Blackhat.az

Loading...

Blackhat.az

Register

Cyber Security - Digital Forensics - Hacking News - Kiber Təhlükəsizlik uyğunluğu - Security fundamentals - Uncategorized @az - Web App Security - 19 February 2021

Veb Tətbiq Firewall (WAF) Məhsullarının Ümumi Xüsusiyyətləri

Bu gün Veb Firewall (WAF) veb tətbiqetmələrin qorunması üçün istifadə olunur. Bu məqalədə Veb Firewall-un ümumi xüsusiyyətləri nəzərdən keçiriləcəkdir.

Bu gün internet həyatımızda əvəzolunmaz bir qaynaqdır və təhlükəsizlik problemləri çox vacib hala gəlmişdir. İnsanların məxfiliyini pozan həssas sistemlərin yoxlanılmasının və istifadəçilərə daha yaxşı xidmət göstərilməsinin vacibliyi getdikcə daha çox başa düşülür.

Veb Firewall həyati veb tətbiqetmələri (onlayn bankçılıq, xəstəxana görüşləri və s.) Nəzarət altında saxlayan mexanizmlər təmin edir. Yalnız Veb Tətbiq Firewall’ları kifayət deyil. Bu hesabatda şəbəkə hücumlarının qarşısını almağa kömək edən Firewall’ları da qeyd etmək istəyirəm. Firewall və Web Application Firewall arasındakı fərqlər və detallar da aşağıdakı səhifələrə daxil ediləcəkdir. OWASP və hücum növləri haqqında da məlumat verəcəyəm ki, Veb Tətbiq Firewall hansı növ hücum tətbiq növlərini qoruyan veb tətbiqlərini qoruyur.

1) Veb Tətbiqlərinə və OWASP-ə qarşı hücumlar

Korporativ Veb Tətbiqi Firewall’ları, mövcud veb zəiflik siyahısına görə, açıq veb tətbiqetmə təhlükəsizliyi layihəsi demək olan OWASP mexanizmini saxlayır. Bu standart WAF dizaynerləri tərəfindən qəbul edilmiş təlimatların siyahısıdır.

1.1) OWASP

Açıq veb tətbiqetmə təhlükəsizliyi layihəsini ifadə edən OWASP, etibarsız proqramın yaratdığı problemlərlə mübarizə aparmaq üçün qurulmuş bir cəmiyyətdir. OWASP-in bütün alətləri, sənədləri, siyahıları və bölmələri hər bir proqram təhlükəsizliyi işçisi və həvəskarı üçün pulsuzdur.

OWASP-nin siyahısına görə veb tətbiqetmələrdə aşkar olunan bəzi zəifliklər aşağıdakılardır:

  • SQL enjeksiyonu; Enjeksiyon hücumları, istifadəçilərin məlumatları yoxlanılmadan əmrlərdə və ya verilənlər bazası sorğularında istifadə edildikdə meydana gəlir.
  • Saytın Ssenarisi; Cross Site Scripting, təcavüzkarın veb tətbiqinə zərərli kod əlavə etməsidir, bu kodlar tətbiqi götürməyə qədər gedə bilər.
  • Saytdan Xahiş Sahibliyi; CSRF zəiflikləri gələn istəklər üçün sessiya yoxlanışını unutma səbəbindən meydana gəlir.
  • Sınaqlı Doğrulama və Sessiyanın İdarə Edilməsi; Veb tətbiqi istifadəçiləri aydın mətn və ya asanlıqla qırılan bir şifrələmə ilə müəyyənləşdirmək üçün yaratdığı seans identifikatorlarını yaradırsa, bu bir zəiflikdir.
  • Təhlükəsiz Kriptoqrafik Anbar; Verilənlər bazasında həssas məlumat şifrələnmədən saxlanıldıqda meydana gəlir.
  • Məlum Zəifliklərlə Komponentlərdən istifadə; Məlum zəifliyi olan komponentlərdən istifadə edən tətbiqetmələr və API tətbiqetmə müdafiəsini zəiflədə bilər və müxtəlif hücumlara qapı aça bilər

 

2) Firewall və Metodlar

Altı məşhur firewall texnologiyası var. Müxtəlif firewall texnologiyalarının müsbət və mənfi cəhətləri nümunələr və daha ətraflı izahatlarla birlikdə aşağıda təsvir edilmişdir.

 

2.1) Tətbiqə əsaslanan firewall

Tətbiqə əsaslanan bir təhlükəsizlik duvarı şəbəkələr daxilinə icazə verən və ya onu rədd edən bir proqram paketidir. Girmək istəyənlərin və daxil olanların etdiklərinin qeydləri aparıla bilər. Hər hansı bir daxili və ya xarici host əlaqəsini qəbul etmir. İstifadəçi səviyyəsində identifikasiya təmin edir. Məlumat paketlərindəki zərərli kodları aşkar edə bilər. Məlumat trafikində özəl fəaliyyətlərin qeydlərini aparır.

