Ochrona aplikacji udostępnianych w internecie – Web Application Firewall

Wszyscy zauważamy utrzymujący się trend, który możemy nazwać „webifikacją” - większość aplikacji i usług w internecie jest dostępna przez przeglądarkę. Nieważne, czy mówimy tu o dużych aplikacjach typu ERP, CRM, zdalnej bankowości, dedykowanych systemach sprzedaży, sklepach internetowych, czy o towarzyszących nam na co dzień usługach (e-mail, gry online, serwery społecznościowe, wirtualny dysk) - przykłady można by mnożyć w nieskończoność. Wszystkie mają interfejs webowy, łatwo dostępny na wszystkich typach terminali, włącznie z urządzeniami mobilnymi dowolnego typu lub SmartTV. Nie dziwi w tej sytuacji gwałtownie wzrastająca ilość zagrożeń i incydentów w tej dziedzinie bezpieczeństwa sieciowego. Pamiętać też trzeba, iż każda aplikacja to często miliony linii kodu. Szukanie tu potencjalnych luk i ich poprawianie to zadanie zaiste trudne i kosztowne, a często niemożliwe. Klasyczne rozwiązania bezpieczeństwa typu UTM, NGFW, czy nawet IPS, świetnie sprawdzające się w chronieniu użytkowników przed zagrożeniami z internetu, są bezradne nawet w przypadku prostych ataków aplikacyjnych. Do skutecznego działania potrzebujemy urządzenia działającego w warstwie 7 modelu OSI zwanej aplikacyjną, innymi słowy: rozumiejącego protokół HTTP oraz strukturę i specyfikę naszej aplikacji – Web Application Firewall (WAF).

Podstawą zarządzania ryzykiem w tej dziedzinie bezpieczeństwa sieciowego jest zwykle lista Top 10 organizacji OWASP (www.owasp.org). Pamiętać jednak należy, iż nasza aplikacja, szczególnie jeśli jest dostępna publicznie w internecie, narażona jest na o wiele więcej incydentów: wystarczy wymienić tu ataki DDoS, wyciek informacji poufnych (np. nazwisk i numerów PESEL, adresów oraz numerów kont i kart kredytowych) czy uszczerbek na wizerunku organizacji tylko poprzez podmianę treści strony. Trudno tu wskazać też obszary, które byłyby bezpieczne. W atakach typu Watering Hole (nazwa pochodzi od drapieżnika czającego się na ofiary przy wodopoju) nawet najbardziej niewinny serwis hobbistyczny może być potencjalnie atrakcyjny jako źródło malware – tylko po to, by dotrzeć do określonej grupy użytkowników, która mu ufa. WAF FortiWeb potrafi kompleksowo zabezpieczyć naszą usługę. Do najważniejszych funkcji bezpieczeństwa realizowanych przez to rozwiązanie należą między innymi:

  • ochrona sygnaturowa – nieustannie aktualizowana przez zespół ekspertów FortiGuard, chroniąca przed atakami Cross Site Scripting, SQL Injection, exploitami, trojanami i innymi typami ataków,

  • kontrola dostępu w warstwie 7 – możliwość tworzenia reguł w oparciu o adresy, ścieżki i inne parametry w URL, nagłówki, metody HTTP czy geolokalizację adresu IP, możliwe jest wymuszenie określonej logicznej kolejności otwierania naszej strony i wyeliminowanie ataków Brute Force,

  • kontrola danych wprowadzanych przez użytkownika (pod względem konstrukcji, długości i znaków specjalnych), skanowanie AV i kontrola typów plików wysyłanych do naszego serwisu,

  • serwis reputacyjny oparty o IP - pozwalający bardzo szybko i skutecznie wyeliminować niechciany ruch w kategoriach Botnet, Anonymous Proxy, Phishing czy Spam, również oparty o inteligencję FortiGuard,

  • wymuszenie poprawności protokołu HTTP – wymuszenie legalności i długości poszczególnych pól w pakietach HTTP, ilości parametrów czy cookie – eliminującej wiele typów nieznanych ataków,

  • Anti-Defacement – nadzór nad treścią strony WWW, w przypadku nieuprawnionej podmiany automatyczne przywrócenie właściwej wersji,

  • DLP – zabezpieczenie przed wyciekiem informacji – w oparciu o wbudowane, jak i własne wzorce,

  • ochrona przed atakami DoS – zarówno na poziomie sieci (SYN flood i inne TCP), jak i na poziomie aplikacji (HTTP flood, ilość połączeń czy transakcji HTTP od jednego klienta), odróżnianie prawdziwych przeglądarek od automatycznych narzędzi służących do generowania ataków.

Ochrona aplikacji udostępnianych w internecie – Web Application Firewall
Usługa FortiGuard IP Reputation Service dla platform FortiWeb zbiera dane z różnych lokalizacji, porównuje je i dostarcza aktualną informację o źródłach zagrożeń, źródło: Fortinet

Wielu administratorów ma nieuzasadnione przekonanie o trudności we wdrażaniu i utrzymywaniu rozwiązania WAF. FortiWeb ma przejrzysty interfejs, konfigurację poszczególnych wymienionych wyżej funkcji bezpieczeństwa w oparciu o profile (podobnie zresztą jak w urządzeniach Next Generation Firewall FortiGate). Cała infrastruktura Fortinet może ponadto współdzielić środowisko do zarządzania, logowania i raportowania. Dzięki narzędziu Auto-Learning polityka bezpieczeństwa może być zbudowana automatycznie - wdrożenie w negatywnym modelu (eliminacja zagrożeń przy pozwoleniu na inny ruch) zajmuje kilkanaście minut. Z punktu widzenia sieciowego (obsługa zarówno sieci IPv4, jaki i IPv6) mamy do wyboru kilka scenariuszy konfiguracji – w linii lub tylko w nasłuchu, transparentnie lub jako Reverse Proxy. Ta ostatnia architektura, najbardziej zaawansowana, może też niejako przy okazji pomóc w rozwiązaniu innych problemów. Wbudowane balansowanie obciążenia na wiele serwerów pozwala na zwiększenie wydajności i niezawodności aplikacji, mamy możliwość odciążenia serwerów z zasobożernej obsługi SSL czy kompresji HTTP, jak również przekazanie funkcji autentykacji użytkowników w oparciu o wiele różnych źródeł. Mamy także możliwość zaawansowanego kierowania ruchem do odpowiednich serwerów w zależności od żądanej treści (np. filmy czy obrazy). Bardzo łatwa jest podmiana proxy Forefront TMG - którego wsparcia zaprzestał Microsoft - na urządzenie FortiWeb, w podobny sposób możemy udostępniać aplikacje OWA, SharePoint i podobne z mechanizmami SSO.

Warto pamiętać, że Web Application Firewall jest dla działu IT praktycznie jedyną możliwością wymuszenia bezpieczeństwa aplikacji w wielu obszarach bez ingerencji w jej kod (i spełnienia, o ile jest wymagane dla organizacji wymagania 6.6 PCI DSS). W całym procesie składającym się z konfiguracji polityki, monitorowania jej skuteczności i tuningu niezmiernie przydatnym narzędziem jest wbudowany skaner podatności – dostępny bez dodatkowych kosztów. FortiWeb występuje w kilku wersjach sprzętowych, różniących się wydajnością, dostosowanych do potrzeb każdej organizacji. Możliwa jest też implementacja w postaci maszyny wirtualnej.

Źródło: Fortinet