Tag: WAF

13
Sie

Web Application Firewalls – WAF

Coraz częściej ataki przeprowadzane są na aplikacje webowe i mobilne. Hakerzy korzystając z błędów wynikających z zaniedbań twórców projektów informatycznych szukają słabości aplikacji, które pozwalają na kradzież danych i mogą doprowadzić do ich usunięcia. Stąd wprowadzono zabezpieczenie, które powszechnie nazywa się Web Apllication Firewall – WAF

1. Czym jest WAF

WAF jest ochroną w warstwie aplikacji, która przyjmuje około 70% wszystkich ataków w sieci. Zapobiega między innymi atakom typu: SQL Injection, XXE, XSS, CSRF. Jest zbiorem algorytmów wykrywających naruszenie bezpieczeństwa aplikacji na serwerach. Zapewnia ochronę w czasie rzeczywistym monitorując ruch HTTP. Zazwyczaj jest to system w pełni automatyczny i nie wymaga żadnych dodatkowych działań ze strony użytkownika. Ochrania strony WWW i zabezpiecza nieautoryzowany dostęp do danych. Technologicznie korzysta ze zdefiniowanych wcześniej reguł, które interpretuje niechciane zachowanie podczas prób ataków. Najnowsze rozwiązania z tej dziedziny korzystają ze sztucznej inteligencji w celu przewidywania niezdefiniowanych typów ataków. Testowaniem skuteczność takich rozwiązań zajmują się niezależne ośrodki na przykład NSS Labs. Według ostatnich opracowań skuteczność ochrony WAF sięga około 95%. WAF oferowany jest przez hostingodawców, którzy odpowiedzialni są za bezpieczeństwo domen. Ochronę znajdziemy również w chmurach typu AWS, czy Google. Często oferta łączona jest z ochrona anty DDOS. Ataki DDOS mają na celu zapchanie łącza do danej domeny, co jest równoważne z brakiem dostępu do strony WWW.

Wyróżniamy dwa typy Web Application Firewall: tak zwany box oraz WAF w chmurze. Oba typu są w stanie obsłużyć wiele transakcji na sekundę i zawierają w swoich bazach wiele tysięcy zasad, które są rozumiane jako algorytmy zabezpieczające przed potencjalnym atakiem. Rozwiązanie typu box polega na zastosowaniu ochrony na poziomie sprzętowym. Z uwagi na wysokie koszty szacowane na kilkadziesiąt tysięcy dolarów amerykańskich rocznie, stosowane są przez duże firmy mogące pozwolić sobie na tak wysokie wydatki. Typowym użytkowaniem box-owych rozwiązań są banki. Nie korzystają one z ochrony oferowanej przez hostingodawców, tylko inwestują w swoją infrastrukturę. Drugim typem WAF jest ochrona za pomocą usług oferowanych w chmurze. Można wykupić abonamentowy dostęp do ochrony i są to koszty rzędu maksymalnie kilkuset złotych miesięcznie. Adres IP jest w tym przypadku przepinany pod serwer monitorujący i zapewniający ochronę.

2. Elementy systemu

WAF są oferowane przez wiele firm na świecie. Można również spotkać w sieci rozwiązania typu open source. Są one jednak polecane bardziej do zapoznania się z tego typu ochroną niż do komercyjnego zastosowania. Ta różnorodność powoduje, że nie ma ujednoliconej architektury WAF, ale można przyjąć, że system taki jest wyposażony w elementy przedstawione na grafice poniżej


W idealnym świecie typowo cloudowy WAF powinien składać się z następujących komponentów:

  • Client service – Jest realizacją żądań wpływających do aplikacji po stronie użytkownika, czyli klienta korzystającego z serwisu WWW.
  • WAF Core – Silnik WAF odpowiedzialny za całą analizę żądań wpływających od klienta. To tutaj zaimplementowane są wszystkie algorytmy wykrywające zagrożenia.
  • WAF API – Interfejs umożliwiające korzystanie z WAF Core
  • Push Service – W przypadku kiedy istnieje potrzeba bezpośredniego powiadomienia o próbach ataku system informuje administratora za pomocą notyfikacji w systemie
  • 2FA – Podwójna autoryzacja (2FA) polega na tym, że notyfikacja wysyłana jest na dwa urządzenia. Podwyższa to zdecydowanie bezpieczeństwo działania systemu, aczkolwiek zwiększa jego czas reakcji.
  • Support Panel – Panel wsparcia i obsługi klienta opowiedziany za przyjmowanie zgłoszeń
  • WAF Management – Panel administracyjny do zarządzania systemem komunikujący się z WAF Core poprzez WAF API
  • Report Panel – Panel, w którym klient może generować raporty i zgłoszenia z systemu takie jak: ilość prób ataku, ataki zablokowane, rejestry systemu
  • Client Panel – Panel do biznesowego zarządzania WAF-ami po stronie klienta. Informacje o płatnościach, usługach, poziomach zabezpieczeń
  • WWW – Strona internetowa webowej aplikacji do zarządzania WAF-ami

Zaprezentowany schemat systemu powstał w oparciu o analizę komercyjnych rozwiązań dostępnych na rynku i jest opisem prezentującym jak powinno wyglądać idealne rozwiązanie. W tym miejscu należy dodać, że jest to bardzo dynamicznie rozwijający się segment rynku, który powstaje w odpowiedzi na coraz bardzie zaawansowane metody ataków na aplikacje internetowe.