Litabeng tsa rona tse fetileng ka lihlooho tsa leru, re , mokhoa oa ho sireletsa lisebelisoa tsa IT ka leru la sechaba le hore na ke hobane'ng ha li-antivirus tsa setso li sa tšoanelehe ka ho feletseng bakeng sa merero ena. Ka poso ena, re tla tsoela pele ka sehlooho sa ts'ireletso ea maru le ho bua ka ho iphetola ha WAF le hore na ho molemo ho khetha eng: hardware, software kapa leru.
WAF ke eng
Ho feta 75% ea litlhaselo tsa hacker li reretsoe ho ba kotsing ea lits'ebetso tsa marang-rang le liwebsaete: hangata litlhaselo tse joalo ha li bonahale ho lisebelisoa tsa ts'ireletso ea tlhahisoleseling le lits'ebeletso tsa ts'ireletso ea tlhahisoleseling. Likotsi tsa lits'ebetso tsa marang-rang li jara likotsi tsa ho sekisetsa le bomenemene ba li-account tsa mosebelisi le data ea hau, li-password le linomoro tsa likarete tsa mokoloto. Ho phaella moo, bofokoli sebakeng sa marang-rang bo sebetsa e le sebaka sa ho kena ho bahlaseli ho marang-rang a khoebo.
Web Application Firewall (WAF) ke skrine se sireletsang se thibelang litlhaselo lits'ebetsong tsa marang-rang: ente ea SQL, mongolo oa libaka tse fapaneng, ts'ebetso ea khoutu e hole, matla a sehlōhō le tumello ea ho feta. Ho kenyeletsoa litlhaselo tse sebelisang bofokoli ba matsatsi a zero. Li-firewall tsa ts'ebeliso li fana ka tšireletso ka ho beha leihlo litaba tsa leqephe la webo, ho kenyeletsoa HTML, DHTML, le CSS, le ho sefa likopo tse mpe tsa HTTP/HTTPS.
Liqeto tsa pele e bile life?
Liteko tsa pele tsa ho theha Firewall ea Sesebelisoa sa Marang-rang li entsoe morao koana lilemong tsa bo-90. Ho tsebahala bonyane baenjiniere ba bararo ba kile ba sebetsa lefapheng lena. Wa pele ke moprofesa oa mahlale a khomphutha Gene Spafford oa Univesithi ea Purdue. O hlalositse meralo ea "proxy application firewall" mme a e phatlalatsa ka 1991 bukeng .
Ea bobeli le ea boraro e ne e le litsebi tsa ts'ireletso ea tlhahisoleseling William Cheswick le Marcus Ranum ho tsoa Bell Labs. Ba thehile e 'ngoe ea li-firewall prototypes tsa pele tsa ts'ebeliso. E ile ea ajoa ke DEC - sehlahisoa se ile sa lokolloa tlas'a lebitso la SEAL (Secure External Access Link).
Empa SEAL e ne e se tharollo ea WAF e felletseng. E ne e le firewall ea khale ea marang-rang e nang le ts'ebetso e tsoetseng pele - bokhoni ba ho thibela litlhaselo ho FTP le RSH. Ka lebaka lena, tharollo ea pele ea WAF kajeno e nkoa e le sehlahisoa sa Perfecto Technologies (hamorao Sanctum). Ka 1999 o ile a Sistimi ea AppShield. Ka nako eo, Perfecto Technologies e ne e ntse e hlahisa litharollo tsa ts'ireletso ea tlhahisoleseling bakeng sa khoebo ea e-commerce, 'me mabenkele a marang-rang e ile ea e-ba bamameli ba sehlahisoa sa bona se secha. AppShield e khonne ho sekaseka likopo tsa HTTP le ho thibela litlhaselo tse ipapisitseng le maano a ts'ireletso a tlhahisoleseling.
