Ao amin'ny lahatsoratra teo aloha momba ny lohahevitra rahona, izahay , ny fomba hiarovana ny loharanon'ny IT ao amin'ny rahona ho an'ny daholobe ary nahoana no tsy mety amin'ireo tanjona ireo ny antivirus nentim-paharazana. Amin'ity lahatsoratra ity, hanohy ny lohahevitra momba ny fiarovana rahona isika ary hiresaka momba ny fivoaran'ny WAF sy izay tsara kokoa hofidiana: fitaovana, rindrambaiko na rahona.
Inona ny WAF
Mihoatra ny 75% amin'ny fanafihana hacker dia mikendry ny fahalemen'ny rindranasa an-tranonkala sy tranokala: matetika ny fanafihana toy izany dia tsy hitan'ny fotodrafitrasa fiarovana ny fampahalalam-baovao sy ny serivisy fiarovana ny vaovao. Ny vulnerability amin'ny rindranasa an-tranonkala dia mitondra, ho setrin'izany, ny mety hisian'ny marimaritra iraisana sy ny hosoka amin'ny kaontin'ny mpampiasa sy ny angona manokana, ny tenimiafina ary ny laharan'ny carte de crΓ©dit. Fanampin'izany, ny vulnerability ao amin'ny tranokala dia toy ny fidirana ho an'ny mpanafika ao amin'ny tambajotran'ny orinasa.
Web Application Firewall (WAF) dia efijery fiarovana izay manakana ny fanafihana amin'ny rindranasa an-tranonkala: tsindrona SQL, scripting cross-site, famonoana kaody lavitra, hery mahery vaika ary fandalovan'ny fanomezan-dΓ lana. Ao anatin'izany ny fanafihana izay manararaotra ny vulnerability aotra andro. Ny firewall fampiharana dia manome fiarovana amin'ny fanaraha-maso ny votoatin'ny pejin-tranonkala, anisan'izany ny HTML, DHTML, ary CSS, ary ny fanivanana ny fangatahana HTTP/HTTPS mety hanimba.
Inona no fanapahan-kevitra voalohany?
Niverina tany amin'ny fiandohan'ny taona 90 ny ezaka voalohany hamoronana Firewall Application Web. Injeniera telo farafahakeliny no fantatra fa niasa taminβity sehatra ity. Ny voalohany dia profesora momba ny siansa informatika Gene Spafford avy ao amin'ny Oniversite Purdue. Nofaritany ny rafitry ny firewall fampiharana proxy ary namoaka izany tao amin'ny 1991 tao amin'ny boky .
Ny faharoa sy fahatelo dia manampahaizana manokana momba ny fiarovana ny fampahalalam-baovao William Cheswick sy Marcus Ranum avy ao amin'ny Bell Labs. Namolavola ny iray amin'ireo prototypes firewall fampiharana voalohany izy ireo. Nozarain'ny DEC - navoaka tamin'ny anarana SEAL (Secure External Access Link) ny vokatra.
Saingy tsy vahaolana WAF feno ny SEAL. Rindrin-tambajotra mahazatra izy io miaraka amin'ny fiasa mandroso - ny fahafahana manakana ny fanafihana amin'ny FTP sy RSH. Noho izany antony izany, ny vahaolana WAF voalohany ankehitriny dia heverina ho vokatry ny Perfecto Technologies (Sanctum taty aoriana). Tamin'ny 1999 izy AppShield rafitra. Tamin'izany fotoana izany, ny Perfecto Technologies dia namolavola vahaolana momba ny fiarovana ny fampahalalam-baovao ho an'ny e-varotra, ary ny fivarotana an-tserasera dia lasa lasibatry ny vokatra vaovao. AppShield dia afaka namakafaka ny fangatahana HTTP sy nanakana ny fanafihana mifototra amin'ny politika fiarovana ny fampahalalana mavitrika.
