на рынок электронной коммерции и защищенным от незаконного ввода символов веб-страниц. Компания была основана Эраном Решефом и Гили Раананом , которые также являются изобретателями первого специализированного WAF. Perfecto переименовал себя в Sanctum и назвал [4] десятку лучших методов взлома веб-приложений и заложил основы для рынка WAF:
В 2002 году был сформирован проект с открытым исходным кодом ModSecurity [8] , чтобы сделать технологию WAF более доступной и устранить препятствия в отрасли, такие как бизнес-кейсы, ценовые барьеры и проприетарные наборы правил. Об этом говорит сайт https://intellect.icu . ModSecurity доработала базовый набор правил для защиты веб-приложений на основе работы Технического комитета по безопасности веб-приложений OASIS (WAS TC), посвященной уязвимости. В 2003 году их работа была расширена и стандартизирована с помощью списка 10 лучших проектов Open Web Application Security Project (OWASP), ежегодного рейтинга уязвимостей веб-безопасности. Этот список станет отраслевым эталоном для многих тем соответствия. [9] [10]
С тех пор рынок продолжал расти и развиваться, вовлекая более крупную коммерческую отрасль с ростом мошенничества с кредитными картами . С разработкой Стандарта безопасности данных индустрии платежных карт (PCI DSS), стандарта для организаций по усилению контроля над данными держателей карт, безопасность стала более регулируемой и вызвала широкий интерес в отрасли. Согласно журналу CISO Magazine, к 2022 году ожидается рост рынка WAF до 5,48 млрд долларов [11].
Основным вектором успешных атак уже продолжительное время остаются SQL-инъекции[6]. Для работы с различными данными — удаление, изменение, добавление приложение использует базу данных. При обращении к базе данных, приложение составляет текст запроса, который может быть подменен злоумышленником[7]. В результате, например, может произойти утечка, удаление или запись данных. Для защиты тщательно проверяются данные полученные от пользователя, используются черные или белые списки последовательностей символов, экранируется текст запроса[8].
Для различения пользователей при авторизации пользователя на сайте ему ставится сессионный куки или выдается токен авторизации, который браузер сохраняет и каждый раз отправляет на сервер, для подтверждения того, что это нужный пользователь. Этот ключ может быть получен злоумышленником и использован для доступа к аккаунту[9]. Для защиты вместе с ключом проверяется сопутствующая информация такая как, IP адрес, браузер. Так же ключу сессии ставят относительно недолгий срок жизни[10].
Этот вид атак заключается в том, что злоумышленник передает Java-Script или Html код в браузер пользователя, где этот код исполняется[7]. Таким образом злоумышленник может получить куки или данные вводимые на форме зараженной страницы. Для защиты экранируются входные и выходные данные. Используются регулярные выражения для валидации полей[11].
Этот вид атак предназначен для кражи конфиденциальных данных. Чаще всего это происходит в момент их передачи от клиента на сервер по незащищенному протоколу HTTP или FTP. На пути к серверу, на каком-то узле, получив к нему доступ, злоумышленник может прочитать открытый, незащищенный запрос с конфиденциальной информацией пользователя[12]. Для передачи подобной информации используют защищенные протоколы передачи HTTPS, TLS. Помимо этого, если есть необходимость хранить такие данные, то хранятся они в зашифрованном виде[12].
Уязвимости контроля доступа связаны недостаточной тщательностью проверки прав доступа к тем или иным данным. При наличии одних прав, злоумышленник может получить доступ к данным, которые для данных прав закрыты[13].
Например, если злоумышленник имеет id равный 1 и может видеть список своих сообщений по ссылке
mysite.com/messages?id=1
то при недостаточной проверке прав, заменив значение id на 2
mysite.com/messages?id=2
сервер выдаст сообщения пользователя с id = 2. В качестве защиты для проверки доступа используют белые списки. Хотя некоторые WAF берут на себя подобные функции проверки, но преимущественно, эти действия выполняются на сервере[14].
