Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


08.07.2019

Narzędzie EDR

ESET Enterprise Inspector
08.07.2019

Usuwanie skutków awarii

Veeam Availability Orchestrator v2
08.07.2019

Indywidualna konfiguracja

baramundi Management Suite 2019
05.07.2019

Technologia Ceph

SUSE Enterprise Storage 6
05.07.2019

Szybkie i bezpieczne...

Konica Minolta bizhub i-Series
05.07.2019

Edge computing

Atos BullSequana Edge
04.07.2019

Terabitowa ochrona

Check Point 16000 i 26000
04.07.2019

Obsługa wideokonferencji

Poly G7500
04.07.2019

Laptop biznesowy

Fujitsu LIFEBOOK U939X

ModSecurity WAF – ochrona zasobów WWW, serwera i ruchu HTTP

Data publikacji: 22-03-2019 Autor: Konrad Kubecki

Ryzyko związane z aplikacjami webowymi nie ogranicza się do nieautoryzowanej podmiany ich zawartości. To szereg metod ataków, których skutkiem może być utrata kontroli nad serwerem WWW.

 

W obecnych czasach przeglądarka internetowa to narzędzie służące do pracy, rozrywki, wykonywania obowiązków służbowych w terenie, zakupów i wielu innych czynności. Konsekwencją różnorakich zastosowań jest duża dostępność darmowych i płatnych szablonów interfejsów webowych, które można wykorzystać do stworzenia sklepu internetowego, forum, portalu społecznościowego, webowego klienta poczty elektronicznej, bazy wiedzy, centrum pracy grupowej, bramek płatniczych, narzędzi do zarządzania zasobami IT… Lista zastosowań jest bardzo długa. Wszystkie powyższe procesy można realizować również za pomocą własnych, stworzonych od podstaw aplikacji webowych. Wybranie jednej z dwóch wspomnianych metod implikuje dodatkowe pytania związane z bezpieczeństwem użytkowania usług, serwisów i narzędzi.

Decydując się na użycie ogólnodostępnego szablonu, warto mieć świadomość, że popularność takiego rozwiązania niesie pewne ryzyko – wykrycie w nim podatności oznacza, że na ten atak narażone będą wszystkie strony zbudowane na podstawie danego szablonu. W najpopularniejszych przypadkach problem może dotyczyć nawet milionów witryn. Masowo stosowane szablony są więc częstym celem ataków. Inne kwestie dotyczące bezpieczeństwa powinny być przeanalizowane w sytuacji, gdy zapadnie decyzja o stworzeniu własnej strony lub aplikacji od zera. Trzeba się zastanowić, czy zatrudniony w projekcie deweloper ma doświadczenie w tworzeniu bezpiecznego kodu odpornego na różne typy ataków. Ile czasu będzie trwała realizacja projektu? Jakie będą jego koszty?

Niezależnie od wybranego rozwiązania stosowanie dodatkowych narzędzi chroniących serwisy webowe jest jednym z podstawowych elementów strategii bezpieczeństwa. W końcu chodzi o bezpieczeństwo zarówno danych biznesowych, jak i bezpieczeństwo klientów.

> OPROGRAMOWANIE WAF

ModSecurity należy do kategorii oprogramowania klasyfikowanego jako Web Application Firewall. Jego działanie polega na bieżącym monitorowaniu ruchu przychodzącego i wychodzącego z serwera WWW oraz wyszukiwaniu w nim prób ataków. Wykrycie podejrzanych zdarzeń powoduje podjęcie odpowiedniej reakcji. Przykładowymi czynnościami są:
 

  • zwrócenie konkretnego kodu odpowiedzi zamiast odpowiedzi żądanej przez klienta,
  • zablokowanie komunikacji,
  • przekierowanie lub uruchomienie określonych w konfiguracji poleceń.


ModSecurity potrafi przekierować wgrywane przez stronę pliki do zainstalowanego na serwerze oprogramowania antywirusowego w celu ich przeskanowania oraz chroni przed wieloma typami ataków ukierunkowanych na kradzież danych, przejęcie sesji, modyfikacje strony czy uzyskanie kontroli nad serwerem. Są to ataki typu: Cross Site Scripting, SQL Injection, PHP Injection, Denial Of Service, Distributed Denial of Service, Code Execution. Wykrywanie zagrożeń w ruchu protokołu HTTP odbywa się na podstawie reguł, w których zapisane są cechy ataków oraz metody postępowania z wykrytymi próbami.

