Maqaalkeenii hore ee mawduucyada daruuriga ah, waxaanu , sida loo ilaaliyo ilaha IT-ga ee daruuraha dadweynaha iyo sababta anti-virus-yada caadiga ah aysan ugu habboonayn ujeedooyinkan. Maqaalkan, waxaan sii wadi doonaa mawduuca amniga daruuraha oo aan ka hadalno horumarinta WAF iyo waxa ka wanaagsan in la doorto: hardware, software ama daruur.
Waa maxay WAF
In ka badan 75% weerarrada hackers-ka waxaa looga danleeyahay baylahda codsiyada webka iyo mareegaha: weerraradan oo kale inta badan lama arki karo kaabayaasha amniga macluumaadka iyo adeegyada amniga macluumaadka. Nuglaanta codsiyada mareegaha ayaa sidoo kale xambaarsan, khataraha isu tanaasulka iyo khiyaanada xisaabaadka isticmaalaha iyo xogta gaarka ah, ereyada sirta ah, iyo nambarada kaadhka deynta. Intaa waxaa dheer, dayacanka mareegaha wuxuu u adeegaa sidii meel laga soo galo weeraryahannada shabakada shirkadaha.
Web Application Firewall (WAF) waa shaashad difaac ah oo xannibaysa weerarrada lagu soo qaadayo codsiyada webka: duritaanka SQL, qoraal-goobeedka, meel-marinta code-ka fog, xoog-muquuniska iyo oggolaanshaha oggolaanshaha. Oo ay ku jiraan weerarrada ka faa'iidaysanaya dayacanka maalinta eber. Dab-damiska arjiga ayaa bixiya ilaalin la socodka waxa ku jira bogga shabakadda, oo ay ku jiraan HTML, DHTML, iyo CSS, iyo shaandhaynta codsiyada HTTP/HTTPS xaasidnimo ee suurtagalka ah.
Maxay ahaayeen go'aamadii ugu horreeyay?
Isku daygii ugu horreeyay ee lagu abuurayo Firewall-ka Codsiga Shabakadda waxa dib loo sameeyay horraantii 90-meeyadii. Ugu yaraan saddex injineer ayaa la og yahay inay ka shaqeeyeen shaqadan. Kan kowaad waa borofisar culuumta kombuyuutarka Gene Spafford oo ka tirsan jaamacadda Purdue. Waxa uu ku tilmaamay naqshadda dab-damiska codsiga wakiilnimada oo uu ku daabacay 1991 buugga .
Kan labaad iyo saddexaad waxay ahaayeen khabiiro ku takhasusay amniga macluumaadka William Cheswick iyo Marcus Ranum oo ka socday Bell Labs. Waxay soo saareen mid ka mid ah prototypes firewall-kii ugu horreeyay. Waxaa qaybiyay DEC - badeecada waxaa lagu sii daayay magaca SEAL
Laakiin SEAL ma ahayn xal buuxa oo WAF ah. Waxay ahayd dab-damis heersare ah oo shabakadeed oo leh shaqo horumarsan - awoodda lagu xannibo weerarrada FTP iyo RSH. Sababtan awgeed, xalka ugu horreeya ee WAF maanta waxaa loo tixgeliyaa inuu yahay sheyga Perfecto Technologies (ka dib Sanctum). 1999kii ayay Nidaamka AppShield. Waqtigaas, Perfecto Technologies waxay horumarinayeen xalalka amniga macluumaadka ee ganacsiga e-commerce, dukaamada internetka waxay noqdeen kuwa bartilmaameedka u ah badeecadooda cusub. AppShield wuxuu awooday inuu falanqeeyo codsiyada HTTP iyo weerarada xannibay ee ku salaysan siyaasadaha amniga macluumaadka firfircoon.