Hoo e ka bang ka nako e ts'oanang le AppShield (ka 2002), mohloli oa pele o bulehileng oa WAF o ile oa hlaha. O ile a fetoha . E thehiloe ka sepheo sa ho tsebahatsa mahlale a WAF mme e ntse e tšehetsoa ke sechaba sa IT (ke ena ). ModSecurity e thibela litlhaselo lits'ebetsong tse ipapisitseng le sete e tloaelehileng ea mantsoe a tloaelehileng (masaeno) - lisebelisoa tsa ho lekola likopo tse ipapisitseng le lipaterone - .
Ka lebaka leo, bahlahisi ba ile ba khona ho finyella sepheo sa bona - litharollo tse ncha tsa WAF li ile tsa qala ho hlaha 'marakeng, ho kenyelletsa le tse hahiloeng motheong oa ModSecurity.
Meloko e meraro e se e ntse e le histori
Ke tloaelo ho khetholla meloko e meraro ea litsamaiso tsa WAF, tse bileng teng ka nts'etsopele ea theknoloji.
Moloko oa pele. E sebetsa ka lipolelo tse tloaelehileng (kapa sebōpeho-puo). Sena se kenyelletsa ModSecurity. Mofani oa sistimi o ithuta mefuta ea litlhaselo lits'ebetsong mme a hlahise lipaterone tse hlalosang likopo tse nepahetseng le tse ka bang kotsi. WAF e hlahloba manane ana mme e etsa qeto ea hore na e etse eng maemong a itseng - ho thibela sephethephethe kapa che.
Mohlala oa ho lemoha ho ipapisitsoe le mantsoe a tloaelehileng ke projeke e seng e boletsoe mohloli o bulehileng. Mohlala o mong - , eo hape e leng mohloli o bulehileng. Litsamaiso tse nang le lipolelo tse tloaelehileng li na le mefokolo e mengata, haholo-holo, ha ho fumanoa ts'oaetso e ncha, mookameli o tlameha ho etsa melao e eketsehileng ka letsoho. Tabeng ea lisebelisoa tse kholo tsa IT, ho ka 'na ha e-ba le melao e likete tse' maloa. Ho laola lipolelo tse ngata tse tloaelehileng ho thata haholo, re sa bue ka taba ea hore ho li hlahloba ho ka fokotsa ts'ebetso ea marang-rang.
Litlhaloso tse tloaelehileng li boetse li na le sekhahla se phahameng se fosahetseng. Setsebi se tummeng sa lipuo Noam Chomsky o ile a etsa tlhahiso ea hore ho be le lihlopha tsa sebōpeho-puo tseo ho tsona a ileng a li arola ka mekhahlelo e mene ea ho rarahana ha maemo. Ho ea ka sehlopha sena, lipolelo tse tloaelehileng li ka hlalosa feela melao ea firewall e sa kenyelletseng ho kheloha ho tloha pateroneng. Sena se bolela hore bahlaseli ba ka "thetsa" moloko oa pele oa WAF habonolo. Mokhoa o mong oa ho loants'a sena ke ho kenyelletsa litlhaku tse ikhethang ho likopo tsa kopo tse sa ameng mohopolo oa data e mpe, empa li tlola molao oa ho saena.
Moloko oa bobeli. Ho qoba litaba tsa ts'ebetso le ho nepahala ha li-WAF, li-firewall tsa ts'ebeliso ea moloko oa bobeli li ile tsa ntlafatsoa. Hona joale ba na le lihlopha tse ikarabellang bakeng sa ho khetholla mefuta e hlalositsoeng ka thata ea litlhaselo (ho HTML, JS, joalo-joalo). Lihlopha tsena li sebetsa ka li-tokens tse khethehileng tse hlalosang lipotso (mohlala, mefuta-futa, khoele, e sa tsejoeng, palo). Litokiso tse ka bang kotsi li behiloe lethathamong le arohaneng, leo sistimi ea WAF e e hlahlobang khafetsa. Mokhoa ona o ile oa bontšoa ka lekhetlo la pele kopanong ea Black Hat 2012 ka mokhoa oa C / C ++ , e u lumellang ho lemoha liente tsa SQL.
