MAHDIAR
30th May 2010, 03:00 PM
http://www.rayanehmag.net/images/article/article_1106.gif
گستردگی کاربرد وب و وابستگی رو به افزایش به این سرویس، اهمیت فراهم کردن ایمنی برای آن را به شدت بالا برده. این ایمنی از چند ديدگاه قابل بررسی است. یکی از دید سرویس دهنده های وب است که منابع فراهم کننده این خدمات هستند. دیگری در نحوه نوشتن برنامه های وب مطرح می شود. فراهم کردن امنیت به کمک دیواره های آتش ویژه، از دیگر جنبه هایی است که می تواند مورد بررسی قرار بگیرد. با توجه به این نکات طی چند شماره آینده مقالاتی با تمرکز روی کلیّات این موضوعات تقدیم تان خواهد شد که در بخش پایانی آن را به چند نکته امنیتی درباره آپاچی که یکی از شناخته شده ترین سرویس دهنده های وب است، اختصاص خواهیم داد.
حفاظت از سرویس دهنده های وب
در بحث امنیت سرویس های وب ، جلوگیری از دسترسی مستقیم به داده های حیاتی سرویس دهنده از فضای اینترنت در درجه نخست اهمیت قرار دارد. روش های تعیین صلاحیت، دیواره های آتش و تنظیمات مناسب از نکاتی هستند که درباره آن ها سخن خواهیم گفت.
حفاظت اصولی برای برنامه های وب
دیواره های آتش کلاسیک و سیستم های IDS/IPS نمی توانند از برنامه های وب در برابر هکرها محافظت کنند و برای این منظور، وجود (Web Application Firewall)WAFها ضروری است. اگر چه نفوذ به درون شبکه های محلی در این میان بسیار دشوار شده و دیواره های آتش و سیستم های IDS بخوبی جلوي نفوذهایی که پیش از این کار ساده ای بوده را می گیرند، اما برنامه های وب برای هکرها برای دسترسی به داده های حیاتی موقعیت خوبی ایجاد می کنند.
برنامه هایی که برای کار در اینترنت نوشته می شوند، راه های نفوذ زیادی دارند. اغلب برای هکرها کافی است تا با یک تغییر ساده در فرمان های SQL یا یک تغییر کوچک در پارامترهای URL به داده های بانک اطلاعاتی دسترسی پیدا کنند. با روش های نفوذ پیشرفته تر مانند Cross-Site-Scripting و Session-Hijacking حتی می توان خرابکاری های گسترده تر و عمیق تری انجام داد. نکته نگران کننده این است که سیستم های IPS/IDS کلاسیک که روی لایه انتقال تمرکز می کنند، برای این مشکل به ما کمکی نمی کنند. کارشناسان معتقدند که اصلی ترین نقطه ضعف برنامه های وب آن است که پروتکل مورد استفاده از آن ها (یعنی http) دیگر برای کاربردهای امروزی کافی نیست.
اصولاً حفظ امنیت برنامه های وب از همان نخستین لحظه طراحی و پیاده سازی آغاز می شود. گروه (www.owasp.org)OWASP لیستی با نام "The Ten Most Critical Web Application Security Vulnerabilities" دارد که هر سال آن را به هنگام می رساند و با کمک آن می توان بسیاری از اشکالات امنیتی برنامه ها را در مرحله طراحی برطرف کرد. اما تنها نوشتن برنامه های خوب کافی نیست.
اگر چه با نوشتن برنامه های مطمئن میتوان از بسیاری از مشکلات پیش گیری کرد اما در این مرحله، پوشاندن همه نقاط ضعف ممکن نیست. تجربه نشان داده بازنگری های دوره ای در متن برنامه ها هم نمی تواند کمک زیادی بکند ، چون همین تغییرات به طور ناخواسته باعث بروز برخی نقاط ضعف دیگر می شود.
اقدام پیشگیرانه با WAF
WAFها یا Web Application Firewall در لایه برنامه های کاربردی جلوی دسترسی هکرها به برنامه های وب را می گیرند. وظیفه اصلی WAF بر پایه تعریف OWASF آن است که هر چه سریعتر هرگونه قصد نفوذ و خرابکاری را شناسایی کند. بنابراین چگونگی کارکرد WAF با یک دیواره آتش که تنها مبدا و مقصد داده ها را زیر نظر دارد، متفاوت است. یک WAF که به همه داده هایی که از سوی مرورگر وب به سرویس دهنده فرستاده می شود دسترسی دارد، جریان داده ها را تفسیر می کند و می تواند درخواست هایی با محتویات مخرب را شناسایی کند.
