آشنایی با صفر تا صد waf | نحوه دفاع waf ها

بنابراین برای هر کسب و کار و سازمانی ایمن سازی وب سایت برای افزایش بهره وری و محافظت از اطلاعات و داده های حساس امری اجتناب ناپذیر است.

به عبارت دیگر، محافظت در برابر حملات امنیتی مخربی که به سمت وب اپلیکیشن ( وبسایت یا اپلیکیشن ) شما هجوم می آورند، امری ضروری و حیاتی است. خوشبختانه waf ها برای کمک به شما در این امر ساخته شده اند.

به طور خلاصه، یک waf شبیه به یک سپر جنگی بین وب اپلیکیشن و اینترنت عمل می کند که در نبودش خسارات جبران ناپذیری ممکن می شود.

Waf ها می توانند از شما و کاربران وب سایتتان در مقابل حملات جعلی گوناگون مثل حملات XSS ، حملات SQL injection و بسیاری دیگر محافظت کنند.

از آنجا که یکی از اصلی ترین و رایج ترین دلایل از کار افتادگی ها و از دسترس خارج شدن های سرویس های وب، حملات در این سطح ( سطح وب اپلیکیشن ) هستند، روز به روز به اهمیت برقراری امنیت در این سطح افزوده می شود.

Waf چیست؟

یک waf ( web application firewall ) یک نوع بخصوصی از فایروال است که  از وب اپلیکیشن شما در برابر حملات مخرب اپلیکیشن-محور محافظت می کند.

Waf ها حین رصد و فیلتر کردن ترافیک http که قصد نفوذ به سرور شما را دارند، مانند گارد یا محافظی بین اینترنت و وب سایت شما قرار می گیرند.

یک waf این عمل را با تصدیق سیاست هایی انجام می دهد که مشخص می کنند چه ترافیکی مخرب است و کدام نیست.

شبیه به نحوه عملکرد یک سرور پروکسی که به عنوان یک میانجی برای محافظت از هویت کاربران عمل می کند، یک  waf نیز همینطور عمل می کند، اما برعکس. یعنی یک پروکسی معکوس است که از سرور وب سایت در برابر کاربران تخریب گر احتمالی محافظت می کند.

Waf ها از یک سری قانون یا سیاست استفاده می کنند تا تشخیص دهند که چه کسی مهمان شماست و چه کسی قصد آسیب رسانی به شما را دارد.

اما چه کسانی به WAF نیاز دارند؟

آیا کسب و کار شما هم دارای یک سایت یا اپلیکیشن است؟ اگر پاسخ شما مثبت است، پس باید به فکر استفاده از WAF باشید. حتی سایت های کوچک نیز می توانند به عنوان هدف مجرمین سایبری قرار گیرند؛ به خصوص به این دلیل که اکثر صاحبین کسب و کارهای کوچک مسائل امنیتی را نادیده می گیرند.

تقریباً 70 درصد سایت ها از HTTPS استفاده می کنند، یعنی اولین قدم مهمی که برای ایمن سازی دیتاهای جمع آوری شده توسط وبسایت صورت می گیرد. اما متاسفانه، HTTPS پایین ترین تجهیزات امنیتی به حساب آمده و برای دقاع در مقابل مهاجمینی که قصد نفوذ به دیتابیس و سرقت اطلاعات حساس سایت شما را دارند، کافی نیست.

از آنجا که WAF از یک سری سیاست برای فیلتر سازی و بلاک کردن ترافیک ناخواسته وب سایت به منظور محافظت در برابر هر گونه هک استفاده می کند، می تواند به شما در نقاطی که HTTPS قادر به محافظت از شما نیست، به کمکتان آید. جالب است بدانید که WAF می تواند به افزایش سرعت سایت و بهبود عملکرد آن از طریق مکانیزم های کشینگ نیز کمک کند.

با وجود اینکه برای هر سازمانی داشتن یک سیستم WAF به نظر عاقلانه می آید، این سرویس ها بیشتر از همه به WAF نیازمند هستند:

• وب سایت های فروشگاهی یا Ecommerce ها
• سرویس های آنلاین مالی
• سایت های جذب لید
• سرویس های آنلاین درمانی
• و هر سازمانی که ملزم به رعایت استاندارد هایی مثل PCI یا HIPAA باشد.

