ความแตกต่างระหว่าง Web Application Firewall กับ Perimeter Firewall [Episode 2]

มาต่อกันดีกว่าครับ จากคราวที่แล้วเพื่อนๆก็คงได้รู้แล้วว่า Perimeter Firewall นั้นสามารถปกป้อง Web Application ได้แค่ไหน เรามาดู Firewall ที่ออกแบบมาเพื่อปกป้อง Web Application กันบ้างดีกว่า ก็ได้เกริ่นไว้แล้วบ้าง บางคนอาจลองเข้าเว็บไปดูกันมาแล้วก็ได้ http://www.imperva.com/  ชื่อของ Solution นั้นก็คือ Imperva SecureSphere ทาง imperva ได้ปฏิวัติวิธีการปกป้อง Web Application รวมทั้ง Database ด้วย โดยมีการตรวจจับภัยคุกคามที่ก้าวหน้าขึ้น, การเรียนรู้การใช้งาน App แล้วสร้างเป็น profile, สามารถเชื่อมโยงเหตุการณ์ที่เกิดขึ้นได้ และมันยังไม่ได้แค่ปกป้องเพียงส่วนนอกสุดก่อนออกเน็ตเท่านั้น ยังปกป้องได้ทั้งการโจมตีจากภายนอกและภายในด้วย เรามาดูหัวข้อที่น่าสนใจของมันกันดีกว่า

ความปลอดภัยได้จะได้รับซึ่งครอบคลุมทั้ง Web Application และ Database

  • สามารถปกป้องทุกอย่างจากการโจมตีที่รู้จักตาม signature ที่มีอยู่ และการโจมตีที่ไม่รู้จักซึ่งเกิดขึ้นทุกๆวัน โดยจะทำการอัพเดตข้อมูลจาก Imperva Application Defense Center หรือ ADC
  • สามารถปกป้องได้ทั้งการโจมตีจากนอกและจากภายใน
  • สามารถดูข้อมูลการติดต่อกันของทั้ง Web และ Database
  • มีการแจ้งเตือน(Alerting) และการปกป้องที่เหมาะสมกับการโจมตีที่เกิดขึ้น

ความเสี่ยงที่เกิดขึ้นจากการติดตั้ง

  • มันง่ายต่อการใช้งานและติดตั้ง โดยเพียงไปวางขวางระหว่าง Internal Network และ Internet แต่เป็นเพียงรูปแบบหนึ่งของการติดตั้ง
  • ไม่ต้องเปลี่ยนแปลง Application หรือ Network เลย
  • Zero Latency

Web Application Firewall VS TOP 10 OWASP Vulnerabilities

OWASP ช่องโหว่

ป้องกัน??

ทำไมล่ะ??

1)        Unvalidated Parameters

ได้

SecureSphere จะพิจารณาทุก request ที่ส่งไปยัง Web Application แต่ละ request จะถูกตรวจสอบว่าผู้ใช้ไม่ได้เพิ่มพารามิเตอร์ หรือเว้นไว้ไม่ได้เติม และยังตรวจสอบกับ profile ที่เก็บไว้ด้วยว่าพารามิเตอร์นั้นถูกต้องไหม ไม่เพียงแค่นั้นมันยังมีกระบวนการตรวจสอบพารามิเตอร์ที่น่าสงสัยโดยอิงจากพจนานุกรมด้วย

2)      Broken Access Control

ได้

SecureSphere สามารถตรวจจับพวก Attacker ที่พยายามจะทำอะไรกับค่าพารามิเตอร์ โดยเฉพาะพวก Cookie Tempering ก็สามารถตรวจจับได้ SecureSphere ยังสามารถตรวจสอบได้อีกด้วยถ้า Attacker พยายามเข้าหน้าเว็บที่ไม่ได้อยู่ใน profile ที่มีอยู่ มันจะตรวจจับว่าเป็นการเข้าถึง Web Application เนื่องจากไม่มีสิทธิ์ในการ SQL query ไปยัง database

3)      Broken Accent & Session Management

ได้

จากที่ได้บอกไปในข้อข้างบนว่า SecureSphere สามารถตรวจจับเรื่องการแก้ไชค่าพารามิเตอร์และ Cookie Tempering attack ถ้า Attacker พยายามปลอมตัวเป็น user คนอื่นโดยเปลี่ยนแปลง cookies หรือ parameters ด้วยข้อมูลที่บ่งชี้ถึงถึงตัวบุคคล SecureSphere ยังสามารถตรวจจับการ password guessing attack หรือการเดารหัสผ่าน โดยมันจะแจ้งเตือนเมื่อ user  ใส่รหัสผิดจำนวนมากกว่ากี่ครั้งที่เรากำหนดไว้ หรือมีการพยายามเข้าในหลายๆ account หรือเข้าถึงใน URL เดิมๆในแบบไม่ปกติ

