HomeTag: WAF

Tag: WAF

13
sie

Web Application Firewalls – WAF

By Marek Golan Comments are Off

Coraz częściej ataki przeprowadzane są na aplikacje webowe i mobilne. Hakerzy korzystając z błędów wynikających z zaniedbań twórców projektów informatycznych szukają słabości aplikacji, które pozwalają na kradzież danych i mogą doprowadzić do ich usunięcia. Stąd wprowadzono zabezpieczenie, które powszechnie nazywa się Web Apllication Firewall – WAF

1. Czym jest WAF

WAF jest ochroną w warstwie aplikacji, która przyjmuje około 70% wszystkich ataków w sieci. Zapobiega między innymi atakom typu: SQL Injection, XXE, XSS, CSRF. Jest zbiorem algorytmów wykrywających naruszenie bezpieczeństwa aplikacji na serwerach. Zapewnia ochronę w czasie rzeczywistym monitorując ruch HTTP. Zazwyczaj jest to system w pełni automatyczny i nie wymaga żadnych dodatkowych działań ze strony użytkownika. Ochrania strony WWW i zabezpiecza nieautoryzowany dostęp do danych. Technologicznie korzysta ze zdefiniowanych wcześniej reguł, które interpretuje niechciane zachowanie podczas prób ataków. Najnowsze rozwiązania z tej dziedziny korzystają ze sztucznej inteligencji w celu przewidywania niezdefiniowanych typów ataków. Testowaniem skuteczność takich rozwiązań zajmują się niezależne ośrodki na przykład NSS Labs. Według ostatnich opracowań skuteczność ochrony WAF sięga około 95%. WAF oferowany jest przez hostingodawców, którzy odpowiedzialni są za bezpieczeństwo domen. Ochronę znajdziemy również w chmurach typu AWS, czy Google. Często oferta łączona jest z ochrona anty DDOS. Ataki DDOS mają na celu zapchanie łącza do danej domeny, co jest równoważne z brakiem dostępu do strony WWW.

Wyróżniamy dwa typy Web Application Firewall: tak zwany box oraz WAF w chmurze. Oba typu są w stanie obsłużyć wiele transakcji na sekundę i zawierają w swoich bazach wiele tysięcy zasad, które są rozumiane jako algorytmy zabezpieczające przed potencjalnym atakiem. Rozwiązanie typu box polega na zastosowaniu ochrony na poziomie sprzętowym. Z uwagi na wysokie koszty szacowane na kilkadziesiąt tysięcy dolarów amerykańskich rocznie, stosowane są przez duże firmy mogące pozwolić sobie na tak wysokie wydatki. Typowym użytkowaniem box-owych rozwiązań są banki. Nie korzystają one z ochrony oferowanej przez hostingodawców, tylko inwestują w swoją infrastrukturę. Drugim typem WAF jest ochrona za pomocą usług oferowanych w chmurze. Można wykupić abonamentowy dostęp do ochrony i są to koszty rzędu maksymalnie kilkuset złotych miesięcznie. Adres IP jest w tym przypadku przepinany pod serwer monitorujący i zapewniający ochronę.

2. Elementy systemu

WAF są oferowane przez wiele firm na świecie. Można również spotkać w sieci rozwiązania typu open source. Są one jednak polecane bardziej do zapoznania się z tego typu ochroną niż do komercyjnego zastosowania. Ta różnorodność powoduje, że nie ma ujednoliconej architektury WAF, ale można przyjąć, że system taki jest wyposażony w elementy przedstawione na grafice poniżej


W idealnym świecie typowo cloudowy WAF powinien składać się z następujących komponentów:

  • Client service – Jest realizacją żądań wpływających do aplikacji po stronie użytkownika, czyli klienta korzystającego z serwisu WWW.
  • WAF Core – Silnik WAF odpowiedzialny za całą analizę żądań wpływających od klienta. To tutaj zaimplementowane są wszystkie algorytmy wykrywające zagrożenia.
  • WAF API – Interfejs umożliwiające korzystanie z WAF Core
  • Push Service – W przypadku kiedy istnieje potrzeba bezpośredniego powiadomienia o próbach ataku system informuje administratora za pomocą notyfikacji w systemie
  • 2FA – Podwójna autoryzacja (2FA) polega na tym, że notyfikacja wysyłana jest na dwa urządzenia. Podwyższa to zdecydowanie bezpieczeństwo działania systemu, aczkolwiek zwiększa jego czas reakcji.
  • Support Panel – Panel wsparcia i obsługi klienta opowiedziany za przyjmowanie zgłoszeń
  • WAF Management – Panel administracyjny do zarządzania systemem komunikujący się z WAF Core poprzez WAF API
  • Report Panel – Panel, w którym klient może generować raporty i zgłoszenia z systemu takie jak: ilość prób ataku, ataki zablokowane, rejestry systemu
  • Client Panel – Panel do biznesowego zarządzania WAF-ami po stronie klienta. Informacje o płatnościach, usługach, poziomach zabezpieczeń
  • WWW – Strona internetowa webowej aplikacji do zarządzania WAF-ami

Zaprezentowany schemat systemu powstał w oparciu o analizę komercyjnych rozwiązań dostępnych na rynku i jest opisem prezentującym jak powinno wyglądać idealne rozwiązanie. W tym miejscu należy dodać, że jest to bardzo dynamicznie rozwijający się segment rynku, który powstaje w odpowiedzi na coraz bardzie zaawansowane metody ataków na aplikacje internetowe.

We use cookies

Our website uses cookies to improve your experience. To find out more about the cookies we use please see our privacy policy.

Simple privacy policy

You can change our and our partners cookie settings below. Our use of analytics cookies requires your consent

  • Analytics

    Analytical cookies are used to understand how users interact with the site website. These cookies help provide information about visitor count metrics, rejection rate, source of traffic, etc. The primary purpose of analytics is to improve the functionality of a site or application.

    accept

  • Necessary cookies

    These cookies are used to provide you with a more personalized experience on our website and to remember choices you make when you use our website. For example, we may use functionality cookies to remember your language preferences or remember your login details.

    required
Designed by