Manodidina ny fotoana mitovy amin'ny AppShield (tamin'ny 2002), niseho ny WAF loharano misokatra voalohany. Lasa izy . Izy io dia noforonina tamin'ny tanjona hampalaza ny teknolojia WAF ary mbola tohanan'ny vondrom-piarahamonina IT (eto ny ). Ny ModSecurity dia manakana ny fanafihana amin'ny fampiharana mifototra amin'ny andian-teny mahazatra mahazatra (sonia) - fitaovana hanamarinana ny fangatahana mifototra amin'ny lamina - .
Vokatr'izany dia nahavita nanatratra ny tanjony ireo mpamorona - nanomboka nipoitra teny an-tsena ny vahaolana WAF vaovao, anisan'izany ireo naorina tamin'ny fototry ny ModSecurity.
Taranaka telo no efa tantara
Fanao ny manavaka taranaka telo ny rafitra WAF, izay nivoatra tamin'ny fivoaran'ny teknolojia.
First Generation. Miasa amin'ny fomba fiteny mahazatra (na fitsipi-pitenenana). Anisan'izany ny ModSecurity. Mandalina ny karazana fanafihana amin'ny rindranasa ny mpamatsy rafitra ary mamorona lamina mamaritra ny fangatahana ara-dalΓ na sy mety hanimba. Manamarina ireo lisitra ireo ny WAF ary manapa-kevitra izay tokony hatao amin'ny toe-javatra iray manokana - hanakanana ny fifamoivoizana na tsia.
Ohatra iray amin'ny fikarohana mifototra amin'ny fomba fiteny mahazatra ny tetikasa efa voalaza loharano misokatra. Ohatra iray hafa - , izay loharano misokatra ihany koa. Ny rafitra misy fomba fiteny mahazatra dia manana fatiantoka maromaro, indrindra indrindra, rehefa hita ny vulnerable vaovao, ny mpitantana dia tsy maintsy mamorona fitsipika fanampiny amin'ny tanana. Raha ny fotodrafitrasa IT lehibe dia mety misy fitsipika an'arivony maro. Sarotra ny mitantana ireo fanehoan-kevitra tsy tapaka, tsy lazaina intsony ny hoe mety hampihena ny fahombiazan'ny tambajotra ny fanaraha-maso azy ireo.
Ny fitenenana mahazatra ihany koa dia manana taham-pahombiazana diso diso tafahoatra. Nanolotra fanasokajiana ny fitsipi-pitenenana i Noam Chomsky, mpahay linguistika malaza, izay nozarainy ho ambaratongan'ny fahasarotana efatra. Araka io fanasokajiana io, ny fomba fiteny mahazatra dia tsy afaka mamaritra afa-tsy ny fitsipiky ny firewall izay tsy misy fiviliana amin'ny lamina. Midika izany fa mora "mamitaka" ny WAF taranaka voalohany ny mpanafika. Ny fomba iray hiadiana amin'izany dia ny manampy tarehintsoratra manokana amin'ny fangatahana fampiharana izay tsy misy fiantraikany amin'ny lojikan'ny angon-drakitra maloto, fa mandika ny fitsipiky ny sonia.
Taranaka faharoa. Mba hialana amin'ny olana momba ny fampandehanana sy ny fahamarinan'ny WAFs dia novolavolaina ny firewall fampiharana andiany faharoa. Manana mpizara izy ireo ankehitriny izay tompon'andraikitra amin'ny famantarana ireo karazana fanafihana voafaritra tsara (amin'ny HTML, JS, sns.). Ireo parser ireo dia miasa miaraka amin'ny famantarana manokana izay mamaritra fanontaniana (ohatra, miovaova, tady, tsy fantatra, isa). Apetraka ao anaty lisitra mitokana ny filaharan'ny famantarana mety hanimba, izay hamarinin'ny rafitra WAF matetika. Ity fomba fiasa ity dia naseho voalohany tamin'ny fihaonambe Black Hat 2012 amin'ny endrika C/C ++ , izay ahafahanao mamantatra ny tsindrona SQL.