Waf و فایروال های شبکه ای

نباید waf را به فایروال استاندارد شبکه خود اشتباه بگیرید؛ آنها عملاً فیلتر کننده بسته هایی هستند که بر اساس یک سری معیار از پیش تعریف شده، به داده های ورودی دسترسی پیدا می کنند؛ مثل آدرس های IP، نوع بسته، شماره پورت و غیره.

فایروال های شبکه ای در کار خود عالی بوده و جای خاص خود را دارند. تنها مشکل اینجاست که آنها HTTP را نمی فهمند و در نتیجه نمی توانند حملات خاصی که مسائل امنیتی سطح وب اپلیکیشن رخ می دهد را شناسایی کنند.

اینجاست که WAF به عنوان یک مکمل وارد شده و به تحکیم امنیت وب شما در نقاطی که فایروال به شما کمکی نمی کند، یاری خواهد رساند.

در این راستا بهتر است با لایه های امنیتی بیشتر آشنا باشید. پس بگذارید با مدل OSI شروع کنیم.

مدل OSI

برای درک بهتر لایه های امنیتی بهتر است مطلب جامعی که در مورد انواع لایه های شبکه ای تهیه شده را مطالعه کنید؛ اما در اینجا به طور مختصر توضیحی ارائه خواهد شد.

مدل OSI چارچوبی است که معماری کلی یک شبکه را به هفت بخش مختلف تقسیم می کند.

هر لایه ترفندها و مکانیزم های امنیتی خاص خود را دارد، و هر شخصی که نگران مسائل امنیتی وب اپلیکیشن خود است، می بایست نحوه شناسایی و پیاده سازی روش های امنیتی مختلف بر روی هر سطح را به خوبی بداند.

هفت سطح شبکه اشاره شده عبارتند از:

با تحلیل لایه های فوق، فایروال معمولی شبکه شما به ایمن سازی سطوح 3 و 4 کمک می کند؛ در حالی که WAF از لایه 7 محافظت می کند.

علاوه بر این، آشنایی با معماری تصویر فوق به شما این نکته را یادآور می شود که WAF راه حلی برای ایمن سازی تمام سطوح نیست. آنها در کنار سایر سیستم های امنیتی بخصوص فایروال های شبکه ای، بهترین نتیجه را رقم خواهند زد.

تفاوت WAF های شبکه محور، هاست محور و ابر محور

WAF ها به یکی از این سه روش مورد استفاده قرار می گیرند؛ شبکه محور، هاست محور و ابر محور.

هر کدام از این روش ها مزایا و معایب خود را دارد؛ پس بگذارید هر کدام را بیشتر باز کنیم:

• شبکه محور یا Network-based: waf های شبکه محور اغلب به صورت سخت افزاری هستند. آنها به صورت لوکال نصب شده و تأخیر را به حداقل می رسانند؛ با این حال، آنها گزینه ای گران قیمت بوده و به فضا و تجهیزات نگهداری نیز نیازمند اند.
• هاست محور یا Host-based: در رابطه با هزینه، این مورد از شبکه محور ارزان تر است. بعلاوه این روش گزینه های شخصی سازی بیشتری به شما می دهد. اما از نقاط ضعف آنها می توان به مصرف منابع سرور لوکال، داشتن هزینه های نگهداری و دشواری در راه اندازی، اشاره کرد.
• ابری محور یا Cloud-based: این روش کاملاً مقرون به صرفه است. راه اندازی آسان تنها با تغییری کوچک در DNS و ریدایرکت کردن ترافیک. علاوه بر این WAF های ابری هزینه های جانبی کمتری داشته و گزینه های پرداختی متنوعی نیز دارند؛ این WAF ها مرتباً بروزرسانی شده تا در برابر هر گونه تهدید جدیدی بدون داشتن هیچ کار و هزینه ای سمت کاربر محاقظت کنند.

احتمالا تنها ایرادی که می توان به این روش گرفت این است که باید سمت یک ارائه دهنده شخص ثالث تهیه گردد، که باید به خدمات ارائه دهنده خود اعتماد داشته باشید. اما شاید برای بسیاری از افراد این یک مزیت به شمار آید، چراکه این نوع از WAF کاملا در محیط ابری قرار گرفته و توسط ارائه دهنده مدیریت می شود.

