سامانه دیواره آتش کاربردهای تحت وب آسپا (ASPA Web Application Firewall)
حفاظت جامع از برنامههای کاربردی تحت وب در برابر انواع حملات
ASPA-WAF (WAF بومی و ایرانی) چیست؟
ASPA-WAF یک دیواره آتش برنامههای کاربردی (WAF) بومی و ایرانی است که وبسایتها و سامانههای سازمانی را در برابر حملات سایبری محافظت میکند. این سامانه مطابق با استانداردهای بینالمللی PCI DSS و ISO/IEC 27001 طراحی شده و تمامی آسیبپذیریهای اعلامشده توسط OWASP را پوشش میدهد.
- معرفی سامانه
- ASPA-WAF محصولی است که برای مقابله با انواع حملات تحت وب نظیر XSS، SQL Injection، Remote File Inclusion، Local File Inclusion و سایر تهدیدات لایه کاربرد طراحی شده است.
- در این سامانه، تمام تراکنشهای وب در ۵ فاز مستقل بررسی میشوند: Request Header، Request Body، Response Header، Response Body و Logging.
- قوانین امنیتی این سامانه از ترکیب چندین آزمایشگاه بینالمللی توسعهیافته و با تحلیل افزونگیها بهینه شدهاند.
- بهروزرسانیها بهصورت آنلاین و آفلاین از سرورهای داخلی ایران انجام میشود.
- رمزگشایی پروتکل HTTPS در این سامانه اجازه میدهد محتوای رمزگذاریشده کنترل و از حملات رمزنگاریشده جلوگیری شود.
- امکان استفاده از قابلیت HTTPS Offloading جهت کاهش بار پردازشی سرورهای اصلی نیز فراهم است.
انواع استقرار سامانهی ASPA-WAF
محصولات دیواره آتش کاربردهای تحت وب در معماری شبکه به صورتهای مختلف پیادهسازی میشوند. به طور کلی سه نوع استقرار برای قرار گرفتن دیواره آتش کاربردهای تحت وب در شبکه وجود دارد: استقرار درون خط1، استقرار غیربرخط2 و استقرار توکار3. از آنجایی که استقرار غیر برخط کارایی در دفع حملات ندارد و استقرار توکار نیازمند نصب وف در تکتک سامانههای وب اصلی و به تبع آن تغییرات در آنهاست این دو نوع استقرار مناسب هیچ شرایطی نبوده و سامانهی ASPA-WAF استقرار درونخط را پشتیبانی میکند که در ادامه آن را بررسی میکنیم.
استقرار درون خط
در این نوع استقرار دیواره آتش کاربردهای تحت وب دقیقا یکی از مولفههایی است که ترافیک از آن عبور میکند. استقرار درون خط آسپا-وف شامل دو گونه معماری متفاوت است:
1) پراکسی معکوس4
در این نوع استقرار، سامانه نقش فعالی در رهگیری تمامی اتصالات دارد. در این نوع معماری، کاربران تراکنشهای HTTP(S) خود را مستقیماً به آدرس دیواره آتش کاربردهای تحت وب ارسال میکنند. سپس بعد از بررسی درخواست و در صورت مجاز بودن آن، سامانه یک درخواست متناظر تولید و آن را به سمت برنامه کاربردی محافظت شده ارسال میکند. در مرحله بعدی پس از دریافت پاسخ از سرور تحت حفاظت، سامانه این پاسخ را نیز برای جلوگیری نشت احتمالی اطلاعات مورد بررسی قرار میدهد. برای این که کاربر درخواست را خود را مستقیماً به مقصد سامانه WAF ارسال کند لازم است سرویسدهنده DNS، برای نام دامنه مربوطه آدرس IP سرور WAF را به کاربر معرفی نماید. در مواردیکه سایت وب مورد نظر نام دامنه ندارد باید آدرس IP وف به جای آدرس IP سرویسدهنده وب اصلی در اختیار کاربر قرار گیرد.
2) پراکسی معکوس شفاف5
در این معماری دیواره آتش کاربردهای تحت وب با بررسی ترافیکهای درخواست و پاسخ اتصالات HTTP، نقش فعالی در رهگیری تمامی اتصالات بین مشتری و برنامه کاربردی تحت وب دارد. در این نوع استقرار، کاربر بدون اطلاع از وجود دیواره آتش کاربردهای تحت وب درخواست خود را به مقصد سرویس دهنده اصلی ارسال میکند. اما تجهیزات فعالی نظیر دیواره آتشهای stateful موجود در سر راه درخواست، با استفاده از DNAT مقصد درخواست را به سرویسدهندهی WAF تغییر میدهند. ما بقی سناریو مشابه پراکسی معکوس عادی پیگیری میشود. مزیت این روش علاوه بر شفاف بودن سامانه، تغییر مسیر فوری درخواستها به سمت سرویسدهنده WAF است. در مورد استفاده از DNS تاخیر انتشار DNS در زمان استقرار و نیز خارج کردن احتمالی WAF در شرایط فورس ماژور سبب ایجاد ناخیرهای ناخواسته خواهد شد.
