Web Application Firewall
ในปัจจุบันการโจมตีของแฮกเกอร์กว่า 70 % มุ่งไปที่การโจมตีช่องโหว่ด้านความปลอดภัยข้อมูลในระดับโปรแกรมประยุกต์ ( Application Level Attack ) ซึ่งในปัจจุบันโปรแกรมเมอร์ หรือ Software Developer ไม่ค่อยได้ให้ความสำคัญกับเรื่องความปลอดภัยข้อมูลมากนัก หรือ อาจจะยังขาดความรู้ด้าน “Application Security” ทำให้เกิดเป็นช่องโหว่ที่สำคัญยิ่งกว่าช่องโหว่ของโปรแกรมประยุกต์เองเสียอีก โปรแกรมประยุกต์ หรือ Application ส่วนใหญ่ในปัจจุบันล้วนพัฒนาเป็น “Web Application” ซึ่งปกติจะทำงานผ่านทาง Internet Browser เช่น Internet Explorer, Firefox, Chrome, Safari โดย Web Server นิยมใช้ Microsoft IIS หรือ Apache และ ภาษาที่นิยมใช้ได้แก่ ASP.NET, JSP และ PHP การเข้าถึง Web Application ผ่านทางพอร์ต TCP 80 (http) และ พอร์ต TCP 443 (https) โดย Firewallไม่สามารถป้องกันการโจมตี Web Application ผ่านทางพอร์ตทั้งสองได้เลย เพราะ Firewall ส่วนใหญ่ไม่เข้าใจ Attack Pattern ในระดับ Application Layer และ พอร์ตทั้งสองเป็นพอร์ตที่จำเป็นต้องเปิดใช้งานอยู่แล้ว โดยการโจมตีของแฮกเกอร์นิยมใช้ช่องโหว่ทั้ง 10 ประเภทของ Web Application จาก Open Web Application Security Project (www.owasp.org) หรือ อาจหาข้อมูลจาก Web Hacking Incident Database ของ Web Application Security Consortium ( www.webappsec.org ) มาใช้ในการโจมตี Web Application
สำหรับช่องโหว่ที่แฮกเกอร์นิยมใช้ในการเจาะระบบมากที่สุดตามรายงานจาก OWASP คือ Cross Site Scripting หรือ XSS Attack และ Injection Flaw หรือ SQL Injection ที่เรารู้จักกันดี
นอกจากนี้แฮกเกอร์ยังนิยมใช้เทคนิค ” Google Hacking ” ในการโจมตีเป้าหมายอีกด้วย ดูข้อมูลเพิ่มเติมได้ที่ Google Hacking Database ( http://johnny.ihackstuff.com/ghdb.php )
Web Application Firewall ( WAF )
เพื่อป้องกันการโจมตีของแฮกเกอร์ในกรณีที่เราไม่สามารถแก้ไขช่องโหว่ของ Web Application ได้อย่างทันท่วงที และเรายังไม่มีการฝึกอบรมให้โปรแกรมเมอร์เข้าใจในเรื่องการเขียนโปรแกรมให้ปลอดภัย (How to write a secured code) จึงได้มีการพัฒนา Web Application Firewall หรือ WAF ขึ้นมา
WAF เป็นอาจจะเป็นได้ทั้ง software ที่เอามาลงไว้ใน server หรือเป็นพวกอุปกรณ์ appliance ที่หน้าตาคล้าย Firewall แต่ระบบภายในจะทำหน้าทีจับพวก HTTP Traffic ต่างๆเช่นพวกข้อมูลที่เป็น web services ที่วิ่งผ่าน port 80 กับ port 443 ส่วนข้อมูลที่อื่นๆมันก็จะไม่สนใจและปล่อยผ่านไป แต่ความเก่งกาจของมันนั้นก็คือการที่มันถูกออกแบบมาเฉพาะเจาะจงในการป้องกันการโจมตีที่เกิดขึ้นกับ Web Application นั่นเอง ซึ่งลำดับการทำงานของระบบจะเป็นวงจรดังภาพ
ประเมินระบบ : ระบบ WAF จะทำการ crawling หรือเข้าไปอ่าน web app ของเราทุกหน้า ตามที่เราได้ระบุ server ไว้ให้และจดจำไว้รวมทั้งเก็บข้อมูลพฤติกรรมการใช้งานของ user ทุกคน แล้วก็เก็บเอาไว้ทำ white-list เพื่อใช้ในการเปรียบเทียบแยกกันระหว่างการโจมตีกับการใช้งานธรรมดา และ หลังจากนั้นมันก็จะทำการประเมินความเสี่ยงของระบบ web app ของเรา ซึ่งในช่วงของการประเมินนี้ มักจะ config ระบบ WAF ให้ทำการ monitor traffic อย่างเดียวหรือยังไม่มีการ block traffic ใดๆทั้งสิ้น
ทำ Policy : หลังจากที่ระบบทำการประเมินมาระยะหนึ่งแล้วก็มาถึงการทำ Policy ระบบส่วนใหญ่จะทำ Policy แบบ auto มาให้เราระดับหนึ่งแล้วแต่จะต้องระวังให้ดีเพราะว่าหลังจากทำ Policy เสร็จเราจะเปิด active mode เพื่อให้ Firewall ทำการ block traffic ที่เป็นการโจมตีกันแล้ว ถ้าหากไม่ระวังให้ดี อาจจะ block คำสั่งการใช้งานปกติได้ซึ่งจะทำให้เกิดความยุ่งยากในภายหลัง
Monitor ระบบ: ทำ policy เสร็จแล้วก็จะถึงเวลาที่เรามาจัดกลุ่ม users ที่จะเข้ามาใช้งานระบบ WAF ที่ต้องจัดกลุ่มก็เพราะว่าระบบ WAF หนึ่งระบบก็จะสามารถป้องกันระบบ web app ในองค์กรตั้งแต่หนึ่งระบบ จนถึงหลายร้อยระบบคราวนี้ทีมที่จะเข้ามาเกี่ยวข้องก็อาจจะมีหลายทีมครับ เราก็จัด group user ให้เหมาะสม แล้วก็จัดการเปิด active mode ให้มัน block traffic การโจมตีต่างๆ ระหว่างนี้เราอาจจะต้องดูแลใกล้ชิด เผื่อมีอะไรผิดพลาด หลังจากนั้นเราก็ลอง monitor ระบบเพื่อดูรายละเอียดการทำงานต่างๆ