Ku dhawaad ββisla wakhtiga AppShield (sannadkii 2002), waxaa soo muuqday isha ugu horeysa ee WAF. Wuxuu noqday . Waxaa loo abuuray iyada oo ujeedadu tahay faafinta tignoolajiyada WAF oo ay wali taageerto bulshada IT-ga (waa kan ). ModSecurity wuxuu xannibaa weerarrada codsiyada iyadoo lagu salaynayo jaangooyooyinka caadiga ah ee tibaaxaha (saxiixa) - aaladaha lagu hubinayo codsiyada ku saleysan qaababka - .
Natiijo ahaan, horumariyayaashu waxay ku guuleysteen inay gaaraan hadafkooda - xalalka cusub ee WAF ayaa bilaabay inay ka soo muuqdaan suuqa, oo ay ku jiraan kuwa lagu dhisay saldhigga ModSecurity.
Saddex fac ayaa hore u ahaa taariikh
Waa caado in la kala saaro saddex jiil oo nidaamyada WAF ah, kuwaas oo ku horumaray horumarinta tignoolajiyada.
Jiilka kowaad. Wuxuu ku shaqeeyaa tibaaxaha caadiga ah (ama naxwaha). Tan waxaa ku jira ModSecurity. Bixiyuhu wuxuu daraaseeyaa noocyada weerarrada codsiyada wuxuuna abuuraa habab qeexaya codsiyada xaasidnimada ah ee sharciga ah iyo kuwa suurtagalka ah. WAF waxay hubisaa liisaskan oo waxay go'aansataa waxa la samaynayo xaalad gaar ah - si loo joojiyo taraafikada iyo in kale.
Tusaalaha ogaanshaha ku salaysan tibaaxaha caadiga ah waa mashruuca hore loo sheegay il furan. Tusaale kale - , kaas oo sidoo kale ah il furan. Nidaamyada leh tibaaxaha caadiga ah waxay leeyihiin tiro khasaare ah, gaar ahaan, marka nuglaanta cusub la ogaado, maamuluhu waa inuu abuuraa xeerar dheeraad ah gacanta. Marka laga hadlayo kaabayaasha IT-ga ee baaxadda weyn, waxaa jiri kara dhowr kun oo sharci ah. Maareynta tibaaxo badan oo joogto ah ayaa aad u adag, iyadoo aan la xusin xaqiiqda ah in hubintooda ay yareyn karto waxqabadka shabakadda.
Tibaaxaha caadiga ah waxay sidoo kale leeyihiin heer been abuur ah oo cadaalad ah oo sarreeya. Afyaqaankii caanka ahaa ee Noam Chomsky waxa uu soo jeediyay kala saarista naxwaha kaas oo uu u kala qaybiyay afar heerar shuruudaysan oo adag. Marka loo eego kala-soociddan, tibaaxaha caadiga ah waxay qeexi karaan oo keliya xeerarka firewall-ka ee aan ku lug lahayn ka leexashada qaabka. Tani waxay ka dhigan tahay in weerarradu ay si fudud "nacas u noqon karaan" jiilka koowaad ee WAF. Mid ka mid ah dariiqada lagula dagaallamo tan waa in lagu daro xarfo gaar ah codsiyada codsiga kuwaas oo aan saameynaynin macquulka xogta xaasidnimada ah, laakiin jebiya sharciga saxiixa.
Jiilka labaad. Si loo hareer maro waxqabadka iyo arrimaha saxda ah ee WAFs, jiilka labaad ee dab-damiska ayaa la sameeyay. Hadda waxay leeyihiin baarayaal mas'uul ka ah inay ogaadaan noocyada weerarrada si adag loo qeexay ( HTML, JS, iwm.). Baarayaashani waxay la shaqeeyaan calaamado gaar ah oo qeexaya weydiimaha (tusaale, doorsoomiyaha, xadhig, aan la garanayn, tirada). Taxanaha calaamadaha xaasidnimo ee suurtogalka ah ayaa lagu meeleeyaa liis gaar ah, kaas oo nidaamka WAF uu si joogto ah u hubiyo. Habkan ayaa markii ugu horreysay lagu muujiyay shirkii Black Hat 2012 ee qaabka C/C++ , kaas oo kuu ogolaanaya inaad ogaato cirbadaha SQL.