حالات سرویس دسترسی بالا (HA)
مسأله دیگر در مورد معماری استقرار WAF نحوهی استقرار چند دستگاه در سرویس دسترسی بالا (HA) است. سرویس دسترسی بالا در سامانه ASPA WAF چهار حالت اصلی زیر را در بر میگیرد.
| 1. | 2. | 3. | 4. |
|---|---|---|---|
| Active Passive HA | Active Active HA | Distributed Active Active WAF | CDN |
در ادامه به بررسی اجمالی این حالات میپردازیم.
1) Active Passive HA
در این نوع استقرار، دو یا چند گره WAF به صورت یکی در مدار و سایرین آماده به کار در یک مرکز داده قرار میگیرند. در این حالت در صورت رخداد خرابی در WAF اصلی پس از یک دقیقه یکی از WAFهای دیگر به صورت خودکار جایگزین قبلی میشود. در این معماری پس از رفع خرابی سرور مورد اشاره در صف سرویسدهندههای آماده به کار قرار میگیرد.
2) Active Active HA
در این مدل، دو یا چند گره WAF به صورت فعال همزمان در یک مرکز داده قرار میگیرند. هر کدام از WAFها IPهای اختصاصی خودش را دارد و سایتها را به صورت متحدالشکل بر روی IPهای متناظر دستگاههای مختلف ارایه میدهد. همچنین مدیریت تمام دستگاهها به صورت متمرکز و یکپارچه و برخط صورت میگیرد. واضح است دسترسی و توان محاسباتی بالاتری نسبت به حالت Active-Passive حاصل میشود. از سویی، لازم است ترافیک به نحوی بین این گرهها تسهیم شود. برای این کار میتوان از تجهیزات دیگر با قابلیت توزیع بار استفاده کرد و یا از راهکار توزیع بار وب آسپا استفاده کرد.
3) Distributed Active Active WAF
فايروال برنامههای کاربردي تحت وب، با تمرکز بر پیامهای ارسالی در لایه کاربرد شبکه و پروتکلهای مربوط به وب، حملاتی را که از دید سیستمهای تشخیص نفوذ و فایروالهای عادی در لایههای پایینتر پنهان میمانند، تشخیص میدهد. لیستی از این حملات در بازههای مختلف توسط محافل امنیتی نظیر OWASP ارایه میشود که شامل انواع حملات تزریق نظیر SQL، HTML، XSS و ... است. یکی از این حملات DoS و نوع خاص آن DDoS است که آنها نیز جزو دایره پوشش WAF قرار میگیرند. اما چنانچه این حملات در مقیاس بسیار بزرگ رخ دهند هیچ تجهیزی به صورت موضعی چندان کارا نخواهد بود. یکی از دلایل این امر این است که این حملات میتوانند پیش از این که اصولاً به WAF برسند پهنای باند را به صورت کامل از دسترس کاربران عادی خارج کنند. در چنین موقعیتهایی استفاده از یک مکانیزم توزیع شده کارساز است. مکانیزم توزیع شده ASPA WAF به ابرسازمانها با گسترهی جغرافیایی وسیع این امکان را میدهد که تعدادی گره وف را در مراکز دادهی مختلف قرار دهند و تمامی آنها را همزمان و یکپارچه مدیریت کنند. در این صورت یک WAF توزیع شده در دسترس است که از مجموع پهنای باند موجود در تمامی دیتاسنترها بهره میبرد. مسألهی باقیمانده، تقسیم ترافیک کاربران بین گرههای مختلف است که در صورتیکه ابرسازمان مشتری، امکانات Geo DNS یا BGP Anycast را پیادهسازی کرده باشد میتواند ترافیک کاربران را بین گرههای این WAF توزیع کند.
4) CDN
تفاوت این معماری استقرار با معماری قبلی (DAAWAF) این است که در این نوع استقرار سامانهی ASPAWAF قابلیت BGP Anycast را به صورت مجتمع در خود دارد. در این صورت سامانه ASPAWAF وظیفه مسیردهی به ترافیک کاربران را نیز بر عهده دارد.
یکی از مسایلی که برای دو معماری استقرار آخر به ذهن متبادر میشود قابلیت ایجاد شبکه توزیع محتوای اختصاصی است. بلی، محصول جانبی دو نوع استقرار اخیر یک شبکه توزیع محتوای اختصاصی است. اما باید توجه داشت که تفاوت ASPAWAF با شبکههای توزیع محتوای مرسوم این است که شما ابتدا یک فایروال WAF کامل با تمام قابلیتهای مورد نیاز آن دارید و سپس یک شبکه توزیع محتوا. مزیتی که در شبکههای توزیع محتوای عادی یا وجود ندارد و یا بسیار کمرنگ است.
نکتهی حائز توجه دیگر در مورد نحوههای استقرار متفاوت ASPAWAF این است که به جز معماری Active-Passive هر سه نوع معماری دیگر به جز گرههای وف نیازمند به گرههای آنالیزور نیز هستند.