Raha oharina amin'ny WAF taranaka voalohany, ny parser manokana dia mety ho haingana kokoa. Na izany aza, tsy namaha ny fahasahiranana mifandraika amin'ny fanamboarana ny rafitra amin'ny tanana izy ireo rehefa miseho ny fanafihana vaovao ratsy.
Taranaka fahatelo. Ny evolisiona amin'ny lojikan'ny fitsirihana taranaka fahatelo dia ahitana ny fampiasana fomba fianarana milina izay ahafahana mitondra ny fitsipi-pitenenana ho akaiky araka izay azo atao amin'ny tena fitsipi-pitenenana SQL/HTML/JS an'ireo rafitra arovana. Ity lojika fitiliana ity dia afaka mampifanaraka ny milina Turing mba handrakotra ny fitsipi-pitenenana miverimberina. Ankoatr'izay, teo aloha ny asa famoronana milina Turing azo ampifanarahana dia tsy voavaha mandra-pamoahan'ny fandalinana voalohany momba ny milina Turing neural.
Ny fianarana milina dia manome ny fahaiza-manao manokana hampifanaraka ny fitsipi-pitenenana rehetra mba handrakofana ny karazana fanafihana rehetra nefa tsy mamorona lisitra sonia araka ny takina tamin'ny fitadiavana ny taranaka voalohany, ary tsy mamorona tokenizers / parsers vaovao ho an'ny karazana fanafihana vaovao toy ny Memcached, Redis, Cassandra, SSRF fampiharana, araka izay takian'ny metodolojia taranaka faharoa.
Amin'ny fampifangaroana ireo taranaka telo amin'ny lojikan'ny fisavana, dia afaka manao kisarisary vaovao isika izay ahitana ny andiany fahatelo amin'ny fitiliana dia asehon'ny tsipika mena (sary 3). Ity taranaka ity dia ahitana ny iray amin'ireo vahaolana izay ampiharintsika ao amin'ny rahona miaraka amin'i Onsek, ilay mpamorona ny sehatra ho an'ny fiarovana ny fampiharana amin'ny Internet sy ny Wallarm API.
Mampiasa tamberina avy amin'ny rindranasa izao ny lojikan'ny fitsirihana mba hanitsiana ny tenany. Ao amin'ny fianarana milina, antsoina hoe "fanamafisana" ity loopina fanehoan-kevitra ity. Amin'ny ankapobeny, misy karazany iray na maromaro amin'ny fanamafisana toy izany:
- Famakafakana ny fihetsiky ny valin'ny fampiharana (passive)
- Scan/fuzzer (mavitrika)
- Tatitra ny rakitra / fomba fiasa / fandrika (aorian'ny zava-misy)
- Manual (voafaritry ny mpanara-maso)
Vokatr'izany, ny lojikan'ny fitsirihana taranaka fahatelo dia mamaly ihany koa ny olana lehibe momba ny fahitsiana. Tsy vitan'ny hoe misoroka ny lafy tsaran-javatra diso sy ny ratsy tsy marina fotsiny izao, fa koa ny mamantatra ny tena ratsy marina, toy ny fitadiavana ny fampiasana singa baiko SQL ao amin'ny Control Panel, ny fandefasana mΓ΄dely pejy web, ny fangatahana AJAX mifandraika amin'ny fahadisoana JavaScript, sy ny hafa.
Manaraka, handinika ny fahaiza-manao ara-teknolojia amin'ny safidy fampiharana WAF isan-karazany isika.
Hardware, logiciel na rahona - inona no hofidiana?
