Anns an stuth a rinn sinn roimhe air cuspairean sgòthan, tha sinn , mar a dhìonas tu goireasan IT san sgòth phoblach agus carson nach eil anti-bhìorasan traidiseanta gu tur freagarrach airson na h-adhbharan sin. Anns an dreuchd seo, leanaidh sinn air adhart le cuspair tèarainteachd sgòthan agus bruidhnidh sinn mu mean-fhàs WAF agus dè a tha nas fheàrr a thaghadh: bathar-cruaidh, bathar-bog no sgòth.
Dè th' ann an WAF
Tha còrr air 75% de ionnsaighean luchd-tarraing ag amas air so-leòntachd thagraidhean lìn agus làraich-lìn: mar as trice bidh ionnsaighean mar sin do-fhaicsinneach do bhun-structar tèarainteachd fiosrachaidh agus seirbheisean tèarainteachd fiosrachaidh. Bidh cunnartan ann an tagraidhean lìn, an uair sin, a’ giùlan cunnartan co-rèiteachaidh agus foill a thaobh cunntasan luchd-cleachdaidh agus dàta pearsanta, faclan-faire agus àireamhan cairt creideas. A bharrachd air an sin, tha so-leòntachd làrach-lìn mar àite inntrigidh dha luchd-ionnsaigh a-steach don lìonra corporra.
Is e scrion dìon a th’ ann am Balla-teine Iarrtas Lìn (WAF) a chuireas casg air ionnsaighean air tagraidhean lìn: in-stealladh SQL, sgrìobhadh thar-làraich, cur an gnìomh còd iomallach, feachd brùideil agus seach-rathad ùghdarrachaidh. A’ toirt a-steach ionnsaighean a bhios a’ gabhail brath air so-leòntachd latha neoni. Bidh ballachan-teine tagradh a’ toirt dìon le bhith a’ cumail sùil air susbaint duilleag-lìn, a’ gabhail a-steach HTML, DHTML, agus CSS, agus a’ sìoladh iarrtasan HTTP/HTTPS a dh’ fhaodadh a bhith droch-rùnach.
Dè na ciad cho-dhùnaidhean a bh’ ann?
Chaidh a’ chiad oidhirpean gus Balla-teine Iarrtas Lìn a chruthachadh tràth anns na 90n. Tha fios gu bheil co-dhiù triùir innleadairean air a bhith ag obair san raon seo. Is e a’ chiad fhear an t-ollamh saidheans coimpiutair Gene Spafford bho Oilthigh Purdue. Thug e cunntas air ailtireachd balla-teine app proxy agus dh’ fhoillsich e e ann an 1991 san leabhar .
B’ e an dàrna agus an treas fear eòlaichean tèarainteachd fiosrachaidh Uilleam Cheswick agus Marcus Ranum bho Bell Labs. Leasaich iad aon de na ciad prototypes balla-teine tagradh. Chaidh a sgaoileadh le DEC - chaidh an toradh a leigeil ma sgaoil fon ainm SEAL (Secure External Access Link).
Ach cha b’ e fuasgladh WAF làn-chuimseach a bh’ ann an SEAL. B’ e balla-teine lìonra clasaigeach a bh’ ann le comas-gnìomh adhartach - an comas casg a chuir air ionnsaighean air FTP agus RSH. Air an adhbhar seo, thathas den bheachd gur e toradh Perfecto Technologies (Sanctum às deidh sin) a’ chiad fhuasgladh WAF an-diugh. Ann an 1999 bha i Siostam AppShield. Aig an àm sin, bha Perfecto Technologies a’ leasachadh fuasglaidhean tèarainteachd fiosrachaidh airson e-malairt, agus thàinig stòran air-loidhne gu bhith nan luchd-èisteachd targaid den toradh ùr aca. Bha e comasach dha AppShield iarrtasan HTTP a sgrùdadh agus ionnsaighean a bhacadh stèidhichte air poileasaidhean tèarainteachd fiosrachaidh fiùghantach.