Marka la barbar dhigo WAF-yada jiilka koowaad, baarayaasha takhasuska leh ayaa noqon kara mid dhakhso badan. Si kastaba ha ahaatee, ma aysan xalin dhibaatooyinka la xiriira gacanta ku habaynta nidaamka marka weeraro xaasidnimo cusub ay soo baxaan.
Jiilka saddexaad. Kobcinta macquulka ogaanshaha jiilka saddexaad wuxuu ka kooban yahay isticmaalka hababka barashada mashiinka taasoo suurtogal ka dhigaysa in la keeno naxwaha ogaanshaha sida ugu dhow ee suurtogalka ah ee naxwaha SQL/HTML/JS ee hababka la ilaaliyo. Macquul ogaanshahan waxa uu awoodaa in uu la qabsado mishiinka Turing si uu u daboolo naxwaha soo noqnoqda ee la tirin karo. Intaa waxaa dheer, markii hore hawsha abuurista mashiinka Turing ee la qabsan karo waxay ahayd mid aan la xallin karin ilaa daraasadihii ugu horreeyay ee mashiinnada Turing neural la daabacay.
Barashada mishiinku waxay bixisaa awood gaar ah oo lagu habayn karo naxwe kasta si uu u daboolo nooc kasta oo weerar ah iyada oo aan gacanta lagu samayn liisaska saxeexa sida loogu baahan yahay ogaanshaha jiilka kowaad, iyo iyada oo aan la soo saarin calaamado / baarayaasha cusub ee noocyada cusub ee weerarka, sida Memcached, Redis, Cassandra, Cirbadaha SSRF, sida looga baahan yahay habka jiilka labaad.
Marka la isku daro dhammaan saddexda jiil ee macquulka ogaanshaha, waxaan sawiri karnaa jaantus cusub kaas oo jiilka saddexaad ee ogaanshaha uu ka muuqdo dulucda cas (Jaantuska 3). Jiilkan waxaa ku jira mid ka mid ah xalalka aan ku fulineyno daruuraha oo ay weheliso Onsek, oo ah horumariyaha goobta ilaalinta la qabsiga ee codsiyada webka iyo Wallarm API.
Macnaha ogaanshaha hadda wuxuu isticmaalaa jawaab celinta codsiga si uu isagu isu hagaajiyo. Barashada mashiinka, wareegtada jawaab celinta waxaa loo yaqaan "xoojinta." Caadi ahaan, waxaa jira hal ama dhowr nooc oo xoojin ah:
- Falanqaynta habdhaqanka jawaabta codsiga
- Iskaanka/fuzzer (firfircoon)
- Ka warbixi faylalka/hababka interceptor/dabinnada (xaqiiqda ka dib)
- Buugga (waxaa qeexay kormeeraha)
Natiijo ahaan, macquulnimada ogaanshaha jiilka saddexaad ayaa sidoo kale wax ka qabta arrinta muhiimka ah ee saxnaanta. Hadda waa suurtogal maaha oo keliya in laga fogaado been-abuurka beenta ah iyo been-abuurka beenta ah, laakiin sidoo kale in la ogaado diidmo run ah oo sax ah, sida ogaanshaha isticmaalka cutubka SQL ee isticmaalka Control Panel, bogga shabakadda ee rarista, codsiyada AJAX ee la xidhiidha khaladaadka JavaScript, iyo kuwa kale.
Marka xigta, waxaanu tixgelin doonaa awoodaha tignoolajiyada ee kala duwan ee hirgelinta WAF.
Hardware, software ama daruur - maxaa la dooranayaa?