Bu tip firewall-un mənfi tərəfi digər firewall yanaşmalarından daha yavaş olmasıdır.

2.2) Paket Filtrləmə

Paket süzgəci tətbiq baxımından ən sadə təhlükəsizlik duvarıdır. Konfiqurasiya etmək çox sadədir. Yönləndiricilər paketin məzmunu əvvəlcədən təyin olunmuş şərt meyarları ilə müqayisə edilərək paketləri süzmək üçün konfiqurasiya edilmişdir. Paket filtrini marşrutlaşdırıcıya əlavə etmək əlavə bir əlavə yük yaratmır. Paket süzgəci şəbəkə və nəqliyyat qatında baş verir, yəni bütün tətbiqlərdə istifadə edilə bilər. Paket filtri müxtəlif üsullarla pozula bilər. Potensial müdaxilə edənlər daxil olan paketlərin mənbəyini sanki məqbul bir mənbədən qaynaqlandığı kimi maskalayaraq aldada bilər. Bir marşrutlaşdırıcıda paket süzgəcinin mürəkkəbliyi nə qədər yüksək olsa, marşrutlaşdırıcının performansı o qədər aşağı olur. Bəzi hallarda, süzgəc performansın artırılması üçün geniş istifadə olunan müəyyən önbellekleme strategiyaları ilə uyğun gəlmir.

 

2.3) Statusun yoxlanılması

Vəziyyət monitorinqi, paket filtri texnologiyasının inkişaf etmiş bir versiyasıdır. 90-cı illərdə Checkpoint firması tərəfindən hazırlanmışdır. Zamanla bir standart halına gəldi. Dinamik paket süzgəci olaraq da bilinir. Fərdi paketin məzmunu araşdırılır. Aşağı qiymət, yüksək performans təmin edir. Paket filtrləmə metodunda olduğu kimi, dövlət yoxlama metodu da şəbəkə və nəqliyyat qatında işləyir. Buna görə əlavə müştəri konfiqurasiyası və proqram təminatı tələb olunmur.

 

2.4) vəkil

Proxy internetdəki serverlərlə daxili serverlər arasında vasitəçi əlaqə təmin edir. Gələn paketlər üçün proxy daxili şəbəkədəki müştərilərə bir server rolunu oynayır. Gedən paketlər üçün xarici şəbəkədəki serverlərə məlumat göndərən bir müştəri rolunu oynayır. Proxy xidməti tətbiq qatında işlədiyindən yüksək təhlükəsizlik təmin edir. Həm də istifadəçi səviyyəsində identifikasiya təmin edir. Proxy sistemləri avtomatik olaraq zəif və ya pis IP tətbiqetmələrindən qoruyur və süzgəcdə müvəffəq olur.

Bunlardan fərqli olaraq, konfiqurasiya ediləcək ən mürəkkəb bir təhlükəsizlik duvarıdır.

2.5) Şəbəkə Ünvan Tərcümə

Şəbəkə ünvanı tərcüməsi bir şəbəkənin daxili bir şəbəkə ünvanından və xarici şəbəkələrlə işləyərkən fərqli bir dəstdən istifadə etməsini təmin edir. Şəbəkə ünvanı tərcüməsi öz-özlüyündə heç bir təhlükəsizlik təmin etmir, ancaq daxili şəbəkə tərtibatını gizlətməyə və əlaqələri darboğaz yolu ilə saxlamağa kömək edir.

 

2.6) Virtual Özəl Şəbəkə

Virtual özəl şəbəkə şifrələmə və bütövlüyün qorunmasından istifadə edir;

Xüsusi bir şəbəkə kimi bir ümumi şəbəkədən (İnternetdən) istifadə edə bilərsiniz. Virtual özəl şəbəkələr təhlükəsizliklə işləyən protokolları uzaqdan istifadə etməyə imkan verir. Bununla birlikdə, virtual özəl şəbəkələrdə təhlükəli şəbəkə əlaqələri var.

 

3) Veb Tətbiqi Firewall İşləmə Modu

3.1) Ters Proxy

Reverse Proxy, veb tətbiqetmə divarları arasında ən çox yayılmış və xüsusiyyət baxımından zəngin bir dağıtımdır. Bütün trafik WAF üzərindən keçir. Gələn istəklər üçün bir Server və arxadakı veb server üçün bir müştəri kimi çıxış edir. Ancaq tətbiqlər üçün gecikməni artıra bilər.

3.2) Şəffaf Proxy

Bu rejimdə, WAF Firewall və Web Server arasında yerləşir, ancaq IP ünvanı yayımlamır. Ters Proxy kimi davranır.

 

3.3) körpü

Bu metodda WAF cihazı trafikin keçməsinə və araşdırılmasına imkan verən körpü rejimində veb serverlərin qarşısına qoyulur. Yeganə dezavantaj sistemdəki bir uğursuzluqdan sonra veb trafikin kəsilməsi ehtimalıdır.

 

3.4) Oflayn Şəbəkə Monitorinqi

Bu şəhərcikdə WAF xəttdə deyil. Şəbəkəni kənardan izləmək üçün idealdır. WAF, bu şəhərcikdəki istənməyən trafikə mane olmaq üçün bir TCP sıfırlama mesajı göndərərək trafiği blok edə bilər.

 

3.5) Server əsaslı

Bu kampusdakı WAF veb serverindədir. Qorunacaq sistemlərin sayı az olduqda üstünlük verilə bilər. Ancaq serverin işini yormur.

 

4) Veb Tətbiqi Firewall və Metodları

WAF, əsasən veb və tətbiqetmə serverlərinə qarşı təhdidlərə qarşı hazırlanmış bir müdaxilənin qarşısının alınması sistemidir. Tipik bir IPS sisteminə nisbətən tətbiq serverlərinə qarşı daha yüksək səviyyədə təhlükəsizlik qorunması təmin edir.

4.1) İmza əsaslı WAF

Gələn http / https istəklərinin xüsusiyyətləri və bilinən hücum imzalarının xüsusiyyətləri ilə müqayisə edilərək hücumlar aşkar edilir. Buna görə http / https istəklərinin başlıq məlumatlarını və məzmununu araşdırmaq və bilmək vacibdir. Lakin, imzalar davamlı dəyişən hücumlar içərisində yenilənməsə, istifadəsi zamanı bir çox dəyişikliyə məruz qalan bir çox zərərli istəklər veb firewall-dan yan keçəcəkdir. Müdaxiləni aşkarlama sistemlərinin məqsədi icazəsiz giriş, məlumat sistemlərinə sızmaq, istənməyən və zərərli şəbəkə trafikinin aşkarlanması və viruslar, trojan və qurdlar kimi zərərli proqramların zərərini minimuma endirməkdir.

İmza əsaslı yanaşma, digər yanaşmalara nisbətən daha az yalan xəbərdarlıq verdiyindən real dünyada daha məqbul bir yanaşmadır. Bununla birlikdə, yuxarıda qeyd edildiyi kimi, yeni zərərli proqramlara qarşı kifayət deyil.

 

4.2) Anomal əsaslı WAF

Anomaliya əsaslı müdaxiləni müəyyənləşdirmə sistemi əvvəlcədən təyin edilmiş bir davranış referansı üzərində işləyir. Davranış təyini müddətində müxtəlif mənbələrdən götürülmüş; İşlemci istifadəsi, TCP əlaqələrinin sayı, izləmə hadisələri, basılmış düymələr, sistem zəngləri, şəbəkə paketləri, istifadəçilərin sessiya vaxtları, elektron poçtların sayı, fayl sistemlərinə giriş və təhlükəsiz iş şəraiti kimi müxtəlif məlumatlardan istifadə olunur.

HTTP trafiki ilə əlaqəli anomaliyalar, HTTP mesajlarındakı Protokol xüsusiyyətləri, veb tətbiq çağırışındakı anomaliyalar və HTTP üzərindən ötürülən mesajların məzmundakı anomaliyalar da daxil olmaqla anomal əsaslı veb tətbiq firewall layihələri həyata keçirilir. Bu tədqiqatlarla imza əsaslı WAF çatışmazlıqlarını aradan qaldırmaq və zərərli istəklərlə firewall-u saxtalaşdırmağı minimuma endirmək məqsədi daşıyır.

Öz sisteminizin ehtiyaclarına uyğun olaraq imza və anomaliya əsaslı metodları seçib istifadə edə bilərsiniz.

 

5) Nəticələr

Firewall, kompüter şəbəkələrini və hətta İnternet bağlantısı olan bütün kompüterləri qorumaq üçün ən zəruri hissələrdən biridir. İşdə iki növ firewall araşdırıldı və bir-birlərinə qarşı üstünlükləri və mənfi cəhətləri var. Bunlar arasındakı fərqlər belə ümumiləşdirilə bilər:

İmza əsaslı WAF, gündə 1 milyon fərqli növdə istehsal olunan yeni və metamorfik / polimorfik zərərli istəklərin / proqramların qarşısını almaq üçün kifayət etməyəcəkdir.

Anomal əsaslı WAF yanaşmasında bir konsentrasiya var, bu tip WAF, yeni zərərli proqramların imzalarını saxlamaq və yeniləmək əvəzinə normal davranış hesab etdiyi məlumatlarla uyğun olmayan şübhəli zərərli proqramı da aşkar edə bilər.

Bu firewall istifadə edərək müxtəlif təhlükəsizlik strukturları yaratmaq mümkündür.

Burada təsvir olunan imza əsaslı texnologiyaların, ilk dəfə rast gəlinən hücumları yalan pozitiv olaraq şərh etməsi ehtimalı böyükdür və yenilənməmiş imza verilənlər bazaları özlərində zəiflikdir. Bu səbəbdən anomaliyaya əsaslanan metodlar ağırlıq alacaq.