Hodeiko gaiei buruzko gure aurreko materialean, guk , nola babestu baliabide informatikoak hodei publikoan eta zergatik antibirus tradizionalak ez diren guztiz egokiak helburu horietarako. Argitalpen honetan, hodeiko segurtasunaren gaiari jarraituko diogu eta WAFen bilakaerari buruz hitz egingo dugu eta zer den hobe aukeratzea: hardwarea, softwarea edo hodeia.
Zer da WAF
Hacker-en erasoen % 75 baino gehiago web-aplikazioen eta webguneen ahultasunetara bideratzen dira: horrelako erasoak normalean ikusezinak dira informazio-segurtasun-azpiegituretarako eta informazio-segurtasun zerbitzuetarako. Web-aplikazioetako ahultasunek, aldi berean, erabiltzaileen kontuak eta datu pertsonalak, pasahitzak eta kreditu-txartelen zenbakiak arriskutsuak eta iruzurra egiteko arriskuak dituzte. Horrez gain, webguneen ahultasunak sare korporatiboan erasotzaileentzako sarrera-puntu gisa balio dute.
Web Application Firewall (WAF) web aplikazioen erasoak blokeatzen dituen babes-pantaila da: SQL injekzioa, guneen arteko script-a, urruneko kodearen exekuzioa, indar gordina eta baimenaren saihespena. Zero eguneko ahultasunak baliatzen dituzten erasoak barne. Aplikazio-suebakiek babesa eskaintzen dute web-orrietako edukia kontrolatuz, HTML, DHTML eta CSS barne, eta HTTP/HTTPS eskaera kaltegarriak iragazten dituzte.
Zeintzuk izan ziren lehen erabakiak?
Web Aplikazioen Firewall sortzeko lehen saiakerak 90eko hamarkadaren hasieran egin ziren. Gutxienez hiru ingeniari ezagutzen dira arlo honetan lan egin dutela. Lehenengoa Purdue Unibertsitateko Gene Spafford informatika irakaslea da. Proxy aplikazioen suebakiaren arkitektura deskribatu zuen eta 1991n argitaratu zuen liburuan .
Bigarrena eta hirugarrena Bell Labs-eko William Cheswick eta Marcus Ranum informazioaren segurtasuneko espezialistak izan ziren. Aplikazioen suebakiaren lehen prototipoetako bat garatu zuten. DEC-ek banatu zuen - produktua SEAL (Secure External Access Link) izenarekin kaleratu zen.
Baina SEAL ez zen WAF irtenbide osoa. Funtzionalitate aurreratuak zituen sareko suebaki klasikoa zen: FTP eta RSH-en erasoak blokeatzeko gaitasuna. Horregatik, gaur egungo lehen WAF irtenbidea Perfecto Technologies-en (gero Sanctum) produktutzat hartzen da. 1999an zuen AppShield sistema. Garai hartan, Perfecto Technologies merkataritza elektronikorako informazioaren segurtasunerako irtenbideak garatzen ari ziren, eta lineako dendak produktu berriaren xede bihurtu ziren. AppShield-ek HTTP eskaerak eta blokeatutako erasoak analizatu ahal izan zituen informazio-segurtasun politika dinamikoetan oinarrituta.
AppShield-en garai berean (2002an), kode irekiko lehen WAF agertu zen. bihurtu zen . WAF teknologiak ezagutzera emateko helburuarekin sortu zen eta oraindik IT komunitateak onartzen du (hemen dago ). ModSecurity-k aplikazioen aurkako erasoak blokeatzen ditu adierazpen erregular multzo estandar batean oinarrituta (sinadurak) - ereduetan oinarritutako eskaerak egiaztatzeko tresnak - .
Ondorioz, garatzaileek beren helburua lortzea lortu zuten - WAF irtenbide berriak agertzen hasi ziren merkatuan, ModSecurity-n oinarrituta eraikitakoak barne.
Hiru belaunaldi historia dira dagoeneko
Ohikoa da hiru belaunaldiko WAF sistemen bereiztea, teknologiaren garapenarekin batera eboluzionatu dutenak.