Ha ho bapisoa le li-WAF tsa moloko oa pele, li-parser tse khethehileng li ka potlaka. Leha ho le joalo, ha baa ka ba rarolla mathata a amanang le ho hlophisa sistimi ka letsoho ha litlhaselo tse mpe tse ncha li hlaha.
Moloko oa boraro. Phetoho ea mekhoa ea ho lemoha moloko oa boraro e na le tšebeliso ea mekhoa ea ho ithuta ea mochine e etsang hore ho khonehe ho tlisa sebōpeho-puo sa ho lemoha haufi le mokhoa oa sebele oa SQL/HTML/JS oa mekhoa e sirelelitsoeng. Mokhoa ona oa ho lemoha o khona ho ikamahanya le mochini oa Turing hore o sebetse ka mokhoa o iphetang oa ho bala. Ho feta moo, pele mosebetsi oa ho theha mochine o feto-fetohang oa Turing o ne o sa khone ho rarolloa ho fihlela lithuto tsa pele tsa mechine ea neural Turing li hatisoa.
Ho ithuta ka mochini ho fana ka bokhoni bo ikhethang ba ho ikamahanya le sebōpeho-puo ho koahela mofuta ofe kapa ofe oa tlhaselo ntle le ho iketsetsa manane a saena joalo ka ha ho hlokahala molemong oa ho lemoha moloko oa pele, le ntle le ho hlahisa li-tokenizer / parser tse ncha bakeng sa mefuta e mecha ea tlhaselo e joalo ka Memcached, Redis, Cassandra, liente tsa SSRF. , joalo ka ha ho hlokoa ke mokhoa oa moloko oa bobeli.
Ka ho kopanya meloko eohle e meraro ea logic ea ho lemoha, re ka taka setšoantšo se secha seo moloko oa boraro oa ho lemoha o emeloa ke kemiso e khubelu (Setšoantšo sa 3). Moloko ona o kenyelletsa e 'ngoe ea litharollo tseo re li sebelisang lerung hammoho le Onsek, moqapi oa sethaleng bakeng sa tšireletso e tsitsitseng ea likopo tsa marang-rang le Wallarm API.
Mokhoa oa ho lemoha hona joale o sebelisa maikutlo a tsoang ho sesebelisoa ho itlhophisa. Thutong ea mochini, loop ena ea maikutlo e bitsoa "matlafatso." Ka tloaelo, ho na le mofuta o le mong kapa ho feta oa matlafatso a joalo:
- Tlhahlobo ea boits'oaro ba karabo ea ts'ebeliso (e sa sebetseng)
- Scan/fuzzer (e sebetsa)
- Tlaleha lifaele / mekhoa ea li-interceptor / maraba (kamora taba)
- Bukana (e hlalosoa ke mookameli)
Ka lebaka leo, mokhoa oa ho lemoha oa moloko oa boraro o boetse o sebetsana le taba ea bohlokoa ea ho nepahala. Hona joale hoa khoneha eseng feela ho qoba mekhoa e fosahetseng le mefokolo ea bohata, empa hape le ho lemoha mefokolo ea 'nete e nepahetseng, e kang ho lemoha tšebeliso ea lisebelisoa tsa taelo ea SQL ho Control Panel, ho kenya template ea leqephe la websaete, likopo tsa AJAX tse amanang le liphoso tsa JavaScript, le tse ling.
Ka mor'a moo, re tla nahana ka bokhoni ba theknoloji ea likhetho tse fapaneng tsa ts'ebetsong ea WAF.
Hardware, software kapa leru - seo u ka se khethang?