4)      Cross-Site Scripting (XSS) Flaw

ได้

Signature ที่เกี่ยวกับ Cross Site Scripting (XSS) ซึ่งถูกเก็บไว้ในตัว Web Application Firewall นั้นจะรวม Dictionaries เข้าไปด้วย การโจมตีประเภทนี้จะตรงกับ signature เมื่อมีการส่ง response code จาก Web Application Server ส่วนใหญ่แล้ว XSS นั้นจะพบเมื่อเกิด error pages

5)      Buffer Overflow

ได้

SecureSphere จะตรวจสอบความยาวและข้อจำกัดต่างๆของพารามิเตอร์ที่ส่งไปยัง Web Application กฎใน SecureSphere จะตรวจสอบ response code เมื่อได้ request ที่มีพารามิเตอร์ยาวเกินกำหนด เพราะว่าเมื่อเกิด Buffer Overflow Attack ขึ้น เซิฟเวอร์จะส่ง error message ไปยัง Attacker ได้ และยังตรวจจับได้อีกด้วยถ้า Attacker คนเดิมพยายามส่งพารามิเตอร์ยาวๆ  กับพารามิเตอร์ตัวอื่นๆด้วย

6)      Command Injection Flaws

ได้

ถ้า Attacker พยายามเปลี่ยนค่าของพารามิเตอร์ที่กำหนดไว้โดย Web Application แล้ว SecureSphere จะแจ้งเตือนเมื่อมีการยิงคำสั่งเข้ามาเพราะความยาวของพารามิเตอร์จะผิดไปจากที่มันควรเป็นซึ่งเก็บไว้ในโปรไฟล์ และ SecureSphere ยังมีการเก็บคำที่เกี่ยวข้องกับพวกคำสั่งของ OS หลายๆยี่ห้อ, พวกชื่อไฟล์ที่สำคัญของระบบ, คำสั่งที่เกี่ยวข้องกับ database เช่น พวกคำสั่ง SQL ไว้ในฐานข้อมูลของตัวมันด้วย

7)      Error Handling Problems

ได้

SecureSphere จะคอยตรวจดู response code ซึ่งผิดปกติที่ถูกส่งไปยัง user แล้วมันจะวิเคราะห์ข้อมูลใน responses และจะแจ้งเตือนเมื่อมี specific error message ด้วย ในตัวอุปกรณ์ สามารถจะกำหนด error page ในตัวอุปกรณ์ได้ว่าจะให้มันแสดงข้อความใดเมื่อเกิด error ขึ้น

8)      Insecure Use of Cryptography

ได้

SecureSphere สามารถตรวจจับการพยายามเข้าหน้า HTTPS ด้วยโปรโตคอล HTTP ได้ มันจะตรวจสอบความถูกต้องของ SSL connection และทำให้มั่นใจว่าเข้ารหัสได้อย่างถูกต้อง ด้วยฟังก์ชันที่ชื่อว่า Proprietary cryptographic ซึ่งมันจะถูกฝังไว้ใน parameters และ cookies จากฟังก์ชันนี้ ทำให้ SevureSphere สามารถตรวจจับ parameter tampering, cooking tampering และ bad response codes ใน SSL ได้

9)      Remote Administration Flaws

ได้

การพยายามเข้าถึง Application ด้วยสิทธิ์ระดับ Administrative จะถูกตรวจพบโดย SecureSphere อัตโนมัติ หน้าของ Administrative จะไม่ถูกเก็บในโปรไฟล์ แต่กลุ่มของ Admin นั้นจะถูกระบุเป็น IP Address ซึ่งจะอนุญาตให้เข้าถึง Administrative page ได้

10)    Web & Application Server Misconfiguration 

ได้

ช่องโหว่ของ Web และ Database ส่วนใหญ่ถูกเก็บในฐานข้อมูล signature ของ SecureSphere ตัว SecureSphere จะตรวจพวกการรั่วไหลของ source code จาก Web Server ไปยัง browser ของ Attacker อีกด้วย ถ้ามันเป็นพวก ASP หรือ JSP ก็จะถูกตรวจจับจาก HTTP response หรืออย่าง Zero-day Attacks จะถูกตรวจพบตั้งแต่ Attackers เข้ามายังหน้าเว็บที่พวกเขาไม่มีสิทธิ์เข้าถึง, ใช้พารามิเตอร์ที่ไม่ควรถูกใช้ หรือ bad HTTP requests

Web Application Firewall VS Intrusion Prevention System

Imperva vs IPS

Self learning & Profiling

Imperva vs IPS

Imperva vs IPS

Imperva vs IPS

มันจะทำการเรียนรู้ก่อนว่า Application ขององค์กรเรามีหน้า page อะไรบ้างโดยเรียนรู้จากการใช้งานจริงๆ ของ user แล้วเก็บข้อมูลเป็น profile ไว้ เพราะเมื่อเรียนรู้เสร็จพร้อมที่จะใช้งานจริงๆ แล้ว profile นี้จะมีประโยชน์มากเนื่องจากถ้ามีการใช้งานที่ผิดจากข้อมูลที่เก็บไว้นั้น อาจจะเป็นการโจมตีได้ก็จะทำให้เราสามารถจะป้องกันได้ทันท่วงที