Timcheall air an aon àm ri AppShield (ann an 2002), nochd a’ chiad stòr fosgailte WAF. Dh'fhàs e . Chaidh a chruthachadh leis an amas teicneòlasan WAF a bhith mòr-chòrdte agus tha e fhathast a’ faighinn taic bhon choimhearsnachd IT (seo e ). Bidh ModSecurity a ’blocadh ionnsaighean air tagraidhean stèidhichte air seata àbhaisteach de abairtean cunbhalach (ainm-sgrìobhte) - innealan airson sgrùdadh a dhèanamh air iarrtasan stèidhichte air pàtrain - .
Mar thoradh air an sin, chaidh aig an luchd-leasachaidh air an amas a choileanadh - thòisich fuasglaidhean ùra WAF a 'nochdadh air a' mhargaidh, a 'gabhail a-steach an fheadhainn a chaidh a thogail air bunait ModSecurity.
Tha trì ginealaichean mar-thà nan eachdraidh
Tha e àbhaisteach eadar-dhealachadh a dhèanamh air trì ginealaichean de shiostaman WAF, a tha air a thighinn air adhart le leasachadh teicneòlais.
A ’chiad ghinealach. Ag obair le abairtean cunbhalach (no gràmar). Tha seo a’ toirt a-steach ModSecurity. Bidh solaraiche an t-siostaim a’ sgrùdadh nan seòrsaichean ionnsaighean air tagraidhean agus a’ gineadh phàtranan a bheir cunntas air iarrtasan dligheach agus a dh’ fhaodadh a bhith droch-rùnach. Bidh WAF a’ sgrùdadh nan liostaichean sin agus a’ co-dhùnadh dè a nì thu ann an suidheachadh sònraichte - gus trafaic a bhacadh no nach eil.
Is e eisimpleir de lorg stèidhichte air abairtean cunbhalach am pròiseact a chaidh ainmeachadh mar-thà stòr fosgailte. Eisimpleir eile - , a tha cuideachd na stòr fosgailte. Tha grunn eas-bhuannachdan aig siostaman le abairtean cunbhalach, gu sònraichte, nuair a lorgar so-leòntachd ùr, feumaidh an rianadair riaghailtean a bharrachd a chruthachadh le làimh. A thaobh bun-structair IT mòr, dh’ fhaodadh grunn mhìltean riaghailtean a bhith ann. Tha e gu math duilich a bhith a’ riaghladh uimhir de dh’ abairtean cunbhalach, gun luaidh air gum faod sgrùdadh a dhèanamh orra coileanadh lìonra a lughdachadh.
Tha ìre dearbhach meallta gu math àrd aig abairtean cunbhalach cuideachd. Mhol an cànanaiche ainmeil Noam Chomsky seòrsachadh de ghràmar anns an do roinn e iad ann an ceithir ìrean iom-fhillteachd chumha. A rèir an t-seòrsachaidh seo, chan urrainn dha abairtean cunbhalach cunntas a thoirt air riaghailtean balla-teine a-mhàin nach eil a’ toirt a-steach gluasadan bhon phàtran. Tha seo a 'ciallachadh gum faod luchd-ionnsaigh gu furasta "amadan" a' chiad ghinealach WAF. Is e aon dhòigh air cuir an-aghaidh seo caractaran sònraichte a chuir ri iarrtasan tagraidh nach toir buaidh air loidsig an dàta droch-rùnach, ach a bhriseas an riaghailt ainm-sgrìobhte.
An dàrna ginealach. Gus faighinn seachad air cùisean dèanadais agus mionaideachd WAFn, chaidh ballachan teine tagradh dàrna ginealach a leasachadh. Tha parsairean aca a-nis a tha an urra ri bhith a’ comharrachadh seòrsaichean ionnsaighean a tha air am mìneachadh gu cruaidh (air HTML, JS, msaa). Bidh na parsers sin ag obair le comharran sònraichte a bheir cunntas air ceistean (mar eisimpleir, caochlaideach, sreang, neo-aithnichte, àireamh). Tha sreathan comharran droch-rùnach air an cur ann an liosta air leth, ris am bi siostam WAF a’ sgrùdadh gu cunbhalach. Chaidh an dòigh-obrach seo a shealltainn an toiseach aig co-labhairt Black Hat 2012 ann an cruth C / C ++ , a leigeas leat stealladh SQL a lorg.