WAF همچون برنامه های پاد ویروس، اقدامات مشکوک را از روی قانون ها، ردپاها یا روش های heuristic شناسایی می کند. WAFها نه تنها یک لیست سیاه دارند که از روی آن، خرابکارانه بودن برخی درخواست ها را متوجه می شوند بلکه لیست هایی هم دارند که بر پایه آن ها به درخواست های غیر اصولی پاسخ نمی دهند و به این ترتیب از حمله های ناشناس جلوگیری می کنند. محصولات برخی شرکت های مهم و معروف مانند Citrix ، Barracuda Networks ، F5 می توانند شیوه های حمله را به مرور یاد گرفته و از آن ها جلوگیری کنند. این شرکت ها، WAFهای خود را به کارکردهایی مانند Load Balancing و Caching نیز مجهز کرده اند. یکی از متخصصین امنیت شبکه می گوید که این WAFها هم روش های فراگیری ثابت دارند که مدیر شبکه داده های آن را تنظیم می کند و هم از روش های فراگیری پویا بهره می برند که در طول کار با روش های تازه خرابکارانه آشنا شده و آن ها را به حافظه خود می سپارند.
بررسی لینک ها
در روش فراگیری پویا، WAF در یک جدول ارتباط هایی که یک برنامه که باید از آن محافظت شود با بیرون برقرار می کند را ثبت می نماید. Airlock روشی است که شرکت Visonys به جای ثبت URLها به کار می برد و در آن ، همه documentهای HTML که از برنامه وب به سوی کاربر فرستاده می شود، رمزگذاری می گردد، تا قابل دستکاری نباشد.
بنابراین کافی است که تنها یک نقطه آغازین غیر رمزگذاری شده داشته باشیم که همان صفحه نخست وب است و پس از آن همه لینک ها، documentها و صفحه ها، رمزگذاری شده خواهند بود؛ آنهم نه در لایه Connection و با روش هایی مانند SSL بلکه خود URL و همه اطلاعاتی که در مرورگر دیده می شود نیز رمزگذاری می گردد.
بر پایه اعلام کارشناسان با رمزگذاری URL می توان از حمله های به Session-ID مانند Session-Hijacking ، Session-Fixation ، Denial of Service و Riding جلوگیری کرد. با این کار از دستکاری پارامترهای URL نیز که گاهی برای حمله به کار می رود ، جلوگیری میشود.
گستردگی کاربرد وب و وابستگی رو به افزایش به این سرویس، اهمیت فراهم کردن ایمنی برای آن را به شدت بالا برده. این ایمنی از چند ديدگاه قابل بررسی است. یکی از دید سرویس دهنده های وب است که منابع فراهم کننده این خدمات هستند. دیگری در نحوه نوشتن برنامه های وب مطرح می شود. فراهم کردن امنیت به کمک دیواره های آتش ویژه، از دیگر جنبه هایی است که می تواند مورد بررسی قرار بگیرد. با توجه به این نکات طی چند شماره آینده مقالاتی با تمرکز روی کلیّات این موضوعات تقدیم تان خواهد شد که در بخش پایانی آن را به چند نکته امنیتی درباره آپاچی که یکی از شناخته شده ترین سرویس دهنده های وب است، اختصاص خواهیم داد.
حفاظت از سرویس دهنده های وب
در بحث امنیت سرویس های وب ، جلوگیری از دسترسی مستقیم به داده های حیاتی سرویس دهنده از فضای اینترنت در درجه نخست اهمیت قرار دارد. روش های تعیین صلاحیت، دیواره های آتش و تنظیمات مناسب از نکاتی هستند که درباره آن ها سخن خواهیم گفت.
حفاظت اصولی برای برنامه های وب
دیواره های آتش کلاسیک و سیستم های IDS/IPS نمی توانند از برنامه های وب در برابر هکرها محافظت کنند و برای این منظور، وجود (Web Application Firewall)WAFها ضروری است. اگر چه نفوذ به درون شبکه های محلی در این میان بسیار دشوار شده و دیواره های آتش و سیستم های IDS بخوبی جلوي نفوذهایی که پیش از این کار ساده ای بوده را می گیرند، اما برنامه های وب برای هکرها برای دسترسی به داده های حیاتی موقعیت خوبی ایجاد می کنند.