Mid ka mid ah ikhtiyaarrada lagu hirgelinayo dab-damiska codsiga waa xalka qalabka. Nidaamyada noocan oo kale ah waa qalab xisaabeed khaas ah oo shirkaddu ku rakibto gudaha gudaha xarunteeda xogta. Laakiin kiiskan, waa inaad soo iibsataa qalab adiga kuu gaar ah oo aad lacag ku bixisid isku-dhafka si ay u dejiyaan una dejiyaan (haddii shirkadu aysan lahayn waax IT u gaar ah). Isla mar ahaantaana, qalab kastaa wuxuu noqdaa mid duuga oo noqda mid aan la isticmaali karin, sidaas darteed macaamiisha waxaa lagu qasbay inay miisaaniyad u sameeyaan casriyeynta qalabka.
Ikhtiyaar kale oo lagu geynayo WAF waa hirgelinta software. Xalka waxaa loo rakibay sida ku-darka software-ka qaarkood (tusaale, ModSecurity waxaa lagu habeeyay dusha Apache) wuxuuna ku shaqeeyaa isla server-ka. Sida caadiga ah, xalalka noocan oo kale ah ayaa la geyn karaa labadaba server-ka jirka iyo daruuraha. Khasaaradooda waa miisaan xaddidan iyo taageerada iibiyaha.
Doorashada saddexaad waa samaynta WAF ka daruurta. Xalalka noocan oo kale ah waxaa bixiya bixiyeyaasha daruuraha sida adeegga is-diiwaangelinta. Shirkadu uma baahna inay iibsato oo ay habayso qalab gaar ah, hawlahani waxay ku dhacaan garbaha bixiyaha adeegga. Qodob muhiim ah ayaa ah in daruurta casriga ah ee WAF aysan tilmaamayn u guuritaanka kheyraadka ee goobta bixiyaha. Goobta waxaa la geyn karaa meel kasta, xitaa goobta.
Waxaan sii sharxi doonaa sababta ay dadku hadda u eegayaan daruuraha WAF.
Maxay WAF ku samayn kartaa daruuraha
Marka la eego awoodaha tignoolajiyada:
- Bixiyaha ayaa mas'uul ka ah cusbooneysiinta. WAF waxaa lagu bixiyaa is-diiwaangelin, marka adeeg bixiyaha wuxuu la socdaa muhiimada cusbooneysiinta iyo shatiyada. Cusboonaysiinta ma aha oo kaliya software, laakiin sidoo kale hardware. Bixiyuhu waxa uu casriyeeyaa seerfarka oo uu ilaaliyaa. Waxay kaloo mas'uul ka tahay isu-dheellitirka rarka iyo dib-u-celinta. Haddii serfarka WAF uu guuldareysto, taraafikada isla markiiba waxaa loo jiheeyaa mishiin kale. Qaybinta macquulka ah ee taraafikada waxay kuu ogolaaneysaa inaad ka fogaato xaaladaha marka dab-damiska uu galo qaab furan - ma xamili karto culeyska waxayna joojisaa shaandhaynta codsiyada.
- balastar muuqaal ah. Xirmooyinka teknoolajiyada ah waxay xaddidaan gelitaanka qaybaha la jabsaday ee arjiga ilaa horumariyuhu xidhayo dayacanka. Natiijo ahaan, macmiilka bixiyaha daruuraha wuxuu helayaa fursad uu si degan u sugo ilaa alaab-qeybiyaha kan ama software-ka uu daabaco "patches" rasmi ah. Samaynta tan sida ugu dhakhsaha badan ee suurtogalka ah ayaa mudnaanta u leh alaab-qeybiyaha software. Tusaale ahaan, goobta Wallarm, qayb ka mid ah software-ka ayaa mas'uul ka ah dhejinta farsamada. Maamuluhu wuxuu ku dari karaa tibaaxo caadi ah si uu u joojiyo codsiyada xaasidnimada ah. Nidaamku wuxuu suurtogal ka dhigayaa in codsiyada qaar lagu calaamadiyo calanka "Xogta Qarsoodiga ah". Kadibna xuduudahooda waa la daboolaa, xaaladna laguma kala qaado meel ka baxsan goobta shaqada ee dab-damiska.
