С дальнейшим развитием Интернета межсетевые экраны веб-приложений и облачные межсетевые экраны вошли в поле зрения каждого. Брандмауэр оказывает очень хорошее защитное воздействие на веб-приложения. Это сочетание аппаратного и программного обеспечения, которое образует прочный защитный барьер между внутренней сетью и внешней сетью, частной сетью и общедоступной сетью. Пользователи могут настраивать брандмауэры с различной защитой. Уровень защиты предотвращает работу некоторых служб. Как мы все знаем, брандмауэр — это прикладная технология безопасности и технология изоляции, основанная на современных технологиях сетей связи и технологии информационной безопасности. Она используется для укрепления сети и обеспечения сетевой безопасности. Итак, как мы понимаем эти два брандмауэра и в чем их различия?

1. Веб-брандмауэр (WAF)

Брандмауэр веб-приложений, брандмауэр аппаратного уровня (сокращенно WAF), в основном используется для защиты от атак на уровне сетевых приложений, таких как внедрение SQL, атаки с использованием межсайтовых сценариев, подделка параметров, атаки на уязвимости платформы приложений. , атаки типа «отказ в обслуживании» и т. д.

Сценарии применения

Антизлонамеренные атаки: предотвращайте вредоносные атаки со стороны конкурентов или вымогательство со стороны хакеров, вызывающие тайм-ауты запросов, временные прерывания, нестабильность и другие проблемы.

Предотвратите утечку данных: не позволяйте хакерам вторгаться в базу данных веб-сайта с помощью SQL-инъекций, веб-троянов и других методов атак для получения основных бизнес-данных.

Защита от взлома веб-страниц: не позволяйте хакерам изменять содержимое страницы или публиковать неверную информацию, сканируя уязвимости системы, внедряя трояны и влияя на изображение веб-сайта.

Требования соответствия безопасности: соблюдать соответствующие законы и правила, а также соответствовать требованиям к уровню защиты информационной системы (оценка классификационной защиты).

Брандмауэры веб-приложений могут защитить веб-приложения от различных распространенных атак, таких как внедрение SQL, уязвимости межсайтового скриптинга (XSS) и т. д. WAF также может отслеживать и фильтровать определенный трафик, который может подвергать приложения атакам DOS (отказ в обслуживании). WAF обнаруживают подозрительный доступ до того, как HTTP-трафик достигнет сервера приложений. В то же время они также могут предотвратить получение определенных несанкционированных данных из веб-приложений.

1. Типы атак, предотвращаемые WAF

Все типы атак, представленные в проекте Open Web Application Security Project (OWASP), входят в сферу рассмотрения при реализации WAF. Некоторые из наиболее распространенных типов атак следующие:

1.1 Уязвимость межсайтового скриптинга (XSS)

Злоумышленник вставляет вредоносный код сценария в веб-страницу. Когда пользователь просматривает страницу, код сценария, встроенный в веб-страницу, будет выполнен, тем самым достигая цели злонамеренной атаки на пользователя.

XSS грубо делится на две категории:

• Рефлексивная атака. Вредоносный код не сохраняется на целевом веб-сайте.,Атака осуществляется путем соблазнения пользователей перейти по вредоносной ссылке на целевой веб-сайт.
• Атаки на хранилища. Вредоносный код был сохранен на сервере целевого веб-сайта.,Эта атака имеет сильную стабильность и настойчивость.,Более распространенный сценарий - в блогах.,Форумы и другие сайты социальных сетей.

XSS-атаки могут:

• Получите пользовательский файл cookie и отправьте его обратно на хакерский сервер.
• Получайте закрытые данные пользователей, такие как электронные письма, информация о клиентах, контакты и т. д.

1.2 SQL-инъекция

Целью выполнения подозрительного кода SQL в целевой базе данных является контроль над сервером базы данных веб-приложения или получение незаконных данных. Атаки с помощью SQL-инъекций могут использоваться для получения несанкционированного доступа к конфиденциальным данным пользователей, таким как информация о клиентах, личные данные, коммерческая тайна, интеллектуальная собственность и т. д.

Атаки с помощью SQL-инъекций — одна из старейших, самых популярных и самых опасных уязвимостей веб-приложений. Например, если вы запрашиваете ?id=1 и не проверяете значение входного идентификатора 1, вы можете ввести ?id=1 или 1=1, чтобы получить все данные.

