Πολλοί είναι οι κατασκευαστές που έχουν στραφεί στην επιπλέον ασφάλεια που απαιτεί η φιλοξενία webserver στο δίκτυο. Αυτή η ασφάλεια καλύπτεται από τα Web Application Firewalls (WAF).

Οι αυξανόμενες απειλές από τη χρήση του internet και των web εφαρμογών στα εταιρικά δίκτυα, έχουν οδηγήσει τα τελευταία χρόνια σε μεγάλες τεχνολογικές εξελίξεις στο χώρο της ασφάλειας. Ένας πολύ δημοφιλής μηχανισμός προστασίας, είναι το Intruision Prevention Service (IPS). Πλέον περιλαμβάνεται σαν υπηρεσία στην πλειονότητα των UTM Firewalls, αλλά και σαν ξεχωριστή υπηρεσία / συσκευή.

Το IPS τοποθετείται μεταξύ του δικτύου και του internet και ελέγχει την κίνηση και τη ροή πακέτων. Αντλώντας πληροφορίες από μία βάση δεδομένων με γνωστές υπογραφές, εξετάζει τα πακέτα και εντοπίζει κακόβουλες κινήσεις και οτιδήποτε μπορεί να θεωρήσει ότι ξεφεύγει από τα πλαίσια του ‘normal’ traffic. Δε μένει μόνο στον εντοπισμό κακόβουλων κινήσεων, αλλά περνάει και στο στάδιο της αντιμετώπισης, καθώς διαθέτει μηχανισμούς για προστασία και αποτροπή κακόβουλων ενεργειών. Είναι όμως αρκετό? Πέρα από το προφανές ότι «κανένας μηχανισμός ασφάλειας δεν είναι αρκετός»,  η απάντηση έχει να κάνει και με τη δομή του δικτύου και το τι θα πρέπει να προστατευθεί.

Τα τελευταία χρόνια η χρήση των web εφαρμογών γίνεται ολοένα και πιο αναγκαία. Ένα πολύ μεγάλο ποσοστό εταιρειών χρειάζεται να φιλοξενεί web servers εντός του εσωτερικού δικτύου. Ταυτόχρονα με την αύξηση χρήσης των web εφαρμογών, παρατηρείται και έξαρση δικτυακών επιθέσεων με στόχο αυτές τις εφαρμογές. Στατιστικά να αναφέρουμε, ότι το 60% των επιθέσεων μέσω internet, έχει ως στόχο web applications. Συνδυαστικά με αυτό, το ποσοστό web application vulnerabilities που καταγράφονται σε custom-built εφαρμογές, ανέρχεται στο 80% των συνολικών vulnerabilities στην παγκόσμια λίστα.

Βασιζόμενοι στα παραπάνω λοιπόν, πολλοί κατασκευαστές έχουν στραφεί στην επιπλέον ασφάλεια που απαιτεί η φιλοξενία web server στο δίκτυο. Αυτή η ασφάλεια καλύπτεται από τα Web Application Firewalls (WAF). Η λογική και η χρήση τους είναι πολύ κοντά στον μηχανισμό του IPS.

Τι είναι τα WAF

Το WAF είναι σχεδιασμένο αποκλειστικά για την προστασία web εφαρμογών. Τοποθετείται μπροστά από τους web servers στο δίκτυο – συνήθως ως reverse proxy –  και ελέγχει αποκλειστικά τη ροή πακέτων από και προς αυτούς. Αυτό έχει σαν αποτέλεσμα να ελέγχει στοχευμένα το traffic, και άρα να είναι περισσότερο αποτελεσματικό συγκριτικά με τον γενικό μηχανισμό του IPS.

Το μεγάλο πλεονέκτημα στη λειτουργία του WAF είναι η ικανότητά του να ελέγχει και να αναλύει τη ροή πληροφοριών σε επίπεδο λογικής web application, Layer 7. Εξετάζει τη λογική σε αυτό που ζητάει ο χρήστης και αυτό που επιστρέφεται σαν αποτέλεσμα, πέρα από την σύγκριση υπογραφών και ανωμαλιών στον κώδικα(ασφάλεια signature-based). Το WAF δεν εντοπίζει μόνο γνωστές απειλές σε επίπεδο web application. Έχει την ικανότητα να αναγνωρίσει και νέες, άγνωστες απειλές πριν μπουν στο δίκτυο (ασφάλεια zero-day). Κάθε φορά που εντοπίζει μία ύποπτη κίνηση στο δίκτυο, έχει τη δυνατότητα να την μπλοκάρει και να ενημερώνει τον διαχειριστή.

Που απευθύνονται

Το WAF δεν προσανατολίζεται σε συγκεκριμένη αγορά από άποψη μεγέθους. Ανεξαρτήτως αν μιλάμε για μεγάλη ή μικρή εταιρεία, η ύπαρξη WAF είναι πολύ σημαντική εάν υπάρχουν web servers.

Ο μηχανισμός διατίθεται από μία μεγάλη γκάμα κατασκευαστών παγκοσμίως. Η αποτελεσματικότητα και το κόστος του, ποικίλλει αρκετά μεταξύ των διαθέσιμων επιλογών. Από πλευράς deployment, ο μηχανισμός  προφέρεται σε αποκλειστική συσκευή (appliance), σε virtual συσκευή (virtual appliance), σαν Managed Service από μεγάλα datacenter καθώς και σαν cloud υπηρεσία από την πλειονότητα των κατασκευαστών. Στην τελευταία περίπτωση γίνεται αναδρομολόγηση της κίνησης στο datacenter του παρόχου.

Τεχνική ανάλυση

Το WAF προσφέρει μηχανισμούς για τον εντοπισμό των κυριότερων απειλών που έχουν καταγραφεί στην παγκόσμια κοινότητα Open Web Application Security Project (OWASP). Κάποιες από τις πιο διαδεδομένες είναι: SQL injections, session hijacking, cross-site scripting, cookie or form tampering and buffer overflows. Υπάρχει και βάση με γνωστές υπογραφές, στην οποία ανατρέχει για γρήγορο εντοπισμό, αλλά δεν θα μένει σε αυτό το επίπεδο. Εμβαθύνει σε αυτό που λέμε behavior analysis. Μπορεί δηλαδή να καταλάβει τη λογική των web εφαρμογών, και να συγκρίνει την κίνηση με βάση κάποιες αποδεκτές συμπεριφορές. Αν για παράδειγμα παρατηρήσει ασυνήθιστα μεγάλο όγκο δεδομένων να επιχειρεί να σταλεί σαν απάντηση από τον web server, μπορεί να το μπλοκάρει σαν κακόβουλη ενέργεια και να αποκλείσει τη διαρροή πληροφοριών.

Παρακάτω περιγράφονται οι βασικότεροι μηχανισμοί που χρησιμοποιούνται από τα περισσότερα WAF:

  • Input Validation: μία κακόβουλη κίνηση συχνά συνοδεύεται από έλλειψη πιστοποιητικών κατά την είσοδο στην web εφαρμογή. Πρωταρχικός μηχανισμός είναι η αποκωδικοποίηση των credentials και η επιβεβαίωση ότι δεν αντιστοιχούν σε καμία γνωστή απειλή.
  • Adaptive profiling: τα WAF έχουν την ικανότητα να ελέγχουν και την ίδια την εφαρμογή. Εάν εντοπίσουν τρωτό σημείο στην web εφαρμογή που προστατεύουν, ενημερώνουν το διαχειριστή και διαμορφώνουν το μηχανισμό τους με τρόπο που να ενισχύεται η ασφάλεια στα σημεία αυτά.
  • Whitelistdynamic profiling: Αυτόματη ανάπτυξη μηχανισμών και προτύπων καλής συμπεριφοράς, ώστε να αποφεύγεται το μπλοκάρισμα πιστοποιημένων χρηστών – πελατών και να αποκτώνται ασφαλή πρότυπα.
  • WebSite Cloaking Protection: με τον μηχανισμό αυτό αποκλείει τους χρήστες web εφαρμογών από την πρόσβαση σε στοιχεία των web servers, όπως IP διευθύνεις, πληροφορίες λογισμικού και εκδόσεις ή βάσεις δεδομένων που χρησιμοποιούν. Έτσι ο hacker δεν μπορεί να αναπτύξει στοχευμένη επίθεση.
  • IP Reputation Blocking: χρησιμοποιεί μηχανισμούς αναγνώρισης κακόβουλων πηγών, anonymizing services, phishing URLs, and IP geolocation data.
  • Cookie Encryption/ Session Tampering Protection: οι περισσότερες web εφαρμογές χρησιμοποιούν cookies. Το WAF κρυπτογραφεί αυτά τα διαπιστευτήρια με σκοπό την αποτροπή επιθέσεων πλαστοπροσωπίας από τρίτους.
  • Session Riding and Clickjacking Protection: με τη χρήση κακόβουλου κώδικα Javascript, ο hacker μπορεί να αποκτήσει πρόσβαση σε έναν web server. Το WAF δημιουργεί μοναδικά πιστοποιητικά (injection anti-UI redressing measures) με σκοπό την αποτροπή τέτοιων περιστατικών.
  • Antivirus and malware protection: υπάρχουν εφαρμογές που επιτρέπουν τη φόρτωση αρχείων στους web servers, από απομακρυσμένους χρήστες. Ενεργοποιώντας antivirus και antimalware εξετάζουν τα αρχεία πριν αυτά φορτωθούν στους servers.
  • Layer 7 DDoS Protection: οι επιθέσεις Denial of Service έχουν πλέον φτάσει και στο επίπεδο των Web applications. Τα WAF έχουν την ευφυΐα να εντοπίζουν τις επιθέσεις αυτές, διασφαλίζοντας τη διαθεσιμότητα της εφαρμογής.
  • Slow Client Protection: σε αυτή την επίθεση ο hacker κρατάει για πολύ ώρα το session με το web server ανοιχτό καθυστερώντας να στείλει τα πακέτα που πρέπει. Έτσι ο Server αφιερώνει υπερβολικούς πόρους στο συγκεκριμένο session με αποτέλεσμα (ειδικά εάν γίνεται μαζικά) να καθυστερεί στην εξυπηρέτηση άλλων αιτημάτων (αποτέλεσμα – DoS). Το WAF διαθέτει μηχανισμό για τον εντοπισμό και την απόρριψη τέτοιων επιθέσεων.
  • XML / Web Services protection: όσο οι web εφαρμογές αναπτύσσονται, χρησιμοποιούν μεταξύ άλλων και XML για τη μεταφορά δεδομένων μεταξύ των servers και των χρηστών. Οι επιθέσεις XML είναι πλέον διαδεδομένες και τα WAF έχουν ενσωματωμένο XML Firewall με σκοπό την αποτροπή τέτοιων επιθέσεων.
  • Data Loss Protection: πέρα από τους μηχανισμούς ελέγχου της εισερχόμενης κίνησης, έχουν ενσωματωμένους μηχανισμούς για την αποτροπή διαρροής πληροφοριών. Εάν διαπιστώσουν ότι η πληροφορία που προσπαθεί να εκχωρήσει είναι απόρρητη, είτε αποκόπτουν τη διαρροή, είτε κωδικοποιούν την πληροφορία.
  • Μηχανισμοί Authentication: υπάρχει πληθώρα μηχανισμών για την ταυτοποίηση χρηστών κάθε web εφαρμογής, ώστε να διασφαλίζεται η αυθεντικότητα του χρήστη. Μερικοί από αυτούς είναι: Two-factor authentication, Single Sign On (SSO).

Πέραν των μηχανισμών ασφάλειας που είναι απαραίτητοι για την προστασία web εφαρμογών, ένα εξίσου σημαντικό θέμα είναι η διαθεσιμότητα των εφαρμογών αυτών (application delivery). Η εξασφάλιση άμεσης παροχής υπηρεσιών προς τους χρήστες, είναι σημαντικός παράγοντας. Αυτό εν γένει εξυπηρετείται από τους Load Balancers. Παρόλα αυτά, επειδή η ανάγκη για ασφάλεια και διαθεσιμότητα είναι δύο κομμάτια που ενδιαφέρουν το ίδιο κοινό, οι περισσότεροι κατασκευαστές WAF έχουν ενσωματώσει και μηχανισμούς application delivery.

Οι βασικότεροι μηχανισμοί που έχουν ενσωματωθεί στη λειτουργία των WAF είναι οι ακόλουθοι:

  • SSL Offloading: οι πληροφορίες που ανταλλάσσονται μεταξύ των servers και των χρηστών είναι κατά κανόνα κρυπτογραφημένες. Επειδή οι διαδικασίες κρυπτογράφησης και αποκρυπτογράφησης είναι χρονοβόρες και χρησιμοποιούν μεγάλο μέρος των πόρων ενός server, τα WAF αναλαμβάνουν το κομμάτι αυτό, με σκοπό την ελάφρυνση των server που εξυπηρετούν και την επιτάχυνση των διαδικασιών.
  • L4/L7 Load Balancing: το φορτίο διαμοιράζεται στους διαθέσιμους servers με τέτοιο τρόπο ώστε να μην επιβαρύνεται η λειτουργία κάποιου έναντι κάποιου άλλου.
  • Session Persistence: κάθε φορά που ένας χρήστης ανοίγει ένα session με κάποιον web server, το WAF φροντίζει ώστε η ανταλλαγή πληροφοριών να ολοκληρωθεί στον ίδιο server με τον οποίο ξεκίνησε το αρχικό αίτημα.

Όλα τα παραπάνω καθιστούν το Web Application Firewall πολύ χρήσιμο έως και απαραίτητο σε κάθε εταιρεία που θέλει να προσφέρει αξιόπιστες web εφαρμογές, γι αυτό και το μερίδιο αγοράς που στρέφεται προς αυτή τη λύση αυξάνεται με υψηλούς ρυθμούς τα τελευταία χρόνια. Βάσει ερευνών της Research&Markets, την πενταετία 2013-2018 αναμένεται αύξηση περί το 18% στην αγορά του WAF, ενώ οι κατασκευαστές στρέφονται και σε νέες τεχνολογίες με επίκεντρο το virtualization στις web εφαρμογές.

Eλένη Χιονά
Μηχανικός Πωλήσεων
Digital SIMA