کلاؤڈ موضوعات پر ہمارے پچھلے مواد میں، ہم عوامی کلاؤڈ میں آئی ٹی وسائل کی حفاظت کیسے کی جائے اور روایتی اینٹی وائرس ان مقاصد کے لیے مکمل طور پر موزوں کیوں نہیں ہیں۔ اس پوسٹ میں، ہم کلاؤڈ سیکیورٹی کے موضوع کو جاری رکھیں گے اور WAF کے ارتقاء کے بارے میں بات کریں گے اور اس کے بارے میں بات کریں گے کہ کس چیز کا انتخاب کرنا بہتر ہے: ہارڈ ویئر، سافٹ ویئر یا کلاؤڈ۔
WAF کیا ہے؟
75% سے زیادہ ہیکر حملوں کا مقصد ویب ایپلیکیشنز اور ویب سائٹس کی کمزوریاں ہیں: ایسے حملے عام طور پر انفارمیشن سیکیورٹی انفراسٹرکچر اور انفارمیشن سیکیورٹی سروسز کے لیے پوشیدہ ہوتے ہیں۔ ویب ایپلیکیشنز میں کمزوریاں، بدلے میں، صارف کے اکاؤنٹس اور ذاتی ڈیٹا، پاس ورڈز، اور کریڈٹ کارڈ نمبروں کے ساتھ سمجھوتہ اور دھوکہ دہی کے خطرات رکھتی ہیں۔ اس کے علاوہ، ویب سائٹ میں موجود کمزوریاں حملہ آوروں کے لیے کارپوریٹ نیٹ ورک میں داخلے کے مقام کا کام کرتی ہیں۔
ویب ایپلیکیشن فائر وال (WAF) ایک حفاظتی اسکرین ہے جو ویب ایپلیکیشنز پر ہونے والے حملوں کو روکتی ہے: ایس کیو ایل انجیکشن، کراس سائٹ اسکرپٹنگ، ریموٹ کوڈ پر عمل درآمد، بروٹ فورس اور اتھارٹی بائی پاس۔ ان حملوں سمیت جو صفر دن کے خطرات سے فائدہ اٹھاتے ہیں۔ ایپلیکیشن فائر والز HTML، DHTML، اور CSS سمیت ویب صفحہ کے مواد کی نگرانی کرکے اور ممکنہ طور پر نقصان دہ HTTP/HTTPS درخواستوں کو فلٹر کرکے تحفظ فراہم کرتے ہیں۔
پہلے فیصلے کیا تھے؟
ویب ایپلیکیشن فائر وال بنانے کی پہلی کوششیں 90 کی دہائی کے اوائل میں کی گئیں۔ کم از کم تین انجینئروں نے اس شعبے میں کام کیا ہے۔ پہلا پرڈیو یونیورسٹی سے کمپیوٹر سائنس کے پروفیسر جین سپافرڈ ہیں۔ اس نے پراکسی ایپلی کیشن فائر وال کے فن تعمیر کو بیان کیا اور اسے 1991 میں کتاب میں شائع کیا۔ .