An coimeas ri WAFan den chiad ghinealach, faodaidh parsers sònraichte a bhith nas luaithe. Ach, cha do dh’ fhuasgail iad na duilgheadasan co-cheangailte ri bhith a’ rèiteachadh an t-siostaim le làimh nuair a nochdas ionnsaighean droch-rùnach ùra.
An treas ginealach. Tha an mean-fhàs ann an loidsig lorg treas ginealach a’ toirt a-steach a bhith a’ cleachdadh dhòighean ionnsachaidh inneal a tha ga dhèanamh comasach an gràmar lorgaidh a thoirt cho faisg ‘s a ghabhas air fìor ghràmar SQL/HTML/JS nan siostaman dìonta. Tha an loidsig lorgaidh seo comasach air inneal Turing atharrachadh gus a bhith a’ còmhdach gràmair a ghabhas àireamhachadh a-rithist. A bharrachd air an sin, roimhe seo cha robh an obair airson inneal Turing sùbailte a chruthachadh do-fhuasgladh gus an deach na ciad sgrùdaidhean air innealan Turing neural fhoillseachadh.
Tha ionnsachadh innealan a’ toirt seachad an comas gun samhail gràmar sam bith atharrachadh gus a bhith a’ còmhdach seòrsa sam bith de ionnsaigh gun a bhith a’ cruthachadh liostaichean ainmean-sgrìobhte le làimh mar a dh’ fheumar ann an lorg ciad ghinealach, agus gun a bhith a’ leasachadh tokenizers / parsers ùra airson seòrsachan ionnsaigh ùra leithid Memcached, Redis, Cassandra, in-stealladh SSRF. , a rèir modh-obrach an dàrna ginealach.
Le bhith a’ cothlamadh nan trì ginealaichean de loidsig lorgaidh, is urrainn dhuinn diagram ùr a tharraing anns a bheil an treas ginealach de lorg air a riochdachadh leis an dealbh dhearg (Figear 3). Tha an ginealach seo a’ toirt a-steach aon de na fuasglaidhean a tha sinn a’ cur an gnìomh san sgòth còmhla ri Onsek, leasaiche an àrd-ùrlair airson dìon atharrachail air tagraidhean lìn agus Wallarm API.
Bidh an loidsig lorgaidh a-nis a’ cleachdadh fios air ais bhon tagradh gus e fhèin a ghleusadh. Ann an ionnsachadh innealan, canar “daingneachadh.” Mar as trice, tha aon sheòrsa no barrachd de neartachadh mar sin:
- Mion-sgrùdadh air giùlan freagairt tagraidh (fulangach)
- Sgan/fuzzer (gnìomhach)
- Dèan aithris air faidhlichean / modhan eadar-ghluasaid / ribeachan (às deidh an fhìrinn)
- Leabhar-làimhe (air a mhìneachadh leis an neach-stiùiridh)
Mar thoradh air an sin, tha loidsig lorg treas ginealach cuideachd a’ dèiligeadh ris a’ chùis chudromach mu mhearachd. Tha e comasach a-nis chan e a-mhàin nithean ceàrr agus àicheil meallta a sheachnadh, ach cuideachd fìor àicheilean dligheach a lorg, leithid lorg cleachdadh eileamaid àithne SQL ann am Pannal Smachd, luchdachadh teamplaid duilleag lìn, iarrtasan AJAX co-cheangailte ri mearachdan JavaScript, agus feadhainn eile.
An ath rud, beachdaichidh sinn air comasan teicneòlais diofar roghainnean buileachaidh WAF.
Bathar-cruaidh, bathar-bog no sgòth - dè a thaghas tu?