Ny iray amin'ireo safidy amin'ny fampiharana firewall fampiharana dia vahaolana hardware. Ny rafitra toy izany dia fitaovana informatika manokana izay apetraky ny orinasa eo an-toerana ao amin'ny foibe angona. Saingy amin'ity tranga ity dia tsy maintsy mividy ny fitaovanao manokana ianao ary mandoa vola amin'ny integrator amin'ny fametrahana azy sy ny debugging azy (raha tsy manana departemanta IT manokana ny orinasa). Mandritra izany fotoana izany, ny fitaovana rehetra dia lasa lany andro ary lasa tsy azo ampiasaina, ka ny mpanjifa dia voatery manao teti-bola ho an'ny fanavaozana fitaovana.
Safidy iray hafa amin'ny fametrahana WAF dia fampiharana rindrambaiko. Ny vahaolana dia napetraka ho fanampim-panampiana ho an'ny rindrambaiko sasany (ohatra, ModSecurity dia namboarina eo an-tampon'ny Apache) ary mandeha amin'ny lohamilina mitovy aminy. Amin'ny ankapobeny, ny vahaolana toy izany dia azo apetraka amin'ny mpizara ara-batana sy amin'ny rahona. Ny tsy fahampian'izy ireo dia ny scalability voafetra sy ny fanohanan'ny mpivarotra.
Ny safidy fahatelo dia ny fametrahana WAF avy amin'ny rahona. Ny vahaolana toy izany dia omen'ny mpamatsy rahona ho serivisy famandrihana. Ny orinasa dia tsy mila mividy sy manamboatra fitaovana manokana, ireo asa ireo dia eo an-tsoroky ny mpanome tolotra. Ny teboka manan-danja dia ny hoe WAF rahona maoderina dia tsy midika ny fifindran'ny loharano mankany amin'ny sehatry ny mpamatsy. Ny tranokala dia azo apetraka na aiza na aiza, eny fa na dia eo an-toerana aza.
Hazavainay bebe kokoa ny antony ijeren'ny olona ny rahona WAF.
Inona no azon'ny WAF atao amin'ny rahona
Raha ny fahaiza-manao ara-teknolojia:
- Ny mpamatsy no tompon'andraikitra amin'ny fanavaozana. Ny WAF dia omena amin'ny alΓ lan'ny famandrihana, ka ny mpanome tolotra dia manara-maso ny maha-zava-dehibe ny fanavaozana sy ny fahazoan-dΓ lana. Ny fanavaozana dia tsy ny rindrambaiko ihany, fa ny hardware ihany koa. Ny mpamatsy dia manavao ny zaridainan'ny server ary mitazona izany. Izy io ihany koa no tompon'andraikitra amin'ny fampifandanjana ny entana sy ny redundansi. Raha tsy mahomby ny mpizara WAF, dia alefa any amin'ny milina hafa avy hatrany ny fifamoivoizana. Ny fizarana ara-drariny ny fifamoivoizana dia ahafahanao misoroka ny toe-javatra rehefa miditra amin'ny fomba misokatra tsy mahomby ny firewall - tsy mahazaka ny enta-mavesatra ary manakana ny fangatahana sivana.
- Patching virtoaly. Ny paty virtoaly dia mametra ny fidirana amin'ireo ampahany simba amin'ny rindranasa mandra-panakaton'ny mpamorona ilay vulnerable. Vokatr'izany, ny mpanjifan'ny mpanome rahona dia mahazo fahafahana miandry am-pahatoniana mandra-pamoahan'ny mpamatsy an'ity na ity rindrambaiko ity "patch" ofisialy. Ny fanaovana izany haingana araka izay azo atao dia laharam-pahamehana ho an'ny mpamatsy rindrambaiko. Ohatra, ao amin'ny sehatra Wallarm, misy mΓ΄dely rindrambaiko mitokana no tompon'andraikitra amin'ny fametahana virtoaly. Ny mpitantana dia afaka manampy fomba fiteny mahazatra mahazatra hanakanana ny fangatahana ratsy. Ny rafitra dia ahafahan'ny manamarika ny fangatahana sasany amin'ny saina "Angona tsiambaratelo". Avy eo dia misaron-tava ny mari-pamantarana, ary tsy misy na inona na inona ampitaina any ivelan'ny faritra fiasan'ny firewall.
