Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Межсетевые экраны для Web-приложений излечивают страх

Джеффри Х. Рубин, Рэйвинд Бадхайрайа

Кажущиеся безобидными запросы к Web-приложениям могут нанести сокрушительный удар по вашему бизнесу. Усилить защиту вашей сети поможет межсетевой экран уровня приложений.

Вы отнюдь не являетесь параноиком, но сегодня Интернет развивается столь стремительно, что ни одно Web-приложение не может сколь-нибудь продолжительное время оставаться неизменным. Будь то Web 2.0, AJAX, RSS, ПО блогов, разметки каскадных таблиц стилей (CSS Layouts), карты сайтов Google Sitemaps или обеспечение совместимости с XHTML, — всегда найдутся вновь реализуемая технология, вновь добавляемая функция, а вместе с ними и новые возможные направления развития атак. По мере того как корпоративные приложения перемещаются с настольных систем на Web-серверы, подразделения ИТ вынуждены защищать все усложняющиеся сетевые программные среды, представляющие собой хитросплетение доморощенного и заказного ПО, чей исходный код часто переписывается заново и почти всегда содержит “дыры”.

Если приведенная выше картина вам хорошо знакома, то мы советуем развернуть у себя межсетевой экран (МЭ) для Web-приложений (Web Application Firewall — WAF). Это относительно новое инструментальное средство безопасности предназначено для работы на тех участках сети, где “складывают оружие” межсетевые экраны, защищающие сеть лишь до транспортного уровня протокольного стека TCP/IP включительно. Устройство WAF защищает прикладной уровень, выполняя глубокую инспекцию трафика на предмет выявления таких атак, как инъекция SQL-кода, перехват сеансов связи, вредоносные сценарии (Cross-Site Scripting — XSS), переполнение буфера и других.

В продаже имеются как программные продукты, так и устройства WAF, которые включаются в вашу сеть в точке, в которой они могут осуществлять мониторинг исходящего и входящего трафика ваших Web-серверов. Работая над нашим сравнительным обзором продуктов WAF (см. “Тестируем межсетевые экраны для Web-приложений” в этом номере журнала — Прим. ред.), мы обнаружили, что они не только отличаются разнообразием методов развертывания, но и поддерживают множество конфигураций.

Полную версию данной статьи смотрите в 11-ом номере журнала за 2006 год.

Знать угрозы в лицо

Прежде чем решать, нужно ли вам устройство WAF, необходимо хорошенько разобраться в природе беспокоящих вас потенциальных угроз. В самом общем случае злоумышленник старается снабдить Web-приложение некорректными входными данными, чтобы таким образом заставить его делать то, что этому приложению совсем не свойственно. Например, с одной стороны, намереваясь развернуть атаку типа “переполнение буфера”, злоумышленник может ввести очень длинный указатель URL, а с другой, — выполняя сценарий XSS, он пытается перехватить информацию легитимного пользователя. Еще злоумышленник может модифицировать сеансовые данные cookie и попытаться имитировать легитимного пользователя, получив таким образом доступ к его персональной информации. Управляемые базами данных Web-сайты также уязвимы к атакам под названием “инъекция SQL-кода” (SQL injection), в ходе которых злоумышленник сначала пытается разгадать внутренний принцип работы приложения, а затем, чтобы извлечь данные из лежащей в основе сайта базы данных или получить к ней доступ, вводит в поле формы SQL-код.

Дополнительную информацию по угрозам для Web-серверов можно найти в Интернете по адресу http://www.owasp.org/documentation/topten.html, где представлен разработанный в рамках проекта OWASP Top 10 Project список 10 наиболее критичных “дыр” безопасности Web-приложений с подробным описанием каждой из них.

Двигатели рынка

Конечно, главным стимулом для внедрения устройств WAF является повышение безопасности Web-приложений. Даже самая современная, защищенная по периметру мэ сеть чувствительна к уязвимостям портов 80 и 443. Хотя ошибки операторов исключить невозможно, устройство WAF заметно снижает риск компрометации корпоративных данных. Это подводит нас к вызывающему благоговейный трепет словосочетанию “соблюдение законодательства” (compliance). Давайте посмотрим правде в глаза: регулирующие органы не собираются сдавать свои позиции. Мы ожидаем, что в течение следующих нескольких лет будет принято больше законопроектов как федерального уровня, так и уровня штата, касающихся шифрования и безопасности информации. Считающийся эталоном калифорнийский закон о защите прав потребителей требует, чтобы в случае утечки по той или иной причине персональной потребительской информации организация, допустившая ее, уведомила об этом своих пострадавших клиентов. Если компания не уверена в том, кто конкретно из ее клиентов пострадал, она должна уведомить всех своих потребителей. При наличии в вашей сети устройства WAF файлы регистрации событий позволят вам точно детализировать запрос, приведший к проникновению сквозь “дыру”. Если устройство WAF и не остановит атаку, то администратор, по крайней мере, сможет воспроизвести инцидент и точно определить, какие конкретно данные были скомпрометированы.