E 'ngoe ea likhetho tsa ho kenya ts'ebetsong li-firewalls tsa kopo ke tharollo ea hardware. Litsamaiso tse joalo ke lisebelisoa tse khethehileng tsa k'homphieutha tseo k'hamphani e li kenyang sebakeng sa heno setsing sa eona sa data. Empa tabeng ena, o tlameha ho reka lisebelisoa tsa hau le ho lefa chelete ho li-integrator bakeng sa ho e beha le ho e lokisa (haeba k'hamphani e se na lefapha la eona la IT). Ka nako e ts'oanang, thepa leha e le efe e fetoha ea khale 'me e fetoha e sa sebelisoeng, kahoo bareki ba qobelloa ho etsa moralo oa lichelete bakeng sa ntlafatso ea hardware.
Khetho e 'ngoe ea ho tsamaisa WAF ke ts'ebetso ea software. Tharollo e kentsoe e le tlatsetso bakeng sa software e itseng (mohlala, ModSecurity e lokiselitsoe ka holim'a Apache) mme e sebetsa ho seva e tšoanang le eona. E le molao, litharollo tse joalo li ka sebelisoa ka bobeli ho seva sa 'mele le marung. Phoso ea bona ke scalability e fokolang le tšehetso ea barekisi.
Khetho ea boraro ke ho theha WAF ho tsoa lerung. Litharollo tse joalo li fanoa ke bafani ba maru e le tšebeletso ea ho ngolisa. Khampani ha e hloke ho reka le ho lokisa lisebelisoa tse khethehileng; mesebetsi ena e oela mahetleng a mofani oa litšebeletso. Ntlha ea bohlokoa ke hore WAF ea leru ea morao-rao ha e bolele ho falla ha lisebelisoa ho sethaleng sa mofani. Sebaka sa marang-rang se ka romelloa kae kapa kae, esita le sebakeng sa marang-rang.
Re tla hlalosa hape hore na ke hobane'ng ha batho ba ntse ba shebile leru la WAF.
Seo WAF e ka se etsang marung
Ho ea ka bokhoni ba theknoloji:
- Mofani o ikarabella bakeng sa lintlafatso. WAF e fanoa ka ngoliso, kahoo mofani oa litšebeletso o beha leihlo bohlokoa ba lintlafatso le laesense. Lintlafatso ha li ame feela software, empa le hardware. Mofani o ntlafatsa phakeng ea li-server le ho e hlokomela. E boetse e ikarabella bakeng sa ho leka-lekanya mojaro le ho fokotsa mosebetsi. Haeba seva sa WAF se hloleha, sephethephethe se fetisetsoa hang-hang mochining o mong. Kabo e nepahetseng ea sephethephethe e u lumella ho qoba maemo ha firewall e kena ka mokhoa o sa sebetseng - e ke ke ea sebetsana le mojaro mme e emisa likopo tsa ho sefa.
- Virtual patching. Lipache tsa Virtual li thibela phihlello ea likarolo tse senyehileng tsa ts'ebeliso ho fihlela mohlahlami a koala tlokotsi. Ka lebaka leo, moreki oa mofani oa leru o fumana monyetla oa ho ema ka khutso ho fihlela mofani oa sena kapa software eo a phatlalatsa "li-patches" tsa molao. Ho etsa sena kapele kamoo ho ka khonehang ke ntho e tlang pele ho mofani oa software. Mohlala, sethaleng sa Wallarm, mojule oa software o arohaneng o ikarabella bakeng sa patching ea nnete. Mookameli a ka eketsa lipolelo tse tloaelehileng ho thibela likopo tse kotsi. Sistimi e etsa hore ho khonehe ho tšoaea likopo tse ling ka folakha ea "Lintlha tsa lekunutu". Ebe li-parameter tsa bona li koaheloa, 'me ha ho na maemo a fetisoang ka ntle ho sebaka sa ho sebetsa sa firewall.