دوسرے اور تیسرے نمبر پر بیل لیبز کے انفارمیشن سیکیورٹی ماہرین ولیم چیسوک اور مارکس رینم تھے۔ انہوں نے پہلی ایپلیکیشن فائر وال پروٹو ٹائپ میں سے ایک تیار کیا۔ اسے DEC کے ذریعے تقسیم کیا گیا تھا - پروڈکٹ کو SEAL (Secure External Access Link) کے نام سے جاری کیا گیا تھا۔
لیکن SEAL ایک مکمل WAF حل نہیں تھا۔ یہ اعلی درجے کی فعالیت کے ساتھ ایک کلاسک نیٹ ورک فائر وال تھا - FTP اور RSH پر حملوں کو روکنے کی صلاحیت۔ اس وجہ سے، آج WAF کا پہلا حل Perfecto Technologies (بعد میں Sanctum) کی پیداوار سمجھا جاتا ہے۔ 1999 میں وہ ایپ شیلڈ سسٹم۔ اس وقت، پرفیکٹو ٹیکنالوجیز ای کامرس کے لیے انفارمیشن سیکیورٹی سلوشنز تیار کر رہے تھے، اور آن لائن اسٹورز ان کی نئی مصنوعات کے ہدف کے سامعین بن گئے۔ AppShield متحرک معلومات کی حفاظت کی پالیسیوں کی بنیاد پر HTTP درخواستوں اور بلاک شدہ حملوں کا تجزیہ کرنے کے قابل تھا۔
تقریباً اسی وقت AppShield (2002 میں)، پہلا اوپن سورس WAF ظاہر ہوا۔ وہ بن گیا . اسے WAF ٹیکنالوجیز کو مقبول بنانے کے مقصد سے بنایا گیا تھا اور اسے اب بھی IT کمیونٹی کی حمایت حاصل ہے (یہاں یہ ہے )۔ ModSecurity ریگولر ایکسپریشنز (دستخطوں) کے ایک معیاری سیٹ کی بنیاد پر ایپلی کیشنز پر حملوں کو روکتی ہے - پیٹرن کی بنیاد پر درخواستوں کو چیک کرنے کے ٹولز - .
نتیجے کے طور پر، ڈویلپرز اپنا مقصد حاصل کرنے میں کامیاب ہو گئے - WAF کے نئے حل مارکیٹ میں ظاہر ہونے لگے، بشمول ModSecurity کی بنیاد پر بنائے گئے حل۔
تین نسلیں پہلے ہی تاریخ ہیں۔
WAF نظاموں کی تین نسلوں میں فرق کرنے کا رواج ہے، جو ٹیکنالوجی کی ترقی کے ساتھ تیار ہوئے ہیں۔
پہلی نسل. ریگولر ایکسپریشنز (یا گرامر) کے ساتھ کام کرتا ہے۔ اس میں ModSecurity شامل ہے۔ سسٹم فراہم کنندہ ایپلیکیشنز پر حملوں کی اقسام کا مطالعہ کرتا ہے اور ایسے نمونے تیار کرتا ہے جو جائز اور ممکنہ طور پر بدنیتی پر مبنی درخواستوں کی وضاحت کرتے ہیں۔ WAF ان فہرستوں کو چیک کرتا ہے اور فیصلہ کرتا ہے کہ کسی خاص صورتحال میں کیا کرنا ہے - ٹریفک کو روکنا ہے یا نہیں۔
ریگولر ایکسپریشنز کی بنیاد پر پتہ لگانے کی ایک مثال پہلے ہی ذکر کردہ پروجیکٹ ہے۔ آزاد مصدر. ایک اور مثال - ، جو اوپن سورس بھی ہے۔ ریگولر ایکسپریشن والے سسٹمز کے بہت سے نقصانات ہوتے ہیں، خاص طور پر، جب کوئی نئی کمزوری دریافت ہوتی ہے، تو ایڈمنسٹریٹر کو دستی طور پر اضافی اصول بنانے ہوتے ہیں۔ بڑے پیمانے پر آئی ٹی کے بنیادی ڈھانچے کے معاملے میں، کئی ہزار قوانین ہوسکتے ہیں. بہت سارے ریگولر ایکسپریشنز کا انتظام کرنا کافی مشکل ہے، اس حقیقت کا ذکر نہ کرنا کہ ان کی جانچ کرنا نیٹ ورک کی کارکردگی کو کم کر سکتا ہے۔