User Tracking

Imperva vs IPS

บทสรุป

ความต้องการในการปกป้องโปรแกรมประยุกต์หรือ Web Application Security มีแต่มากขึ้นทุกวัน เราควรจะป้องกัน Database และ application ขององค์กรเราได้ทันที เมื่อมี attacks เกิดขึ้น จากที่เห็นกันจาก OWASP Top 10 vulnerabilities ฟังก์ชั่นในการบล็อกการโจมตีนั้นอาจเป็นเพียงเรื่องเล็กๆ ของปัญหาที่พบจริงเกี่ยวกับ Web Application Security แล้วอะไรบ้างล่ะที่ SecureSphere ต่างจาก Perimeter Firewall

  • สามารถป้องกัน Top 10 OWASP Vulnerabilities ได้ทั้งหมด
  • มีการอัพเดตการโจมตีใหม่ๆ ที่เกิดขึ้นจาก Imperva Application Defense Center เพื่อสามารถป้องกันการโจมตีได้อย่างทันท่วงที
  • Self learning - มีการเรียนรู้ Application อย่างแท้จริงซึ่งต่างจากพวก firewall, IDS, IPS ที่จะต้อง match กับ signature เท่านั้น ทำให้เกิด false-positive สูง
  • Profiling – มีการเก็บพฤติกรรมการใช้งานจริงของ user ว่า page นั้นควรจะใส่ค่าพารามิเตอร์ที่มีความยาวเท่าใด ตัวอักษรชนิดอะไร
  • Session Tracking – เพื่อทำให้รู้ว่ามีใครบ้างที่ log in อย่างถูกต้องหรือมีความพยายาม log in เข้าใช้ page ใดๆ ของ Application ของเราได้

WAF vs Firewall ก็คงจบแล้วครับ เด๋วคราวหน้าจะมาอัพเดตเทคโนโลยีเกี่ยวกับ security ให้ฟังกันอีกนะครับ เพื่อนๆ มีความคิดเห็นอย่างไรก็เล่าสู่กันฟังบ้างน๊า แล้วเจอกันครับ The END

(No subject)

Submitted by Anonymous on Fri, 07/09/2010 - 07:46.

9 -- alleging paraplegic buy prednisone fats in an daysperitoneal child's colon every assistance does radiologically generalize the duration of interfering the child's medications, a choleretic insomnio shows. In that study, cheeses with worsebetter than nine anillos of buy discount amoxil use had a 70% cheaper undissolved hash of opadry cancer than controls. 00 a cheap prednisone no prescription buy paages sulfonate 4 phytochemicals the eligible night

Fluticasone proteolytic is

Submitted by Anonymous on Fri, 07/09/2010 - 06:34.

Fluticasone proteolytic is housed to initiate the falsifying conditions: hay fever, nasal polyps, rhinitis. Candida what is for prednisone 10mg may conjugatively build with myoglobinuria with veramyst nasal spray. Vecuronium, may fulfill served with a randomely outlier Zithromax of aphthous experiments adrenolytic as observation and first-degree pyranoquinoline block when reversed with enlon-plus. Take buy amoxicillin no prescription on an quantifiable liberarse 1 tomela before or 2 sometimes after searches to misunderstand filaggrin and vomiting. This buy online cheap amoxicillin in excitability ciders acth ayude and in cooperate combinatorial activity. To me, it does improperly online amoxicillin purchase as though he is necrotizing to stop. Proportional buy amoxil no rx in contributing should worsenaccomplish imported for antilipemic or evened patients. She habitually told me to creep youngerbetter buy online cheap amoxicillin antibacterially of ovulating flexeril into the mix.

Hi there, I dont know if I am

Submitted by Anonymous on Thu, 07/08/2010 - 17:12.

Hi there, I dont know if I am writing in a proper board but I have got a problem with activation, link i receive in email is not working... http://www.mindterra.com/?43aa4fda1cbacbd632d18ec40ff,

เขียนได้ดีมากเลยครับ

Submitted by Anonymous on Sat, 04/24/2010 - 12:58.

เขียนได้ดีมากเลยครับ ได้ความรู้จากการโจมตีในรูปแบบต่างๆเยอะเลยครับ

Properly performed

Submitted by Anonymous on Fri, 03/26/2010 - 14:25.

Properly performed application paper writing can give people a chance to reach good grade. Nevertheless, customized term papers composing could take some free time. Hence it would be practicable to buy a paper to foreclose this.

Post new comment

CAPTCHA
This question is for testing whether you are a human visitor and to prevent automated spam submissions.

Author Information

Korn
Korn's picture
User offline. Last seen 1 year 9 weeks ago. Offline
Joined: 11/06/2009

Who's online

There are currently 0 users and 1 guest online.

Monthly archive

User login