WAF یا Web application firewalls

در عصر جدید با به وجود آمدن حملات سایبری پیچیده و درک مشاغل از تهدیدهایی که با آن روبه رو هستند، اقدامات امنیتی به امری حیاتی رو به رو شده است. به همین منظور فایروال و فایروال برنامه وب (Web application firewalls)، شرکت ها و سازمان ها را در برابر انواع مختلف حملات محافظت می کنند. بنابراین درک درست از فایروال شبکه و اینکه چه تفاوتی با Web application firewalls دارد و چگونه می توان از حملات وب و حملات شبکه گسترده جلوگیری کرد مهم است.

به طور کلی، مشاغل با استفاده از فایروال های شبکه از داده ها و کاربران خود محافظت می کنند. اما با رشد BYOD (bring your own device ) ،Cloud عمومی و راه حل های نرم افزار به عنوان سرویس (SaaS) به این معنی است که آنها باید (WAF) را به استراتژی امنیتی خود اضافه کنند. این باعث افزایش محافظت در برابر حملات برای برنامه های وب می شود که در یک سرور از راه دور ذخیره می شوند. به طور کلی برنامه هایی که از طریق اینترنت و مرورگر کار می کنند می توانند برای هکرها بسیار جذاب باشند.

درک تفاوت میان فایروال برنامه (Application Firewalls) و فایروال سطح شبکه (Network-level Firewalls):

فایروال برنامه با هدف قرار دادن ترافیک پروتکل انتقال متن (HTTP) از برنامه های وب محافظت می کند. تفاوتی که این فایروال با  استاندارد دارد این است که مانعی بین ترافیک شبکه خارجی و داخلی ایجاد می کند.

WAF بین کاربران خارجی و برنامه های وب قرار دارد تا تمام ارتباطات HTTP را تجزیه و تحلیل کند. سپس درخواست های مخرب را قبل از رسیدن به کاربران یا برنامه های وب شناسایی و مسدود می کند. در نتیجه، WAF ها برنامه های وب و سرورهای وب مهم برای کسب و کار را از تهدید محافظت می کنند. این امر با گسترش تجارت به ابتکارات دیجیتالی جدید، می تواند برنامه های وب جدید و رابط های برنامه نویسی برنامه (API) را در معرض حمله قرار دهد ، که این مسئله اهمیت بیشتری پیدا می کند.

فایروال شبکه برای جلوگیری از خطر حملات، از شبکه محلی ایمن در برابر دسترسی غیرمجاز محافظت می کند. هدف اصلی آن جدا کردن یک منطقه امن از یک منطقه با امنیت کمتر و کنترل ارتباطات بین این دو است. بدون آن، هر رایانه با آدرس عمومی پروتکل اینترنت (IP) در خارج از شبکه قابل دسترسی است و به طور بالقوه در معرض خطر حمله قرار دارد.

Application Traffic یا Network Traffic:

فایروال های شبکه دسترسی غیر مجاز به شبکه های خصوصی را کاهش داده یا از آن جلوگیری می کنند. سیاست های فایروال، ترافیک مجاز به شبکه را تعریف می کند و هرگونه دسترسی دیگر در آن مسدود است. نمونه هایی از ترافیک شبکه که به آنها کمک می کند تا از کاربران غیرمجاز و حملات کاربران یا دستگاه ها در مناطق کم امنیت جلوگیری کنند.

WAF به طور خاص ترافیک برنامه ها را هدف قرار می دهد. از ترافیک HTTP و Hypertext Transfer Protocol Secure (HTTPS) جهت محافظت برنامه های کاربردی در اینترنت استفاده می شود. این امر باعث می شود تا برنامه ها در برابر تهدیداتی مانند حملات اسکریپت نویسی سایت (XSS)، حملات توزیع شده سرویس (DDoS) و حملات SQL امن باشد.

محافظت در لایه 7 در مقابل لایه 3 و 4:

تفاوت اصلی فنی بین فایروال برنامه و فایروال سطح شبکه، لایه امنیتی است که آنها بر روی آن کار می کنند. اینها توسط مدل اتصال سیستمهای باز (OSI) تعریف شده است که توابع ارتباطی را در سیستمهای مخابراتی و محاسباتی، مشخص و استاندارد می کند.

