WAF - vatrozid za web aplikacije

Tradicionalni mrežni vatrozidi ne mogu adekvatno štiti web aplikacije i bilo kakve druge aplikacije od napada koji prijete s Interneta. Kako bi se moglo ustvrditi da je računalna mreža adekvatno zaštićena od različitih napada na web aplikacije (poput XSS napada, CSRF napada, umetanja SQL koda i XML zapisa), potrebno je uz mrežne vatrozide implementirati i vatrozide za web aplikacije (WAF). Također, potrebno je i provesti reviziju koda web aplikacija u potrazi za sigurnosnim propustima te izvršiti procjenu sigurnosti vlastitih web aplikacija. Zbog toga što je najisplativiji (donosi najviše koristi s obzirom na uložene resurse), od ova tri pobrojana rješenja, najčešće se koristi vatrozid za web aplikacije. WAF vatrozidi provode efikasnu zaštitu web aplikacija od napada na aplikacijskoj razini tako da detaljno nadgledaju i analiziraju promet na aplikacijskom sloju OSI modela (dok „tradicionalni“ vatrozidi nemaju tu sposobnost). U dokumentu je opisan princip rada WAF vatrozida, navedene su najpopularnije komercijalne i besplatne implementacije te je ukratko opisan ModSecurity, primjer kvalitetnog i besplatno rješenja.

 

 

WAF vatrozide karakteriziraju četiri osnovne funkcionalnosti:

  • princip rada temeljen na sigurnosnoj politici i pravilima,
  • sposobnost učenja odnosno upoznavanja karakteristika aplikacija koje štite,
  • mogućnost mrežne ili ugrađene implementacije
  • detaljno bilježenje mrežnog prometa u dnevnicima rada.

Postoji čitav niz dostupnih implementacija vatrozida za web aplikacije, kako komercijalnih tako i besplatnih. Među njima se ističe ModSecurity kao besplatno i vrlo popularno, jednostavno za implementaciju i konfigurirabilno, a opet vrlo djelotvorno rješenje. Svakodnevno se pojavljuju novi napadi i sigurnosne prijetnje te njihov razvitak mora biti popraćen odgovarajućim razvojem vatrozida za web aplikacije. To se i događa u obliku vatrozida za web aplikacije iduće generacije koji donose inovacije i nove funkcionalnosti koje današnji vatrozidi ili ne posjeduju ili slabo implementiraju, a usmjerene su prema uspostavi još više razine sigurnosti web aplikacija.

Vatrozid za web aplikacije posrednički je uređaj, smješten između web klijenta i web poslužitelja, koji analizira poruke aplikacijskog sloja OSI modela u potrazi za sadržajem koji krši uspostavljenu sigurnosnu politiku. Koristi se kao sigurnosni uređaj koji štiti web poslužitelj odnosno web aplikaciju od zlonamjernih napada. Takvi vatrozidi uspješno spriječavaju napade koje mrežni vatrozidi i sustavi za detekciju uljeza ne mogu spriječiti. Njihova ugradnja ne zahtijeva izmjenu koda aplikacije koju štiti. Vatrozidi za web aplikacije mogu biti implementirani u obliku programske podrške ili sklopovlja. Sklopovska implementacija ostvaruje se u obliku posebnog mrežnog uređaja koji obavlja funkciju vatrozida ili u obliku posebne komponente u sklopu drugih mrežnih uređaja. Implementacija u obliku programske podrške podrazumijeva instalaciju u sklopu operacijskog sustava poslužitelja čije web aplikacije štiti od napada ili na računalu „ispred“ web poslužitelja sa štićenom aplikacijom.

Aplikacijski vatrozid je oblik vatrozida koji kontrolira ulazni i izlazni mrežni promet određene aplikacije ili usluge. Radi na principu nadgledanja i potencijalnog blokiranja ulaznog ili izlaznog prometa te sistemskih poziva uslugama koji nisu suglasni s konfiguriranom sigurnosnom politikom vatrozida. Obično se koriste kako bi nadzirali jednu ili više specifičnih usluga ili aplikacija poput web usluga ili usluga baze podataka (za razliku od tradicionalnih vatrozida s pamćenjem stanja koji pružaju kontrolu pristupa za skoro svaki oblik mrežnog prometa). Dijele se u dvije kategorije, a to su mrežno temeljeni aplikacijski vatrozidi te računalno temeljeni aplikacijski vatrozidi.

Cilj uspostave aplikacijske mrežne sigurnosti je adekvatna zaštita mreže od različitih napada na web aplikacije poput XSS napada, CSRF napada, umetanja SQL koda i XML zapisa, cjelobrojnog prepisivanja ili napada korištenjem znakova za formatiranje. U tu svrhu potrebno je uz mrežne vatrozide implementirati i vatrozide za web aplikacije, zatim provesti reviziju koda web aplikacija u potrazi za sigurnosnim propustima te obaviti procjenu sigurnosti vlastitih web aplikacija. Najčešće se od navedenih rješenja koristi vatrozid za web aplikacije jer donosi najviše beneficija s obzirom na uloženo. Naravno, radi postizanje još bolje sigurnosti sustava, preporuča se koristiti sva tri ili barem dva od tri navedena rješenja. WAF vatrozidi provode efikasnu zaštitu web aplikacija od napada na aplikacijskoj razini zahvaljujući tome što detaljno nadgledaju i analiziraju promet na aplikacijskom sloju OSI modela (dok tradicionalni vatrozidi nemaju tu sposobnost).  Svakodnevno se pojavljuju novi napadi i sigurnosne prijetnje te njihov razvitak mora biti popraćen odgovarajućim razvojem vatrozida za web aplikacije. To se i događa u obliku vatrozida za web aplikacije iduće generacije koji donose inovacije i nove funkcionalnosti koje današnji vatrozidi ili ne posjeduju ili slabo implementiraju, a usmjerene su dodatnom povećavanju sigurnosti web aplikacija.

Cijeli dokument (u PDF formatu) "WAF - vatrozid za web aplikacije" preuzmite ovdje.

© Laboratorij za sustave i signale - Copyright 2008 - 2013. www.LSS.hr