Кроме того, в разделе 164.312 закона HIPAA говорится о том, что для хранящих конфиденциальные медицинские сведения информационных систем организации должны реализовывать технические меры и политики, разрешающие доступ к этой информации только лицам и программам, наделенным правами доступа к таким сведениям. Так вот, продукты WAF — это еще одна разновидность инструментальных средств, обеспечивающих соблюдение таких законодательных актов.

Архитектура продуктов WAF

Программные продукты WAF обычно инсталлируются на Web-сервере, где они контролируют трафик до его обработки Web-сервисом. С данным подходом сопряжены такие проблемы, как накладные расходы ЦПУ и “дыры” в системе безопасности базовой ОС. Как уже упоминалось выше, имеются несколько вариантов инсталляции устройств WAF. Для их развертывания чаще всего используются приведенные ниже сетевые топологии.

Мост. В этом случае устройство WAF размещают непосредственно перед Web-сервером, чтобы весь трафик проходил через это устройство. Достоинствами этого подхода являются прозрачность работы устройства WAF и отсутствие необходимости переконфигурирования сервера или сети. Однако такая установка этого устройства привносит в сеть дополнительную точку отказа и потенциальное “узкое” место в смысле производительности.

С одной стороны, остроту первой проблемы можно несколько снизить, сконфигурировав устройство WAF таким образом, чтобы при отказе оно продолжало пропускать трафик (fail open), а с другой, — учитывая характер приложения и повышенную важность хранимой информации, кое-кто, возможно, предпочтет простой в работе, сконфигурировав устройство WAF таким образом, чтобы в случае отказа оно блокировало весь трафик без разбора.

Реверсивный сервер-посредник. Работает в качестве посредника между клиентом и Web-сервером: вместо того чтобы представлять запросы непосредственно серверу, клиент соединяется с устройством WAF, которое, в свою очередь, ретранслирует запросы серверу по отдельному соединению. Что касается клиента, то для него Web-сервер — это сервер-посредник. Нетрудно догадаться, что данный подход требует значительного реконфигурирования сети. Например, вам придется изменить DNS-записи для ваших доменных имен таким образом, чтобы они указывали на новое устройство. Кроме того, необходимо обеспечить осуществление всех соединений с вашим Web-сервером только через устройство WAF. Это может потребовать коррекции некоторых программ и файлов. Как минимум, вам придется сконфигурировать соответствующие правила работы вашего мэ.

Что дает вам данный режим работы устройства WAF? Функции безопасности, реализация которых в других конфигурациях WAF невозможна. Например, файлы cookie хранятся и передаются открытым текстом, что позволяет легко изменять их содержимое. Чтобы противостоять этому, устройство WAF может перехватывать и шифровать все файлы cookie перед отправкой их клиенту. Если клиент возвращает cookie, то вся процедура повторяется с точностью до наоборот.

В случае подделки файла cookie дешифровать его не удается. Столь высокий уровень безопасности становится возможным лишь благодаря тому, что реверсивный сервер-посредник сам завершает входящие и исходящие соединения и вновь организует их на другой стороне.

Оборотной стороной повышения сетевой безопасности (как вы помните, мы с вами преследуем именно эту цель) является увеличение времени задержки ответа на запрос. Из всех возможных конфигураций устройств WAF именно конфигурация реверсивного сервера-посредника вызывает самую большую задержку, что, собственно, и следовало ожидать. Реверсивный сервер-посредник WAF не только контролирует пакеты, но и модифицирует их; как минимум, он подставляет IP-адреса from (от кого) и to (кому). Кроме того, многие посредники “вычищают” идентифицирующую информацию из HTTP-заголовка сервера. В то время как мост может игнорировать исходящий трафик, фокусируя свое внимание лишь на входящих запросах, реверсивный сервер-посредник дополнительно выполняет прием ответов с сервера и отправку их клиенту. Чтобы компенсировать обусловленную сервером-посредником задержку, можно реализовать такие функции, как кэширование трафика, компрессию трафика прикладного уровня и освобождение процессора от выполнения операций SSL, уменьшающие время ответа сервера-посредника.