Lehen belaunaldia. Adierazpen erregularekin (edo gramatikekin) lan egiten du. Honek ModSecurity barne hartzen du. Sistema-hornitzaileak aplikazioen aurkako eraso motak aztertzen ditu eta eskaera legitimoak eta potentzial kaltegarriak deskribatzen dituzten ereduak sortzen ditu. WAFek zerrenda hauek egiaztatzen ditu eta egoera jakin batean zer egin erabakitzen du - trafikoa blokeatu ala ez.
Adierazpen erregularretan oinarritutako detekzio adibide bat lehen aipatutako proiektua da kode irekia. Beste adibide bat - , kode irekia ere bada. Adierazpen erregularrak dituzten sistemek desabantaila ugari dituzte, bereziki, ahultasun berri bat aurkitzen denean administratzaileak eskuz arau osagarriak sortu behar ditu. Eskala handiko IT azpiegitura baten kasuan, hainbat mila arau egon daitezke. Hainbeste adierazpen erregular kudeatzea nahiko zaila da, egiaztatzeak sarearen errendimendua murriztu dezakeela ahaztu gabe.
Adierazpen erregularrek ere positibo faltsu nahiko altua dute. Noam Chomsky hizkuntzalari ospetsuak gramatiken sailkapen bat proposatu zuen eta bertan lau baldintzazko konplexutasun mailatan banatu zituen. Sailkapen honen arabera, esamolde erregularrek ereduaren desbideraketarik ez duten suebaki-arauak soilik deskriba ditzakete. Horrek esan nahi du erasotzaileek lehen belaunaldiko WAF-a erraz "engainatu" dezaketela. Horri aurre egiteko metodo bat aplikazioen eskaerei karaktere bereziak gehitzea da, datu maltzurren logikari eragiten ez diotenak, baina sinadura-araua urratzen dutenak.
Bigarren belaunaldia. WAFen errendimendu eta zehaztasun arazoak saihesteko, bigarren belaunaldiko aplikazioen suebakiak garatu ziren. Gaur egun, zorrotz definitutako eraso motak (HTML, JS, etab.) identifikatzeko ardura duten analizatzaileak dituzte. Analizatzaile hauek kontsultak deskribatzen dituzten token bereziekin lan egiten dute (adibidez, aldagaia, katea, ezezaguna, zenbakia). Token sekuentziak gaiztoak izan daitezkeen zerrenda bereizi batean jartzen dira, eta WAF sistemak aldizka egiaztatzen du. Ikuspegi hau Black Hat 2012 konferentzian erakutsi zen lehen aldiz C/C++ moduan , SQL injekzioak detektatzeko aukera ematen duena.
Lehen belaunaldiko WAFekin alderatuta, analizatzaile espezializatuak azkarragoak izan daitezke. Hala ere, ez zituzten konpondu sistema eskuz konfiguratzearekin lotutako zailtasunak eraso maltzur berriak agertzen direnean.
Hirugarren belaunaldia. Hirugarren belaunaldiko detekzio-logikaren bilakaera, detekzio-gramatika babestutako sistemen benetako SQL/HTML/JS gramatikara ahalik eta gehien hurbiltzea ahalbidetzen duten ikaskuntza automatikoko metodoak erabiltzean datza. Detekzio logika honek Turing makina bat moldatzeko gai da errekurtsiboki zenbaka daitezkeen gramatika estaltzeko. Gainera, lehenago Turing makina moldagarri bat sortzeko zeregina konpontzezina zen Turing makina neuronalen lehen ikerketak argitaratu ziren arte.
Ikaskuntza automatikoak edozein gramatika egokitzeko gaitasun berezia eskaintzen du edozein eraso mota estaltzeko, lehen belaunaldiko detekzioan behar den moduan sinadura zerrendak eskuz sortu gabe, eta tokenizatzaile/analizatzaile berriak garatu gabe, hala nola, Memcached, Redis, Cassandra, SSRF injekzioak eraso mota berrietarako. , bigarren belaunaldiko metodologiak eskatzen duen moduan.
Detekzio-logikaren hiru belaunaldiak konbinatuz, diagrama berri bat marraz dezakegu, non detekzio-belaunaldia eskema gorriz irudikatzen duen (3. irudia). Belaunaldi honek hodeian ezartzen ari garen soluzioetako bat barne hartzen du Onsek, web aplikazioen babes egokirako plataformaren garatzailearekin eta Wallarme APIarekin.