- Perimitha e hahelletsoeng kahare le sekena sa ts'oaetso. Sena se u lumella hore u ikemisetse ho iketsetsa meeli ea marang-rang ea lisebelisoa tsa IT u sebelisa lintlha tse tsoang lipotsong tsa DNS le protocol ea WHOIS. Kamora moo, WAF e itlhahloba ka bo eona lits'ebeletso tse sebetsang kahare ho pherimitha (e etsa scanning ea port). Setsi sa mollo se khona ho bona mefuta eohle e tloaelehileng ea bofokoli - SQLi, XSS, XXE, joalo-joalo - le ho khetholla liphoso ho tlhophiso ea software, mohlala, phihlello e sa lumelloeng ea polokelo ea Git le BitBucket le mehala e sa tsejoeng ho Elasticsearch, Redis, MongoDB.
- Litlhaselo li hlahlojoa ke mehloli ea maru. E le molao, bafani ba maru ba na le matla a mangata a k'homphieutha. Sena se o lumella ho sekaseka litšokelo ka ho nepahala le lebelo le holimo. Sehlopha sa li-filters se kentsoe marung, moo sephethephethe kaofela se fetang teng. Li-node tsena li thibela litlhaselo lits'ebetsong tsa marang-rang mme li romella lipalo-palo Setsing sa Analytics. E sebelisa li-algorithms tsa ho ithuta ka mochini ho ntlafatsa melao ea thibelo bakeng sa lits'ebetso tsohle tse sirelelitsoeng. Ts'ebetsong ea morero o joalo e bontšoa ho Feiga. 4. Melao e joalo e etselitsoeng ts'ireletso e fokotsa palo ea lialamo tsa bohata tsa firewall.
Joale hanyane ka likarolo tsa cloud WAFs mabapi le litaba tsa mokhatlo le tsamaiso:
- Fetolela ho OpEx. Tabeng ea li-WAF tsa maru, litšenyehelo tsa ts'ebetsong e tla ba zero, kaha lisebelisoa tsohle le li-license li se li lefshoa ke mofani; tefo ea tšebeletso e etsoa ka ho ngolisa.
- Merero e fapaneng ea litefiso. Mosebelisi oa ts'ebeletso ea leru a ka nolofalletsa kapa a tima likhetho tse ling kapele. Mesebetsi e laoloa ho tloha ho phanele e le 'ngoe ea taolo, eo hape e sireletsehileng. E fumaneha ka HTTPS, 'me ho na le mokhoa oa netefatso oa lintlha tse peli o thehiloeng ho protocol ea TOTP (Nako-based One-Time Password Algorithm).
- Khokahano ka DNS. U ka fetola DNS ka bouena 'me u hlophise litsela tsa marang-rang. Ho rarolla mathata ana ha ho hlokahale ho hira le ho koetlisa litsebi ka bomong. Joalo ka molao, tšehetso ea botekgeniki ea mofani e ka thusa ka ho seta.
Theknoloji ea WAF e fetohile ho tloha ho li-firewall tse bonolo tse nang le melao ea matsoho ho ea ho mekhoa e rarahaneng ea ts'ireletso e nang le mekhoa ea ho ithuta ka mochine. Li-firewall tsa kopo hona joale li fana ka mefuta e mengata ea likarolo tseo ho neng ho le thata ho li sebelisa lilemong tsa bo-90. Ka litsela tse ngata, ho hlaha ha ts'ebetso e ncha ho ile ha khoneha ka lebaka la mahlale a maru. Litharollo tsa WAF le likarolo tsa tsona li ntse li tsoela pele ho fetoha. Joalo ka libaka tse ling tsa ts'ireletso ea tlhahisoleseling.
Sengoloa se hlophisitsoe ke Alexander Karpuzikov, mookameli oa nts'etsopele ea sehlahisoa sa ts'ireletso ea tlhahisoleseling ho mofani oa leru #CloudMTS.
Source: www.habr.com