SQL-инъекция обычно вызвана следующими аспектами:

• Неправильная обработка типов.
• Небезопасная конфигурация базы данных.
• Неправильная обработка набора запросов.
• Неправильная обработка ошибок.
• Неправильная обработка escape-символов.
• Несколько коммитов обрабатывались неправильно.

1.3 Подделка файлов cookie

Подделка файлов cookie — это процесс, в котором злоумышленник получает несанкционированную информацию о пользователе путем изменения файлов cookie пользователя и тем самым крадет личные данные. Злоумышленник может использовать эту информацию, чтобы открыть новую учетную запись или получить доступ к существующей учетной записи пользователя.

Многие веб-приложения используют файлы cookie для сохранения информации о сеансах пользователей. Когда пользователи используют файлы cookie для доступа к приложению, веб-приложение может идентифицировать пользователя, отслеживать поведение пользователя и предоставлять персонализированные услуги. Если при использовании файлов cookie отсутствует механизм безопасности, они могут быть легко подделаны, украдены и использованы злоумышленниками для получения личной информации пользователей.

1.4 Непроверенный ввод

Веб-приложения часто запускают соответствующую логику выполнения на основе ввода HTTP. Злоумышленники могут легко изменить любую часть HTTP, например URL-адреса, параметры URL-запроса, заголовки HTTP, файлы cookie и т. д., чтобы нарушить политику безопасности веб-приложений.

1.5 DoS-атака уровня 7

Ниже мы подробно представим защиту WAF от Dos-атак на уровне 7 (уровень приложений).

1.6 Парсинг веб-страниц

Используйте некоторые инструменты для получения веб-контента и извлечения из него полезной информации о веб-сайтах.

2. Метод развертывания WAF

WAF можно развернуть следующими способами:

2.1 Режим прозрачного прокси

WAF проксирует сеанс между WEB-клиентом и сервером и прозрачен как для клиента, так и для сервера. С точки зрения WEB-клиента, WEB-клиент по-прежнему обращается напрямую к серверу и не знает о существовании WAF.

Преимущество этого режима развертывания заключается в том, что он требует минимальных изменений в сети. Функция аппаратного обхода WAF не влияет на исходный сетевой трафик при выходе устройства из строя или потере питания, но сам WAF становится неэффективным.

Недостатком является то, что весь трафик в сети проходит через WAF, что требует высокой производительности обработки WAF. Функция балансировки нагрузки не может быть достигнута в этом рабочем режиме.

2.2 Режим обратного прокси

Режим обратного прокси означает сопоставление адреса реального сервера с обратным прокси-сервером. В это время прокси-сервер отображается для внешнего мира как реальный сервер. Когда прокси-сервер получает сообщение HTTP-запроса, он пересылает запрос на соответствующий реальный сервер. После получения запроса внутренний сервер сначала отправляет ответ устройству WAF, а затем устройство WAF отправляет ответ клиенту.

Этот режим развертывания требует внесения изменений в сеть, а конфигурация относительно сложна. Помимо настройки адреса и маршрутизации самого устройства WAF, также необходимо настроить связь между адресом фонового реального WEB-сервера и адресом фонового реального WEB-сервера. виртуальный адрес в WAF.

Преимущество заключается в том, что в WAF можно добиться балансировки нагрузки.

2.3 Режим прокси-маршрутизации

Единственная разница между ним и прозрачным прокси-сервером моста заключается в том, что прокси-сервер работает в режиме маршрутизации и пересылки, а не в режиме моста. Остальные принципы работы такие же. Поскольку он работает в режиме маршрутизации (шлюза), вам необходимо настроить IP-адрес и маршрут для интерфейса пересылки WAF.

Этот режим развертывания требует простых изменений в сети, включая настройку IP-адресов внутренних и внешних сетевых портов устройства и соответствующих маршрутов. При работе в режиме прокси-маршрутизации он может напрямую служить шлюзом WEB-сервера, но есть проблема с единой точкой отказа, которая также отвечает за пересылку всего трафика. Этот рабочий режим также не поддерживает функцию балансировки нагрузки сервера.

3. Режим безопасности WAF

WAF может использовать два режима безопасности: белый список и черный список или их комбинацию.

В режиме безопасности белого списка все типы запросов, которых нет в списке, будут отклонены, в то время как в черном списке все наоборот: будут отклонены только типы запросов из черного списка, а все остальные будут разрешены;

Белый список может хорошо работать при новых типах атак, которые еще не известны разработчикам.

