Web Application Firewall – zapora dla aplikacji internetowych

Niemal wszystkie firmy w obecnych czasach korzystają z zapory sieciowej w obawie przed cyberprzestępcami i atakami na organizacje. Jest to naturalny zabieg mający na celu ochronę wewnętrznych serwerów oraz repozytoriów danych z poufnymi informacjami spółki. W podobny sposób działają organizacje oferujące swoje usługi w postaci aplikacji webowej. Każdy software może posiadać luki w bezpieczeństwie, które hacker z łatwością może wykorzystać używając exploita. Identyczna ideologia ma miejsce w przypadku aplikacji internetowej. Nieodpowiednio zabezpieczona aplikacja zawiera luki, które atakujący z łatwością może wykorzystać atakiem SQL Injection, Cross Site Scripting (XSS) i wieloma innymi. Warto zatem skorzystać z dodatkowej warstwy ochrony zanim deweloperzy naprawią zaistniałe błędy w aplikacji. Tutaj z pomocą przychodzi nam WAF (Web Application Firewall), czyli zapora stricte przeznaczona do ochrony aplikacji webowych.

Web Application Firewall

Czym jest WAF?

WAF (Web Application Firewall) to rodzaj narzędzia a raczej systemu ochrony stosowanego w dziedzinie cyberbezpieczeństwa. Jego głównym celem to ochrona aplikacji internetowych przed różnymi rodzajami ataków sieciowych i zabezpieczenie ich przed potencjalnymi zagrożeniami. WAF działa bezpośrednio na siódmej warstwie modelu OSI, co oznacza, że analizuje ruch sieciowy na poziomie aplikacji webowej, a nie tylko na poziomie sieci czy systemu operacyjnego. Działanie zapory na warstwie aplikacji jest w stanie zapewnić bardziej zaawansowaną i szczegółową analizę ruchu sieciowego skierowanego na aplikacje internetowe. Warto wdrożyć to narzędzie jako dodatkową ochronę, zwłaszcza gdy świadczymy usługi klientom przy pośrednictwie aplikacji webowej.

Główne funkcjonalności WAF

Warto nieco bardziej przybliżyć temat funkcjonalności i wspomnieć o czterech ważnych aspektach wynikających z działania WAF na warstwie aplikacji:

• Analiza treści aplikacji – Web Application Firewall analizuje nagłówki żądań HTTP oraz ich treść. Oznacza to, że dane przesyłane również w żądaniach (parametry formularzy, treść plików przesyłanych przez użytkownika) oraz odpowiedziach (zawartość strony internetowej i pliki do pobrania).
• Protokoły komunikacyjne – Niezwykle ważnym elementem WAF jest to, że zapora w pełni rozumie protokoły komunikacyjne na warstwie aplikacji. Należą do nich np. HTTP, FTP i SNMP. Co ciekawsze, zapora rozumie również semantykę tych protokołów, w przypadku HTTP chociażby metody GET, POST, PUT, DELETE. Dochodzą do tego oczywiście również inne elementy, które odpowiadają za część wymiany informacji między klientem a serwerem. Cały ten proces umożliwia zaporze webowej na analizę i identyfikację podejrzanych zachowań, które mogą wskazywać na atak.
• Heurystyka – Podobnie jak narzędzia typu IDS i IPS, Web Application Firewall ma z nimi parę wspólnych cech i korzysta z algorytmów heurystycznych. Wykrywa charakterystyczne wzorce dla różnych ataków, które mogą obejmować sekwencje znaków i aktywności dla nich typowych. Nie jest to oczywiście funkcjonalność do której WAF się ogranicza, może on również reagować na nietypowe i nieznane wcześniej ataki.
• Blokowanie ruchu – Skoro wymieniliśmy heurystykę, warto wspomnieć o blokowaniu ruchu wiążącego się z sygnaturami. W momencie kiedy WAF wykryje podejrzane wzorce w ruchu sieciowym automatycznie podejmuje działania (w zależności od konfiguracji jaką ustawiliśmy). Żądania mogą zostać zablokowane na stałe lub tymczasowo a podejrzane żądania mogą zostać przekierowane do konkretnej procedury. Taka procedura bądź skrypt podejmuje dodatkowe działania jak ostrzeganie administratorów o ataku. Blokowanie oparte jest na politykach i regułach jakie administrator ustawił w konsoli na potrzebny zarówno organizacji, a co ważniejsze aplikacji.