این امر به ساده سازی فرآیندها و نگهداشت چنین سرویسی برای سازمان ها و کسب و کارهای مختلف کمک شایانی می کند.

حال که با چیستی و انواع WAF آشنا شدید، بگذارید با نحوه محافظت آنها از وب سایت یا اپلیکیشن با ارزش شما صحبت کنیم.

نحوه دفاع WAF ها از وب اپلیکیشن ها

طبق گزارشی از Positive technologies در سال 2019، به طور متوسط هکرها می توانند از بین 10 اپلیکیشن به 9 مورد از آنها حمله کنند. بعلاوه این گزارش نشان داد که در 68% از وب اپلیکیشن ها اطلاعات حساس کاربران در تهدید بودند.

آمارهایی شبیه به این کاملاً روشن کننده این مهم هستند که کسب و کارها می بایست به دنبال روشی موثر برای محافظت از وب اپلیکیشن های خود باشند.

همانطور که در بالا اشاره شد، waf ها  با تحلیل ترافیک http در حال عبور، از سرور شما محافظت می کنند. در نتیجه، هر چیزی که مخرب به نظر آید را شناسایی و مسدود می کند؛ حتی قبل از اینکه به وب اپلیکیشن شما نزدیک شود.

Waf ها می توانند فیزیکی و یا مجازی باشند، اما آیا می دانید که آنها چطور ترافیک مخرب را شناسایی، فیلتر و مسدود می کنند؟

مدل های امنیتی waf ها: لیست مسدودی ها، لیست مجازها یا هر دو

Waf ها معمولاً دو مدل امنیتی blocklist ( لیست مسدودی ها ) و یا allowlist ( لیست مجازها ) یا هر دو را دنبال می کنند.

در صورت استفاده از مدل blocklist، اساساً شما می توانید لیستی از آدرس های IP ای را که نمی خواهید، در اختیار waf قرار دهید تا آنها را بلاک کند.

به عبارت دیگر، مدل Blacklist یا Blocklist، از وب اپلیکیشن ها در مقابل حملات رایج و امضاهای خاص، محافظت می کند. تنها مشکل این مدل این است که تمام لیست های قبلی به مرور زمان منقضی شده و توانایی جلوگیری از حملات zero-day یا روز-صفر را نخواهد داشت؛ اما با آپدیت مکرر این موضوع نیز قابل حل است.

اما مدل allowlist دقیقاً برعکس عمل می کند، یعنی شما لیستی از IP address هایی ایجاد می کند که waf ورود و خروج آنها را مجاز بداند، اما بقیه بلاک می شوند.

در مدل whitelist یا allowlist نیز از امضاها استفاده می شود با این تفاوت که به آن منطق تصمیم گیری اضافه شده و به ترافیکی که با یک معیار خاص هم خوانی داشته باشد، اجازه عبور می دهد.

این یعنی درخواست ها ممکن است از برخی url های خاص مجاز شناخته شده و از سایرین غیر مجاز. تنها نقطه ضعف این مدل این است که با هر بار اضافه کردن ویژگی جدید به اپلیکیشن، می بایست لیست را آپدیت کرد.

هر دو مدل مزایا و معایب خود را دارند، به همین دلیل waf های جدیدتر از مدل امنیت هیبریدی پشتیبانی می کنند که به شما امکان استفاده از هر دو مدل بالا را می دهد.

همانطور که گفته شد waf ها برای ایمن سازی لایه اپلیکیشن طراحی شده اند، که مثل یک دربان دو طرفه عمل می کنند. آنها ترافیک http و https ورودی و خروجی از اپلیکیشن را آنالیز کرده و پس از شناسایی ترافیک آسیب رسان، یک اقدام از پیش تعریف شده را اعمال می کند.

مزیت waf ها این است که آنها به طور مستقل از خودِ اپلیکیشن عمل می کنند؛ اما می توانند با هر تغییری در سمت اپلیکیشن، خود را با آن وفق دهند. بنابراین، معرفی یک ویژگی جدید در اپلیکیشن یا سایت، تأثیری بر هزاران false positive که به معنای تایید اشتباه ترافیک مخرب است، نخواهد گذاشت.