WAF ، از حملات در OSI مدل 7 لایه سطح برنامه، محافظت می کند. این شامل حملات علیه برنامه هایی مانند Ajax ، ActiveX و JavaScript و همچنین دستکاری کوکی ها، تزریق SQL و حملات URL است. آنها همچنین پروتکل های برنامه وب HTTP و HTTPS را که برای اتصال مرورگرهای وب و سرورهای وب استفاده می شوند ، هدف قرار می دهند.

به عنوان مثال، یک حمله DDoS لایه 7 سیل ترافیکی را به لایه سرور می فرستد که در آن صفحات وب در پاسخ به درخواستهای HTTP تولید و تحویل داده می شوند. WAF با عمل به عنوان یک پروکسی معکوس که از سرور هدف گرفته شده در برابر برنامه را در برابر ترافیک مخرب محافظت می کند و درخواست های فیلتر کردن برای شناسایی استفاده از ابزارهای DDoS را کاهش می دهد.

فایروال های شبکه در OSI مدل لایه های 3 و 4 کار می کنند که از انتقال داده و ترافیک شبکه محافظت می کنند. این شامل حملات علیه سیستم نام دامنه (DNS) و پروتکل انتقال پرونده (FTP) و همچنین پروتکل انتقال ایمیل ساده (SMTP)، پوسته امن (SSH) و Telnet است.

حملات وب در مقابل دسترسی غیرمجاز:

راه حل های WAF از مشاغل در برابر حملات مبتنی بر وب که برای برنامه ها استفاده می شود محافظت می کند. بدون فایروال برنامه، هکرها می توانند از طریق آسیب پذیری های برنامه های وب به شبکه گسترده تری نفوذ کنند.

WAF ها از تجارت در برابر حملات رایج وب مانند موارد زیر محافظت می کنند:

ـ Direct denial-of-service: تلاشی برای ایجاد اختلال در شبکه، سرویس یا سرور با تحت فشار قرار دادن سیل ترافیک اینترنت. هدف این است که منابع هدف خود را به اتمام رسانده و دفاع از آن را دشوار نماید.

ـ SQL injection: نوعی حمله که هکرها را قادر می سازد عبارات مخرب SQL، که سرور پایگاه داده را در پشت برنامه وب کنترل می کنند، اجرا کنند. این مهاجمان را قادر می سازد از تأیید اعتبار و مجوز صفحه وب عبور کرده و محتوای پایگاه داده SQL را بازیابی کنند ، سپس سوابق آن را اضافه ، اصلاح و حذف کنند. مجرمان اینترنتی می توانند از تزریق SQL برای دسترسی به اطلاعات مشتری، از داده های شخصی استفاده کنند. این به عنوان تهدید شماره یک برای امنیت برنامه های وب در OWASP Top 10 در سال 2017 ذکر شده است.

ـ اسکریپت نویسی از طریق سایت: یک آسیب پذیری امنیتی وب است که مهاجمان را قادر می سازد تعاملات کاربر با برنامه ها را به خطر بیندازند. همچنین این مهاجم را قادر می سازد تا خط مشی یکسانی را که وب سایتهای مختلف را تفکیک می کند دور بزند. در نتیجه، مهاجم می تواند به عنوان یک کاربر اصلی به داده ها و منابعی که برای آنها اجازه دارد دسترسی پیدا کند.

فایروال های شبکه از دسترسی و ترافیک غیرمجاز به داخل و خارج از شبکه محافظت می کنند. آنها از حملات شبکه در برابر دستگاهها و سیستمهایی که به اینترنت متصل می شوند محافظت می کنند.

 نمونه هایی از حملات شبکه ای که اغلب استفاده می شود عبارتند از:

ـ دسترسی غیرمجاز: مهاجمان بدون اجازه به شبکه دسترسی دارند. این امر معمولاً از طریق سرقت گواهینامه و حسابهای به خطر افتاده در نتیجه افرادی که از رمزهای عبور ضعیف استفاده می کنند حاصل می شود.

ـ حملات Man-in-the-middle (MITM): مهاجمان ترافیک را یا بین شبکه و سایتهای خارجی یا در داخل خود شبکه رهگیری می کنند. این امر اغلب در نتیجه پروتکل های ارتباطی ناامن است که به مهاجمین امکان می دهد داده های انتقال یافته را بدزدند، سپس اطلاعات کاربری را بدست آورند و حساب های کاربری را بدزدند.

