foto1
foto1
foto1
foto1
foto1

Saugumo testavimai

Botnetų stebėjimas

DDOS gynyba

WEB svetainių apsauga

Kibernetinio saugumo tyrimai

Svetainių apsauga

Published: Tuesday, 31 January 2017 02:55 | Written by Darius

Taikomųjų programų lygmens ugniasienė

            Taikomųjų programų lygmens ugniasienių sistema (angl. Web application firewall- WAF) skirta apsaugoti internetu teikiamoms  e-paslaugoms, jos įgyvendina apsaugą nuo galimų pažeidimų, išnaudojančių WEB paslaugas teikiančių portalų saugumo spragas. Be šios, internetu teikiamų e-paslaugų portalų, apsaugos, gali kilti grėsmė konfidencialumui (duomenų perėmimas), integralumui (manipuliacija WEB svetainės turiniu), pasiekiamumui. WAF sistema kontroliuoja užklausų, siunčiamų į e-paslaugų portalus, atitikimą standartams, nustatytiems reikalavimams

“Modsecurity” aplikacijų lygmens ugniasienė dirba šliuzo režimu (angl. Reverse-Proxy). Tokiu režimu dirbanti WAF užtikrina maksimalią apsaugą. WAF yra tarpinė sistema tarp vartotojų ir WEB svetainių -  vartotojų užklausos yra siunčiamos į WAF, o ne į realius WEB serverius, čia jos tikrinamos, ir jeigu tenkina WAF apibrėžtas taisykles - persiunčiamos į WEB paslaugas teikiančias sistemas ( taip vadinamos “backend” sistemos ).

 

Svetainių apsaugos sistemos veikimo principai

 

Prieš įdiegiant apsaugos sistemą

 

 

 

 

Įdiegus apsaugos sistemą

 


 

Ši ugniasienė perima bei analizuoja HTTP bei HTTPS protokolais perduodamus duomenis tarp galutinio vartotojo ir WEB paslaugas teikiančio serverio.

 

“Modsecurity” ugniasienė turi didelę įsilaužimo bei kitų WEB grėsmių aprašų bazę, kuri yra reguliariai atnaujinama. Tokia duomenų bazė padeda efektyviai kovoti su  jau žinomomis grėsmėmis ar bandymais įsilaužti, bei manipuliuoti duomenimis. Tai yra taip vadinamas “blacklist” apsaugos mechanizmas.

 

WAF turi grafinę vartotojo konsolę, skirtą įvykių apdorojimui.

Įdiegus sertifikatus bei privačius raktus WAF gali dešifruoti WEB svetainių SSL ir TLS duomenų srautus bei atlikti siunčiamos informacijos patikrą. 

 

WAF galimybes labai išplečia „lua“ programavimo kalbos palaikymas. Šis funkcionalumas padaro “Modsecurity” labai lanksčia aplikacijų ugniasiene, kuri gali patenkinti visus keliamus reikalavimus.

 

Kolekcijų ( angl. Collection ) palaikymas leidžia kurti saugumo politiką realizuojančius algoritmus, kai apdorojant vartotojo užklausą sąveikauja aibė saugumo taisyklių. Tai leidžia pvz.:

1.      Sekti vartotojo veiksmus ir “skaičiuoti” saugumo taisyklių ( kurių kiekviena galimai turi skirtingus svorius ), “pažeidimus” laiko intervale. Pasiekus tam tikrą ribą – gali būti blokuojamas IP adresas tam tikram laikui.

2.      Realizuoti prieigos kontrolę – jei svetaine gali naudotis tik registruoti vartotojai, dažnai prie svetainės resursų – tokių kaip paveikslėliai, JavaScript kodas ir pan. galima prieiti net ir neregistruotiems vartotojams – jei tik žinomi keliai ir bylų pavadinimai. Tam tikrais atvejais tai tretiesiems asmenims leidžia užvaldyti WEB svetainę. Realizavus priegos kontrolę ( angl. “Entry Control” ) – neautorizuoti asmenys negalės pamatyti net paveikslėlių.

3.    Apsauga nuo XSS – vykdomas vartotojo sesijos bei IP adreso bei naršyklės susiejimas. Pasikeitus IP adresui ar naršyklei IP adresas gali būti blokuojamas tam tikram, iš anksto nustatytam laikotarpiui.