Detektatzeko logikak aplikazioaren feedbacka erabiltzen du bere burua sintonizatzeko. Ikaskuntza automatikoan, feedback-begizta horri "indartzea" deitzen zaio. Normalean, indargarri mota bat edo gehiago daude:
- Aplikazioen erantzunaren portaeraren analisia (pasiboa)
- Eskaneatu/fuzzer (aktibo)
- Salatu fitxategiak / interceptor prozedurak / tranpak (egin ondoren)
- Eskuliburua (begiraleak zehaztuta)
Ondorioz, hirugarren belaunaldiko detekzio logikak zehaztasunaren arazo garrantzitsuari ere heltzen dio. Orain posible da positibo faltsuak eta negatibo faltsuak saihestea ez ezik, baliozko egiazko negatiboak detektatzea ere, hala nola SQL komando-elementuen erabilera Kontrol Panelean detektatzea, web-orrien txantiloiak kargatzea, JavaScript akatsekin lotutako AJAX eskaerak eta beste batzuk.
Ondoren, WAF inplementazio-aukera ezberdinen gaitasun teknologikoak hartuko ditugu kontuan.
Hardwarea, softwarea edo hodeia - zer aukeratu?
Aplikazioen suebakiak ezartzeko aukeretako bat hardware irtenbide bat da. Horrelako sistemak enpresa batek bere datu-zentroan lokalean instalatzen dituen gailu informatiko espezializatuak dira. Baina kasu honetan, zure ekipamendua erosi behar duzu eta integratzaileei dirua ordaindu behar diezu konfiguratu eta arazteagatik (konpainiak bere informatika saila ez badu). Aldi berean, edozein ekipamendu zaharkitu egiten da eta erabilezin bihurtzen da, beraz, bezeroak hardwarea eguneratzeko aurrekontua egitera behartuta daude.
WAF bat zabaltzeko beste aukera bat software inplementazioa da. Irtenbidea software batzuen gehigarri gisa instalatzen da (adibidez, ModSecurity Apache-ren gainean konfiguratuta dago) eta harekin zerbitzari berean exekutatzen da. Oro har, soluzio horiek zerbitzari fisiko batean zein hodeian inplementa daitezke. Haien desabantaila eskalagarritasun mugatua eta saltzaileen laguntza da.
Hirugarren aukera hodeitik WAF bat konfiguratzea da. Horrelako irtenbideak hodeiko hornitzaileek harpidetza zerbitzu gisa eskaintzen dituzte. Enpresak ez du hardware espezializaturik erosi eta konfiguratu beharrik; zeregin horiek zerbitzu-hornitzailearen sorbaldetan daude. Puntu garrantzitsu bat hodeiko WAF moderno batek ez duela esan nahi baliabideak hornitzailearen plataformara migratzea. Gunea edonon zabaldu daiteke, baita lokalean ere.
Gehiago azalduko dugu zergatik jendeak gero eta gehiago begiratzen duen hodeiko WAFrantz.
Zer egin dezake WAFek hodeian
Gaitasun teknologikoei dagokienez:
- Hornitzaileak eguneratzeen arduraduna da. WAF harpidetza bidez ematen da, beraz, zerbitzu-hornitzaileak eguneratzeen eta lizentzien garrantzia kontrolatzen du. Eguneratzeak softwareari ez ezik, hardwareari buruzkoak ere badira. Hornitzaileak zerbitzari-parkea berritzen du eta mantentzen du. Karga orekatzeaz eta erredundantziaz ere arduratzen da. WAF zerbitzariak huts egiten badu, trafikoa berehala birbideratzen da beste makina batera. Trafikoaren banaketa arrazionalak suebakiak huts ireki moduan sartzen direnean egoerak saihesteko aukera ematen du - ezin du kargari aurre egin eta eskaerak iragazteari uzten dio.