ـ افزایش امتیاز: مهاجمان به یک شبکه دسترسی پیدا می کنند و سپس با استفاده از تشدید امتیاز، دامنه خود را در سیستم گسترش می دهند. آنها می توانند این کار را به صورت افقی انجام دهند، به این وسیله به سیستم های مجاور دسترسی پیدا می کنند یا به صورت عمودی با کسب امتیازات بالاتر در همان سیستم.

انتخاب فایروال برنامه (WAF) یا فایروال شبکه:

فایروال های شبکه استاندارد و WAF، محافظتی در برابر انواع مختلف تهدیدات به شمار می روند، بنابراین انتخاب یک مورد حیاتی بسیار مهم است. فایروال شبکه به تنهایی از تجارت در برابر حملات علیه صفحات وب که فقط از طریق قابلیت WAF قابل پیشگیری هستند، محافظت نمی کند. بنابراین بدون فایروال برنامه، مشاغل می توانند شبکه گسترده خود را برای حمله از طریق آسیب پذیری های برنامه های وب باز بگذارند. با این حال، WAF نمی تواند از حمله به لایه شبکه محافظت کند، بنابراین باید این حفره توسط فایروال شبکه تکمیل شود.

راه حل های مبتنی بر وب و شبکه در لایه های مختلف کار می کنند و از انواع مختلف ترافیک محافظت می کنند. بنابراین آنها بیش از رقابت، مکمل یکدیگر هستند. فایروال شبکه معمولاً از طیف گسترده تری از انواع ترافیک محافظت می کند، در حالی که WAF با تهدید خاصی برخورد می کند که روش سنتی نمی تواند آن را پوشش دهد. بنابراین توصیه می شود که هر دو راه حل را داشته باشید، به خصوص اگر سیستم عامل های مشاغل با وب همکاری نزدیک داشته باشند.

به جای انتخاب یکی یا دیگری، چالش بیشتر انتخاب سیستم WAF مناسب است که به بهترین وجهی با نیازهای کسب و کار مطابقت داشته باشد. WAF باید دارای یک شتاب دهنده سخت افزاری باشد، ترافیک را کنترل کرده و تلاش های مخرب را مسدود کند.

نسل بعدی فایروال (Next-generation Firewall) در مقابل WAF و فایروال های شبکه:

خرید محصولات جداگانه فایروال برای محافظت از هر لایه امنیتی گران و دست و پا گیر است. این امر مشاغل را به سمت راه حل های جامع مانند فایروال های نسل بعدی (NGFW) سوق می دهد. NGFW ها معمولاً قابلیت های فایروال های شبکه و WAF ها را در یک سیستم تحت مدیریت مرکزی ترکیب می کنند. آنها همچنین زمینه های اضافی را برای سیاست های امنیتی فراهم می کنند، که برای محافظت از مشاغل در برابر تهدیدهای امنیتی مدرن بسیار حیاتی است.

NGFW ها سیستم های مبتنی بر زمینه هستند که از اطلاعاتی مانند هویت، زمان و مکان برای تأیید اینکه کاربر همان چیزی است که می گویند استفاده می کنند. این بینش افزوده، مشاغل را قادر می سازد تا در مورد دسترسی کاربر، آگاهانه و هوشمندانه تصمیم بگیرند. آنها همچنین شامل ویژگی هایی مانند آنتی ویروس، ضد بدافزار، سیستم های جلوگیری از نفوذ و فیلتر کردن URL هستند. این امر خطرات سیاستهای امنیتی را متناسب با تهدیدهای پیچیده و فزاینده ای که مشاغل با آن روبرو هستند ، ساده و بهبود می بخشد.

داشتن یک دیدگاه جامع درباره امنیت دیجیتال اغلب آسان تر و مقرون به صرفه است. با این حال، اطمینان از اینکه NGFW تمام پایه های محافظت از شبکه و برنامه های وب را پوشش می دهد بسیار حیاتی است. WAF ها نقش ویژه ای در محافظت از برنامه های وب در مقابل تزریق کد، امضای کوکی، صفحات خطای سفارشی، جعل درخواست و رمزگذاری URL دارند.

منبع : https://mrshabake.com/web-application-firewalls/