WAF gali dirbti “blacklist” ( t.y. gamintojo ir kitos taisyklės, skirtos identifikuoti konkretų pažeidžiamumą ), “whitelist” ( čia išreikštiniu būdu iš anksto aprašoma, kas yra leidžiama ), bei kombinuotu “whitelist+blacklist” režimu. Apsaugos režimai saugumo didėjimo linkme: “blacklist”, “whitelist”, “whitelist+blacklist”.

WAF dirbant “whitelist” ar “whitelist+blacklist”galima apsisaugoti nuo „nulinės dienos grėsmių“ (angl. Zero day vulnerability), kurios dar nėra žinomos gamintojui ir nėra įtrauktos į atakų aprašus, nes bet koks nukrypimas nuo nustatyto elgsenos modelio traktuojamas kaip padidintos grėsmės įvykis.

 

 

Apsaugos sistemos diegimas

 

1.    Esamų saugumo sistemų ir tinklo topologijos analizė bei pertvarkymas;

2.    Galimas informacijos srauto įrašas – potencialių incidentų tyrimui;

3.    Sistemų diegimas (WAF ugniasienės, klasteriai, sinchronizacija, administracinė konsolė, srauto įrašymas, skaitmeniniai sertifikatai ir t.t.). Po diegimo visi srautai eina per web ugniasienes, bet jos dar nėra suderintos ir nesaugo svetainių;

4.    Sistemų pradinis derinimas, srautų kontrolė;

5.    Pasirengimas sistemos eksploatacijai.

 

Apsaugos sistemos priežiūra bei derinimas

 

1.      Sistemos programų įrangos priežiūra, sistemos darbo trikdžių šalinimas;

2.      Pastovus saugumo sistemos derinimas ( atliekamas informacijos srauto kontrolės taisyklių tobulinimas;

3.      Interneto svetainių naujo funkcionalumo apsaugos įgyvendinimas (eksploatuojant svetaines dažnai atsiranda nauji poreikiai / funkcijos, kurių sistemos paleidimo metu nebuvo);

4.      Apsaugos sistemoje registruotų įvykių / atakų stebėjimas, analizė bei reagavimas;

5.      Įtartinų atakų bei incidentų tyrimai iš rekonstruoto srauto įrašo;

      

Technologiniai sprendimai

 

Aplikacijų lygmens ugniasienė bus diegiama prieš WEB paslaugas teikiančius serverius. Duomenų srautas į WEB paslaugas teikiančius serverius bus nukreipiamas per aplikacijų lygmens ugniasienes. Vartotojai nieko nežinos apie realius WEB serverius, nes jie bus prieinami išskirtinai tik per WAF.

Dubliuota aplikacijų lygmens ugniasienės sprendimą sudaro dvi identiškos sistemos, kurios sujungti į aukšto patikimumo sistemą aktyvus/pasyvus rėžimu. Vienu metu yra aktyvus tik viena sistema, kuri apdoroja visą duomenų srautą, sutrikus jos darbui duomenų apdorojimą perima kita sistema automatiškai. Naudojant tokia aukšto patikimumo sistemą galima užtikrinti didelį teikiamų WEB paslaugų prieinamumą.

.

 Kuo skiriasi nuo kitų, rinkoje esančių pasiūlymų ?

 

  • Atliekama topologijos analizė. Tam, kad apsauga būtų veiksminga, tame pačiame serveryje negali būti apsaugotų ir neapsaugotų svetainių. Apsaugota svetainė negali būti pasiekiama iš neapsaugotos svetainės tinklo lygmenyje.
  • WAF-as suderinamas darbui “whitelist+blacklist” režimu, derinant apsaugos šabloną konkrečiai svetainei - tai pats saugiausias, bet ir imliausias darbo resursams režimas
  •  Vykdoma WAF priežiūra bei incidentų tyrimas
  • Apsaugą vykdo profesionalai
  • Kompetencija
  • Kaina

 

 

Kur naudojama

Mūsų WAF sprendimai LIetuvoje panaudoti:

  • Finansinių įstaigų apsaugai
  • Valstybinių įstaigų apsaugai
  • Privataus sektoriaus apsaugai