تحلیل درخواست ها و اعمال فیلتر

Waf ها از قوانین و سیاست هایی که توسط شما تعیین می شوند برای آنالیز ترافیک و درخواست ها استفاده می کنند. سپس به کمک آنها مشخص می کند که آیا ترافیک یا درخواست سالم است و یا آن را وارد جریان ترافیک مخرب کند. سیاست ها در واقع چارچوبی هستند برای تشخیص و تصمیم گیری آگاهانه تر waf ها. پس این قوانین در سطحی بالاتر از یک قانون فایروال معمولی عمل می کنند.

Waf ها هنگام تحلیل ترافیک از لایه های مختلف فیلتر استفاده می کنند که حملات روز-صفر، حملات سمت کلاینت، حملات بات ها ( مثل DDoS ) فایل های ویروسی مخفی، و تهدیدات وب اپلیکیشن را به صورت خودکار چک می کنند.

بسیاری از WAF های پیشرفته قادرند تا ترافیک HTTPS ، XML ، JSON و سایر فرمت های انتقال داده ها را کدگشایی و تحلیل کنند. این کار به متوقف سازی حملاتی که قصد دور زدن فایروال ها را دارند، کمک می کند.

حملاتی که توسط waf دفع می شوند

مسلماً، هر نوع حمله ای توسط waf متوقف نمی شود، اما، آنها به شما در مدیریت حجم وسیعی از حملات کمک شایانی می کنند. برخی از این حملات عبارتند از:

• SQL injection: این یک کد تخریب گر است که در یک فیلد ورودی وب تزریق می شود. این عمل به مهاجمین این اجازه را می دهد تا اپلیکیشن و همچنین سیستم های متصل به آن را از کار بیاندازد.
• Cross-site Scripting (XSS) : مهاجم در این حمله اسکرپت های سمت کلاینت را در صفحات وبی که سایر کاربران مشاهده می کنند، تزریق می کند.
• Web scraping: این روش برای دریافت و خروجی گرفتن از داده های یک وب سایت استفاده می شود.
• Unvalidated Input: درخواست های http توسط مهاجم دستکاری شده و از مکانیزم های امنیتی یک سایت عبور می کنند.
• Cookie Poisoning: زمانی که یک کوکی برای دریافت اطلاعات غیرمجازی در مورد کاربر به منظور رسیدن به اهداف مخرب ویرایش می شود، یک حمله Cookie poisoning رخ می دهد؛ مثل سرقت اطلاعات هویتی.
• حملات DoS در لایه هفتم: حملات سیل گونه ی http که از درخواست های سالم و معتبر در قالب داده های url معمولی استفاده می کند.

پیشرفت های مسائل امنیتی روز به روز ارتقا یافته و آپدیت می شوند، پس به این نکته توجه داشته باشید که waf های مناسب می توانند به شما در مقابله با حملات بسیاری حتی بیش از موارد اشاره شده در بالا، کمک کنند.

دفاع در برابر the OWASP Top 10

در کنار عملکرد WAF بر مبنای یکی از سه مدلی که در بالا اشاره شد، آنها به طور خودکار یک سری قوانین یا سیاست خاص در خود دارند.

این سیاست ها، منطق قانون-محور ، تجزیه کردن و امضا ها را با هم ترکیب کرده و به شما در شناسایی و مقابله با بسیاری از حملات وب اپلیکیشن ها کمک می کنند.

به طور خاص، WAF ها برای دفاع در برابر یک لیست 10 تایی از ریسک های امنیتی سطح وب اپلیکیشن ( 10 ریسک برتر ) که توسط OWASP هر سال لیست و آپدیت می شود، ابزاری ایده آل شناخته می شوند.

این 10 مورد شامل حملاتی مثل درخواست های جعلی سمت سرور ( SSRF)، تزریق یا Injection، و Security Logging می شوند.

یکی از محافظان دیگری که به احتمال زیاد نام آن را خواهید شنید، Virtual Patch نام دارد. یک VP اصولاً قانونی است که می تواند به شما در حل مشکلی در نرم افزارتان بدون تغییر در کد کمک کند.

اکثر WAF ها از قابلیت پچ های مجازی برای تعمیر هسته وردپرس، افزونه ها یا مشکلات قالب ها در صورت نیاز پشتیبانی می کنند.

