Taikomųjų programų lygmens ugniasienių sistema (angl. Web application firewall- WAF) skirta apsaugoti internetu teikiamoms e-paslaugoms, jos įgyvendina apsaugą nuo galimų pažeidimų, išnaudojančių WEB paslaugas teikiančių portalų saugumo spragas. Be šios, internetu teikiamų e-paslaugų portalų, apsaugos, gali kilti grėsmė konfidencialumui (duomenų perėmimas), integralumui (manipuliacija WEB svetainės turiniu), pasiekiamumui. WAF sistema kontroliuoja užklausų, siunčiamų į e-paslaugų portalus, atitikimą standartams, nustatytiems reikalavimams
“Modsecurity” aplikacijų lygmens ugniasienė dirba šliuzo režimu (angl. Reverse-Proxy). Tokiu režimu dirbanti WAF užtikrina maksimalią apsaugą. WAF yra tarpinė sistema tarp vartotojų ir WEB svetainių - vartotojų užklausos yra siunčiamos į WAF, o ne į realius WEB serverius, čia jos tikrinamos, ir jeigu tenkina WAF apibrėžtas taisykles - persiunčiamos į WEB paslaugas teikiančias sistemas ( taip vadinamos “backend” sistemos ).
Prieš įdiegiant apsaugos sistemą
Įdiegus apsaugos sistemą
Ši ugniasienė perima bei analizuoja HTTP bei HTTPS protokolais perduodamus duomenis tarp galutinio vartotojo ir WEB paslaugas teikiančio serverio.
“Modsecurity” ugniasienė turi didelę įsilaužimo bei kitų WEB grėsmių aprašų bazę, kuri yra reguliariai atnaujinama. Tokia duomenų bazė padeda efektyviai kovoti su jau žinomomis grėsmėmis ar bandymais įsilaužti, bei manipuliuoti duomenimis. Tai yra taip vadinamas “blacklist” apsaugos mechanizmas.
WAF turi grafinę vartotojo konsolę, skirtą įvykių apdorojimui.
Įdiegus sertifikatus bei privačius raktus WAF gali dešifruoti WEB svetainių SSL ir TLS duomenų srautus bei atlikti siunčiamos informacijos patikrą.
WAF galimybes labai išplečia „lua“ programavimo kalbos palaikymas. Šis funkcionalumas padaro “Modsecurity” labai lanksčia aplikacijų ugniasiene, kuri gali patenkinti visus keliamus reikalavimus.
Kolekcijų ( angl. Collection ) palaikymas leidžia kurti saugumo politiką realizuojančius algoritmus, kai apdorojant vartotojo užklausą sąveikauja aibė saugumo taisyklių. Tai leidžia pvz.:
1. Sekti vartotojo veiksmus ir “skaičiuoti” saugumo taisyklių ( kurių kiekviena galimai turi skirtingus svorius ), “pažeidimus” laiko intervale. Pasiekus tam tikrą ribą – gali būti blokuojamas IP adresas tam tikram laikui.
2. Realizuoti prieigos kontrolę – jei svetaine gali naudotis tik registruoti vartotojai, dažnai prie svetainės resursų – tokių kaip paveikslėliai, JavaScript kodas ir pan. galima prieiti net ir neregistruotiems vartotojams – jei tik žinomi keliai ir bylų pavadinimai. Tam tikrais atvejais tai tretiesiems asmenims leidžia užvaldyti WEB svetainę. Realizavus priegos kontrolę ( angl. “Entry Control” ) – neautorizuoti asmenys negalės pamatyti net paveikslėlių.
3. Apsauga nuo XSS – vykdomas vartotojo sesijos bei IP adreso bei naršyklės susiejimas. Pasikeitus IP adresui ar naršyklei IP adresas gali būti blokuojamas tam tikram, iš anksto nustatytam laikotarpiui.
WAF gali dirbti “blacklist” ( t.y. gamintojo ir kitos taisyklės, skirtos identifikuoti konkretų pažeidžiamumą ), “whitelist” ( čia išreikštiniu būdu iš anksto aprašoma, kas yra leidžiama ), bei kombinuotu “whitelist+blacklist” režimu. Apsaugos režimai saugumo didėjimo linkme: “blacklist”, “whitelist”, “whitelist+blacklist”.
WAF dirbant “whitelist” ar “whitelist+blacklist”galima apsisaugoti nuo „nulinės dienos grėsmių“ (angl. Zero day vulnerability), kurios dar nėra žinomos gamintojui ir nėra įtrauktos į atakų aprašus, nes bet koks nukrypimas nuo nustatyto elgsenos modelio traktuojamas kaip padidintos grėsmės įvykis.
1. Esamų saugumo sistemų ir tinklo topologijos analizė bei pertvarkymas;
2. Galimas informacijos srauto įrašas – potencialių incidentų tyrimui;
3. Sistemų diegimas (WAF ugniasienės, klasteriai, sinchronizacija, administracinė konsolė, srauto įrašymas, skaitmeniniai sertifikatai ir t.t.). Po diegimo visi srautai eina per web ugniasienes, bet jos dar nėra suderintos ir nesaugo svetainių;
4. Sistemų pradinis derinimas, srautų kontrolė;
5. Pasirengimas sistemos eksploatacijai.
1. Sistemos programų įrangos priežiūra, sistemos darbo trikdžių šalinimas;
2. Pastovus saugumo sistemos derinimas ( atliekamas informacijos srauto kontrolės taisyklių tobulinimas;
3. Interneto svetainių naujo funkcionalumo apsaugos įgyvendinimas (eksploatuojant svetaines dažnai atsiranda nauji poreikiai / funkcijos, kurių sistemos paleidimo metu nebuvo);
4. Apsaugos sistemoje registruotų įvykių / atakų stebėjimas, analizė bei reagavimas;
5. Įtartinų atakų bei incidentų tyrimai iš rekonstruoto srauto įrašo;
Aplikacijų lygmens ugniasienė bus diegiama prieš WEB paslaugas teikiančius serverius. Duomenų srautas į WEB paslaugas teikiančius serverius bus nukreipiamas per aplikacijų lygmens ugniasienes. Vartotojai nieko nežinos apie realius WEB serverius, nes jie bus prieinami išskirtinai tik per WAF.
Dubliuota aplikacijų lygmens ugniasienės sprendimą sudaro dvi identiškos sistemos, kurios sujungti į aukšto patikimumo sistemą aktyvus/pasyvus rėžimu. Vienu metu yra aktyvus tik viena sistema, kuri apdoroja visą duomenų srautą, sutrikus jos darbui duomenų apdorojimą perima kita sistema automatiškai. Naudojant tokia aukšto patikimumo sistemą galima užtikrinti didelį teikiamų WEB paslaugų prieinamumą.
.
Mūsų WAF sprendimai LIetuvoje panaudoti:
Saugumo testavimai
Botnetų stebėjimas
DDOS gynyba
WEB svetainių apsauga
Kibernetinio saugumo tyrimai