ریگولر ایکسپریشنز میں بھی کافی زیادہ جھوٹی مثبت شرح ہوتی ہے۔ مشہور ماہر لسانیات نوم چومسکی نے گرامر کی درجہ بندی کی تجویز پیش کی جس میں اس نے انہیں پیچیدگی کی چار مشروط سطحوں میں تقسیم کیا۔ اس درجہ بندی کے مطابق، ریگولر ایکسپریشنز صرف فائر وال کے اصولوں کو بیان کر سکتے ہیں جن میں پیٹرن سے انحراف شامل نہیں ہے۔ اس کا مطلب ہے کہ حملہ آور پہلی نسل کے WAF کو آسانی سے "بیوقوف" بنا سکتے ہیں۔ اس کا مقابلہ کرنے کا ایک طریقہ یہ ہے کہ درخواست کی درخواستوں میں خصوصی حروف شامل کیے جائیں جو بدنیتی پر مبنی ڈیٹا کی منطق کو متاثر نہیں کرتے بلکہ دستخطی اصول کی خلاف ورزی کرتے ہیں۔
دوسری نسل. WAFs کی کارکردگی اور درستگی کے مسائل کو روکنے کے لیے، دوسری نسل کی ایپلی کیشن فائر والز تیار کی گئیں۔ اب ان کے پاس ایسے تجزیہ کار ہیں جو حملوں کی سختی سے وضاحت شدہ اقسام کی شناخت کے لیے ذمہ دار ہیں (HTML، JS، وغیرہ پر)۔ یہ تجزیہ کار خصوصی ٹوکنز کے ساتھ کام کرتے ہیں جو سوالات کی وضاحت کرتے ہیں (مثال کے طور پر، متغیر، تار، نامعلوم، نمبر)۔ ممکنہ طور پر نقصان دہ ٹوکن کی ترتیب کو ایک الگ فہرست میں رکھا گیا ہے، جس کی WAF سسٹم باقاعدگی سے جانچ کرتا ہے۔ یہ نقطہ نظر پہلی بار بلیک ہیٹ 2012 کانفرنس میں C/C++ کی شکل میں دکھایا گیا تھا۔ ، جو آپ کو SQL انجیکشن کا پتہ لگانے کی اجازت دیتا ہے۔
پہلی نسل کے WAFs کے مقابلے میں، خصوصی تجزیہ کار تیز تر ہو سکتے ہیں۔ تاہم، انہوں نے نئے بدنیتی پر مبنی حملے ظاہر ہونے پر سسٹم کو دستی طور پر ترتیب دینے سے وابستہ مشکلات کو حل نہیں کیا۔
تیسری نسل. تھرڈ جنریشن ڈیٹیکشن لاجک میں ارتقاء مشین لرننگ کے طریقوں کے استعمال پر مشتمل ہے جس سے پتہ لگانے کے گرامر کو محفوظ شدہ سسٹمز کے حقیقی SQL/HTML/JS گرامر کے قریب لانا ممکن ہوتا ہے۔ یہ پتہ لگانے کی منطق ایک ٹورنگ مشین کو ڈھلنے کے قابل ہے تاکہ بار بار گنتی کے قابل گرامر کا احاطہ کیا جاسکے۔ مزید برآں، اس سے قبل قابل اطلاق ٹورنگ مشین بنانے کا کام اس وقت تک ناقابل حل تھا جب تک کہ نیورل ٹورنگ مشینوں کی پہلی تحقیق شائع نہ ہو جائے۔
مشین لرننگ کسی بھی گرائمر کو کسی بھی قسم کے حملے کا احاطہ کرنے کے لیے انوکھی صلاحیت فراہم کرتی ہے، بغیر دستی طور پر دستخط کی فہرستیں بنائے بغیر، جیسا کہ پہلی نسل کی شناخت میں ضرورت ہوتی ہے، اور نئے حملے کی اقسام جیسے Memcached، Redis، Cassandra، SSRF انجیکشنز کے لیے نئے ٹوکنائزرز/پارسر تیار کیے بغیر۔ جیسا کہ دوسری نسل کے طریقہ کار کی ضرورت ہے۔