Консольное включение (off-line mode). Один из производителей, продукт которого мы тестировали, компания Breach Security поставляет на рынок свое устройство WAF, работающее исключительно в консольном включении. Такое решение было принято по итогам обсуждения данного вопроса с клиентами. “В ходе этого обсуждения была высказана мысль номер один: дополнительные сквозные (inline) устройства безопасности являются для подразделений ИТ реальной помехой, — говорит Кевин Оверкаш, вице-президент компании Breach Security по управлению продуктами. — Они указали на то, что такое устройство является единой точкой отказа, вносит дополнительную задержку и зачастую требует изменения сетевой топологии”.

Подключение устройства WAF параллельно Web-серверу через концентратор или зеркальный порт коммутатора исключает эти проблемы. Недостатком данной сетевой топологии, при которой трафик не проходит через устройство WAF, является трудность обеспечения надежной блокировки трафика в случае обнаружения атак.

Модели безопасности

Принимая решение о том, какую сетевую активность нужно разрешить, а какую — заблокировать, устройство WAF, как и большинство других аналогичных устройств, может использовать позитивную или негативную модель безопасности. Используя негативную модель безопасности, оно пропускает по умолчанию все транзакции, кроме тех, которые совпадают с одной или несколькими предварительно определенными сигнатурами атак. С целью обнаружения общеизвестных атак устройства WAF снабжаются встроенными списками сигнатур, причем большинство продуктов позволяют специалистам по ИТ добавлять новые сигнатуры. Среди всех протестированных нами продуктов только продукт Breach-

Gate компании Breach Security не добавлял заказные сигнатуры. Теоретически, устройство WAF должно распознавать атаки, свободно пропуская при этом легитимный Web-трафик. Преимуще-ство негативного подхода заключается в том, что он не требует особых усилий ни для конфигурирования, ни для поддержки МЭ и дает управляемое число ложных срабатываний. Однако, учитывая при этом уязвимость сервера по отношению к новым атакам, сигнатуры для которых еще только предстоит создать, этот подход представляется менее безопасным, нежели позитивный. Если вы собираетесь покупать основанное на негативной модели безопасно-сти устройство WAF, вам следует выяснить у его производителя, как часто обновляются списки сигнатур. Имейте в виду, что обновление сигнатур способно дезавуировать ранее разрешенные исключения из правил и внести хаос в системный доступ.

Как подсказывает само название, позитивная модель безопасности работает с точностью до наоборот: по умолчанию блокируются все транзакции, кроме тех, которые были явно разрешены. Хотя этот подход, как правило, более безопасен, чем негативный (ибо любая ранее неизвестная активность автоматически блокируется), он возлагает на специалистов по ИТ незавидную задачу по скрупулезному, страница за страницей, прохождению через Web-приложение в целях создания исчерпывающего списка легитимных входных комбинаций трафика. Чтобы упростить эту задачу, большинство реализующих позитивный подход устройств WAF предоставляют механизм обучения, автоматически создающий список достоверных входных данных. “Обучение” устройства WAF происходит в процессе анализа им существующего трафика и создания по полученным результатам статистической модели. Впоследствии эту модель можно уточнить путем добавления в нее необходимых исключений из правил. Однако, как вы, вероятно, и предполагали, этот метод чреват большим числом ложных срабатываний. Например, построенная в течение двух недель модель может поднять ложную тревогу, когда начнет выполняться запланированная ежемесячная операция резервного копирования данных. Кроме того, эта модель требует постоянной технической поддержки в форме “переобучения” устройства WAF по мере изменения защищаемого им приложения.

Выбор той или иной модели безопасности будет всецело зависеть от решаемых вами конкретных бизнес-задач и вашей сетевой среды. К важным критериям выбора модели безопасности относятся: степень строгости политик безопасности, частота изменения приложений и бремя накладных расходов на процессы управления. Если первостепенным для вас является уровень информационной безопасности, то вам следует остановиться на позитивной модели. Если ключевой для себя вы считаете простоту развертывания и технической поддержки устройства WAF в быстро изменяющейся среде, то вам, возможно, лучше использовать основанный на сигнатурах подход.

Следует отметить, что в продаже имеются комбинированные продукты, содержащие все лучшее, что есть в каждой модели: МЭ с позитивной моделью безопасности, позволяющие создавать специализированные сигнатуры атак, и основанные на сигнатурах МЭ, которые способны создавать правила безопасности для комбинаций входящего трафика.