Is e fuasgladh bathar-cruaidh aon de na roghainnean airson ballachan teine a chuir an gnìomh. Tha na siostaman sin nan innealan coimpiutaireachd sònraichte a bhios companaidh a’ stàladh gu h-ionadail san ionad dàta aca. Ach anns a 'chùis seo, feumaidh tu an uidheamachd agad fhèin a cheannach agus airgead a phàigheadh do integradairean airson a stèidheachadh agus a dhì-bhugachadh (mura h-eil an roinn IT fhèin aig a' chompanaidh). Aig an aon àm, bidh uidheamachd sam bith a’ fàs seann-fhasanta agus cha ghabh a chleachdadh, agus mar sin feumaidh luchd-ceannach buidseit a dhèanamh airson ùrachadh bathar-cruaidh.
Is e roghainn eile airson WAF a chleachdadh buileachadh bathar-bog. Tha am fuasgladh air a chuir a-steach mar add-on airson cuid de bhathar-bog (mar eisimpleir, tha ModSecurity air a rèiteachadh air mullach Apache) agus a’ ruith air an aon fhrithealaiche leis. Mar riaghailt, faodar fuasglaidhean mar seo a chleachdadh an dà chuid air frithealaiche fiosaigeach agus san sgòth. Is e an ana-cothrom aca scalability cuibhrichte agus taic reiceadair.
Is e an treas roghainn WAF a stèidheachadh bhon sgòth. Tha fuasglaidhean mar seo air an toirt seachad le solaraichean sgòthan mar sheirbheis ballrachd. Chan fheum a’ chompanaidh bathar-cruaidh sònraichte a cheannach agus a rèiteachadh; tha na gnìomhan sin a’ tuiteam air guailnean an t-solaraiche seirbheis. Is e puing chudromach nach eil sgòth ùr WAF a’ ciallachadh gluasad ghoireasan gu àrd-ùrlar an t-solaraiche. Faodar an làrach a chleachdadh an àite sam bith, eadhon san togalach.
Mìnichidh sinn tuilleadh carson a tha daoine a-nis a’ coimhead nas motha a dh’ ionnsaigh sgòthan WAF.
Dè as urrainn dha WAF a dhèanamh san sgòth
A thaobh comasan teicneòlais:
- Tha uallach air an t-solaraiche airson ùrachaidhean. Tha WAF air a thoirt seachad le ballrachd, agus mar sin bidh an solaraiche seirbheis a’ cumail sùil air iomchaidheachd ùrachaidhean is cheadan. Bidh ùrachaidhean a’ buntainn chan ann a-mhàin ri bathar-bog, ach cuideachd bathar-cruaidh. Bidh an solaraiche ag ùrachadh pàirc an fhrithealaiche agus ga chumail suas. Tha e cuideachd an urra ri cothromachadh luchdan agus call obrach. Ma dh’ fhailicheas am frithealaiche WAF, thèid trafaic ath-stiùireadh sa bhad gu inneal eile. Leigidh cuairteachadh trafaic reusanta dhut suidheachaidhean a sheachnadh nuair a thig am balla-teine a-steach a dh’ fhàiligeadh ann am modh fosgailte - chan urrainn dha dèiligeadh ris an luchd agus stadaidh e sìoladh iarrtasan.
- Clò-bhualadh mas-fhìor. Bidh pìosan mas-fhìor a’ cuingealachadh ruigsinneachd gu pàirtean cunnartach den tagradh gus an dùin an leasaiche an so-leòntachd. Mar thoradh air an sin, gheibh neach-ceannach an t-solaraiche sgòthan an cothrom feitheamh gu socair gus am foillsich solaraiche am bathar-bog seo no am bathar-bog sin “paistean” oifigeil. Tha e na phrìomhachas don t-solaraiche bathar-bog seo a dhèanamh cho luath sa ghabhas. Mar eisimpleir, ann an àrd-ùrlar Wallarm, tha modal bathar-bog air leth an urra ri sgrìobadh brìgheil. Faodaidh an rianaire abairtean àbhaisteach àbhaisteach a chuir ris gus casg a chuir air iarrtasan droch-rùnach. Tha an siostam ga dhèanamh comasach cuid de dh’ iarrtasan a chomharrachadh leis a’ bhratach “Dàta dìomhair”. An uairsin tha na crìochan aca air am falach, agus chan eil iad ann an suidheachadh sam bith air an gluasad taobh a-muigh raon obrach balla-teine.