کھوج کی منطق کی تینوں نسلوں کو ملا کر، ہم ایک نیا خاکہ بنا سکتے ہیں جس میں کھوج کی تیسری نسل کو سرخ خاکہ (شکل 3) سے ظاہر کیا گیا ہے۔ اس نسل میں ان حلوں میں سے ایک شامل ہے جسے ہم کلاؤڈ میں اونسیک کے ساتھ مل کر نافذ کر رہے ہیں، جو ویب ایپلیکیشنز اور والرم API کے موافق تحفظ کے لیے پلیٹ فارم کے ڈویلپر ہیں۔
پتہ لگانے کی منطق اب ایپلیکیشن سے فیڈ بیک کو خود کو ٹیون کرنے کے لیے استعمال کرتی ہے۔ مشین لرننگ میں، اس فیڈ بیک لوپ کو "کمک" کہا جاتا ہے۔ عام طور پر، اس طرح کی کمک کی ایک یا زیادہ اقسام ہیں:
- درخواست کے ردعمل کے رویے کا تجزیہ (غیر فعال)
- اسکین/فزر (فعال)
- فائلوں/انٹرسیپٹر کے طریقہ کار/ٹریپس کی اطلاع دیں (حقیقت کے بعد)
- دستی (سپروائزر کے ذریعہ بیان کردہ)
نتیجے کے طور پر، تیسری نسل کا پتہ لگانے کی منطق بھی درستگی کے اہم مسئلے کو حل کرتی ہے۔ اب نہ صرف غلط مثبت اور غلط منفی سے بچنا ممکن ہے، بلکہ درست حقیقی منفیوں کا پتہ لگانا بھی ممکن ہے، جیسے کہ کنٹرول پینل میں SQL کمانڈ کے عنصر کے استعمال کا پتہ لگانا، ویب صفحہ ٹیمپلیٹ لوڈ کرنا، JavaScript کی غلطیوں سے متعلق AJAX کی درخواستیں، اور دیگر۔
اگلا، ہم WAF کے نفاذ کے مختلف اختیارات کی تکنیکی صلاحیتوں پر غور کریں گے۔
ہارڈ ویئر، سافٹ ویئر یا کلاؤڈ - کیا منتخب کریں؟
ایپلیکیشن فائر وال کو لاگو کرنے کے اختیارات میں سے ایک ہارڈ ویئر حل ہے۔ اس طرح کے سسٹم مخصوص کمپیوٹنگ ڈیوائسز ہیں جنہیں کمپنی اپنے ڈیٹا سینٹر میں مقامی طور پر انسٹال کرتی ہے۔ لیکن اس صورت میں، آپ کو اپنا سامان خود خریدنا ہوگا اور اسے ترتیب دینے اور اسے ڈیبگ کرنے کے لیے انٹیگریٹرز کو رقم ادا کرنی ہوگی (اگر کمپنی کا اپنا آئی ٹی ڈیپارٹمنٹ نہیں ہے)۔ ایک ہی وقت میں، کوئی بھی سامان پرانا ہو جاتا ہے اور ناقابل استعمال ہو جاتا ہے، اس لیے صارفین ہارڈ ویئر اپ گریڈ کے لیے بجٹ دینے پر مجبور ہوتے ہیں۔
WAF کی تعیناتی کا دوسرا آپشن سافٹ ویئر کا نفاذ ہے۔ حل کچھ سافٹ ویئر کے لیے ایک ایڈ آن کے طور پر انسٹال ہوتا ہے (مثال کے طور پر، ModSecurity کو Apache کے اوپر کنفیگر کیا گیا ہے) اور اس کے ساتھ اسی سرور پر چلتا ہے۔ ایک اصول کے طور پر، اس طرح کے حل کو فزیکل سرور اور کلاؤڈ دونوں میں تعینات کیا جا سکتا ہے۔ ان کا نقصان محدود اسکیل ایبلٹی اور وینڈر سپورٹ ہے۔