- Naorina-in perimeter sy vulnerability scanner. Izany dia ahafahanao mamaritra tsy miankina ny sisintanin'ny tambajotran'ny fotodrafitrasa IT amin'ny fampiasana angona avy amin'ny fangatahana DNS sy ny protocol WHOIS. Aorian'izay, ny WAF dia manadihady ho azy ny serivisy mandeha ao anaty perimeter (manao scanning port). Ny firewall dia afaka mamantatra ny karazana vulnerabilities rehetra - SQLi, XSS, XXE, sns. - ary mamantatra ny lesoka amin'ny rindrankajy rindrambaiko, ohatra, ny fidirana tsy nahazoana alalana amin'ny tranokala Git sy BitBucket ary antso tsy fantatra anarana amin'ny Elasticsearch, Redis, MongoDB.
- Ny fanafihan'ny rahona dia araha-maso. Amin'ny maha-fitsipika, ny mpamatsy rahona dia manana hery informatika be dia be. Izany dia ahafahanao mamakafaka ny fandrahonana amin'ny fahitsiana sy ny hafainganam-pandeha ambony. Vondrona node sivana no apetraka ao amin'ny rahona, izay mandalo ny fifamoivoizana rehetra. Ireo nodes ireo dia manakana ny fanafihana amin'ny rindranasa tranonkala ary mandefa antontan'isa any amin'ny Analytics Center. Mampiasa algorithm fianarana milina izy io mba hanavaozana ny fitsipika fanakanana ho an'ny fampiharana arovana rehetra. Ny fampiharana ny rafitra toy izany dia aseho amin'ny sary. 4. Ny fitsipika fiarovana mifanaraka amin'izany dia manamaivana ny isan'ny fanairana firewall sandoka.
Izao kely momba ny endrik'ireo WAF rahona eo amin'ny resaka fandaminana sy fitantanana:
- Tetezana mankany OpEx. Raha ny rahona WAFs, ny vidin'ny fampiharana dia ho aotra, satria ny fitaovana sy ny fahazoan-dΓ lana rehetra dia efa naloan'ny mpamatsy; ny fandoavana ny serivisy dia atao amin'ny alΓ lan'ny famandrihana.
- Drafitra tariff samihafa. Ny mpampiasa serivisy rahona dia afaka mamela haingana na manafoana safidy fanampiny. Ny fiasa dia tantanina avy amin'ny tontonana fanaraha-maso tokana, izay azo antoka ihany koa. Azo alaina amin'ny alΓ lan'ny HTTPS izany, ary misy rafitra fanamarinana roa mifototra amin'ny protocol TOTP (Time-based One-Time Password Algorithm).
- Fifandraisana amin'ny DNS. Azonao atao ny manova DNS ny tenanao ary manitsy ny lalan'ny tambajotra. Mba hamahana ireo olana ireo dia tsy ilaina ny mandray sy manofana manampahaizana manokana. Amin'ny ankapobeny, ny fanohanana ara-teknika an'ny mpamatsy dia afaka manampy amin'ny fanamboarana.
Ny teknolojia WAF dia nivoatra avy amin'ny firewall tsotra miaraka amin'ny fitsipika ankapobeny ho rafitra fiarovana sarotra miaraka amin'ny algorithm fianarana milina. Ny firewall fampiharana ankehitriny dia manolotra karazana endri-javatra maro izay sarotra nampiharina tamin'ny taona 90. Amin'ny lafiny maro, ny fisehoan'ny fiasa vaovao dia azo atao noho ny teknolojia rahona. Ny vahaolana WAF sy ny singany dia mitohy mivoatra. Toy ny sehatra hafa momba ny fiarovana ny vaovao.
Ny lahatsoratra dia nomanin'i Alexander Karpuzikov, mpitantana ny fampivoarana vokatra momba ny fiarovana ny vaovao ao amin'ny mpanome rahona #CloudMTS.
Source: www.habr.com