مزایای waf

حال که با چیستی و انواع waf ها و نحوه عملکرد آنها آشنا شدیم، وقت آن است که به مزایایی که از پیاده سازی waf ها بدست خواهیم آورد، اشاره کنیم.  Waf یک سرمایه گذاری بلند مدت بسیار عالی برای وب سایت و اپلیکیشن شما خواهد بود، به دلایلی از جمله:

• جلوگیری از حملات: دفع حملاتی از جمله SQL injection، XSS و حملات DDoS.
• جلوگیری از لو رفتن اطلاعات مشتریان: حفظ محرمانگی و حراست از داده های کاربران
• انطباق با مقرراتی مثل HIPAA و PCI
• آزاد سازی منابع تیم با خودکار سازی تست های امنیتی و مانیتورینگ ترافیک

راه اندازی WAF

WAF ها را تنها به چند روش می توان پیاده سازی کرد؛ انتخاب یک روش به محل قرارگیری وب اپلیکیشن های شما، سرویس های مورد نظر، نحوه مدیریت آنها و سطوح انعطاف پذیری لازم بستگی دارد.

• پروکسی معکوس: WAF یک نوع پروکسی به سرور اپلیکیشن است، پس ترافیک دستگاه مستقیماً به سمت WAF هدایت می شود.
• پروکسی معکوس شفاف (Transparent Reverse Proxy): این دقیقاً پروکسی معکوس است که در حالت شفاف قرار دارد؛ به همین دلیل WAF به طور مجزا ترافیک فیلتر شده را به سمت وب اپلیکیشن می فرستد، که با پنهان سازی آدرس سرور اپلیکیشن شما، امکان IP masking را فراهم می کند.
• پل شفاف ( Transparent Bridge ): اینجا جایی است که ترافیک http مستقیماً به سمت وب اپلیکیشن هدایت می شود؛ نتیجه این است که waf بین دستگاه و سرور transparent یا ناپدید می ماند.

یک waf را می توان روی یک سرور اختصاصی فیزیکی مستقر کرد. بهتر است این راهکار را در کنار سایر سیستم های امنیتی استفاده کرد چراکه این راهکار با تمامی قطعات شبکه ای کاملاً سازگار بوده و به صورت یکپارچه با آنها عمل می کند.

راهکار میزبان کلود

در صورتی که برای برقراری امنیت و استحکام بخشی به لایه های امنیتی سایت یا اپلیکیشن خود به سیستم های waf نیاز دارید، می توانید از  قابلیت های راهکار WAF ابری میزبان کلود بهره مند شوید. این راهکار کار شما را راحت کرده و به شما این امکان را می دهد تا تنها با یک کلیک این سیستم امنیتی را بر روی سرویس خود فعال کنید.

برای استفاده از WAF ابری میزبان کلود کافیست در سایت ثبت نام کرده و پس از اتصال دامنه خود به CDN ابری میزبان کلود، علاوه بر بهره مندی از قابلیت های درجه یک CDN ابری، از تمامی ابزارهای امنیتی نظیر WAF، فایروال، Rate limiting و غیره نیز برای ایمن سازی سطوح مختلف سایت خود در برابر انواع حملات استفاده کنید.

در صورت نیاز به کسب اطلاعات بیشتر پیشنهاد می کنیم به صفحه امنیت ابری میزبان کلود مراجعه کرده و ویژگی ها و مزایای سیستم waf ابری میزبان کلود را مطالعه فرمایید؛ و یا در صورت داشتن هر گونه سوال یا ابهامی با کارشناسان ما تماس بگیرید.

همچنین اگر نیازمند سرور مجازی ابری بودید، می توانید از پلان تست یک روزه رایگان سرور ابری میزبان کلود استفاده کنید.

جمع بندی

در سالیان اخیر امنیت سرویس های وب به امری حیاتی تبدیل شده است. در این راستا و با افزایش توانایی های هکرها روزانه نگرانی های امنیتی صاحبین کسب و کارهای آنلاین بیشتر شده و به دنبال کشف راهکاری برای محافظت از سرویس های آنلاین خود هستند. یکی از این راهکارهای بی نظیر waf نام داشته که می تواند از انواع حملات در لایه وب اپلیکیشن محافظت کند. در این مطلب به چیستی، نحوه عملکرد و روش های پیاده سازی waf ها اشاره کردیم. امیدواریم این پست برای شما مفید واقع شده باشد.