Статьи

Особенности применения Web Application Firewall

19.08.2013

/

В настоящее время большинство коммерческих организаций имеет свою Web-страницу в глобальной сети интернет. Цели наличия данной страницы у каждой организации различные: от простой информационной до продвижения и продажи собственных товаров и услуг, либо реализации других направлений бизнеса. В зависимости от масштабов организации и других факторов, Web-страницы могут располагаться на выделенных или виртуальных серверах в дата-центрах, либо на специализированном сервере в организации (Web-сервер), предназначенном для размещения Web-страниц. При размещении Web-страницы в дата-центре, все обязанности по обеспечению ее доступности и безопасности возлагаются на организацию-владельца дата-центра. По-другому стоит вопрос при выборе варианта расположения Web-страницы на собственном Web-сервере организации. Основной проблемой в данном случае является организация связи пользователей с Web-сервером, а так же безопасное взаимодействие данного сервера с серверами баз данных корпоративной сети. Внутри корпоративной сети данный Web-сервер не должен располагаться по причине того, что при получении несанкционированного доступа к его ресурсам злоумышленник получит вполне реальную возможность доступа к ресурсам всей корпоративной сети организации. Поэтому для такого сервера нередко организуют среду, называемую демилитаризованной зоной. Данная среда регламентирует связь Web-сервера с серверами корпоративной сети по четко заданным адресам, протоколам и портам, и, в тоже время, позволяет обращаться пользователям из сети интернет на этот Web-сервер без каких-либо проблем и ограничений.

Рисунок 1 – Построение DMZ

Несмотря на все возможные принятые меры по межсетевому экранированию, большинство Web-ресурсов, содержащихся на Web-сервере, остаются уязвимыми к таким атакам как:

  • XSS;
  • SQL-инъекция;
  • перехват сессии;
  • подделка/отравление Cookie;
  • дистанционное исполнение файлов;
  • утечка данных;
  • шифрование атак;
  • force browsing;
  • directory traversal;
  • Site Reconnaissance;
  • Brute Force Login;
  • XML – атаки;
  • переполнения буфера;
  • отказ в обслуживании;
  • атаки нулевого дня;
  • и другим.

Данные атаки реализуются в обход политик межсетевых экранов путем использования уязвимостей в языках написания приложений или ошибок в конструкции Web-ресурсов.

В данном случае, для организации безопасности Web-сервера на уровне представления сетевой модели OSI, необходимо использовать так называемые WAF или Web Application Firewall. Архитектура WAF, в общих случаях, включает в себя компоненты, представленные на рисунке 2

Рисунок 2 – Архитектура WAF

Компоненты WAF реализуют различные функции для обеспечения безопасности Web - ресурсов:

  • «укрытие» (Web Site Cloaking) сайта за счет обнаружения ошибок в коде и конструкций, которые могут оказать помощь злоумышленнику при планировании атак на web-сервер;
  • предотвращение потери данных путём проверки всего исходящего трафика на предмет утечки важной информации, заданной оператором, например: номеров банковских карт, паспортных данных, паролей, логинов и др. (модуль DLP);
  • XML-фаерволл увеличивает безопасность основанных на XML Web-приложений и сервисов, обеспечивая защиту Web-сервера от заражения схем и WSDL, а так же других видов атак, основанных на XML;
  • контроль скорости и защита от DoS-атак, позволяющих администратору устанавливать ограничения доступа клиента в течение определенных промежутков времени, предотвращать DoS-атаки или атаки «грубой силы»;
  • возможность интеграции со сканером уязвимостей, например Snort;
  • сканирование файлов, загружаемых Web-приложениями, на наличие вирусов и вредоносного ПО.

Существенную роль для функционирования WAF играют правильно настроенные политики фильтров, применяемых для работы с траффиком и контентом.

На ряду с данными настройками немаловажным является балансировка нагрузок на Web-сервер и их снижение посредством кэширования WEB-содержимого, что приводит к минимизации числа запросов к серверу. Автоматическое сжимание клиентского трафика осуществляется в целях снижения загрузки полосы пропускания клиентского браузера.

Одной из наиболее интересных функций WAF является функция привязки и блокирования Geo IP всех вредоносных адресов (например, при обнаружении активности сети ботнет).

Существует несколько вариантов внедрения WAF в корпоративную сетевую инфраструктуру:

  • Обратный прокси-сервер - предоставляет дополнительные возможности, такие как перезаписи URL и передовые возможности маршрутизации;
  • Встроенные Прозрачный - Layer Two-мост, который не требует модификации на сетевом уровне;
  • True Transparent Proxy;
  • Оффлайн Sniffing.

Рисунок 3 – Схема функционирования WAF как прозрачного прокси-сервера

Помимо дорогостоящих программных и аппаратно-программных WAF, которые требуют высокой квалификации персонала, существует ряд облачных сервисов и программных продуктов с открытым кодом, которые используются как альтернатива, например ModSecurity для Apache.

При внедрении WAF и проектировании сетевой инфраструктуры необходимо понимать, что защита Web-сервера - это комплексное решение, и даже правильно поставленный и детально настроенный WAF с применением всех необходимых шаблонов и политик, а также наличием и обновлением актуальных сигнатур, не решит полностью всего спектра проблем информационной безопасности. Огромную роль при эксплуатации WAF играет понимание требуемого от него функционала, а также функций и характеристик защищаемого Web-сервера. В целом, для успешного внедрения WAF в информационную структуру организации, необходимо иметь четкое представление о стандартах и протоколах функционирования сети интернет, архитектуре и языках написания web-приложений и баз данных. Постоянная защита Web-сервера организации посредством WAF может быть обеспечена только путем непрерывности процесса мониторинга и анализа всевозможных запросов, направленных к Web-ресурсам организации из сети интернет.