تیسرا آپشن کلاؤڈ سے WAF ترتیب دینا ہے۔ اس طرح کے حل کلاؤڈ فراہم کنندگان کے ذریعہ سبسکرپشن سروس کے طور پر فراہم کیے جاتے ہیں۔ کمپنی کو خصوصی ہارڈ ویئر خریدنے اور ترتیب دینے کی ضرورت نہیں ہے؛ یہ کام سروس فراہم کرنے والے کے کندھوں پر آتے ہیں۔ ایک اہم نکتہ یہ ہے کہ جدید کلاؤڈ WAF کا مطلب فراہم کنندہ کے پلیٹ فارم پر وسائل کی منتقلی نہیں ہے۔ سائٹ کو کہیں بھی تعینات کیا جا سکتا ہے، یہاں تک کہ بنیاد پر بھی۔
ہم مزید وضاحت کریں گے کہ لوگ اب تیزی سے کلاؤڈ ڈبلیو اے ایف کی طرف کیوں دیکھ رہے ہیں۔
WAF بادل میں کیا کر سکتا ہے۔
تکنیکی صلاحیتوں کے لحاظ سے:
- فراہم کنندہ اپ ڈیٹس کے لیے ذمہ دار ہے۔. WAF سبسکرپشن کے ذریعہ فراہم کیا جاتا ہے، لہذا سروس فراہم کنندہ اپ ڈیٹس اور لائسنس کی مطابقت پر نظر رکھتا ہے۔ اپ ڈیٹس کا تعلق نہ صرف سافٹ ویئر بلکہ ہارڈ ویئر بھی ہے۔ فراہم کنندہ سرور پارک کو اپ گریڈ کرتا ہے اور اسے برقرار رکھتا ہے۔ یہ بوجھ کے توازن اور فالتو پن کے لیے بھی ذمہ دار ہے۔ اگر WAF سرور ناکام ہو جاتا ہے، تو ٹریفک کو فوری طور پر دوسری مشین پر بھیج دیا جاتا ہے۔ ٹریفک کی معقول تقسیم آپ کو ایسے حالات سے بچنے کی اجازت دیتی ہے جب فائر وال فیل اوپن موڈ میں داخل ہوتا ہے - یہ بوجھ کا مقابلہ نہیں کر سکتا اور درخواستوں کو فلٹر کرنا بند کر دیتا ہے۔
- ورچوئل پیچنگ. ورچوئل پیچ ایپلیکیشن کے سمجھوتہ شدہ حصوں تک رسائی کو اس وقت تک محدود کرتے ہیں جب تک کہ ڈویلپر خطرے کو بند نہ کر دے۔ نتیجے کے طور پر، کلاؤڈ فراہم کنندہ کے صارف کو اس یا اس سافٹ ویئر کے فراہم کنندہ کی جانب سے آفیشل "پیچز" شائع ہونے تک سکون سے انتظار کرنے کا موقع ملتا ہے۔ جتنی جلدی ممکن ہو اسے کرنا سافٹ ویئر فراہم کنندہ کے لیے ایک ترجیح ہے۔ مثال کے طور پر، والرم پلیٹ فارم میں، ایک الگ سافٹ ویئر ماڈیول ورچوئل پیچنگ کے لیے ذمہ دار ہے۔ منتظم بدنیتی پر مبنی درخواستوں کو روکنے کے لیے حسب ضرورت ریگولر ایکسپریشنز شامل کر سکتا ہے۔ سسٹم کچھ درخواستوں کو "خفیہ ڈیٹا" کے جھنڈے سے نشان زد کرنا ممکن بناتا ہے۔ پھر ان کے پیرامیٹرز کو نقاب پوش کر دیا جاتا ہے، اور انہیں کسی بھی حالت میں فائر وال ورکنگ ایریا سے باہر منتقل نہیں کیا جاتا ہے۔
- بلٹ ان فریمیٹر اور کمزوری اسکینر. یہ آپ کو DNS استفسارات اور WHOIS پروٹوکول سے ڈیٹا کا استعمال کرتے ہوئے IT انفراسٹرکچر کے نیٹ ورک کی حدود کا آزادانہ طور پر تعین کرنے کی اجازت دیتا ہے۔ اس کے بعد، WAF خودکار طور پر دائرہ کے اندر چلنے والی خدمات کا تجزیہ کرتا ہے (پورٹ سکیننگ کرتا ہے)۔ فائر وال تمام عام قسم کے خطرات - SQLi, XSS, XXE، وغیرہ کا پتہ لگانے اور سافٹ ویئر کنفیگریشن میں غلطیوں کی نشاندہی کرنے کی صلاحیت رکھتا ہے، مثال کے طور پر Git اور BitBucket ریپوزٹریز تک غیر مجاز رسائی اور Elasticsearch، Redis، MongoDB کو گمنام کالز۔