> ZESTAWY REGUŁ

Samo zainstalowanie i uruchomienie ModSecurity to zaledwie połowa drogi do zabezpieczenia witryn i serwera webowego. Nie ma pożytku z narzędzia, które nie zna specyfiki niepowołanych zdarzeń i nie wie, jakie reakcje inicjować. Dlatego kluczowym elementem konfiguracji jest wgranie zestawów reguł opisujących typy ataków i metody ochrony przed nimi. Niezbędnym i jednocześnie darmowym zestawem reguł jest OWASP ModSecurity Core Rule Set (CRS), rozpowszechniany na licencji Apache Software License v2. W skład zestawu wchodzą ogólne reguły chroniące przed różnymi typami ataków, a uniwersalność zestawu sprawia, że jest on obowiązkowym elementem ochrony stron webowych.

Komercyjnym rozszerzeniem dla OWASP Core Rule Set są rekomendowane przez opiekunów ModSecurity reguły tworzone przez firmę Trustware SpiderLabs. Reguły tej firmy przygotowywane są w odpowiedzi na konkretne podatności związane z lukami w aplikacjach webowych. Są także ukierunkowane na konkretne produkty, w tym: Microsoft SharePoint, cPanel, Joomla, Drupal, WordPress i wiele innych aplikacji webowych z kategorii systemów zarządzania treścią (CMS) oraz webowego zarządzania infrastrukturą IT. Aktualizacje dla reguł pojawiają się raz dziennie lub częściej, jeśli dotyczą szczególnie istotnych zagrożeń. Zestaw tych reguł można przyrównać do baz sygnatur antywirusowych, które są przez producentów takiego oprogramowania publikowane, gdy tylko uda im się opracować metodę ochrony przed nowo powstałymi zagrożeniami lub mutacjami starszych zagrożeń. Płatne zestawy reguł dla ModSecurity tworzone są przez firmę Trustware SpiderLabs, która jest także jednym ze sponsorów projektu rozwijającego wspomniane darmowe reguły OWASP CRS.

Spośród innych zestawów reguł warto zwrócić uwagę na darmowe pakiety od firmy Comodo oraz płatne od firmy Atomicorp. Co ważne, ModSecurity potrafi pracować z kilkoma zestawami równolegle i możliwe jest wdrożenie np. bezpłatnych reguł OWASP oraz wzmocnienie ochrony za pomocą dodatkowych zestawów komercyjnych.

> NATYCHMIASTOWE EFEKTY

Zaletą ModSecurity jest ochrona zarówno aplikacji webowych, jak i serwera przed różnymi rodzajami ataków bez konieczności natychmiastowego poprawiania kodu. Już samo uruchomienie narzędzia i zainstalowanie darmowych reguł znacząco zwiększa poziom bezpieczeństwa wspomnianych elementów, a nie wymaga dużego nakładu pracy. Co więcej, producenci zestawów reguł starają się sprawnie reagować na pojawiające się zagrożenia i wprowadzają aktualizacje do swoich produktów tak szybko, jak to możliwe. Dzięki temu ModSecurity z powodzeniem można traktować jako pierwszą linię obrony, która powinna skutecznie zabezpieczać zasoby do czasu poprawienia kodu aplikacji webowej, konfiguracji bazy danych, lub hardening komponentów infrastruktury polegający na aktualizacji oprogramowania na serwerze (instalacji poprawionych wersji serwera webowego, silnika baz danych, pakietów PHP, Java, Perl, Xml itp.).

ModSecurty może być również używany jako jeden z dodatkowych elementów ochrony, stosowany równolegle z innymi czynnościami realizowanymi w celu ciągłego podnoszenia bezpieczeństwa środowiska IT. Przykładowo kompleksowa ochrona przed atakami SQL Injection realizowana jest w kilku obszarach:
 

  • strona internetowa powinna zawierać odpowiednio skonstruowany kod służący do tworzenia zapytań bazodanowych na podstawie informacji podanych przez użytkownika w formularzu;
  • w kodzie tym powinny znaleźć się funkcje udaremniające możliwość przeprowadzenia ataku;
  • istotny jest także dobór elementów formularza – zamiast pól pozwalających na wpisywanie dowolnego tekstu użytkownik ma dostęp do rozwijanej listy lub pól wyboru;
  • zabezpieczenia powinny być zaimplementowane również na samym serwerze baz danych i mieć formę procedur składowanych lub mocno ograniczonych uprawnień dla konta wykorzystywanego przez aplikację.

 

[...]
 

Specjalista ds. utrzymania infrastruktury i operacji. Zajmuje się problematyką budowy i utrzymania centrów przetwarzania danych oraz zarządzania nimi i koordynowaniem zmian dotyczących krytycznej infrastruktury IT. 

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"