В отчете OWASP за 2017 год в топ возможных рисков для веб-приложений попал такой вектор атак как XML External Entities (XXE)[15]. Возможность таких атак возникает, когда приложение предоставляет возможность пользователю для передачи данных использовать документы XML, содержимое которых анализируется плохо настроенным парсером. В результате злоумышленник может передать в XML ссылку на внешнюю сущность, что может привести к потере данных, либо к другим нежелательным воздействиям на сервер[16][17]. Для защиты используется тщательно настроенный сериализатор XML либо он заменяется на другой, например, JSON. Или отключается поддержка внешних сущностей XML[18].
Следует отметить, что некоторым стандартным атакам можно противостоять, включая соответствующие заголовки и флаги, встроенные во все современные браузеры. Например, заголовок X-XSS-Protection или флаг HTTPonly у заголовка Set-Cookie[19][20].
WAF активно используют сигнатурный анализ для фильтрации трафика. Сигнатурный метод в своей реализации использует словарь вредоносного трафика для сравнения[21]. Если в пришедшем трафике нашлась часть запроса(сигнатура), которая соответствует вредоносному трафику, то WAF блокируют этот запрос. Пример сигнатур[22].
Метод основан на белых и черных списках IP адресов и доменов. Ссылаясь на эти списки, WAF оценивают входящие запросы[2].
Некоторые популярные блок-листы:
Поведенческий анализ строится на машинном обучении. Это позволяет обнаружить аномалии в поведении на глубоких уровнях понимания. Такой механизм может обучаться как с учителем так и без учителя на идентификаторах доступа. Входящими параметрами могут служить идентификаторы доступа такие как HTTP-параметры, идентификатор ресурса (URL, URN), идентификатор сессии[1]. Таким образом выделяется эталонная математическая модель допустимых идентификаторов доступа. При несовпадении с этой моделью очередной запрос будет заблокирован[5]. Это позволяет отражать как известные атаки, так и атаки нулевого дня[2].
Кроме защиты информации, WAF могут предоставлять функции по ее доступности, борясь с DoS-атаками. При обнаружении атаки ограничиваются или блокируются пользователи, которые участвуют в нагрузке трафика. Так же WAF могут внедрить капчу в ответ сервера, тем самым отсекая автоматические запросы и допуская реальных пользователей[5].
WAF в комплекте могут иметь собственный сканер уязвимостей. Сканер обращает внимание разработчиков приложения на недочеты, которые впоследствии могут быть исправлены, либо ответственность за них может быть делегирована WAF. В ходе такого анализа сканер может генерировать запросы с конкретными значениями параметров, которые позволят эксплуатировать найденную уязвимость. Зная слабые места веб-приложения WAF генерируют виртуальные патчи, которые закрывают такие места[23].
WAF предоставляют несколько видов поставок.
В любом из этих случаев WAF могут быть развернуты в одном из вариантов: прозрачный мост, прозрачный или обратный прокси сервер[24].
С увеличением количества веб-приложений в сети Интернет растет потребность в их квалифицированной защите[25]. Это является фактором развития компаний в данном направлении. Многие компании участвуют в развитии отрасли. Проводят открытую аналитику рынка, технологий и угроз. Поскольку за время развития веб-защиты выработаны принципы и стандарты безопасности, то WAF продукты от различных компаний схожи по своей функциональности и отличаются лишь графической оболочкой[3].
Наиболее популярные решения:
WAF с открытым исходным кодом:
Исследование, описанное в статье про web application firewall, подчеркивает ее значимость в современном мире. Надеюсь, что теперь ты понял что такое web application firewall, файрвол веб-приложений, waf и для чего все это нужно, а если не понял, или есть замечания, то не стесняйся, пиши или спрашивай в комментариях, с удовольствием отвечу. Для того чтобы глубже понять настоятельно рекомендую изучить всю информацию из категории Вредоносное ПО и защита информации
Комментарии
Оставить комментарий
Информационная безопасность, Вредоносное ПО и защита информации
Термины: Информационная безопасность, Вредоносное ПО и защита информации