- Adabaki birtuala. Adabaki birtualek aplikazioaren atal arriskutsuetarako sarbidea mugatzen dute garatzaileak ahultasuna itxi arte. Ondorioz, hodeiko hornitzailearen bezeroak aukera du software honen edo besteren hornitzaileak "adabaki" ofizialak argitaratu arte lasai itxaroteko aukera. Hori ahalik eta azkarren egitea da software hornitzailearen lehentasuna. Adibidez, Wallarm plataforman, aparteko software-modulu bat arduratzen da adabaki birtualaz. Administratzaileak adierazpen erregular pertsonalizatuak gehi ditzake eskaera gaiztoak blokeatzeko. Sistemak eskaera batzuk "Konfidentzial datuak" banderarekin markatzea ahalbidetzen du. Ondoren, haien parametroak ezkutatzen dira, eta inola ere ez dira transmititzen suebakiaren lan-eremutik kanpo.
- Perimetro eta ahultasun eskaner integratua. Horri esker, modu independentean zehaztu ditzakezu IT azpiegituraren sare-mugak DNS kontsulten eta WHOIS protokoloaren datuak erabiliz. Ondoren, WAFek automatikoki aztertzen ditu perimetroaren barruan exekutatzen diren zerbitzuak (portuak aztertzen ditu). Suebakia gai da ohiko ahultasun mota guztiak detektatzeko -SQLi, XSS, XXE, etab.- eta softwarearen konfigurazioan akatsak identifikatzeko, adibidez, Git eta BitBucket biltegietara baimenik gabeko sarbidea eta Elasticsearch, Redis, MongoDB-rako dei anonimoak.
- Erasoak hodeiko baliabideek kontrolatzen dituzte. Oro har, hodeiko hornitzaileek konputazio-potentzia handia dute. Horrek mehatxuak zehaztasun eta abiadura handiz aztertzeko aukera ematen du. Iragazki-nodo multzo bat zabaltzen da hodeian, eta bertatik igarotzen da trafiko guztia. Nodo hauek web aplikazioen aurkako erasoak blokeatzen dituzte eta estatistikak bidaltzen dituzte Analytics Zentrora. Ikaskuntza automatikoko algoritmoak erabiltzen ditu babestutako aplikazio guztien blokeo-arauak eguneratzeko. Eskema horren ezarpena irudian ageri da. 4. Egokitutako segurtasun-arau horiek suebaki-alarma faltsuen kopurua minimizatzen dute.
Orain, hodeiko WAFen ezaugarriei buruzko apur bat antolaketa-arazoei eta kudeaketari dagokionez:
- OpExrako trantsizioa. Hodeiko WAFen kasuan, ezarpenaren kostua zero izango da, hardware eta lizentzia guztiak dagoeneko hornitzaileak ordaindu dituelako; zerbitzuaren ordainketa harpidetza bidez egiten da.
- Tarifa-plan desberdinak. Hodeiko zerbitzuaren erabiltzaileak aukera gehigarriak azkar gaitu edo desgaitu ditzake. Funtzioak kontrol panel bakar batetik kudeatzen dira, hau ere segurua dena. HTTPS bidez sartzen da, gainera, TOTP (Time-based One-Time Password Algorithm) protokoloan oinarritutako bi faktoreko autentifikazio mekanismo bat dago.
- DNS bidezko konexioa. Zuk zeuk DNS alda dezakezu eta sare-bideraketa konfigura dezakezu. Arazo horiek konpontzeko ez da beharrezkoa banakako espezialistak kontratatu eta trebatu behar. Oro har, hornitzailearen laguntza teknikoak konfigurazioan lagun dezake.
WAF teknologiak eboluzionatu egin dira suebaki soiletatik arau arruntak dituzten babes-sistema konplexuetara ikaskuntza automatikoko algoritmoekin. Aplikazioen suebakiek gaur egun 90eko hamarkadan ezartzeko zailak ziren funtzio sorta zabala eskaintzen dute. Modu askotan, funtzionaltasun berrien agerpena hodeiko teknologiei esker posible izan zen. WAF soluzioek eta haien osagaiek eboluzionatzen jarraitzen dute. Informazioaren segurtasunaren beste arlo batzuk bezala.
Testua Alexander Karpuzikov-ek prestatu zuen, #CloudMTS hodeiko hornitzaileko informazio-segurtasun produktuen garapen-kudeatzaileak.
Iturria: www.habr.com