برنامه هایی که برای کار در اینترنت نوشته می شوند، راه های نفوذ زیادی دارند. اغلب برای هکرها کافی است تا با یک تغییر ساده در فرمان های SQL یا یک تغییر کوچک در پارامترهای URL به داده های بانک اطلاعاتی دسترسی پیدا کنند. با روش های نفوذ پیشرفته تر مانند Cross-Site-Scripting و Session-Hijacking حتی می توان خرابکاری های گسترده تر و عمیق تری انجام داد. نکته نگران کننده این است که سیستم های IPS/IDS کلاسیک که روی لایه انتقال تمرکز می کنند، برای این مشکل به ما کمکی نمی کنند. کارشناسان معتقدند که اصلی ترین نقطه ضعف برنامه های وب آن است که پروتکل مورد استفاده از آن ها (یعنی http) دیگر برای کاربردهای امروزی کافی نیست.
اصولاً حفظ امنیت برنامه های وب از همان نخستین لحظه طراحی و پیاده سازی آغاز می شود. گروه (www.owasp.org)OWASP لیستی با نام "The Ten Most Critical Web Application Security Vulnerabilities" دارد که هر سال آن را به هنگام می رساند و با کمک آن می توان بسیاری از اشکالات امنیتی برنامه ها را در مرحله طراحی برطرف کرد. اما تنها نوشتن برنامه های خوب کافی نیست.
اگر چه با نوشتن برنامه های مطمئن میتوان از بسیاری از مشکلات پیش گیری کرد اما در این مرحله، پوشاندن همه نقاط ضعف ممکن نیست. تجربه نشان داده بازنگری های دوره ای در متن برنامه ها هم نمی تواند کمک زیادی بکند ، چون همین تغییرات به طور ناخواسته باعث بروز برخی نقاط ضعف دیگر می شود.
اقدام پیشگیرانه با WAF
WAFها یا Web Application Firewall در لایه برنامه های کاربردی جلوی دسترسی هکرها به برنامه های وب را می گیرند. وظیفه اصلی WAF بر پایه تعریف OWASF آن است که هر چه سریعتر هرگونه قصد نفوذ و خرابکاری را شناسایی کند. بنابراین چگونگی کارکرد WAF با یک دیواره آتش که تنها مبدا و مقصد داده ها را زیر نظر دارد، متفاوت است. یک WAF که به همه داده هایی که از سوی مرورگر وب به سرویس دهنده فرستاده می شود دسترسی دارد، جریان داده ها را تفسیر می کند و می تواند درخواست هایی با محتویات مخرب را شناسایی کند.
WAF همچون برنامه های پاد ویروس، اقدامات مشکوک را از روی قانون ها، ردپاها یا روش های heuristic شناسایی می کند. WAFها نه تنها یک لیست سیاه دارند که از روی آن، خرابکارانه بودن برخی درخواست ها را متوجه می شوند بلکه لیست هایی هم دارند که بر پایه آن ها به درخواست های غیر اصولی پاسخ نمی دهند و به این ترتیب از حمله های ناشناس جلوگیری می کنند. محصولات برخی شرکت های مهم و معروف مانند Citrix ، Barracuda Networks ، F5 می توانند شیوه های حمله را به مرور یاد گرفته و از آن ها جلوگیری کنند. این شرکت ها، WAFهای خود را به کارکردهایی مانند Load Balancing و Caching نیز مجهز کرده اند. یکی از متخصصین امنیت شبکه می گوید که این WAFها هم روش های فراگیری ثابت دارند که مدیر شبکه داده های آن را تنظیم می کند و هم از روش های فراگیری پویا بهره می برند که در طول کار با روش های تازه خرابکارانه آشنا شده و آن ها را به حافظه خود می سپارند.
بررسی لینک ها
در روش فراگیری پویا، WAF در یک جدول ارتباط هایی که یک برنامه که باید از آن محافظت شود با بیرون برقرار می کند را ثبت می نماید. Airlock روشی است که شرکت Visonys به جای ثبت URLها به کار می برد و در آن ، همه documentهای HTML که از برنامه وب به سوی کاربر فرستاده می شود، رمزگذاری می گردد، تا قابل دستکاری نباشد.
بنابراین کافی است که تنها یک نقطه آغازین غیر رمزگذاری شده داشته باشیم که همان صفحه نخست وب است و پس از آن همه لینک ها، documentها و صفحه ها، رمزگذاری شده خواهند بود؛ آنهم نه در لایه Connection و با روش هایی مانند SSL بلکه خود URL و همه اطلاعاتی که در مرورگر دیده می شود نیز رمزگذاری می گردد.
بر پایه اعلام کارشناسان با رمزگذاری URL می توان از حمله های به Session-ID مانند Session-Hijacking ، Session-Fixation ، Denial of Service و Riding جلوگیری کرد. با این کار از دستکاری پارامترهای URL نیز که گاهی برای حمله به کار می رود ، جلوگیری میشود.