Черные списки относительно проще реализовать, но проблема в том, что затраты на обслуживание высоки, поскольку зачастую мы не можем перечислить все типы атак.

4. Открытый проект безопасности веб-приложений (OWASP)

OWASP — это некоммерческая глобальная организация по безопасности с открытым исходным кодом, занимающаяся исследованиями безопасности веб-приложений. Его миссия — сделать веб-приложения более безопасными и позволить предприятиям и организациям принимать более четкие решения относительно рисков безопасности.

OWASP однажды назвал 10 распространенных методов атак:

1) Инъекция

Злоумышленник отправляет приложению данные, содержащие команду, и приложение выполняет ее как команду. Например, упомянутая выше SQL-инъекция.

2) Неудачная аутентификация личности и управление сеансом.

Приложение не смогло обеспечить надлежащие возможности аутентификации и управления сеансами, что позволило злоумышленнику выдать себя за другое лицо.

3) Межсайтовый XSS

Злоумышленник вставляет вредоносный код сценария в веб-страницу. Когда пользователь просматривает страницу, код сценария, встроенный в веб-страницу, будет выполнен, тем самым достигая цели злонамеренной атаки на пользователя.

4) Прямая ссылка на небезопасный объект

Авторизованный пользователь изменяет параметр во время доступа, чтобы получить доступ к объекту, для которого он не авторизован. Например, измените параметр идентификатора корзины покупок в URI, чтобы получить доступ к корзинам покупок других людей.

5) Поддельный межсайтовый запрос (CSRF)

Злоумышленник крадет личность пользователя и отправляет вредоносные запросы от имени законного пользователя. Для сервера этот запрос полностью законен, но он завершает ожидаемую злоумышленником операцию, например отправку электронных писем и сообщений от имени пользователя.

Предположим, что сайт A — это веб-сайт с уязвимостью CSRF, а сайт B — вредоносный веб-сайт, созданный злоумышленником. Примеры CSRF-атак:

• Пользователь открывает браузер, посещает сайт А и вводит имя пользователя и пароль для входа на сайт А.
• После успешного входа в систему сайт А генерирует информацию cookie и возвращает ее браузеру.
• В то же время пользователь открывает страницу TAB для посещения сайта B в том же браузере.
• После того как сайт Б получает запрос пользователя, он возвращает некоторый оскорбительный код и отправляет запрос на доступ к сайту А.
• После получения этих оскорбительных кодов браузер,По запросу с сайта Б,Перенос информации cookie без ведома пользователя,Отправьте запрос на веб-сайт А. Сайт A не знает, что запрос на самом деле был инициирован B.,Таким образом, запрос будет обработан на основе информации файлов cookie пользователя.,Вызывает выполнение вредоносного кода с сайта B.

Обнаружение уязвимостей CSRF — относительно утомительная задача. Самый простой метод — получить обычный пакет данных запроса, удалить поле Referer и затем повторно отправить его. Если отправленное сообщение все еще действительно, можно определить, что уязвимость CSRF существует.

6) Проблемы с настройкой безопасности

Секреты конфигурации или учетных записей серверов, платформ, баз данных и различных инструментов управления, на которых расположены веб-приложения, подвергают риску безопасность соответствующих объектов.

например:

• В коде есть информация об аккаунте, которая утекла в результате декомпиляции.
• Списки каталогов на сервере не отключены, что позволяет злоумышленнику найти любой файл на сервере и загрузить его.

7) Невозможность ограничить доступ к URL-адресу.

Хотя система явно ограничивает доступ к URL-адресам, это ограничение не вступает в силу. Например, система не проверяет роль пользователя. Изменяя URL-адрес, пользователь может получить доступ к URL-адресам, доступ к которым могут получить только другие пользователи или учетные записи администратора.

8) Непроверенные редиректы и пересылки

Давайте сначала поговорим о разнице между перенаправлением и пересылкой.

• Перенаправление. Браузер отправляет запрос на сервер, и сервер отвечает кодом состояния 302 и новым местоположением. Браузер обнаруживает, что код состояния равен 302, и инициирует еще один HTTP-запрос к этому местоположению. Итак, браузер инициировал два http-запроса, и последнее, что вы увидели в адресной строке, — это URL-адрес, соответствующий новому местоположению.
• Вперед. Браузер отправляет запрос на сервер, а сервер выполняет внутренний запрос ресурса пути пересылки и возвращает результат запроса браузеру. Браузер только инициировал http-запрос, и URL-адрес, отображаемый в адресной строке, не изменился.

Для перенаправления и пересылки запрос URL-адреса назначения обычно содержит параметры. Если эти параметры URL-адреса не проверены, они могут быть легко использованы злоумышленниками.

9) Используйте компоненты, в которых обнаружены уязвимости.

Веб-приложения, использующие компоненты с известными уязвимостями, такие как библиотеки, платформы или другие программные модули, могут вызывать серьезные проблемы с безопасностью. Например, утечки данных, захват серверов хакерами и т. д.

10) Раскрытие конфиденциальной информации

Если конфиденциальная информация пользователя, такая как номера кредитных карт, номера мобильных телефонов и идентификационные номера, будет украдена или подделана злоумышленниками, это будет иметь очень серьезные последствия. Конфиденциальные данные требуют особой защиты, например шифрования при хранении и передаче, а также особых мер предосторожности при взаимодействии с браузером.

WAF использует различные риски безопасности, предложенные OWASP, в качестве рекомендаций, которые необходимо учитывать во время конкретной реализации. Все упомянутые выше проблемы безопасности входят в сферу предотвращения WAF.

5. WAF и DDos

Полное название DDos — Distributed Denial of Service. В основном он полагается на то, что группа компьютеров инициирует запросы к одной целевой системе, в результате чего целевая система исчерпывает ресурсы и отклоняет обычные запросы.

Согласно семиуровневой сетевой модели OSI, сеть можно разделить сверху вниз:

• Уровень 7: уровень приложений, SMTP, HTTP, DNS и другие протоколы.
• Шестой уровень: уровень представления, синтаксис и семантика информации и их ассоциации, такие как шифрование и дешифрование, сжатие и распаковка.
• Уровень 5: Уровень сеанса, установление и поддержание соединений.
• Уровень 4: Транспортный уровень, TCP, UDP.
• Уровень 3: сетевой уровень, IP и маршрутизация.
• Уровень 2: Уровень канала передачи данных, MAC-адрес.
• Уровень 1: Физический уровень, оптоволоконные сигналы.

Как видно из рисунка выше, передача данных инициируется с седьмого уровня, передается слой за слоем и, наконец, возвращается на седьмой уровень.

Согласно сетевой модели OSI, существует три наиболее распространенных типа DDo: DDos уровня 3 (сетевой уровень), DDos уровня 4 (транспортный уровень) и DDos уровня 7 (уровень приложений).

• DDO уровня 3, атаки на основе IP. По мере прохождения IP-пакетов по сети их можно разбить на более мелкие фрагменты. Слияние и переустановка после прибытия в пункт назначения. Имеются лазейки в процессе реализации сегментной пересборки и отсутствие необходимых проверок. Явление перекрытия фрагментации и повторной сборки IP-пакетов используется для атаки на сервер, что приводит к сбою ядра сервера.
• Четвертый уровень DDos — это атака на основе TCP. Процесс атаки SYN Flood в протоколе TCP называется трехэтапным рукопожатием, а атака типа «отказ в обслуживании» SYN Flood реализуется посредством трехэтапного рукопожатия. При трехстороннем подтверждении TCP-соединения, если предположить, что пользователь внезапно выходит из строя или отключается после отправки сообщения SYN на сервер, сервер не может получить сообщение ACK клиента после отправки ответного сообщения SYN+ACK (третье подтверждение невозможно завершено), в этом случае сервер обычно повторяет попытку (снова отправляет SYN+ACK клиенту) и ждет некоторое время, прежде чем отбросить незавершенное соединение. Серверная часть будет потреблять много ресурсов для поддержания очень большого полусвязного списка.
• Седьмой уровень DDos — это атака, основанная на уровне приложений. DDos-атаки, основанные на уровне приложений, будут более сложными, и с ними будет труднее бороться. Этот тип атаки часто имитирует взаимодействие между пользователями и веб-приложениями, что затрудняет принятие решений.

WAF в основном справляется с DDos-атаками уровня 7. Он более эффективен, чем другие методы защиты, при борьбе с DDos-атаками уровня 7. WAF проведет подробный анализ HTTP-трафика, чтобы WAF мог моделировать обычные запросы доступа, а затем использовать эти модели для различения обычных запросов от запросов, инициированных злоумышленниками с помощью роботов или скриптов.

6. WAF-тестирование

Тестирование реализации WAF требует строгого процесса. Нам необходимо знать, какие реальные атаки WAF может эффективно предотвратить и какие реальные атаки он пропускает. В то же время нам также необходимо знать, какие действительные доступы также заблокированы.

При тестировании веб-приложений, развернутых с помощью WAF, лучше всего использовать среду тестирования WAF и выполнять тестирование согласно следующим шагам:

1. Проверьте производительность веб-приложений без развертывания WAF.
2. Посмотрите, может ли атака быть успешной с включенным WAF и конфигурацией по умолчанию.
3. Измените конфигурацию WAF и посмотрите, сможет ли он заблокировать описанную выше атаку.

Инструмент тестирования WAF должен не только иметь возможность инициировать различные атаки, но и генерировать легитимные запросы, чтобы можно было обнаружить, что WAF может обеспечивать плавное прохождение легитимных запросов, предотвращая при этом атаки.

7. Разница между WAF и традиционным межсетевым экраном

Традиционные межсетевые экраны в основном используются для защиты информации, передаваемой между серверами, а WAF в основном ориентированы на веб-приложения. Сетевые межсетевые экраны и WAF работают на разных уровнях сетевой модели OSI7. Они дополняют друг друга и часто могут использоваться вместе.

Сетевые брандмауэры работают на сетевом и транспортном уровнях. У них нет возможности понять содержимое HTTP-данных, в чем хорош WAF. Сетевые брандмауэры обычно могут только решать, открыт или закрыт порт сервера, используемый для ответа на HTTP-запросы, и не могут реализовать более продвинутую защиту, связанную с содержимым данных.

2. Облачный брандмауэр

Он представлен в виде программного обеспечения и благодаря программным алгоритмам удобен для многих веб-мастеров, а также персонала по эксплуатации и обслуживанию серверов. Обеспечьте единую границу Интернета, границу VPC интрасети, контроль граничного трафика хоста и защиту безопасности, включая предотвращение вторжений в режиме реального времени на основе аналитики, полный визуальный анализ трафика, интеллектуальный контроль доступа, анализ отслеживаемости журналов и другие возможности, защиту границ сети и линейку равной защиты. инструмент.

Сценарии применения

Усовершенствованный контроль доступа: мониторинг трафика, точный контроль доступа, предотвращение вторжений в режиме реального времени и другие функции поддерживают видимость всего сетевого трафика и видимость отношений доступа между предприятиями, комплексно защищая вашу сетевую безопасность.

Управление риском активов: активы включают в себя: открытый общедоступный IP-адрес, открытые порты, открытые приложения и облачные продукты; подробные сведения включают: общедоступный IP-адрес, экземпляры активов, приложения, порты, долю 7-дневного трафика, оценку рисков, протоколы (облачные продукты), здоровье. статус (облачные продукты), зона доступности (облачные продукты) и т. д.

Безопасный прокси-сервер пересылки. Трафик от шлюза NAT, подключенный к Интернету, сначала будет проходить через защищенный прокси-сервер облачного брандмауэра для реализации контроля доступа и защиты трафика из IP-адреса интрасети в Интернет.

Обнаружение и предотвращение вторжений IPS: поддерживает унифицированное управление и контроль групп безопасности, а также обеспечивает функции проверки конфигурации групп безопасности.

Обнаружение и блокировка активного внешнего подключения. Поддерживает обнаружение ресурсов в облаке на стороне сети активного внешнего подключения, помогая клиентам выявлять вредоносные запросы на внешнее подключение.

Визуализация трафика: поддерживает видимость общесетевого трафика и видимость отношений доступа между службами.

Аудит сетевых журналов: весь трафик, проходящий через облачный брандмауэр, будет записываться на странице аудита журналов, включая журналы трафика, журналы событий и журналы операций.

Подвести итог

WAF является одним из незаменимых базовых компонентов безопасности веб-приложений и может помочь нам предотвратить некоторые распространенные методы атак.

Все поставщики облачных услуг предоставляют WAF на основе облачных сервисов. Доступ и использование WAF можно выполнить за несколько кликов в фоновом режиме управления поставщика облачных услуг, что значительно снижает порог использования WAF.

Нам сложно иметь какие-либо основания для отказа от использования сервисов WAF при использовании этих облачных сервисов.