- Sganair iomaill agus so-leòntachd togte. Leigidh seo leat crìochan lìonra a’ bhun-structair IT a dhearbhadh gu neo-eisimeileach a’ cleachdadh dàta bho cheistean DNS agus protocol WHOIS. Às deidh sin, bidh WAF gu fèin-obrachail a’ dèanamh anailis air seirbheisean a tha a’ ruith taobh a-staigh an iomaill (a’ dèanamh sganadh puirt). Tha am balla-teine comasach air a h-uile seòrsa so-leòntachd cumanta a lorg - SQLi, XSS, XXE, msaa - agus mearachdan a chomharrachadh ann an rèiteachadh bathar-bog, mar eisimpleir, ruigsinneachd gun chead gu stòran Git agus BitBucket agus fiosan gun urra gu Elasticsearch, Redis, MongoDB.
- Bithear a’ cumail sùil air ionnsaighean le goireasan sgòthan. Mar riaghailt, tha mòran de chumhachd coimpiutaireachd aig solaraichean sgòthan. Leigidh seo leat bagairtean a sgrùdadh le fìor chruinneas agus luaths. Tha cruinneachadh de nodan sìoltachain air an cleachdadh san sgòth, tro bheil an trafaic gu lèir a’ dol seachad. Bidh na nodan sin a’ bacadh ionnsaighean air tagraidhean lìn agus a’ cur staitistig chun Ionad Analytics. Bidh e a’ cleachdadh algoirmean ionnsachaidh inneal gus riaghailtean bacaidh ùrachadh airson a h-uile tagradh dìonta. Tha buileachadh sgeama mar seo air a shealltainn ann am Fig. 4. Bidh riaghailtean tèarainteachd sònraichte mar seo a' lùghdachadh an àireamh de rabhaidhean balla-teine a tha ceàrr.
A-nis beagan mu fheartan WAFan sgòthan a thaobh cùisean eagrachaidh agus riaghladh:
- Tionndadh gu OPX. A thaobh WAFn sgòthan, bidh cosgais buileachaidh neoni, leis gu bheil an solaraiche air pàigheadh airson a h-uile bathar-cruaidh is cead mu thràth; thèid pàigheadh airson na seirbheis a dhèanamh le ballrachd.
- Planaichean tar-chuir eadar-dhealaichte. Faodaidh neach-cleachdaidh seirbheis sgòthan roghainnean a bharrachd a chomasachadh no a chuir dheth. Tha gnìomhan air an riaghladh bho aon phannal smachd, a tha cuideachd tèarainte. Gheibhear thuige tro HTTPS, a bharrachd air an sin tha inneal dearbhaidh dà-fhactaraidh stèidhichte air protocol TOTP (Algorithm Facal-faire aon-ùine stèidhichte air ùine).
- Ceangal tro DNS. Faodaidh tu DNS atharrachadh thu fhèin agus slighe lìonra a rèiteachadh. Gus fuasgladh fhaighinn air na duilgheadasan sin chan eil feum air fastadh agus trèanadh eòlaichean fa leth. Mar riaghailt, faodaidh taic theicnigeach an t-solaraiche cuideachadh le rèiteachadh.
Tha teicneòlasan WAF air a thighinn air adhart bho bhallachan teine sìmplidh le riaghailtean òrdail gu siostaman dìon iom-fhillte le algorithms ionnsachadh innealan. Tha ballachan-teine tagradh a-nis a’ tabhann raon farsaing de fheartan a bha duilich a bhuileachadh anns na 90n. Ann an iomadh dòigh, thàinig comas-gnìomh ùr gu bhith comasach le taing do theicneòlasan sgòthan. Tha fuasglaidhean WAF agus na co-phàirtean aca a’ sìor fhàs. Dìreach mar raointean eile de thèarainteachd fiosrachaidh.
Chaidh an teacsa ullachadh le Alexander Karpuzikov, manaidsear leasachadh toraidh tèarainteachd fiosrachaidh aig solaraiche sgòthan #CloudMTS.
Source: www.habr.com