مشاوره و فروش لایسنس تمامی محصولات ManageEngine
جولای 6, 2021
VMware vSphere
جولای 19, 2021

آشنایی با Web Application Firewall و Net Scaler

web application firewall ارایه کننده راهکارهای امنیتی جامع به منظور حفاظت از سازمان های مدرن

در حال حاضر فراگیرترین مبحث در سازمان ها درک قابلیت های نرم افزارهای تحت وب محدودیت های آن ها و تکنولوژی های حفاظت از آن ها است. راهکارهای سنتی حفاظت از شبکه ها پاسخگوی نیازهای سازمان های در این زمینه نبوده و آن ها را ملزم به بهره گیری از web application firewall به عنوان پایه امنیت و حفاظت قابلیت های تحت وب سازمان ها، کرده است، به عنوان مثال اگرچه فایروال ها سنتی و سیستم های حفاظت در برابر نفوذ، تهدیدات در سطح لایه ای پایین OSI را شناسایی می کنند ولی قادر به شناسایی تهدیدات رو به رشدی که برنامه های تحت وب را مورد هدف قرار می دهند، نیستند؛ حتی next-generation firewalls) NGFW) نیزقادر به شناسایی بخش بحرانی این گونه از تهدیدات نیست.

مشکلات حفاظت از برنامه های تحت وب

دلایل متعددی در علل ریسک های ایجاد شده توسط نرم افزارهای تحت وب در سازمان ها وجود دارد، عمده ترین علت خطرات این نرم افزارها گسترش و نفوذ سریع آن ها پیش ازتلاش های کافی در ارتباط با امنیت آن ها است، که این نرم افزارها را به هدفی برای هکرها تبدیل کرده است.

  • قابلیت های فراگیر وب

امروزه شرکت ها به شکل فزاینده ای در حال خریداری و توسعه نرم افزارهای تحت وب هستند که این رشد روز افزون در هر دو بخش نرم افزارهای طراحی شده برای موبایل و نرم افزارها و سرویس های مورد استفاده در کامپیوترهای شخصی و ادرات مشاهده می شود. اگرچه چنین نرم افزارهایی به علت سهم عظیمی که در تولید درآمد شرکت ها دارند بسیار مورد توجه قرار گرفته اند ولی بی توجهی نسبت به خطرات ناشی از استفاده از آن در توسعه زنجیره های مدیریت، مالی، منابع انسانی و توسعه تحقیقاتی شرکت ها، هوشمندانه نخواهد بود.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای Net Scaler و سیتریکس را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

با توجه به توسعه نرم افزارهای تحت وب و استفاده کاربران داخل و خارج شبکه از آن، وظیفه تیم های امنیتی شبکه ها تامین امنیت در هر دو محیط لازم برای کاربران مختلف است. یکی دیگر از مسایل مهم پیش روی تیم های امنیتی تنوع نرم افزارهای تحت وب مورد استفاده در سازمان ها است، که ترکیب بی شمار نرم افزارهای تحت وب تجاری و یا سفارشی، تکنولوژی های امنیتی که تنها از قابلیت های سیاست گذاری امنیتی و مکانیزم های شناسایی مبتنی بر پروتکل های شبکه هستند، را در حفاظت کامل از شبکه ناکار آمد کرده است. بنابراین تامین کنندگان امنیت شبکه به ابزارهایی با قابلیت ارایه راهکارهایی با انعطاف پذیری بیشتر، امکان بازرسی و کنترل جزء به جزء و توانایی شناسایی و سازگاری با نرم افزارهای جدید، نیاز دارند.

  • نرم افزارهای تحت وب، مورد توجه هکرها

علاوه بر فراگیر شدن استفاده از نرم افزارهای تحت وب، ضعف های موجود در آن ها نیز یکی از دلایل گرایش هکرها به این نرم افزارها است، که این ریسک ها ناشی از عوامل زیر است:

  • پیچیدگی بالای بسیاری از قابلیت های این نرم افزارها
  • استفاده متداول از third-party libraries در نرم افزارهای تحت وب
  • پیاده سازی متداول تکنولوژی ها، قابلیت ها و پروتکل های cutting-edge
  • توسعه دهندگانی که تنها بر قابلیت ها و سرعت ارایه به بازار بیش از ارتقا کد نویسی و کاهش آسیب ها اهمیت می دهند.

بسیاری از نرم افزارهای تحت وب میزبان اطلاعات ارزشمندی چون اطلاعات حسابهای مشتریان، مشخصات اختصاصی محصولات، اطلاعات پزشکی و  personally identifiable information) PII) هستند و در حقیقت با توجه به ریسک های موجود مدیران کسب و کارها می بایست احتمال چنین حملاتی را در نظر داشته باشند.

  • حفاظت از سرویس ها

در بسیاری از چارچوب های مدل های قدیمی شبکه بسیاری از مسایل نادیده گرفته می شد که موجب ایجاد سردرگمی هایی می شود، زمانی که صحبت از Application layer یا همان لایه 7 مدل OSI است از دید تکنیکی صحبت از مجموعه پروتکل ها و سرویس هایی است که  نرم افزارها جهت ارتباط با دیگران، تعیین دسترسی به منابع و تبادل اطلاعات به کار می برند، این سردرگمی نتیجه ای جز انبوه راهکارهای امنیتی ناکار آمد با عنوان حفاظت ازapplication-layer، نخواهد داشت، مشکل راه حل های ارایه شده (همانطور که در شکل 1 مشاهده می کنید) در پوشش ناکارآمدی از  لایه Application را ارایه می دهند و بخش های بالاتر این لایه مانند برنامه های کاربردی تجاری و … را پشتیبانی نمی کنند.

شکل 1 مدل پردازش کامل Stack

سازمان ها به منظور حفاظت کامل از قابلیت های تحت وب خود به تکنولوژی های امنیتی با توانایی ارایه حفاظت کامل در موارد زیر نیاز دارند:

  • پوشش فیزیکی: ارایه حفاظت کامل در همه محیط های داخل شبکه و خارج از آن
  • پوشش کاربردی: ارایه سیاست گذاری های امنیتی به شکل کنترل دسترسی های جزء به جزء به همراه شناسایی و جلوگیری از تهدیدات
  • پوشش منطقی: ارایه حفاظت امنیتی در طول تمام لایه های پردازش Stack، از لایه Network تا پروتکل ها و سرویس های لایه های زیرساخت برنامه ها، برنامه های کاربردی تجاری و حتی داده

ارایه پوشش کامل امنیتی مشابه آنچه اشاره شد مستلزم استقرار سیستم های امنیتی فراتر از فایروال های معمولی و intrusion prevention systems) IPSs)  است.

فناوری های امنیتی موجود در شبکه

فناوری های امنیتی شبکه ها نقش مهمی در حفاظت از قابلیتهای تحت وب دارند، با این وجود درک این موضوع که هیچ یک از این تکنولوژی ها به تنهایی قادر به ارایه حفاظت کامل امنیتی نیست، اهمیت فراوانی دارد.

  • فایروال های شبکه

فایروال های معمولی براساس لیست کنترل دسترسی و اعمال سیاست گذاری های امنیتی کار می کنند و فایروال های Stateful قابلیت بررسی داینامیک ترافیک خروجی و ورودی را دارند.با این حال:

  • چون فایروال های معمولی براساس مشخصات لایه های شبکه (پورت و پروتکل و IP مبدا و مقصد کار می کنند)، کنترل دسترسی آن ها به صورت جزء به جزء عمل نخواهد کرد، در نتیجه فایروال قدرت تمایز میان نرم افزارهای مجزای استفاده کننده از آن پورت و پروتکل را نخواهد داشت ( مانند مجموعه عظیم نرم افزارهای تحت وب HTTP که از پورت 80 استفاده می کنند)
  • این فایروال ها مجهز به قابلیت تشخیص و جلوگیری تهدیدات نیستند و تنها حفاظت در برابر بدافزارها، حملات و سایر دسترسی های غیرمجاز براساس سیاست گذاری شبکه را دارند، به عنوان مثال اگر تهدیدی مبتنی بر یکی از پورت های بسته شده بر مبنای سیاست گذاری های شبکه باشد مسدود خواهد شد.

در نتیجه فایروالهای شبکه به تنهایی قابلیت حفاظت از نرم افزارهای تحت وب را نخواهند داشت.

  • سیستم های IPS

به منظور دستیابی به قابلیت کنترل دسترسی تکنولوژی IPS بر شناسایی تهدیدها متمرکز شد. مبنای کار IPS بر شناسایی Signature بدافزارها، تهدیدات شناخته شده، پروتکل های مورد استفاده بدافزارها است. همچنین در اندک مواردی IPS لایه های بالاتر پردازش Stack همچون زیرساخت برنامه و برنامه های کاربردی تجاری را از طریق ارایه Signature تهدیدات مشهور، تحت پوشش قرار می دهد؛ با این وجود IPS نیز قابلیت پوشش گسترده تهدیدات را ندارد و به دلایل زیر به نوعی در نیمه راه قرار گرفته است:

  • False negative با توجه به عدم دید کامل به برنامه ها نسبت تهدیدات لایه های بالاتر ناتوان خواهد بود (مانند زمانی که حمله ای از طریق تغییر در فرایند پردازش یک نرم افزار صورت گرفته باشد).
  • False positive با توجه به مجموعه وسیعی از Signature جمع آوری کرده است می تواند منجر به اعلام تعداد زیادی هشدار نادرست شود.

 با توجه قابلیت تشخیص و جلوگیری از تهدید، IPS مکمل ارزشمندی برای فایروال های معمولی خواهد بود.

  • فایروال های نسل بعد Next Generation Firewall  

NGFW نسل جدیدی از فایروال ها است که قابلیت های فایروال و IPS را به صورت همزمان دارد، که از روش شناسایی هویت کاربر و نرم افزار جهت کنترل دسترسی های ورودی و خروجی از شبکه استفاده می کند. با وجود قابلیت های فراوان آن ها، هنوز هم به علت عدم وجود  application awareness حفاظت مناسبی نسبت به نرم افزارهای تحت وب ارایه نمی دهد.

application awareness تکنیکی است که به رمزگشایی پروتکل های برنامه ها و شناسایی Signature برنامه ها به ویژه های زیرساخت برنامه و business apps می پردازد، همچنین این قابلیت امکان کنترل دقیق دسترسی ها و اعمال سیاست گذاری به صورت جداگانه بر تک تک نرم افزارهایی که از یک پورت و پروتکل بهره می برند، را دارد.

application awareness پیش نیاز امکان شناسایی جداگانه تهدیدات در لایه بالاست، application fluency ( امکان شناسایی و مدیریت نرم افزارها و شبکه را همزمان داشته و با تغییرات و نوسانات شبکه سازگار است.) نگاه عمیق تری نسبت به برنامه های تحت حفاظت فراهم می کند که شامل بررسی ورودی ها معتبر و نحوه کارکرد برنامه است.

در پایان با وجود قابلیت های پیشرفته کنترل دسترسی ها که توسط NGFW فراهم شده است ولی هنوز هم پوشش کاملی نسبت به تمام بخش های در معرض خطر نرم افزارهای تحت وب فراهم نشده است.

  • web application firewall

web application firewall) WAF) امکان حفاظت از تهدیدات مربوط به بالاترین لایه پردازش Stack را فراهم می آورد. فرآیند های Automated learning به وسیله قابلیت اعمال سیاست گذاری های مناسب تکمیل شده و درک کاملی نسبت به عملکرد هریک از نرم افزارهای تحت وب و همچنین تمام ویژگی های سفارشی آن ها فراهم می آورند، زمانی که ترافیک مخربی شناسایی شد به صورت خودکار با توجه به سیاست گذاری های اعمال شده در موضع مناسب قرار داده می شود.

در مقایسه با سایر تکنولوژ ی های مطرح شده WAFs قابلیت های منحصر به فردی چون موارد ذیل را دارا است:

  • ورودی ها را بررسی و تایید، در نتیجه SQL injection مشکوک، Cross-site scripting) XSS) و حمله های Directory traversal (یک نوع حمله مبتنی بر HTTP است که به هکرها امکان اجازه دسترسی به دایرکتوری های محدود شده و اعمال دستورات لازم را می دهد.) را متوقف می کند.
  • شناسایی حمله های مبتنی بر cookie، session و parameter tampering (یک نوع حمله مبتنی بر وب است که براساس پارامترهای خاصی چون URL و یا اطلاعات Form field و … صورت می گیرد.)
  • مسدود کردن حمله هایی که قابلیت های وب را در معرض خطر قرار می دهد.
  • جلوگیری از بهره برداری از اطلاعات حساس از طریق object-level identification
  • شناسایی کامل ترافیک SSL رمزگذاری شده
  • جلوگیری از تهدیداتی که با استفاده از نقاط ضعف منطقی در برنامه های کسب و کار سفارشی کار می کنند
  • جلوگیری از حملات  Distributed Denial of Service) DDoS) 
  • پنهان کردن بخش هایی از پاسخ سرورها که می تواند مورد استفاده هکرها قرار بگیرد
  • ارایه حفاظت کامل XML شامل شناسایی و تایید الگو برای (SOAP ( Simple Object Access Protocol با استفاده از این پروتکل به ارسال و تبادل پیامهایی از جنس اکس‌ام‌ال بر روی شبکه‌های رایانه‌ای مبادرت کرد) و XPath (زبان مسیر اکس‌ام‌ال، برای انتخاب گره‌ها از سند اکس‌ام‌ال است.) ، همچنین شناسایی و بلوکه سازی پیوستهای XML حاوی محتوای مخرب
  • مطابقت با الزامات PCI DSS ی (Payment Card Industry Data Security Standard  یک استاندارد امنیتی برای سازمان هایی است که با برندهای مختلف کارت های اعتباری در ارتباط هستند.) نسخه 6.6

WAF ها پیشرو در بازار همچون NetScaler AppFirewall علاوه بر موارد فوق شامل قوانین کنترل دسترسی و ابزارهای مبتنی بر signature برای شناسایی تهدیدات هستند.

  • تجیمع تکنولوژی های امنیتی

جدول-1 مقایسه کلی تکنولوژی های امنیتی مورد بحث را ارایه می دهد.

  • NetScaler AppFirewall

قابلیت های امنیتی منحصر به فرد WAF در حفاظت از نرم افزارهای تحت وب آن را به یک جزو الزامی در معماری امنیت سازمان ها تبدیل کرده است. با استفاده از استقرار یک مدل امنیتی ترکیبی و تحیلیل دو سویه ترافیک، شامل رمز گذاری ارتباطات SSL، NetScaler AppFirewall طیف گسترده ای از تهدیدات امنیتی را بدون نیاز به هیچ تغییری در برنامه ها خنثی می کند.

در ادامه به بررسی ویژگی های کلیدی NetScaler AppFirewall:

  • مدل امنیتی ترکیبی

برای جلوگیری از تهدیدات جدید، مدل سیاست گذاری مثبت که قابلیت تشخیص تعاملات مجاز کاربر و نرم افزارها را دارد به طور خودکار ترافیک غیرمجاز را تشخیص و بلوکه می کند، به عنوان یک مکمل به همراه مدل منفی که از Signature تهدیدات شناخته شده برای مسدود سازی آن بهره می برد، استفاده می شود.

  • حفاظت XML

NetScaler AppFirewall نه تنها تهدیدات شناخته شده مبتنی بر XML را مسدود می کند بلکه قابلیت های چون اعتبارسنجی Scheme و مقابله به تهدیدات DoS را نیز دارد.

  • حفاظت پیشرفته در مقابل المان های داینامیک

ارایه حفاظت session-aware در مقابل المان های پویایی چون cookies، form fields و URL و همچنین حملاتی که ارتباط امن میان کلاینت و سرور مورد هدف قرار می دهند.

  • سیاست گذاری امنیتی مناسب

advanced learning engine به صورت خودکار رفتار مورد انتظار از نرم افزارهای تحت وب را مورد بررسی قرار داده و توصیه های مناسب جهت اعمال سیاست گذاری های امنیتی را ارایه می دهد، که مدیران امنیتی شبکه ها را در اعمال سیاست گذاری های امنیتی یاری می کند.

  • تضمین سازگاری کامل

NetScaler AppFirewall سازمان ها را قادر به تامین الزامات امنیتی مورد نیازشان همچون PCI DSS می کند، همچنین گزارش کاملی از تمام سیاست گذاری های مرتبط با تعهدات PCI را ارایه می دهد.

  • عملکرد

رویکرد فوق راهکار امنیتی حفاظت نرم افزارهای تحت وب با بالاترین کارایی در صنعت که قابلیت ارایه 12Gbps حفاظت کامل بدون کاهش در زمان پاسخ دهی نرم افزارها را دارد، ارایه می دهد.

قابلیت منحصر به فرد NetScaler AppFirewall امکان استقرار آن به صورت به جزو داخلی بستر نرم افزار NetScaler  را فراهم کرده است، که موجب ارتقا بهره وری عملکرد برنامه های تحت وب (به علت سرعت بالاتر و قابلیت کاهش بار سرور) و قابلیت اطمینان بیشتر ( با توجه به توازن بار سرور، امکان پایش ساده تر و قابلیت های site-level failover وجود دارد) خواهد شد.

در نهایت یک راهکار ایده آل به منظور حفاظت از برنامه های تحت وب با کارایی بسیار مناسب توسط NetScaler AppFirewall فراهم شده است.