- Wareeg-ku-dhisan iyo iskaanka dayacanka. Tani waxay kuu ogolaaneysaa inaad si madaxbanaan u go'aamiso xuduudaha shabakada ee kaabayaasha IT adoo isticmaalaya xogta weydiimaha DNS iyo borotokoolka WHOIS. Ka dib, WAF waxay si toos ah u falanqaysaa adeegyada ka dhex socda wareegga (waxay qabataa iskaanka dekedda). Dab-damiska ayaa awood u leh inuu ogaado dhammaan noocyada dayacan ee caadiga ah - SQLi, XSS, XXE, iwm. - iyo aqoonsashada khaladaadka qaabeynta software, tusaale ahaan, gelitaanka aan la fasaxin ee Git iyo BitBucket kaydka iyo wicitaannada qarsoodiga ah ee Elasticsearch, Redis, MongoDB.
- Weerarada waxaa kormeera ilaha daruuraha. Sida caadiga ah, bixiyeyaasha daruuraha ayaa leh xaddi badan oo awood xisaabeed ah. Tani waxay kuu ogolaaneysaa inaad ku falanqeyso hanjabaadaha leh saxsanaan sare iyo xawaare. Koox ka mid ah qanjidhada shaandhada ayaa la galiyay daruuraha, kaas oo dhammaan taraafikada ay maraan. Nodes-yadani waxay xannibaan weerarrada codsiyada webka waxayna u diraan tirakoobyada Xarunta Falanqaynta. Waxay isticmaashaa algorithms-ka barashada mashiinka si ay u cusboonaysiiso sharciyada xannibaadda dhammaan codsiyada la ilaaliyo. Dhaqangelinta nidaamkan oo kale waxa lagu muujiyay sawirka. 4. Xeerarka amniga ee loo qaabeeyey waxay yareeyaan tirada digniinaha dab-damiska beenta ah.
Hadda wax yar oo ku saabsan sifooyinka WAF-yada daruuraha marka la eego arrimaha ururka iyo maamulka:
- U gudubka OpEx. Xaaladda WAF-yada daruuriga ah, kharashka dhaqangelintu wuxuu noqonayaa eber, maadaama dhammaan qalabka iyo shatiyada ay horay u bixiyeen bixiyaha; bixinta adeegga waxaa lagu sameeyaa isdiiwaangelin.
- Qorshayaasha tacriifada kala duwan. Isticmaalaha adeegga daruuriga ayaa si dhakhso ah u awood u yeelan kara ama joojin kara doorashooyin dheeraad ah. Hawlaha waxaa laga maamulaa hal guddi kantarool, kaas oo sidoo kale ammaan ah. Waxaa lagu galaa HTTPS, oo ay weheliso waxaa jira hab xaqiijin ah oo laba arrimood ah oo ku salaysan TOTP (Time-ku-salaysan Hal-Time Password Algorithm) borotokoolka.
- Isku xirka DNS. Adiga laftaadu waad bedeli kartaa DNS oo aad habayn kartaa marinka shabakada. Si loo xalliyo dhibaatooyinkan looma baahna in la shaqaaleysiiyo oo la tababaro khabiiro gaar ah. Sida caadiga ah, taageerada farsamo ee bixiyaha ayaa kaa caawin karta dejinta.
Farsamooyinka WAF waxay ka soo baxeen dab-damis fudud oo leh xeerar suulka ilaa nidaamyada ilaalinta adag oo leh algorithms barashada mashiinka. Dab-damiska codsiga hadda waxay bixiyaan sifooyin kala duwan oo ay adkeyd in la fuliyo 90-meeyadii. Siyaabo badan, soo ifbaxa shaqeynta cusub waxay noqotay suurtogalnimo iyadoo ay ugu wacan tahay tignoolajiyada daruuraha. Xalka WAF iyo qaybahooda ayaa sii socda inay horumaraan. Sida meelaha kale ee amniga macluumaadka.
Qoraalka waxaa diyaariyay Alexander Karpuzikov, maareeyaha horumarinta alaabta amniga macluumaadka ee bixiyaha daruuraha #CloudMTS.
Source: www.habr.com