- حملوں کی نگرانی کلاؤڈ وسائل سے کی جاتی ہے۔. ایک اصول کے طور پر، کلاؤڈ فراہم کرنے والوں کے پاس کمپیوٹنگ پاور کی بڑی مقدار ہوتی ہے۔ یہ آپ کو اعلی درستگی اور رفتار کے ساتھ خطرات کا تجزیہ کرنے کی اجازت دیتا ہے۔ کلاؤڈ میں فلٹر نوڈس کا ایک جھرمٹ تعینات ہے، جس سے تمام ٹریفک گزرتی ہے۔ یہ نوڈس ویب ایپلیکیشنز پر حملوں کو روکتے ہیں اور تجزیاتی مرکز کو اعداد و شمار بھیجتے ہیں۔ یہ تمام محفوظ ایپلی کیشنز کے لیے بلاک کرنے کے قوانین کو اپ ڈیٹ کرنے کے لیے مشین لرننگ الگورتھم کا استعمال کرتا ہے۔ ایسی اسکیم کا نفاذ تصویر میں دکھایا گیا ہے۔ 4. اس طرح کے تیار کردہ حفاظتی اصول غلط فائر وال الارم کی تعداد کو کم کرتے ہیں۔
اب تنظیمی امور اور انتظام کے لحاظ سے کلاؤڈ WAFs کی خصوصیات کے بارے میں تھوڑا سا:
- OpEx میں منتقلی۔. کلاؤڈ ڈبلیو اے ایف کے معاملے میں، عمل درآمد کی لاگت صفر ہوگی، کیونکہ تمام ہارڈ ویئر اور لائسنس فراہم کنندہ کی طرف سے پہلے ہی ادا کیے جا چکے ہیں؛ سروس کے لیے ادائیگی سبسکرپشن کے ذریعے کی جاتی ہے۔
- مختلف ٹیرف پلان. کلاؤڈ سروس صارف اضافی اختیارات کو تیزی سے فعال یا غیر فعال کر سکتا ہے۔ افعال کو ایک ہی کنٹرول پینل سے منظم کیا جاتا ہے، جو کہ محفوظ بھی ہے۔ اس تک HTTPS کے ذریعے رسائی حاصل کی جاتی ہے، علاوہ ازیں TOTP (ٹائم بیسڈ ون ٹائم پاس ورڈ الگورتھم) پروٹوکول پر مبنی دو فیکٹر تصدیقی طریقہ کار موجود ہے۔
- DNS کے ذریعے کنکشن. آپ خود DNS تبدیل کر سکتے ہیں اور نیٹ ورک روٹنگ کو ترتیب دے سکتے ہیں۔ ان مسائل کو حل کرنے کے لیے انفرادی ماہرین کو بھرتی اور تربیت دینے کی ضرورت نہیں ہے۔ ایک اصول کے طور پر، فراہم کنندہ کی تکنیکی مدد سیٹ اپ میں مدد کر سکتی ہے۔
WAF ٹیکنالوجیز انگوٹھے کے اصولوں کے ساتھ سادہ فائر وال سے لے کر مشین لرننگ الگورتھم کے ساتھ پیچیدہ تحفظ کے نظام تک تیار ہوئی ہیں۔ ایپلیکیشن فائر والز اب خصوصیات کی ایک وسیع رینج پیش کرتے ہیں جنہیں 90 کی دہائی میں نافذ کرنا مشکل تھا۔ کئی طریقوں سے، نئی فعالیت کا ظہور کلاؤڈ ٹیکنالوجیز کی بدولت ممکن ہوا۔ ڈبلیو اے ایف کے حل اور ان کے اجزاء تیار ہوتے رہتے ہیں۔ بالکل انفارمیشن سیکیورٹی کے دوسرے شعبوں کی طرح۔
متن کلاؤڈ فراہم کنندہ #CloudMTS میں انفارمیشن سیکیورٹی پروڈکٹ ڈویلپمنٹ مینیجر، الیگزینڈر کارپوزیکوف نے تیار کیا تھا۔
ماخذ: www.habr.com