วัดผล & ทำรายงาน : หลังจากที่เปิดให้ WAF ทำงานกันเต็มที่แล้วเราก็จะได้เห็นรายงานในเชิงลึกของการทำงานในด้านการ block traffic ที่เป็นการโจมตีหรือพวกพฤติกรรมการใช้งานของ user แปลกๆ เช่นมี user คนหนึ่งพยายาม log-in หน้าแรกแล้วกระโดดไปหน้าทำรายการดึงข้อมูลใน database แบบนี้ก็ผิดปกติจากที่ระบบเคยเก็บพฤติกรรมเป็น white-list ไว้ และสุดท้ายก็เป็นการปรับแต่งรายงานให้ได้ข้อมูลตามที่เราต้องการ ส่วนใหญ่ระบบหลายๆยี่ห้อก็จะมี template มาไว้ให้รวมทั้งพวก Compliance ต่างๆเช่น HIPPA, PCI, และอื่นๆ
มาตรฐานที่ถูกนำมาใช้ใน Web Application Firewall
1. Top 10 OWASP Vulnerabilities โดย Open Web Application Security Project (OWASP)
เป็นการสรุปวิธีการโจมตี Web Application ทั้งหมด 10 วิธีที่ถูกแฮกเกอร์นิยมนำมาใช้ โดย OWASP หรือ Open Web Application Security Project ซึ่งเป็นกลุ่มที่ตั้งขึ้นมา จุดประสงค์เพื่อทำให้การป้องกัน web application ได้ทำสรุปขึ้นมา โดย 10 วิธีดังกล่าวได้แก่
A1 - Cross Site Scripting (XSS)
A2 - Injection Flaws
A3 - Malicious File Execution
A4 - Insecure Direct Object Reference
A5 - Cross Site Request Forgery (CSRF)
A6 - Information Leakage and Improper Error Handling
A7 - Broken Authentication and Session Management
A8 - Insecure Cryptographic Storage
A9 - Insecure Communications
A10 - Failure to Restrict URL Access
2. PCI DSS 1.2 Section 6.6 โดย Payment Card Industry Security Standards Council (PCI SSC)
มาตรฐาน PCI DSS ย่อมาจาก “Payment Card Industry Data Security Standard” เป็นมาตรฐานความปลอดภัยสารสนเทศที่แพร่หลายทั่วโลก รวบรวมโดยคณะกรรมการ Payment Card Industry Security Standards Council (PCI SSC) มาตรฐานนี้ถูกกำหนดขึ้นเพื่อช่วยให้องค์กรต่างๆ ที่มีการรับชำระเงินด้วยบัตรเครดิต สามารถป้องกันการฉ้อโกงบัตรเครดิต โดยการควบคุมข้อมูลและช่องโหว่ต่างๆ ให้เข้มงวดมากยิ่งขึ้น และได้นำไปใช้กับทุกองค์กรที่เก็บรักษา ประมวลผล หรือรับส่งข้อมูลของผู้ถือบัตรเครดิต ไม่ว่าจะเป็นบัตรของค่ายใดก็ตาม
โดยใน Section 6 จะพูดถึงเรื่องการพัฒนาและการดูแลความปลอดภัยของระบบและความปลอดภัยของ Application
3. Web Application Firewall Evaluation Criteria โดย (Web Application Security Consortium)
โดยกลุ่ม Web Application Security Consortium ได้กำหนดหัวข้อและรายละเอียดในการเลือกใช้ Web Application Firewall โดยมีทั้งหมด 9 หัวข้อ ดังนี้
Section 1 - Deployment Architecture
Section 2 - HTTP and HTML Support
Section 3 - Detection Techniques
Section 4 - Protection Techniques
Section 5 - Logging
Section 6 - Reporting
Section 7 - Management
Section 8 - Performance
Section 9 – XML
Web Application Firewall Product
ปัจจุบันมี Web Application Firewall อยู่มากมายทั้งแบบ Open Source และแบบ Commercial เช่น
Open Source Tools
· AQTronix – WebKnight
· Breach – ModSecurity
Commercial Tools
· art of defence - hyperguard
· Breach - WebDefend
· Deny All - rWeb
· Fortify Software - Defender
· Imperva - SecureSphere™
· Applicure - DotDefender
· Armorlogic - Profense
· Barracuda Networks - Application Firewall
· Bee-Ware - iSentry
· BinarySec - Application Firewall
· BugSec - WebSniper
· Cisco - ACE Web Application Firewall
· Citrix - Application Firewall
· eEye Digital Security - SecureIIS
· F5 - Application Security Manager
· Forum Systems - Xwall, Sentry
· mWEbscurity - webApp.secure
· Phion / Visonys - Airlock
· Protegrity -
· Xtradyne - Application Firewalls
ไม่มีความคิดเห็น:
แสดงความคิดเห็น