Время ответа

Способность устройства WAF к блокированию вредоносных запросов зависит от вашей сетевой топологии. Чтобы обеспечить полное блокирование трафика (при котором его попадание на сервер предотвращается) в режимах сервера-посредника и моста, устройство WAF должно буферизовать такое число пакетов, которое позволит придерживать весь HTTP-запрос на необходимое для его проверки время, что опять же создает задержку. В случае очень больших запросов соединение может прерываться в некоторой точке неполной буферизации.

В консольном (offline) режиме, при котором устройство WAF контролирует трафик, будучи размещенным в стороне от соединения между клиентом и сервером, блокирование трафика может осуществляться двумя путями: отправкой пакетов сброса TCP-соединения в адрес сервера и клиента и использованием суще-ствующей инфраструктуры межсетевого экранирования. При таком сценарии весьма критичным становится время ответа, особенно для внутренних клиентов, для которых задержка достаточно мала, и сам ответ будет приходить еще до блокирования трафика. При тестировании устройства BreachGate мы неоднократно сталкивались со случаями, когда атака была обнаружена и помечена флагом блокирования, но в окне браузера тем не менее появлялся ответ. Даже при успешном блокировании приема ответа клиентом остается вероятность того, что запрос все-таки достигнет сервера, что делает последний весьма уязвимым к “слепым” атакам. При интенсивной нагрузке на сеть данный сценарий будет способствовать увеличению числа “проскользнувших” атак. Как говорится, перспектива отнюдь не радужная.

Оценивая возможности реагирования устройства WAF на атаки, весьма важно рассмотреть уровень обеспечиваемого им контроля с точки зрения выбора различных вариантов реагирования на разные типы атак. Хотя в большинстве случаев администратор должен пресекать любую враждебную активность, он будет по-разному реагировать на нее в зависимости от степени опасно-сти угрозы. Обычно устройства WAF предоставляют следующие опции реагирования на атаки: сброс запроса HTTP, блокировка соединения TCP, запрещение IP-адреса и блокировка прикладного сеанса связи.

И наконец, некоторые организации изъявляют желание иметь собственную страницу ошибок, чтобы уведомлять клиентов о том, что их активность была зарегистрирована, и предоставлять контактную информацию на тот случай, если легитимный запрос был случайно помечен как вредоносный.

Журналы регистрации событий

Большинство устройств WAF предоставляют исчерпывающие журналы регистрации событий с целью отслеживания подозрительной активности в сети. Кроме того, такие журналы позволяют специалистам по ИТ классифицировать инциденты на основе времени, IP-адреса источника, типа и степени опасности и других факторов; такая возможность может весьма пригодиться при исследовании атак. Кроме того, нам понравилась возможность создания отчета для руководителей, в котором содержатся диаграммы и все прочие сведения, позволяющие наглядно представить всю активность в сети. Такой отчет весьма полезен, когда приходит время обоснования затрат на устройство WAF, ибо, судя по протестированным нами продуктам, средняя цена такого устройства составляет 30 тыс. долл.

Только устройство BreachGate регистрировало исходящие ответы в дополнение к входящим запросам. Мы могли просматривать эти ответы в нашем браузере и в точности видеть то, что видят злоумышленники на своих экранах. Это может оказаться весьма полезным при определении размеров нанесенного ущерба, если таковой имеется, и становится бесценным с точки зрения выполнения требований законодательства в случае успеха атаки.

Еще одной важной возможностью при регистрации событий является маскирование, или сокрытие, определенной информации. Например, чтобы предотвратить превращение самих журналов регистрации в проблему для безопасности, вы не должны хранить в них такую важную информацию, как номера кредитных карт и карточек социального страхования. Многие протестированные нами продукты маскируют такую информацию в пределах хранимого запроса или ответа с помощью специальных регулярных выражений..


На заказ changan запчасти по удобной цене




  
11 '2006
СОДЕРЖАНИЕ

бизнес

• Как обуздать стресс, работая в call-центре

инфраструктура

• Защита хранящихся корпоративных данных

• SAS, или Старая песня на новый лад

• Далеко, а рукой подать

• Протоколы внутренней маршрутизации

информационные системы

• Недорогие пакеты управления настольными системами

• Wеb-конференции, которые объединяют мир

сети связи

• Усовершенствованные приемники для оборудования WCDMA

• Файлообменные сети P2P: основные принципы, протоколы, безопасность

кабельные системы

• Открытые монтажные стойки в центрах обработки данных

• Производители кабельных систем приближают беспроводное будущее

защита данных

• Межсетевые экраны для Web-приложений излечивают страх

• Тестируем межсетевые экраны для Web-приложений

новые продукты

• Универсальная радиорелейная платформа компании Alcatel


• Калейдоскоп



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх