ASPA-WAF (WAF بومی و ایرانی) چیست؟

ASPA-WAF یک دیواره آتش برنامه‌های کاربردی (WAF) بومی و ایرانی است که وب‌سایت‌ها و سامانه‌های سازمانی را در برابر حملات سایبری محافظت می‌کند. این سامانه مطابق با استانداردهای بین‌المللی PCI DSS و ISO/IEC 27001 طراحی شده و تمامی آسیب‌پذیری‌های اعلام‌شده توسط OWASP را پوشش می‌دهد.

ASPA-WAF چیست؟

فازهای عملیاتی سامانه

ویژگی‌ها و قابلیت‌ها

معرفی سامانه
- ASPA-WAF محصولی است که برای مقابله با انواع حملات تحت وب نظیر XSS، SQL Injection، Remote File Inclusion، Local File Inclusion و سایر تهدیدات لایه کاربرد طراحی شده است.
- در این سامانه، تمام تراکنش‌های وب در ۵ فاز مستقل بررسی می‌شوند: Request Header، Request Body، Response Header، Response Body و Logging.
- قوانین امنیتی این سامانه از ترکیب چندین آزمایشگاه بین‌المللی توسعه‌یافته و با تحلیل افزونگی‌ها بهینه شده‌اند.
- به‌روزرسانی‌ها به‌صورت آنلاین و آفلاین از سرورهای داخلی ایران انجام می‌شود.
- رمزگشایی پروتکل HTTPS در این سامانه اجازه می‌دهد محتوای رمزگذاری‌شده کنترل و از حملات رمزنگاری‌شده جلوگیری شود.
- امکان استفاده از قابلیت HTTPS Offloading جهت کاهش بار پردازشی سرورهای اصلی نیز فراهم است.

انواع استقرار سامانه‌ی ASPA-WAF

محصولات دیواره آتش کاربردهای تحت وب در معماری شبکه به صورت‌های مختلف پیاده‌سازی می‌شوند. به طور کلی سه نوع استقرار برای قرار گرفتن دیواره آتش کاربردهای تحت وب در شبکه وجود دارد: استقرار درون خط¹، استقرار غیربرخط² و استقرار توکار³. از آن‌جایی که استقرار غیر برخط کارایی در دفع حملات ندارد و استقرار توکار نیازمند نصب وف در تک‌تک سامانه‌های وب اصلی و به تبع آن تغییرات در آن‌هاست این دو نوع استقرار مناسب هیچ شرایطی نبوده و سامانه‌ی ASPA-WAF استقرار درون‌خط را پشتیبانی می‌کند که در ادامه آن را بررسی می‌کنیم.

استقرار درون خط

شکل 1: استقرار درون‌خط WAF، معماری پراکسی معکوس شفاف

در این نوع استقرار دیواره آتش کاربردهای تحت وب دقیقا یکی از مولفه‌هایی است که ترافیک از آن عبور می‌کند. استقرار درون خط آسپا-وف شامل دو گونه معماری متفاوت است:

1) پراکسی معکوس⁴

در این نوع استقرار، سامانه نقش فعالی در ره‌گیری تمامی اتصالات دارد. در این نوع معماری، کاربران تراکنش‌های HTTP(S) خود را مستقیماً به آدرس دیواره آتش کاربردهای تحت وب ارسال می‌کنند. سپس بعد از بررسی درخواست و در صورت مجاز بودن آن، سامانه یک درخواست متناظر تولید و آن را به سمت برنامه کاربردی محافظت شده ارسال می‌کند. در مرحله بعدی پس از دریافت پاسخ از سرور تحت حفاظت، سامانه این پاسخ را نیز برای جلوگیری نشت احتمالی اطلاعات مورد بررسی قرار می‌دهد. برای این که کاربر درخواست را خود را مستقیماً به مقصد سامانه WAF ارسال کند لازم است سرویس‌دهنده DNS، برای نام دامنه مربوطه آدرس IP سرور WAF را به کاربر معرفی نماید. در مواردی‌که سایت وب مورد نظر نام دامنه ندارد باید آدرس IP وف به جای آدرس IP سرویس‌دهنده وب اصلی در اختیار کاربر قرار گیرد.

2) پراکسی معکوس شفاف⁵

در این معماری دیواره آتش کاربردهای تحت وب با بررسی ترافیک‌های درخواست و پاسخ اتصالات HTTP، نقش فعالی در ره‌گیری تمامی اتصالات بین مشتری و برنامه کاربردی تحت وب دارد. در این نوع استقرار، کاربر بدون اطلاع از وجود دیواره آتش کاربردهای تحت وب درخواست خود را به مقصد سرویس دهنده اصلی ارسال می‌کند. اما تجهیزات فعالی نظیر دیواره آتش‌های stateful موجود در سر راه درخواست، با استفاده از DNAT مقصد درخواست را به سرویس‌دهنده‌ی WAF تغییر می‌دهند. ما بقی سناریو مشابه پراکسی معکوس عادی پیگیری می‌شود. مزیت این روش علاوه بر شفاف بودن سامانه، تغییر مسیر فوری درخواست‌ها به سمت سرویس‌دهنده WAF است. در مورد استفاده از DNS تاخیر انتشار DNS در زمان استقرار و نیز خارج کردن احتمالی WAF در شرایط فورس ماژور سبب ایجاد ناخیرهای ناخواسته خواهد شد.

حالات سرویس دسترسی بالا (HA)

مسأله دیگر در مورد معماری استقرار WAF نحوه‌ی استقرار چند دستگاه در سرویس دسترسی بالا (HA) است. سرویس دسترسی بالا در سامانه ASPA WAF چهار حالت اصلی زیر را در بر می‌گیرد.

1.	2.	3.	4.
Active Passive HA	Active Active HA	Distributed Active Active WAF	CDN

در ادامه به بررسی اجمالی این حالات می‌پردازیم.

1) Active Passive HA

در این نوع استقرار، دو یا چند گره WAF به صورت یکی در مدار و سایرین آماده به کار در یک مرکز داده قرار می‌گیرند. در این حالت در صورت رخداد خرابی در WAF اصلی پس از یک دقیقه یکی از WAF‌های دیگر به صورت خودکار جایگزین قبلی می‌شود. در این معماری پس از رفع خرابی سرور مورد اشاره در صف سرویس‌دهنده‌های آماده به کار قرار می‌گیرد.

2) Active Active HA

در این مدل، دو یا چند گره WAF به صورت فعال همزمان در یک مرکز داده قرار می‌گیرند. هر کدام از WAF‌ها IP‌های اختصاصی خودش را دارد و سایت‌ها را به صورت متحد‌الشکل بر روی IP‌های متناظر دستگاه‌های مختلف ارایه می‌دهد. هم‌چنین مدیریت تمام دستگاه‌ها به صورت متمرکز و یکپارچه و برخط صورت می‌گیرد. واضح است دسترسی و توان محاسباتی بالاتری نسبت به حالت Active-Passive حاصل می‌شود. از سویی، لازم است ترافیک به نحوی بین این گره‌ها تسهیم شود. برای این کار می‌توان از تجهیزات دیگر با قابلیت توزیع بار استفاده کرد و یا از راهکار توزیع بار وب آسپا استفاده کرد.

3) Distributed Active Active WAF

فايروال برنامه‌های کاربردي تحت وب، با تمرکز بر پیام‌های ارسالی در لایه کاربرد شبکه و پروتکل‌های مربوط به وب، حملاتی را که از دید سیستم‌های تشخیص نفوذ و فایروال‌های عادی در لایه‌های پایین‌تر پنهان می‌مانند، تشخیص می‌دهد. لیستی از این حملات در بازه‌های مختلف توسط محافل امنیتی نظیر OWASP ارایه می‌شود که شامل انواع حملات تزریق نظیر SQL، HTML، XSS و ... است. یکی از این حملات DoS و نوع خاص آن DDoS است که آن‌ها نیز جزو دایره پوشش WAF قرار می‌گیرند. اما چنان‌چه این حملات در مقیاس بسیار بزرگ رخ دهند هیچ تجهیزی به صورت موضعی چندان کارا نخواهد بود. یکی از دلایل این امر این است که این حملات می‌توانند پیش از این که اصولاً به WAF برسند پهنای باند را به صورت کامل از دسترس کاربران عادی خارج کنند. در چنین موقعیت‌هایی استفاده از یک مکانیزم توزیع شده کارساز است. مکانیزم توزیع شده ASPA WAF به ابرسازمان‌ها با گستره‌ی جغرافیایی وسیع این امکان را می‌دهد که تعدادی گره وف را در مراکز داده‌ی مختلف قرار دهند و تمامی آن‌ها را همزمان و یکپارچه مدیریت کنند. در این صورت یک WAF توزیع شده در دسترس است که از مجموع پهنای باند موجود در تمامی دیتا‌سنترها بهره می‌برد. مسأله‌ی باقیمانده، تقسیم ترافیک کاربران بین گره‌های مختلف است که در صورتی‌که ابرسازمان مشتری، امکانات Geo DNS یا BGP Anycast را پیاده‌سازی کرده باشد می‌تواند ترافیک کاربران را بین گره‌های این WAF توزیع کند.

4) CDN

تفاوت این معماری استقرار با معماری قبلی (DAAWAF) این است که در این نوع استقرار سامانه‌ی ASPAWAF قابلیت BGP Anycast را به صورت مجتمع در خود دارد. در این صورت سامانه ASPAWAF وظیفه مسیردهی به ترافیک کاربران را نیز بر عهده دارد.

یکی از مسایلی که برای دو معماری استقرار آخر به ذهن متبادر می‌شود قابلیت ایجاد شبکه توزیع محتوای اختصاصی است. بلی، محصول جانبی دو نوع استقرار اخیر یک شبکه توزیع محتوای اختصاصی است. اما باید توجه داشت که تفاوت ASPAWAF با شبکه‌های توزیع محتوای مرسوم این است که شما ابتدا یک فایروال WAF کامل با تمام قابلیت‌های مورد نیاز آن دارید و سپس یک شبکه توزیع محتوا. مزیتی که در شبکه‌های توزیع محتوای عادی یا وجود ندارد و یا بسیار کمرنگ است.

نکته‌ی حائز توجه دیگر در مورد نحوه‌های استقرار متفاوت ASPAWAF این است که به جز معماری Active-Passive هر سه نوع معماری دیگر به جز گره‌های وف نیازمند به گره‌های آنالیزور نیز هستند.